RPKI: todas as respostas sobre a certificação de recursos
25/04/2011
Neste ano, o LACNIC colocou em andamento um programa de certificação de recursos da Internet no qual as organizações da região podem demonstrar de forma digital que possuem o direito de uso sobre os endereços IPv4, IPv6 e ASN designados. Esse programa, que faz parte de uma iniciativa global do NRO (Number Resource Organization), procura melhorar sensivelmente a confiabilidade e segurança do sistema de roteamento da Internet.
Vamos apresentar-lhes aqui os aspectos mais importantes desta iniciativa.
¿O que é a RPKI?
RPKI é o acrônimo de Resource Public Key Infrastructure (Infra-estrutura de Chave Pública de Recursos) ou simplesmente “Certificação de Recursos”. É um conjunto de protocolos, padrões e sistemas que permitem verificar o direito de uso dos recursos numéricos da Internet como os endereços IPv4, IPv6 e Sistemas Autônomos. O objetivo principal da RPKI é, em geral, melhorar a segurança e estabilidade do sistema de roteamento global da Internet.
¿ Como funciona RPKI?
A Internet não é simplesmente uma única rede mas sim uma confederação de redes que trocam tráfego entre si, algumas por e para seus clientes, outras, conhecidas como redes de trânsito, atuam como passarelas entre redes que não estão conectadas diretamente entre si. Cada uma dessas redes é conhecida como “um sistema autônomo” (AS). Cada AS representa uma região da Internet sob uma administração única e está identificada com um número, conhecido como “número de sistema autônomo”.
Para poder encaminhar o tráfego que recebem e que enviam de forma adequada, os sistemas autônomos trocam informação de controle (rotas ou prefixos) com seus AS vizinhos mediante um protocolo chamado BGP (“Border Gateway Protocol”). Na medida em que esses prefixos são trocados entre AS vizinhos, cada AS adiciona uma etiqueta com o seu número de AS, permitindo visualizar o caminho que tem seguido um prefixo na Internet. O primeiro desses números é conhecido como o “AS de origem”. O objetivo da RPKI é permitir que os sistemas autônomos intermédios possam verificar a validade do AS de origem. O sistema prevê a entrega para cada legítimo usuário de recursos de numeração de um certificado digital assinado por seu registro regional da Internet (o LACNIC no caso da América Latina e o Caribe) o qual contêm uma lista taxativa dos recursos designados para o usuário.
¿ Quem certifica que uma organização possui efetivamente direitos sobre os recursos designados?
A RPKI segue o mesmo modelo de designação de recursos. A organização que designa o recurso para o assinante (IANA, RIR ou NIR) é a que certifica que o recurso pertence efetivamente a ele (assinante).
¿ Para que uma organização ou empresa deve certificar seus recursos da Internet?
Com a RPKI é usada uma cadeia de confiança na que pode certificar-se que um recurso pertence a uma organização determinada. Todas as organizações que usam essa mesma cadeia podem verificar o direito de uso de um recurso e identificar usuários maliciosos tentando seqüestrar recursos ou podem se proteger de erros de configuração.
¿ Quais são os benefícios obtidos pela organização que certifica seus recursos?
O maior benefício será atingido quando a maioria das organizações certifiquem seus recursos e os provedores de serviços usem os repositórios para validar os anúncios de roteamento que recebem. Entanto é atingido esse uso massivo da RPKI, as organizações que certifiquem seus recursos têm menos possibilidades de ver seus recursos seqüestrados por usuários malignos ou ser afetados por erros de configuração nos roteadores.
¿ Quais poderiam ser os problemas que enfrentarão as organizações que não tiverem seus recursos certificados?
As organizações que não tiverem seus recursos certificados vão ficar expostas, como acontece hoje, a possíveis falhas do sistema de roteamento da Internet, as que podem acontecer em decorrência de ações maliciosas de atacantes (“hijacking”) ou como produto de erros de operatividade (involuntários) de outros participantes no sistema de roteamento.
Seja por um ataque malicioso ou por um erro involuntário, o impacto de um seqüestro de rotas antes de ser detectado e efetivamente corrigido pode causar danos significativos para a organização afetada.
A RPKI oferece a possibilidade de realizar melhorias de segurança que permitam evitar esse tipo de ataques, se os recursos de uma organização estiverem certificados, os ROAs estiverem gerados corretamente e os equipamentos de roteamento estiverem bem configurados, o seqüestro de recursos não vai ser mais um problema do que preocupar-se.
¿ O que é o seqüestro de recursos ou rotas?
O seqüestro de recursos ou rotas também conhecido como “hijacking” acontece quando um sistema autônomo anuncia um endereço IP nas tabelas de roteamento globais sem ter autoridade para fazê-lo. A gravidade da situação aumenta quando os IPs anunciados são usados por outra organização.
Existe uma grande variedade de casos bem documentados dessas falhas, conhecidas como “seqüestro de rotas” (“route hijacking”), da qual a mais conhecida e divulgada foi a que afetou a YouTube na Ásia devido a uma rota anunciada de forma incorreta desde o Paquistão.
As conseqüências de um seqüestro de rotas podem ser devastadoras para uma organização no sentido de que todo seu tráfego em uma amplia região do mundo pode ser re-direcionado para um destino não legítimo, impactando não apenas a disponibilidade dos serviços mas também a confidencialidade das informações gerenciadas. Este cenário se torna ainda mais complexo quando se considera que não há boas ferramentas que permitam a uma organização visualizar quem e aonde estão seqüestrando a suas rotas.
¿ É possível a convivência de organizações sem recursos certificados com outras com recursos certificados?
Sim, totalmente. A RPKI está pensado em desdobrar-se incrementalmente e não existe um dia para “ligar a RPKI”. Equipamentos com e sem RPKI podem conviver sem problemas. Porém, quantas mais organizações certifiquem seus recursos e usem repositórios do sistema RPKI, o benefício será melhor.
¿ Quais são os efeitos da certificação de recursos sobre o usuário?
O usuário pode ter certeza que o tráfego que origina percorre o caminho adequado e não é re-direcionado para equipamentos de roteamento malicioso.
¿ Os roteadores das empresas e dos lares deverão ser trocados a partir da certificação de recursos ou servirão os equipamentos atuais?
Os roteadores das empresas pequenas e lares não serão afetados. Somente os provedores de serviços (ISPs) e organizações maiores (Bancos, Universidades, etc.) que usem o protocolo BGP serão os que quiçá vão ter que atualizar equipamentos. Porém na grande maioria dos casos será apenas uma atualização do software.
¿ A Internet vai ficar mais segura quando todas as organizações provedoras de Internet certificarem seus recursos?
Sem dúvida. De fato é mais seguro desde o mesmo momento que alguma organização certifica seus recursos. A tecnologia permite “proteger” os recursos de uma organização independentemente de que as outras o façam.
A certificação de recursos não é a solução para todos os problemas de segurança da Internet mas age sobre um ponto crítico que, desde há muito tempo, é sabido que apresenta fraquezas potenciais.