Anderson Guedes C Clivati
El Protocolo de Puerta de Enlace de Frontera o Border Gateway Procotol (BGP), es un protocolo utilizado en los principales enrutadores de Internet, sin embargo, ha enfrentado problemas de seguridad que incluyen secuestro de rutas y fugas de prefijos y rutas. Estos problemas se deben principalmente a la falta de validación de datos en un ambiente público cómo es internet haciéndolo vulnerable a ataques cibernéticos. Para enfrentar estos desafíos, se creó la iniciativa global MANRS (Mutually Agreed Norms for Routing Security), que incluye la Infraestructura de Clave Pública de Recursos (RPKI) como solución para validar los anuncios de rutas de origen.
¿Qué es RPKI?
RPKI es una sigla para Resource Public Key Infrastructure (Infraestructura de clave pública de recursos), o simplemente “Resource Certification”. Es un conjunto de protocolos, estándares y sistemas que mejoran la seguridad de los recursos de numeración de Internet como direcciones IPv4, IPv6 y Sistemas Autónomos, posibilitando la verificación del derecho de uso.
¿Qué son los ROA?
Las ROA —(Route Origin Attestations) o Certificaciones de Origen de Ruta— son objetos firmados digitalmente que describen la asociación entre un conjunto de prefijos (IPv4 o IPv6) y el sistema autónomo autorizado para originar estos prefijos en anuncios BGP (Border Gateway Protocol). Además, los ROA definen la longitud máxima con la que se pueden anunciar estos prefijos.
De esta forma, es posible contrastar la información recibida por BGP con las definiciones contenidas en el ROA de RPKI: al recibir un anuncio de un prefijo por BGP, es posible verificar el sistema autónomo que origina el anuncio y la longitud del prefijo con lo especificado en el RPKI.
Si esta información coincide, el anuncio de BGP se considerará válido; si no coincide, ya sea porque se originó en un sistema autónomo diferente o porque viola la longitud máxima declarada del prefijo, el anuncio de BGP se considerará inválido; existe un tercer estado en caso de que el anuncio no esté cubierto por ningún ROA, es decir, no hay información en la RPKI, en este caso, el estado se denomina "desconocido" (unknow) o "no encontrado" (not found).
¿Cómo funciona la RPKI?
La RPKI (Infraestructura de clave pública de recursos) utiliza certificados de clave pública para promover la seguridad en el enrutamiento de Internet, lo que permite que los enrutadores BGP validen el origen de cada prefijo recibido, clasificando cada uno como válido, inválido o desconocido, asegurando así la protección contra el secuestro de prefijos o hijacking por parte de una red o ASN que no posee esas rutas.
- Válido: estado válido significa que hay un ROA que coincide con el prefijo y el número de AS utilizado para originar el prefijo.
- Inválido: un prefijo marcado como Inválido significa que existe un ROA, pero el número de AS o la máscara de red del prefijo no coincide con el ROA.
- Desconocido: las rutas desconocidas no tienen ningún registro, muy probablemente porque pertenecen a un ISP que aún no ha implementado RPKI, o por un descuido operativo por parte del ISP, que no creó un ROA para ese bloque específico.
¿Qué tan importante es la adopción de RPKI?
El Border Gateway Protocol (BGP), un protocolo de Sistemas Autónomos (AS) creado para su uso en los principales enrutadores de Internet, ha sufrido problemas de seguridad como secuestros (hijacking) y filtraciones (leaks) de prefijos y rutas. El problema ocurre principalmente porque la estructura de BGP funciona sobre la base de la confianza y la cooperación, sin necesidad de validación de datos.
Con el crecimiento y complejidad de Internet, las configuraciones incorrectas por menores que sean, en BGP se vuelven cada vez más comunes. Intencional o no, estos errores pueden conducir a varios problemas, por ejemplo, el robo de prefijos (prefix hijacking), que puede hacer que áreas enteras de empresas o incluso países, sean inalcanzables en Internet.
Recientemente, los principales operadores, como NTT, AT&T, y los principales proveedores de contenido, como Cloudflare o Microsoft, han comenzado a descartar los anuncios de BGP inválidos en relación con las informaciones de RPKI. Esta misma situación se extiende a la mayoría de los IXP (Internet Exchange Points) en todo el mundo.
