Este año LACNIC puso en funcionamiento un programa de certificación de recursos de Internet donde las entidades de la región pueden demostrar digitalmente que poseen el derecho de uso sobre las direcciones IPv4 e IPv6 y ASN asignadas. Este programa, que es parte de una iniciativa global del NRO (Number Resource Organization), busca una mejora sensible a la confiabilidad y seguridad del sistema de ruteo de Internet.
Aquí les presentamos los aspectos medulares sobre esta iniciativa.
RPKI es el acrónimo de Resource Public Key Infrastructure (Infraestructura de Llaves Públicas de Recursos) o simplemente “Certificación de Recursos”. Es un conjunto de protocolos, estándares y sistemas que permiten verificar el derecho de uso de recursos numéricos de Internet como lo son direcciones de IPv4, IPv6 y Sistemas Autónomos. El objetivo principal de RPKI es en general mejorar la seguridad y estabilidad del sistema de enrutamiento global de Internet.
¿Cómo funciona RPKI?
Internet más que una única red es una confederación de redes que intercambian tráfico entre sí, algunas por y para sus clientes y otras, conocidas como redes de tránsito, actúan como pasarelas entre redes que no se conectan directamente entre sí. Cada una de estas redes se conoce como un “sistema autónomo” (AS). Cada AS representa una región de Internet bajo una administración única y se identifica mediante un número, conocido como “número de sistema autónomo”.
Para poder encaminar el tráfico que reciben y que envían adecuadamente, los sistemas autónomos intercambian información de control (rutas o prefijos) con sus AS vecinos mediante un protocolo llamado BGP (“Border Gateway Protocol”). A medida que estos prefijos son intercambiados entre AS vecinos, cada AS agrega una etiqueta con su número de AS, permitiendo visualizar el camino que un prefijo ha seguido en Internet. El primero de estos números es el que se conoce como “AS de origen”. El objetivo de RPKI es permitir que los sistemas autónomos intermedios puedan verificar la validez del AS de origen. El sistema prevé la entrega a cada legítimo usuario de recursos de numeración de un certificado digital firmado por su registro regional de Internet (LACNIC en el caso de América Latina y el Caribe) el cual contiene una lista taxativa de los recursos asignados al usuario.
¿Quién certifica que una organización posee efectivamente derechos sobre los recursos asignados?
RPKI sigue el mismo modelo de asignación de recursos. La organización que asigna el recurso al subscriptor (IANA, RIR o NIR) es la que certifica que el recurso pertenece efectivamente a éste (subscriptor).
¿Para qué una organización o empresa debe certificar sus recursos de Internet?
Con RPKI se usa una cadena de confianza donde puede certificarse que un recurso pertenece a una organización específica. Todas las entidades usando esa misma cadena pueden verificar el derecho de uso de un recurso e identificar a usuarios maliciosos tratando de secuestrar recursos o protegerse de errores de configuración.
¿Qué beneficios obtiene la organización que certifica sus recursos?
El mayor beneficio se alcanzará cuando la mayoría de organizaciones certifiquen sus recursos y los proveedores de servicios usen los repositorios para validar los anuncios de ruteo que reciben. Mientras se alcanza este uso masivo de RPKI las organizaciones que certifiquen sus recursos tienen menos probabilidades de ver sus recursos secuestrados por usuarios malignos o verse afectados por errores de configuración en enrutadores.
¿Qué posibles problemas enfrentarán las organizaciones que no tengan sus recursos certificados?
Las organizaciones que no tengan sus recursos certificados estarán expuestas, al igual que hoy, a posibles fallas del sistema de enrutamiento de Internet, las que pueden ocurrir como producto de acciones maliciosas de atacantes (“hijacking”) o como producto de errores de operación (involuntarios) de otros participantes en el sistema de enrutamiento.
Ya sea por un ataque malicioso o debido a un error involuntario, el impacto de un secuestro de rutas antes de que sea detectado y efectivamente corregido puede causar daños significativos para la organización afectada.
RPKI brinda la posibilidad de realizar mejoras de seguridad que permitan evitar este tipo de ataques, si los recursos de una entidad están certificados, los ROAs están generados correctamente y los equipos de enrutamiento están bien configurados, el secuestro de recursos ya no será un problema del que preocuparse.
¿Qué es el secuestro de recursos o rutas?
El secuestro de recursos o rutas también conocido como “hijacking” ocurre cuando un sistema autónomo anuncia una dirección IP en las tablas de rutas globales sin tener autoridad para hacerlo, la gravedad de esta situación se acentúa cuando las IPs anunciadas son utilizadas por otra entidad.
Hay variedad de casos bien documentados de estas fallas, conocidas como “secuestro de rutas” (“route hijacking”), de la cual la más conocida y publicitada fue la que afectó a YouTube en Asia debido a una ruta incorrectamente anunciada desde Pakistán.
El efecto de un secuestro de rutas puede ser devastador para una organización en el sentido de que todo su tráfico en una amplia región del mundo puede ser redirigido a un destino no legítimo, impactando no solo la disponibilidad de los servicios sino la confidencialidad de la información manejada. Este escenario se hace aun más complejo cuando se considera que no hay buenas herramientas que le permitan a una organización visualizar quien y donde están secuestrando sus rutas.
¿Pueden convivir organizaciones sin recursos certificados y otras con recursos certificados?
Si, totalmente. RPKI está pensado para desplegarse incrementalmente y no existe un día para “encender RPKI”. Equipos con y sin RPKI pueden convivir sin problemas. Sin embargo entre más organizaciones certifiquen sus recursos y usen los repositorios del sistema de RPKI el beneficio es mayor.
¿Qué efectos tiene sobre el usuario la certificación de los recursos?
El usuario puede estar seguro que el tráfico que origina recorre el camino adecuado y no es redirigido hacia equipos de ruteo maliciosos.
¿Se deberán cambiar los routers de las empresas y los hogares a partir de la certificación de los recursos o servirán los equipos actuales?
Los routers de empresas pequeñas y hogares no se verán afectados. Son solo los proveedores de servicios (ISPs) y organizaciones mayores (Bancos, Universidades, etc.) que usen el protocolo BGP los que quizás tengan que actualizar equipos. Sin embargo en la gran mayoría de los casos es solo una actualización de software.
¿Será más segura Internet cuando todas las organizaciones proveedoras de internet certifiquen sus recursos?
Sin dudas. De hecho es más seguro desde el mismo momento que alguna entidad certifica sus recursos. La tecnología permite “proteger” los recursos de una entidad independientemente de que otras lo hagan.
La certificación de recursos no es la solución a todos los problemas de seguridad de Internet pero actúa sobre un punto crítico que, desde hace mucho tiempo, se sabe que presenta potenciales debilidades.
