{"id":20923,"date":"2023-04-13T14:25:07","date_gmt":"2023-04-13T14:25:07","guid":{"rendered":"https:\/\/blog.lacnic.net\/?p=20923"},"modified":"2023-04-13T14:46:53","modified_gmt":"2023-04-13T14:46:53","slug":"analise-das-delongas-na-cadeia-de-suprimentos-da-validacao-de-origem-de-rotas-baseadas-em-rpki","status":"publish","type":"post","link":"https:\/\/blog.lacnic.net\/pt-br\/analise-das-delongas-na-cadeia-de-suprimentos-da-validacao-de-origem-de-rotas-baseadas-em-rpki\/","title":{"rendered":"An\u00e1lise das delongas na cadeia de suprimentos da valida\u00e7\u00e3o de origem de rotas baseadas em RPKI"},"content":{"rendered":"\n

Por Amreesh Phokeer<\/a>, Internet Surveyor<\/em>, Internet Society<\/p>\n\n\n\n

Qual o ciclo de vida dos dados da infraestrutura de chave p\u00fablica dos recursos (RPKI, Resource Public Key Infrastructure<\/em>) utilizada para proteger o roteamento da Internet? Mais especificamente: Quanto tempo demora para divulgar-se uma autoriza\u00e7\u00e3o de origem de rota (ROA, Route Origin Authorization<\/em>) e como isso pode atingir o roteamento e a acessibilidade da Internet?<\/p>\n\n\n\n

Estas s\u00e3o as perguntas \u00e0s quais as operadoras de redes gostariam de ter as respostas, j\u00e1 que as altera\u00e7\u00f5es no plano de gest\u00e3o do RPKI podem afetar a forma em que o tr\u00e1fego flui das redes e para as redes. H\u00e1 pouco tempo colaborei com um projeto chamado Tempo de voo em RPKI: an\u00e1lise das delongas nos \u00e2mbitos de gest\u00e3o, controle e dados, cujo objetivo era responder a estas perguntas, analisando cada uma das etapas da vida dos dados do RPKI.<\/p>\n\n\n\n

A seguir, apresentamos um resumo do ciclo de vida do RPKI e nossas descobertas.<\/p>\n\n\n\n

Pontos chaves:<\/strong> O tempo de cria\u00e7\u00e3o varia significativamente entre os diferentes Registros Regionais de Internet (RIR). O tempo que demora para que os novos ROA cheguem at\u00e9 os pontos de publica\u00e7\u00e3o varia entre alguns minutos e mais de uma hora.Devido a um problema com as zonas hor\u00e1rias, no ARIN e no LACNIC s\u00e3o observadas, inicialmente, delongas na publica\u00e7\u00e3o. Este problema foi reportado e j\u00e1 foi resolvido. As demoras observadas costumam ser inferiores a 20 minutos.Foi observado que o atraso da parte que confia (RP, Relying Party<\/em>) \u00e9 o passo que leva mais tempo no processamento dos ROA.A elimina\u00e7\u00e3o do ROA demora mais para se espelhar no BGP, j\u00e1 que os roteadores exploram rotas alternativas que ainda n\u00e3o foram validadas.<\/p>\n\n\n\n

Cadeia de suprimentos da valida\u00e7\u00e3o de origem.<\/strong><\/h2>\n\n\n\n

Publicar os ROA \u00e9 complexo. O processo implica a participa\u00e7\u00e3o de v\u00e1rios atores, n\u00e3o \u00e9 instant\u00e2neo e costuma estar comandado por decis\u00f5es administrativas ad hoc<\/em>.<\/p>\n\n\n\n

Come\u00e7a quando um titular de recursos consulta a um RIR para criar ou atualizar a informa\u00e7\u00e3o do RPKI para seus prefixos. Depois, os ROA e outros metarquivo (manifestos, CRL) s\u00e3o colocados em reposit\u00f3rios p\u00fablicos chamados pontos de publica\u00e7\u00e3o.<\/p>\n\n\n\n

As RP recuperam e validam periodicamente todos os objetos dos reposit\u00f3rios de RPKI globais e depois produzem uma lista de VRP (Validated ROA Payloads<\/em>) validadas que os roteadores usam para verificar os an\u00fancios BGP entrantes. As operadoras que realizam valida\u00e7\u00e3o de origem (sistemas aut\u00f4nomos que implementam ROV, em cor verde na Figura 1) recuperam estas altera\u00e7\u00f5es e utilizam esta nova informa\u00e7\u00e3o para atualizar seus roteadores. S\u00f3 assim come\u00e7amos a ver mudan\u00e7as no plano de dados quando os AS que implementam ROV aceitam ou eliminam os an\u00fancios de roteamento.<\/p>\n\n\n\n

\"\"
Figura 1. O fluxo de dados \u00e9 registrado nos coletores de rotas (RIS\/RouteViews), a partir do momento em que o titular do prefixo cria um ROA para as correspondentes atualiza\u00e7\u00f5es do BGP. As etiquetas vermelhas da esquerda indicam os pontos nos quais o tempo foi medido.<\/figcaption><\/figure>\n\n\n\n

