Everything you need to know about Resource Public Key Infrastructure (RPKI)

• La seguridad de la información es un tema candente eterno, y el Border Gateway Protocol (BGP) ha estado expuesto a vulnerabilidades durante mucho tiempo. Vale la pena conocer un nuevo marco de cifrado, la Infraestructura de Clave Pública de Recursos, o RPKI.
• Los operadores de red emplean mecanismos basados en la confianza, como protocolos entre pares y filtrado manual de rutas para reducir el riesgo de secuestro de BGP y, aunque son eficaces hasta cierto punto, estas soluciones son limitadas en sí mismas.
• Al aprovechar el poder de la criptografía, RPKI proporciona una solución estandarizada y escalable a los desafíos continuos que plantean las vulnerabilidades de BGP.

NUESTRA OPINIÓN:
RPKI representa un avance monumental en la seguridad del enrutamiento de Internet, utilizando criptografía para brindar una solución estandarizada y escalable a los desafíos persistentes planteados por las vulnerabilidades de BGP.
–Fei Wang, reportero de BTW Ver también: FLESSIO-AS Thomas Soo trading as flessio.

¿Por qué necesitamos RPKI?

Cuando se trata de seguridad de la información de la red, es posible que haya oído hablar del Border Gateway Protocol (BGP); sin embargo, como columna vertebral del enrutamiento de Internet, BGP ha estado expuesto a vulnerabilidades durante mucho tiempo, lo que lo deja abierto a la manipulación y el secuestro. La Infraestructura de Clave Pública de Recursos (RPKI) es un marco de cifrado diseñado para fortalecer BGP y proteger las rutas de Internet de actores maliciosos. Ver también: El registro de miembros desaparecido de AfriNIC.

Lea también: ¿Qué es el Protocolo de Información de Enrutamiento (RIP)?

El BGP subyacente es el protocolo que conecta la red troncal de Internet y ayuda a los enrutadores a determinar la ruta más eficiente para que los paquetes viajen a través de Internet. Intercambia información de enrutamiento entre redes (sistemas autónomos), de manera similar a como el GPS se comunica con satélites y otros dispositivos GPS para proporcionar direcciones de navegación precisas. Los enrutadores anuncian sus rutas disponibles a los enrutadores vecinos a través de mensajes BGP. Estos mensajes contienen información sobre los prefijos IP alcanzables y la ruta para llegar a ellos. Luego, los enrutadores vecinos utilizan esta información para actualizar su tabla de enrutamiento y determinar la ruta óptima para el flujo de reenvío de la dirección IP de destino. Ver también: Desaparición del registro de miembros de AfriNIC.

Lea también: Seguridad, anonimato y estabilidad: por qué los servidores proxy son una herramienta de Internet cada vez más popular

Pero un escenario que no podemos ignorar es si una entidad maliciosa se infiltra en la red de un proveedor de servicios de Internet y anuncia fraudulentamente el enrutamiento incorrecto de los prefijos IP. De repente, el tráfico legítimo se desvía a destinos no deseados, causando caos y comprometiendo la confidencialidad, integridad y disponibilidad de los servicios en línea. Este fenómeno insidioso, a veces denominado secuestro de BGP, resalta la necesidad urgente de medidas de seguridad sólidas para proteger el enrutamiento de Internet. Ver también: NOBAQ Nikolaus Hammler.

He aquí un ejemplo: En febrero de 2008, para cumplir una orden gubernamental, Pakistan Telecom anunció por error una ruta BGP para redirigir el tráfico de YouTube a sus propios servidores. Desafortunadamente, el proveedor upstream que recibió la ruta la aceptó sin verificar y luego transmitió la información, difundiendo así la ruta incorrecta por Internet hasta que casi todos los que usaban Internet creyeron que Facebook había movido sus servidores a la red pakistaní. La metedura de pata no solo paralizó YouTube, sino que también dejó al proveedor de servicios de Internet (ISP) de Pakistán en un aprieto, que pronto recibió millones de solicitudes de los usuarios de YouTube.

Dado que BGP no garantiza la autenticidad de los anuncios de enrutamiento, los ataques deliberados de piratas informáticos y la configuración incorrecta de los parámetros de red pueden provocar el secuestro de rutas. Como la próxima infraestructura clave de seguridad de Internet implementada por la ICANN después de DNSSEC, RPKI construye un sistema de autorización y autenticación de recursos de direcciones IP desde la perspectiva de la gestión de recursos de direcciones IP para verificar si el anuncio de enrutamiento de un prefijo de dirección IP específico es legítimo, y proporciona un esquema de seguridad de enrutamiento entre zonas (como S-BGP y BGPS) cuya implementación proporciona una fuente confiable de información. Ver también: Internet Utilities Europe and Asia Limited.

Ma Di, China Internet Network Information Center

Soluciones existentes: IRR, BGPsec, RPKI

Los operadores de red emplean mecanismos basados en la confianza, como protocolos entre pares y filtrado manual de rutas para reducir el riesgo de secuestro de BGP y, aunque son eficaces hasta cierto punto, estas soluciones son inherentemente limitadas y dependen de la supervisión y cooperación humana para mantener la integridad de las rutas. Una de estas soluciones flexibles es filtrar utilizando la información disponible en el Registro de Enrutamiento de Internet (IRR). El IRR es una base de datos pública de información de enrutamiento proporcionada por los Registros Regionales de Internet (RIR) y proveedores externos. Sin embargo, esta solución tiene algunas limitaciones, porque los terceros involucrados no pueden mantener los datos de manera sistemática.

