RPKI e IRR: las consultas más frecuentes
15/09/2023
Erika Vega, Guillermo Cicileo y Nicolás Antoniello
Generalmente en el marco de los eventos de LACNIC contamos con tutoriales de RPKI (Infraestructura de clave pública de recursos) e IRR (Internet Routing Registry) donde se hace un repaso de los fundamentos y aspectos técnicos de las mejores prácticas relacionadas con la seguridad de enrutamiento en el intercambio de tráfico y peering. Adicionalmente a este espacio, en el evento de LACNIC 39 en Mérida, se realizó una sesión de consulta sobre ruteo seguro y herramientas, en la que se plantearon una serie de interrogantes que unificamos en este documento.
¿Quién debe crear el ROA? ¿el que tiene delegado el bloque IP o el que tiene delegado el sistema del sistema autónomo?
Los ROA (Route Origin Attestations) son objetos firmados digitalmente que describen una asociación entre un conjunto de prefijos (IPv4 o IPv6) y el sistema autónomo autorizado a originar esos prefijos en anuncios BGP (lo que en RPKI se denomina “validación del origen” de una ruta o prefijo). Entonces, los mismos deben ser creados por el titular del bloque (organización a la que LACNIC le delega el uso el prefijo IP) y puede ser asociado a cualquier sistema autónomo que se desee, sea uno propio o de terceros.
¿A la hora de crear un ROA, cuál es la longitud máxima que conviene utilizar?
Al crear los ROA debemos tener en cuenta la longitud máxima con la que estamos publicando nuestros prefijos en BGP. Como norma general, sólo deberíamos crear ROAs que cubran las publicaciones que hacemos. Es fundamental que la longitud máxima especificada en un ROA no sea menor a la de un prefijo publicado, ya que, por ejemplo, si en el ROA permitimos prefijos /22 pero publicamos un /24, esa publicación no estará permitida por el ROA y por lo tanto se invalidará.
En algunos casos, cuando sabemos que vamos a desagregar los bloques de un bloque mayor, podríamos hacer uso de esta longitud máxima para evitar tener que crear un ROA para cada prefijo publicado. Sin embargo, esta es una práctica no recomendada en general, porque habilitaría posibles ataques de origen falsificado. Ver la RFC 9319 para mayor información.
¿Cómo crear o definir nuestros ROAs si tenemos más de un proveedor?
Cuando tenemos prefijos delegados por LACNIC, podríamos separar en dos casos, cuando se dispone de un Número de Sistema Autónomo (ASN) o cuando no se dispone de un ASN.
- Si las publicaciones se originan desde mi propio ASN:
En este caso, se deben generar los ROAs con mi propio ASN como sistema autónomo de origen. Se debe tener en cuenta como estamos publicando los anuncios BGP y generar los ROAs de forma adecuada, de manera que las longitudes de prefijo autorizadas coincidan con lo que estamos anunciando. - Si las publicaciones las originan desde los sistemas autónomos de mis proveedores de acceso a Internet:
En el caso de originar los prefijos con el sistema autónomo de uno o más proveedores, debemos generar un ROA con cada prefijo y el sistema autónomo de origen de cada uno de ellos. La validación RPKI determinará que un anuncio BGP es válido si al menos existe un ROA que cubre ese anuncio BGP, es decir, no hay problema en que existan otros ROAs que lo contradigan, siempre que exista al menos un ROA que se corresponda con el anuncio BGP.
¿Si tengo recursos sub asignados, puedo crear mis propios ROAs?
Después de la aprobación de la política LAC-2020-10 quienes tienen subasignaciones pueden crear sus propios ROA. Antes de esto, dependían de que el ISP que subasigna las direcciones creara el ROA para la organización receptora de los recursos.
¿La creación de ROAs forma parte de las buenas prácticas de MANRS?
La actividad de creación de ROAs sí forma parte de las Normas Mutuamente Acordadas para la Seguridad en Enrutamiento MANRS. Estas normas indican acciones que se deben implementar en las diferentes infraestructuras de las entidades finales, proveedores de servicio de Internet, puntos de intercambio de Internet, proveedores de contenido y servicios en la nube.
Puntualmente en dos de estas acciones que son filtrado y validación global se pide que se publiquen los datos de enrutamiento a escala global para que las otras redes puedan validar la confiabilidad de las rutas que se publican hacia Internet y que realizando actividades de filtrado evitemos la propagación de información de enrutamiento incorrecta. Esto se logra generando nuestros ROAs y registrando la información de nuestras rutas en bases de datos como los IRR.
¿Cuáles son los objetos principales del IRR de LACNIC? ¿Cuáles se generan automáticamente?
Los objetos soportados en la versión actual del IRR de LACNIC son: AUT-NUM, ROUTE, ROUTE6, AS-SET, MNTNER y PERSON. Todos estos objetos son generados automáticamente a partir de la información del whois o de la información registrada en RPKI, a excepción del objeto AS-SET que se debe generar por el usuario que posee los recursos.
Invitación LACNIC 40- LACNOG 2023
Para conocer más sobre estos temas los invitamos a los tutoriales que se realizarán en el evento LACNIC 40- LACNOG 2023 en Fortaleza, Brasil el lunes 2 de octubre. Entre ellos el tutorial Uso de RPKI e IRR para la operación de redes, que se complementa con RPKI modo delegado orientado fundamentalmente para los asociados de NIC Brasil y el de Administración de recursos – Mi LACNIC, orientado a los asociados que gestionan RPKI en modo hosteado. También, el Laboratorio de ruteo seguro y automatización donde se verán estos temas desde un punto de vista práctico.
Si te interesan estos temas puedes participar tanto virtual como presencialmente. ¡Registrate aquí!
Las opiniones expresadas por los autores de este blog son propias y no necesariamente reflejan las opiniones de LACNIC.