Conclusión
La palabra clave para el éxito de la estrategia de un Internet más seguro y la adopción global del concepto es colaboración, porque como podemos ver a lo largo de este artículo, tenemos la necesidad de un cambio cultural significativo para implementar una estructura RPKI.
Lo que solemos observar en las empresas como barreras es la ausencia de una racionalidad financiera que justifique algún beneficio inherente a su adopción, así como la dificultad de predecir cuándo y cómo pueden ocurrir tales eventos (secuestro de prefijos).
Estas barreras casi siempre terminan colocando el proyecto de RPKI en un segundo plano dentro del presupuesto estratégico del Proveedor de Internet, frente a las diversas prioridades e inversiones a las que un operador suele tener que hacer frente en su día a día.
Este tema es de suma relevancia e importancia para la comunidad de internet, ya que la implementación de RPKI, en el ámbito de internet regido por el protocolo BGP, es vital para asegurar el correcto y seguro funcionamiento de uno de los ecosistemas más complejos del mundo de las telecomunicaciones. Este artículo pretende concientizar que la adopción de RPKI es un tema global, que requiere la colaboración de todos los operadores, para que, progresivamente, nuestra internet global esté segura y “protegida” de ataques de esta naturaleza.
La adopción proactiva del concepto es el camino más indicado, no solo porque caracteriza una acción que constituye un conjunto de buenas prácticas de la industria, sino también, para que los operadores puedan trabajar de forma tranquila y con el detalle necesario del proyecto y para un correcto proceso de la curva de aprendizaje.
Es necesario evitar situaciones en las que la adopción del concepto se convierta en algún requisito “obligatorio” en la industria por parte de los organismos reguladores, con obligaciones establecidas, sujeto a una multa o cualquier otro tipo de sanción.
Normalmente, en este escenario, es fundamental realizar implementaciones de emergencia con plazos más cortos y con mayor presión en las entregas, dificultando la curva de aprendizaje, escenario que debe evitarse en la mayoría de los casos.
Lo que solemos observar en las empresas como barreras es la ausencia de una racionalidad financiera que justifique algún beneficio inherente a su adopción, así como la dificultad de predecir cuándo y cómo pueden ocurrir tales eventos (secuestro de prefijos).
Estas barreras casi siempre terminan colocando el proyecto de RPKI en un segundo plano dentro del presupuesto estratégico del Proveedor de Internet, frente a las diversas prioridades e inversiones a las que un operador suele tener que hacer frente en su día a día.
Este tema es de suma relevancia e importancia para la comunidad de internet, ya que la implementación de RPKI, en el ámbito de internet regido por el protocolo BGP, es vital para asegurar el correcto y seguro funcionamiento de uno de los ecosistemas más complejos del mundo de las telecomunicaciones. Este artículo pretende concientizar que la adopción de RPKI es un tema global, que requiere la colaboración de todos los operadores, para que, progresivamente, nuestra internet global esté segura y “protegida” de ataques de esta naturaleza.
La adopción proactiva del concepto es el camino más indicado, no solo porque caracteriza una acción que constituye un conjunto de buenas prácticas de la industria, sino también, para que los operadores puedan trabajar de forma tranquila y con el detalle necesario del proyecto y para un correcto proceso de la curva de aprendizaje.
Es necesario evitar situaciones en las que la adopción del concepto se convierta en algún requisito “obligatorio” en la industria por parte de los organismos reguladores, con obligaciones establecidas, sujeto a una multa o cualquier otro tipo de sanción.
Normalmente, en este escenario, es fundamental realizar implementaciones de emergencia con plazos más cortos y con mayor presión en las entregas, dificultando la curva de aprendizaje, escenario que debe evitarse en la mayoría de los casos.
Anderson Guedes C Clivati
Especialista en tecnologías de la información y telecomunicaciones, actualmente estudiante de Magister en Administración con énfasis en Business Agility & Product Management. Cuenta con más de 20 años de experiencia en gestión de proyectos y soporte de redes Ethernet, IP/MPLS y Seguridad. Actualmente desempeña el rol de Especialista de Productos Conectividad en InterNexa, donde tiene como objetivo es fortalecer la oferta de valor de los productos de conectividad para nuestros clientes en Colombia, Brasil, Perú, Chile y Argentina.
