Marco importante na implantação da validação de origem com RPKI

07/05/2024

Marco importante na implantação da validação de origem com RPKI
Desenhado por Freepik

Escrito por Doug Madory  &  Job Snijders

Publicado originalmente no Blog da Kentik

Resumo

Nesta postagem, os especialistas em BGP Doug Madory da Kentik e Job Snijders da Fastly analisam as métricas mais recentes de implantação de validação de origem (ROV) RPKI à luz de um marco importante.


A partir de hoje, 1º de maio de 2024, a segurança do roteamento da Internet ultrapassou um marco importante. Pela primeira vez na história do RPKI (infraestrutura de chave pública de recursos), a maioria das rotas IPv4 na tabela de roteamento global são cobertas por autorizações de origem de rota (ROA), de acordo com o monitor de RPKI do NIST. O IPv6 ultrapassou esse marco no final do ano passado.

À luz deste marco, vamos aproveitar para atualizar os números de adoção da validação de origem de rotas (ROV) com RPKI que temos publicado nos últimos anos.

Como vocês já devem saber, a validação de origem de rotas com RPKI continua a ser a melhor defesa contra os sequestros de BGP acidentais e os vazamentos de origem. Para que o ROV faça seu trabalho (rejeitar rotas inválidas para RPKI), duas etapas devem ser executadas:

(Acesso livre, não requer assinatura)

  1. As ROA devem ser criadas.
  2. Os AS devem rejeitar as rotas que não sejam consistentes com as ROA.

primeira parte desta análise começou quando exploramos a primeira etapa de ROV: a criação de ROA. Há dois anos, na NANOG 84, Doug apresentou a sua análise que mostrava que estávamos, de fato, mais avançados na criação de ROA do que se podia determinar analisando apenas o BGP. Usando o NetFlow agregado de Kentik, ele mostrou que a maior parte do tráfego (medido em bits/s) estava indo para rotas com ROA, apesar de apenas um terço das rotas BGP terem ROA.

Esta discrepância aconteceu devido ao fato de os principais fornecedores de conteúdo e redes “eyeball” terem concluído implantado RPKI nos últimos anos e serem responsáveis por uma parte desproporcional do volume de tráfego da Internet. É claro que o volume de tráfego não é o único critério para alcançar esse objetivo: há muito tráfego que é crítico, mas não volumoso (por exemplo, DNS). A ideia era simplesmente fornecer outra dimensão para considerar nossos avanços na implantação da validação de origem de rotas com RPKI.

Para medir a segunda etapa de ROV (rejeitar as rotas inválidas), observamos as diferenças na propagação baseada na avaliação de uma rota com RPKI. A conclusão na época foi que as rotas inválidas poderiam alcançar uma propagação não superior a 50% das fontes BGP no RouteViews repositório público de BGP da Universidade de Oregon. Muitas vezes, as rotas inválidas se propagam muito menos que 50% — tudo depende dos upstreams envolvidos.

As opiniões expressas pelos autores deste blog são próprias e não refletem necessariamente as opiniões de LACNIC.

Inscrever-se
Notificar de

0 Comments
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários