Validando MANRS com Monitoramento FORT
26/03/2024
Por Erika Vega, consultora Sênior na SOCIUM e gerente de engenharia em MC&H Networks
Quando uma organização se une ao mundo da Internet como uma rede que transmite e recebe pacotes de informação, utilizando recursos próprios da Internet, como os números de Sistema Autônomo e endereçamento IP em suas versões 4 ou 6, torna-se uma entidade identificável nesta rede de redes, isso acarreta não apenas riscos, mas também responsabilidades. Os riscos incluem a possibilidade de que as pessoas mal-intecionadas obtenham dados sobre como é transmitida e publicada a informação que sai de sua rede e que vai para sua rede. As responsabilidades implicam conhecer as ações que poderiam ser levadas adiante para a proteção de sua organização e de outras entidades com as quais troca dados.
Existem múltiplas ações que as operadoras de uma rede com recursos próprios podem implementar para o fortalecimento e aprimoramento do esquema de segurança de sua infraestrutura de roteamento. Essas ações vão do treinamento e da conscientização à filtragem e aplicação de boas práticas na configuração lógica de nossos roteadores.
MANRS e o cumprimento das ações na região LAC
As Normas Mutuamente Acordadas para a Segurança em Roteamento, mais conhecidas como MANRS por suas siglas em inglês, representam uma iniciativa global que proporciona um marco de ações específicas e soluções cruciais para a redução das ameaças de roteamento mais simples. Estas ações se dividem em quatro programas: Operadoras de Rede, Pontos de Troca de Internet, Provedores de CDN e Serviços de Cloud e Provedores de Equipamentos.
A seguir, apresentamos um exemplo das ações indicadas para as operadoras de rede, assim como a porcentagem de cumprimento de cada uma delas, conforme medições realizadas no mês de março para a região da LAC.
Como foi possível observar na imagem anterior, a porcentagem ainda é inferior a 50% na adoção e uso de mecanismos como a infraestrutura de chave pública de recursos (RPKI) e as bases de dados distribuídas de registros de rotas da Internet (IRR), que fazem parte do cumprimento da ação de validação global de MANRS. Razão pela qual é crucial trabalhar para aumentar sua implementação na região, com o apoio das ferramentas que nos permitam validar o estado de nossos anúncios em termos de cumprimento com essas medidas.
Monitoramento FORT
Na atualidade, foram desenvolvidas múltiplas ferramentas que prestam assistência a organizações no tocante à visualização de como são levadas adiante as publicações de anúncios através do sistema de roteamento global. Estas ferramentas fornecem dados valiosos para a tomada de decisões e ações sobre como melhorar a segurança no próprio esquema de roteamento, e, por conseguinte, no esquema global de roteamento.
Uma dessas ferramentas é o Monitoramento FORT, resultado de uma iniciativa do LACNIC. Esta ferramenta, de livre acesso, permite ver detalhadamente, mediante prefixo ou Sistema Autônomo, como uma organização realiza seus anúncios e qual é seu estado de validez. Além disso, proporciona dados simplificados sobre o estado da segurança de roteamento na região da LAC.
De onde o Monitoramento FORT obtém os dados?
O Monitoramento FORT coleta os dados dos anúncios BGP, utilizando as mensagens updates dos coletores, disponíveis no software de código aberto BGPstream de CAIDA. Depois classifica estes dados segundo seu estado de validez, identificando-os graças às consultas realizadas aos validadores RPKI FORT e Routinator.
Para a validão do registro de rotas da Internet IRR, FORT, fundamenta-se na base de dados de RADB e RIPE. Finalmente, para gerar os relatórios a nível regional, relaciona os prefixos publicados nestes anúncios BGP com os países presentes dentro da área de abrangência do LACNIC, utilizando a informação do arquivo de blocos delegados por país (delegated extended) gestionado pelo LACNIC.
É importante destacar que FORT somente permite monitorar prefixos e números de sistemas autônomos designados na região.
Exemplos de uso de FORT para o cumprimento da validação Global
A seguir, detalha-se um exemplo de uso de monitoramento FORT para validar o cumprimento da ação indicada por MANRS, à qual valida o uso IRR e IRPKI nos prefixos que anunciamos à Internet.
Na imagem anterior, está ocorrendo uma consulta, através de um número de Sistema Autônomo atribuído à região, ao ingressar na ferramenta de monitoramento FORT, mediante o seguinte link: https://monitor.fortproject.net/es/per_asn, dá para observar a informação sobre o estado de validez dos prefixos anunciados por esse ASN, mostrando um máximo de 500 resultados coletados pela ferramenta até o último mês.
Se a consulta for realizada mediante prefixo, acessando à ferramenta de monitoramento FORT, através do link: https://monitor.fortproject.net/es/per_prefix, podemos visualizar se o prefixo está sendo publicado de forma sumarizada ou desagregada.
Adicionalmente observar os ROAs criados para o prefixo e da mesma forma seu estado de validez.
A ferramenta mostrará dia a dia um máximo de 500 resultados, incluindo o último mês do prefixo. Isto acontecerá sempre que esse prefixo for visto nas tabelas de roteamento global. Isto nos permitirá visualizar se em algum momento o seu estado de validade mudou ou se parou de ser anunciado.
Contar com esta informação permite às organizações proprietárias de recursos fazer um seguimento do estado de todas as rotas que publicam para a Internet. Desta forma, poderão tomar medidas para mantê-las como rotas válidas.
Para obter informação mais ampla sobre os temas de segurança de roteamento, a adoção de boas práticas e o cumprimento de MANRS, bem como acessar ferramentas para validar rotas e conhecer novas propostas que estão sendo discutidas na IETF, para a abordagem dos problemas persistentes na operação de BGP, temos o agrado de convidá-lo a participar do tutorial “Novas Tendências em Roteamento Seguro”. Isto será levado adiante de forma presencial como parte do evento LACNIC 41, no dia 6 de maio na cidade de Panamá. Cadastre-se aqui para participar.
As opiniões expressadas pelo autor deste artigo são próprias e não refletem necessariamente as opiniões de LACNIC.