Geralmente, no âmbito dos eventos do LACNIC, temos tutoriais de RPKI (Infraestrutura de chave pública de recursos) e IRR (Internet Routing Registry) nos quais revisamos os fundamentos e aspectos técnicos das melhores práticas relacionadas à segurança de roteamento na troca de tráfego e peering. Além deste espaço, no evento LACNIC 39 em Mérida foi desenvolvida uma sessão de consulta sobre roteamento seguro e ferramentas, na qual foram levantadas uma série de questões que unificamos neste documento.
Quem deve criar um ROA? Aquele que tem o bloco IP delegado ou aquele que tem o sistema de sistema autônomo delegado?
Os ROA (Route Origin Attestations) são objetos assinados digitalmente que descrevem uma associação entre um conjunto de prefixos (IPv4 ou IPv6) e o sistema autônomo autorizado para originar esses prefixos em anúncios BGP (o que no RPKI é chamado de “validação de origem” de uma rota ou prefixo). Por tanto, estes devem ser criados pelo titular do bloco (organização à qual o LACNIC delega o uso do prefixo IP) e pode ser associado a qualquer sistema autônomo desejado, tanto próprio quanto de terceiros.
(Acesso livre, não requer assinatura)
Ao criar um ROA, qual o comprimento máximo que deve ser usado?
Ao criar os ROA devemos levar em consideração o comprimento máximo com que estamos publicando nossos prefixos no BGP. Como regra geral, só deveríamos criar ROA que cubram as postagens que fazemos. É fundamental que o comprimento máximo especificado em um ROA não seja menor ao de um prefixo publicado, uma vez que se no ROA permitirmos prefixos /22 mas publicarmos um /24, essa publicação não será permitida pelo ROA e, portanto, será invalidada.
Em alguns casos, quando sabemos que vamos desagregar os blocos de um bloco maior, poderíamos aproveitar esse comprimento máximo para evitar a necessidade de criar um ROA para cada prefixo publicado. No entanto, esta prática não é recomendada, em geral, porque permitiria potenciais ataques de origem falsificada. Por mais informações, confira a RFC 9319.
Ao criar um ROA, qual o comprimento máximo que deve ser usado?
Ao criar os ROA devemos levar em consideração o comprimento máximo com que estamos publicando nossos prefixos no BGP. Como regra geral, só deveríamos criar ROA que cubram as postagens que fazemos. É fundamental que o comprimento máximo especificado em um ROA não seja menor ao de um prefixo publicado, uma vez que se no ROA permitirmos prefixos /22 mas publicarmos um /24, essa publicação não será permitida pelo ROA e, portanto, será invalidada.
Em alguns casos, quando sabemos que vamos desagregar os blocos de um bloco maior, poderíamos aproveitar esse comprimento máximo para evitar a necessidade de criar um ROA para cada prefixo publicado. No entanto, esta prática não é recomendada, em geral, porque permitiria potenciais ataques de origem falsificada. Por mais informações, confira a RFC 9319.
Como criar ou definir nossos ROA se tivermos mais de um provedor?
Quando temos prefixos delegados pelo LACNIC, poderíamos separá-los em dois casos, quando há um Número de Sistema Autônomo (ASN) disponível ou quando não há um ASN disponível.
Seas postagens forem originadas desde meu próprio ASN:
Neste caso, devem ser gerados os ROA com meu próprio ASN como sistema autônomo de origem. Deve-se levar em conta como estamos publicando os anúncios BGP e gerar os ROA de forma adequada, de modo que os cumprimentos de prefixo autorizados coincidam com o que estamos anunciando.
Seas postagens forem originadas desde os sistemas autônomos de meus provedores de acesso à Internet:
No caso de originar os prefixos com o sistema autônomo de um ou mais provedores, devemos gerar um ROA com cada prefixo e o sistema autônomo de origem de cada um deles. A validação RPKI vai determinar que um anúncio BGP é válido se houver pelo menos um ROA que cubra esse anúncio BGP, quer dizer, não há problema que existam outros ROA que o contradigam, desde que haja pelo menos um ROA que corresponda ao anúncio BGP.
Se eu tiver recursos subdesignados, posso criar meus próprios ROA?
Depois da aprovação da política LAC-2020-10 quem tiver subdesignações podem criar seus próprios ROA. Antes disso, dependiam de que o ISP que subdesigna os endereços criasse o ROA para a organização receptora dos recursos.
A criação de ROAs faz parte das boas práticas de MANRS?
A atividade de criação de ROAs faz parte dos Padrões Mutuamente Acordados para a Segurança no Roteamento MANRS. Estas normas indicam ações que devem ser implementadas nas diferentes infraestruturas das entidades finais, fornecedores de serviços da Internet, pontos de troca da Internet, provedores de conteúdo e serviços na nuvem.
Especificamente, em duas dessas ações que são filtragem e validação global solicita-se que os dados de roteamento sejam publicados em escala global para que outras redes possam validar a confiabilidade das rotas que são publicadas para a Internet e que realizando atividades de filtragem evitemos a propagação de informações de roteamento incorretas. Isso é conseguido gerando nossos ROA e registrando as informações de nossas rotas em bancos de dados como os IRR.
Quais são os objetos principais do IRR do LACNIC? Quais são gerados automaticamente?
Os objetos suportados na versão atual do IRR do LACNIC são: AUT-NUM, ROUTE, ROUTE6, AS-SET, MNTNER e PERSON. Todos esses objetos são gerados automaticamente a partir das informações do whois ou das informações cadastradas no RPKI, exceto o objeto AS-SET que deve ser gerado pelo usuário titular dos recursos.
Convite LACNIC 40 – LACNOG 2023
Para saber mais sobre esses temas, convidamos vocês aos tutoriais que serão realizados no evento LACNIC 40- LACNOG 2023 em Fortaleza, Brasil na segunda-feira 2 de outubro. Entre eles o tutorial Uso do RPKI e IRR para a operação de redes, que se complementa com RPKI modo delegado voltado principalmente para associados do NIC Brasil; e o da Administração de Recursos – Mi LACNIC, voltado para associados que gerenciam RPKI em modo hospedado. Além disso, o Laboratório de roteamento seguro e automação em que essas questões serão tratadas do ponto de vista prático.
Se você estiver interessado nesses tópicos, poderá participar tanto virtual quanto presencial. Inscreva-se aqui!