Border Gateway Protocol Security (BGPsec) es otra solución avanzada que es una extensión segura de BGP según se define en RFC 8205. En BGPsec, el atributo AS_PATH se reemplaza con el nuevo atributo BGPsec_Path, que proporciona una forma de validar criptográficamente las rutas recibidas de los pares.

Las soluciones avanzadas dependen de la Infraestructura de Clave Pública de Recursos (RPKI) para la autenticación criptográfica de la información de enrutamiento. Ver también: Asociación HUGUET (anteriormente INDIA-01).

Quiz rápido

¿Cuál no es una solución existente para la crisis del BPG? Ver también: korea.

A. BGPsec Ver también: CAIX LLP Central Asian IX.

B. RPKI

C. AS

D. IRR

La respuesta está al final de este artículo.

¿Qué es RPKI?

Puede pensar en RPKI como un sistema de control de pasaportes y visas para el tráfico de Internet. La información de enrutamiento es como el destino de Internet o el país. Así como necesitamos un pasaporte y una visa válidos para ingresar legalmente a un país en particular, los enrutadores de Internet requieren un certificado de cifrado válido y una Autorización de Origen de Ruta (ROA) emitida por RPKI para anunciar y verificar los prefijos IP.

El certificado criptográfico actúa como un pasaporte para verificar la identidad del titular de la dirección IP, mientras que la ROA actúa como una visa para autorizar el origen legítimo del prefijo IP. Sin el "pasaporte" correcto (certificado cifrado) y la "visa" (ROA), los enrutadores de Internet no pueden anunciar rutas (prefijos IP) de forma segura a destinos específicos, evitando así el tráfico no autorizado y asegurando que los paquetes lleguen a su destino previsto de manera segura y eficiente.

Con RPKI habilitado, los operadores de red y los enrutadores actúan como agentes de control fronterizo vigilantes, verificando la legitimidad de los avisos de enrutamiento antes de almacenarlos y difundirlos, evitando así que el tráfico no autorizado entre o salga de un "país" específico (prefijo IP) en Internet.

Lea también: ¿Qué es el RIPE NCC?

Cómo funciona RPKI para el Registro Regional de Internet APNIC

El sistema de emisión de certificados de RPKI corresponde a la arquitectura de asignación de recursos de números de Internet, como se muestra en la figura anterior. El sistema de emisión de certificados autoriza recursos emitiendo certificados de recursos de arriba hacia abajo. El contenido del certificado incluye la relación de vinculación entre el prefijo de dirección IP/número AS y la institución receptora, indicando que el titular del recurso ha sido autorizado legalmente para utilizar esta parte de los recursos de numeración.

RPKI opera en un modelo jerárquico, en el cual los Registros Regionales de Internet (RIR) sirven como autoridades de nivel superior responsables de administrar los recursos de números de Internet. Estos recursos incluyen bloques de direcciones IP y Números de Sistema Autónomo (ASN), que son componentes esenciales del enrutamiento de Internet. Los RIR emiten certificados criptográficos a los titulares de recursos, vinculando sus asignaciones de direcciones IP a claves criptográficas.

Luego, estos certificados se utilizan para generar Autorizaciones de Origen de Ruta (ROA), que especifican los orígenes legítimos de los prefijos de direcciones IP.

¿Por qué es importante RPKI?

La adopción de RPKI ha traído muchos beneficios al ecosistema de Internet. RPKI proporciona un mecanismo para verificar la autenticidad de los anuncios de ruta, lo que puede prevenir el secuestro de BGP y la fuga de rutas, y mejorar la seguridad y estabilidad de las rutas de Internet. Además, RPKI otorga a los operadores de red control sobre sus políticas de enrutamiento, asegurando que el tráfico fluya por la ruta prevista y minimizando el riesgo de configuración incorrecta o actividad maliciosa.

Beneficios de RPKI
A. Mucho más seguro que verificar manualmente la base de datos Whois o la base de datos IRR.
B. El origen seguro del prefijo o origen-AS es el primer paso para prevenir muchos ataques a la integridad de BGP.
C. La instrucción/información del custodio del recurso puede verificarse criptográficamente (por ejemplo, la firma de una Carta de Autorización).

P: ¿Cómo puede un enrutador de borde de Internet sincronizarse con un servidor para validar los enrutadores RPKI?

¿Existen servidores públicos para consultar?

“Lo que sucede con el repositorio es que hay un software que actúa como intermediario entre LACNIC y los enrutadores. Ese es el validador RPKI, uno de los proyectos desarrollados con México, y pone a disposición la información validada criptográficamente para los enrutadores de borde. La relación entre el enrutador de borde y un validador debe ser de extrema confianza debido a la cercanía y la seguridad entre ambos. No se recomienda usar validadores públicos para sus enrutadores, aunque existen validadores públicos, pero son para ver cómo funciona el validador, no para conectarlos a un enrutador de borde.” Gianina Pensky, Jefa de Servicios de Registro, respondió en el seminario web de LACNIC - Seguridad de Red con RPKI.

Por lo tanto, RPKI representa un área importante de desarrollo para la seguridad del enrutamiento de Internet. Al aprovechar el poder de la criptografía, RPKI proporciona una solución estandarizada y escalable a los desafíos continuos que plantean las vulnerabilidades de BGP. A medida que seguimos lidiando con un entorno digital complejo, la adopción de RPKI es un paso crítico hacia la construcción de una infraestructura de Internet más segura, resistente y confiable.

La respuesta correcta es C.