O tempo para elimina\u00e7\u00e3o ou cria\u00e7\u00e3o dos ROV varia<\/strong><\/h2>\n\n\n\n

Os passos anteriores s\u00e3o comuns a todos os RIR e a todos os sistemas aut\u00f4nomos implementados pelos ROV, por\u00e9m cada um realiza (ou pode realizar) estes passos em diferentes intervalos de tempo e em diferentes frequ\u00eancias.<\/p>\n\n\n\n

Nosso estudo descobriu que os RIR geralmente publicam a informa\u00e7\u00e3o nova sobre o RPKI em cinco minutos ou at\u00e9 em menos tempo, com exce\u00e7\u00e3o do APNIC, que em m\u00e9dia foi dez minutos mais lento (Tabela 1, coluna 3). Tamb\u00e9m observamos disparidades significativas no tempo de rea\u00e7\u00e3o dos ISP para a nova informa\u00e7\u00e3o do RPKI, que variou entre uns poucos minutos e uma hora.<\/p>\n\n\n\n

 <\/td>Sign<\/strong> (min)<\/strong><\/td>NotBefore<\/strong> (min)<\/strong><\/td>Publicaci\u00f3n<\/strong> (min)<\/strong><\/td>Parte que confia (min)<\/strong><\/td>BGP<\/strong> (min)<\/strong><\/td><\/tr>
AFRINIC<\/td>0 (0)<\/td>0 (0)<\/td>3 (2)<\/td>14 (13)<\/td>15 (16)<\/td><\/tr>
APNIC<\/td>10 (13)<\/td>14 (16)<\/td>10 (13)<\/td>34 (38)<\/td>26 (28)<\/td><\/tr>
ARIN<\/td>\u2013 (-)<\/td>\u2013 (-)<\/td>69 (97)<\/td>81 (109)<\/td>95 (143)<\/td><\/tr>
LACNIC<\/td>0 (0)<\/td>\u2013 (-)<\/td>54 (32)<\/td>66 (42)<\/td>51 (34)<\/td><\/tr>
RIPE<\/td>0 (0)<\/td>0 (0)<\/td>4 (4)<\/td>14 (13)<\/td>18 (18)<\/td><\/tr>
Depois da altera\u00e7\u00e3o<\/strong><\/td> <\/td> <\/td> <\/td> <\/td> <\/td><\/tr>
ARIN<\/td>(-)<\/td>(-)<\/td>8 (9)<\/td>21 (22)<\/td>28 (23)<\/td><\/tr><\/tbody><\/table>
Tabela 1. M\u00e9dia das delongas na cria\u00e7\u00e3o das ROA (IPv6 entre par\u00eantese).<\/figcaption><\/figure>\n\n\n\n

Percebemos que o atraso \u00e9 significativamente maior ao excluir os ROA (Tabela 2, coluna 4), com exce\u00e7\u00e3o para o ARIN e o LACNIC (em seguida vou explicar a raz\u00e3o desta diferen\u00e7a).<\/p>\n\n\n\n

 <\/td>Revoga\u00e7\u00e3o<\/strong> (min)<\/strong><\/td>Parte que confia<\/strong> (min)<\/strong><\/td>BGP<\/strong> (min)<\/strong><\/td><\/tr>
AFRINIC<\/td>0 (0)<\/td>13 (14)<\/td>34 (38)<\/td><\/tr>
APNIC<\/td>10 (12)<\/td>31 (36)<\/td>51 (56)<\/td><\/tr>
ARIN<\/td>0 (0)<\/td>14 (16)<\/td>45 (51)<\/td><\/tr>
LACNIC<\/td>0 (0)<\/td>18 (20)<\/td>48 (49)<\/td><\/tr>
RIPE<\/td>0 (0)<\/td>14 (13)<\/td>41 (50)<\/td><\/tr><\/tbody><\/table>
Tabela 2. M\u00e9dia das delongas na elimina\u00e7\u00e3o dos ROA (IPv6 entre par\u00eantese).<\/figcaption><\/figure>\n\n\n\n

Para a revoga\u00e7\u00e3o do ROA, observamos que o tempo entre a elimina\u00e7\u00e3o de um ROA e sua acessibilidade varia conforme a topologia. Mais uma vez, as demoras no BGP s\u00e3o significativamente maiores para a elimina\u00e7\u00e3o do que para a cria\u00e7\u00e3o do ROA. Provavelmente isto se deva a que todos os vizinhos devem retirar o ROA. Por exemplo, a demora no BGP por falta de acessibilidade aumentou 51 minutos para o IPv4 e 56 minutos para o IPv6, e, rara vez, percebemos demoras curtas no BGP.<\/p>\n\n\n\n

Para isso propomos duas poss\u00edveis raz\u00f5es:<\/strong><\/p>\n\n\n\n

  1. O uso de m\u00faltiplos caches (para redund\u00e2ncia) provavelmente far\u00e1 com que a elimina\u00e7\u00e3o do ROA seja mais lenta que a cria\u00e7\u00e3o.<\/li><\/ol>\n\n\n\n