Por Jorge Cano, Arquiteto de Software Sênior, LACNIC
A evolução do RPKI (Resource Public Key Infrastructure) do LACNIC e o compromisso constante da nossa organização em melhorar a segurança da infraestrutura da Internet alcançaram avanços significativos na implementação do RPKI na região, estabelecendo as bases para um futuro mais seguro e estável no roteamento da Internet.
Nossa organização dedicou um grande esforço nos últimos três anos para mudar o RPKI e assim ter um processo mais fortalecido na certificação de recursos na região.
Ajudamos a tornar o roteamento global mais seguro por meio do uso de certificados de recursos e ROA (autorizações de origem), promovendo a certificação de recursos.
(Acesso livre, não requer assinatura)
Na medida em que a comunidade de operadores de rede se familiariza com esta tecnologia, detectamos um crescimento sustentado no uso do RPKI. Isso facilita na tomada de decisões informadas para melhorar a segurança do roteamento.
DIFERENÇAS
Todas as organizações que possuem RPKI através do LACNIC e usam este mediante a plataforma MiLACNIC, usam RPKI hospedado. Quer dizer, o LACNIC é responsável por tudo o relacionado à gestão criptográfica, armazenamento de chaves, armazenamento e geração de certificados, etc. As organizações só geram ROA (autorizações de origem) em uma interface web.
Enquanto isso, o modo delegado do RPKI é muito semelhante a uma delegação do DNS. Na árvore dos certificados é configurada uma espécie de ponteiro, um registro NS do DNS, e todos os certificados que correspondem a uma série de blocos de numeração devem ser procurados em uma autoridade certificadora que está abaixo da árvore.
Na medida em que a comunidade de operadores de rede se familiariza com esta tecnologia, detectamos um crescimento sustentado no uso do RPKI. Isso facilita na tomada de decisões informadas para melhorar a segurança do roteamento.
DIFERENÇAS
Todas as organizações que possuem RPKI através do LACNIC e usam este mediante a plataforma MiLACNIC, usam RPKI hospedado. Quer dizer, o LACNIC é responsável por tudo o relacionado à gestão criptográfica, armazenamento de chaves, armazenamento e geração de certificados, etc. As organizações só geram ROA (autorizações de origem) em uma interface web.
Enquanto isso, o modo delegado do RPKI é muito semelhante a uma delegação do DNS. Na árvore dos certificados é configurada uma espécie de ponteiro, um registro NS do DNS, e todos os certificados que correspondem a uma série de blocos de numeração devem ser procurados em uma autoridade certificadora que está abaixo da árvore.
BASES
A arquitetura desenhada no RPKI do LACNIC possui três camadas: tem um core RPKI (é a parte mais complexa e é responsável por processar tudo o que é criptografia); depois um pubserver e pré-validação (validação do material produzido e preparação do repositório em disco, verifica o que vai ser publicado); e a terceira camada é o front end (oferecem as coisas que estão bem e são publicadas).
Neste processo de migração do core do RPKI detectamos que uma das coisas mais delicadas ao fazer alterações em um sistema do RPKI é preservar a integridade do cachê dos clientes. Por isso fizemos um grande número de testes usando vários validadores do RPKI, usando diferentes versões, para corroborar que nossas mudanças não afetarão a comunidade além de reiniciar o validador no caso de algumas versões antigas.
O RPKI do LACNIC tem mais de 15 anos desde as primeiras versões
No final de 2022 começamos a trabalhar com a premissa de que o antigo core do RPKI devia ser substituído e decidimos fazê-lo de novo, incorporando para isso um produto de código aberto chamado Krill.
Krill é uma implementação de CA e servidor de publicação do RPKI que pode operar como um filho delegado de um RIR ou também como uma âncora de confiança. Usando Krill como core, no LACNIC pudemos focar-nos em nossos recursos de desenvolvimento e implementar funcionalidades próprias do RIR. E alguns anos depois de trabalharmos juntos conseguimos colocar em produção o novo core do RPKI do LACNIC.
Desta forma resolvemos a migração para o novo sistema -adaptando o desenvolvimento ao banco de dados dos nossos usuários- e chegamos a uma configuração em que finalmente o ponto culminante do trabalho consistiu na alteração de alguns registros do DNS. Conseguimos uma plataforma sustentável.
QUAIS SÃO OS PRÓXIMOS PASSOS?
Sempre que falamos sobre o RPKI, falamos da garantia de origem, a origem dos prefixos é assinada. Assinar o path é o próximo passo. Existem duas estratégias que foram apresentadas para garantir o path: BGPSec (é uma extensão de segurança do protocolo Border Gateway) e ASPA (segurança do caminho eventual). As LOA também vão poder ser assinadas com o RPKI usando RCS.
Vocês são provavelmente uma das comunidades que mais usam o RPKI e que têm mais clareza sobre a realidade operacional dos protocolos envolvidos. É por isso que eu gostaria de receber as suas sugestões, reclamações e propostas pelo e-mail: rpki-admin@lacnic.net.
As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.
