RPKI aplicação e prática

25/04/2011

Habilitação  do uso operacional de RPKI através dos Registros de Roteamento da Internet

Manish Karir e Larry Blunk
Merit Network Inc.

Antecedentes:

A infra-estrutura de chave pública (RPKI) tem surgido como a forma mais segura de garantir as alocações de endereços IP e seus anúncios através do protocolo de roteamento BGP. Os cinco Registros Nacionais da Internet (RIRs) já têm protótipos em produção ou estão planejando colocá-los em produção no próximo ano. Esses desenvolvimentos têm garantido que a RPKI provavelmente vai ser o método escolhido para a certificação de recursos na hierarquia da IANA para os RIRs e depois para os titulares dos recursos (os ISPs). No entanto, o desdobramento da RPKI a nível de administração de recursos ainda não tem abordado o problema de como pode ser facilitada a adoção de RPKI a grande escala para a validação operacional do roteamento BGP.

O sistema de Registro de Roteamento da Internet (IRR, Internet Routing Registry) [1][6] é um conjunto de registros de roteamento cujo propósito é permitir que os grandes operadores registrem e realizem procuras de sua própria política de roteamento bem como as de outras redes. Depois, com base nas informações contidas nesses registros de roteamento, os operadores podem facilmente usar ferramentas automatizadas para criar filtros de rotas e assim prevenir a propagação de mensagens de atualização de BGP anômalos. Nesse contexto, o sistema IRR é um complemento natural para ajudar a difundir a adoção de RPKI entre a comunidade da Internet a nível mais amplo.

O objetivo desta nota é discutir as diferentes opções para integrar RPKI ao sistema IRR. Particularmente, propomos quatro técnicas diferentes que podem contribuir para aproximar esses dois sistemas. A primeira consiste em ampliar a linguagem de especificação de políticas de roteamento (RPSL) para incluir os atributos da RPKI. A segunda consiste em criar e operar um cachê de validação da RPKI. A terceira consiste em modificar o núcleo do software do registro de roteamento básico para permitir que realize uma procura e devolva informação de validade da RPKI cada vez que for consultada uma rota. A quarta consiste em aumentar os conjuntos de ferramentas existentes de modo que possam usar a informação da RPKI distribuída através dos IRR. Essas opções são descritas a seguir.

Opções de integração:

Extensões de RPSL para suportar RPKI:

A especificação de RPSL [2][3][4] tem demonstrado ser muito útil para ajudar a promover o uso de políticas de roteamento em uma sintaxe bem estruturada. No entanto, mesmo que houve tentativas esporádicas por estender e adaptar a especificação básica, poucos tiveram sucesso além dos esforços  realizados sob a proteção de RPSL-ng para permitir objetos IPv6 e multicast. Estamos considerando se adicionar mais atributos à especificação de RPSL que permitam aos usuários especificar atributos da RPKI. Um método que estivemos pesquisando é o de agregar uma etiqueta roa-uri. Essa etiqueta permite que para cada objeto de rota no registro de roteamento, os usuários especifiquem uma etiqueta ou indicador da localização real da confirmação certificada (ROA) para dita rota. Outras mudanças possíveis que estamos considerando são a de agregar suporte para um campo adicional como por exemplo roa-valid que serviria simplesmente para indicar se o registro de encaminhamento tem determinado se um objeto de rota é válido ou não. Também é possível agregar outros atributos da RPKI que a comunidade da Internet poderia querer usar, como por exemplo etiquetas que simplesmente indiquem se um prefixo dado tem implementado RPKI, ou inclusive permitir que a totalidade da certificação X.509 fique armazenada como parte desse objeto de rota.

Criar e operar um cachê de validação público como parte de RADB:

O marco de RPKI [5] permite usar um cachê de validação como repositório de confiança de objetos de rota que têm sido validados. Este cachê de validação depois pode ser usado para procurar rotas válidas de modo que a validação não deva ser realizada por cada roteador que estiver tentando usar validação RPKI. O cachê de validação também pode ser usado como provedor para a comunidade da Internet de um serviço de lookup simples que possa ser usado para detectar e corrigir problemas. Poderíamos desenvolver e operar um cachê de validação de qualidade em produção. Esse cachê ficaria sincronizado com os cinco RIRs e seria o provedor da comunidade da Internet de uma fonte secundária de rotas validadas consolidadas. Nosso objetivo é que esse cachê de validação funcione como um serviço de produção fazendo parte do serviço RADB.

Modificar o software IRRD para agregar suporte para procuras de RPKI:

O software IRRD com o que funciona grande parte do sistema IRR, é desenvolvido e mantido por Merit e é oferecido à comunidade sob uma licença de código aberto. Poderíamos modificar o software IRRD para agregar pontos de acesso no código (hooks) que suportem procuras de RPKI em um cachê de validação. O objetivo disso seria prover informação de RPKI à comunidade da Internet cada vez que for enviada uma consulta a whois.radb.net. O serviço WHOIS de RADB [7] recebe mais de 5M de consultas por dia e isso seria uma garantia de que por defeito, todas as consultas obteriam resultados que incluíssem algumas informações de RPKI. A etiqueta roa-valid é provavelmente o atributo adicional que pode ser provido desta forma. Para cada procura de prefixos, esta etiqueta pode indicar se a rota está presente no cachê de validação e tem sido validada pelo mesmo. Isso vai permitir determinar rápida e facilmente o estado RPKI de qualquer rota dada.

Aumentar os conjuntos de ferramentas IRR existentes para incluir suporte para atributos de RPKI:

A maioria dos operadores usam um conjunto padrão de ferramentas tais como RtConfig, IRRtoolset ou IRRPowerTools para consultar o sistema IRR e criar configurações de roteadores. Deveríamos melhorar essas ferramentas para que possam usar os atributos de RPKI adicionais que possam ser providos por um registro de roteamento.

Conclusões:

Embora o sistema RPKI provê um marco de segurança necessário para a certificação da alocação e uso de rotas, não se ocupa diretamente do assunto da integração a grande escala no ambiente da operação de redes. Por causa de sua familiaridade com a comunidade, o sistema IRR provê um caminho único para acelerar a adoção e o uso da RPKI no dia a dia.

Referências:

[1] Merit Network Inc., The IRR System, https://www.irr.net, Feb 2011.

[2] C. Alaettinoglu, C. Villamizar, E. Gerich, D. Kessens, D. Meyer, T. Bates, D. Karrenberg, M. Terpstra, Routing Policy Specification Language (RPSL), http://tools.ietf.org/html/rfc2622, June 1999.

[3] L. Blunk, J. Damas, F. Parent, A. Robachevsky, Routing Policy Specification Language next generation (RPSLng), http://tools.ietf.org/html/rfc4012, March 2005.

[4] R. Kisteleki, Securing RPSL Objects with RPKI Signatures, http://tools.ietf.org/html/draft- ietf-sidr-rpsl-sig-01, July 2009.

[5] M. Lepinski, S. Kent, An Infrastructure to Support Secure Internet Routing, http://tools.ietf.org/html/draft-ietf-sidr-arch-12, Feb 2011.

[6] L. Blunk, M. Karir, Internet Routing Registry, http://www.merit.edu/networkresearch/papers/pdf/2011/NANOG51 IRR Tutorial.pdf, Feb 2011.

[7] Merit Network Inc., Routing Assets Database, http://www.radb.net, Feb 2011.

Subscribe
Notify of

12 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments