Mejorando la seguridad de enrutamiento con RPKI – Lo que necesita saber
Los clientes deberían verificar sus índices IP para prevenir la caída del tráfico.
En el momento que hizo clic en el enlace para leer este blog, desencadenó una serie de acciones que dirigieron sus datos a través de Internet a esta página, utilizando la ruta más eficiente posible. A lo largo del camino, a medida que los datos viajaban desde allí hasta aquí, se encontraron con docenas de salidas posibles, cada una de ellas anunciando su disponibilidad de conducirlos (y a usted) hasta aquí, a este blog.
Debido a que hay alrededor de un millón de rutas de red posibles en todo el mundo, Internet global cuenta con un protocolo estándar para determinar la mejor ruta posible para cada viaje a lo largo de una red. Se llama Border Gateway Protocol (BGP) -protocolo de puerta de enlace de frontera- y es como el Google Maps de las redes. Sin él, el tráfico no tendría una ruta a seguir, y mucho menos un camino que lo mantuviera libre de accidentes y trampas de velocidad. Sería un poco como conducir de noche de Nueva York a Los Ángeles. Sin un mapa. Y con los ojos vendados.
Cuando se creó BGP en 1989, se basó en la confianza mutua entre las redes que anunciaban rutas seguras, precisas y no alteradas maliciosamente. Este modelo fue suficiente en los primeros días del desarrollo de Internet; sin embargo, se ha vuelto cada vez más vulnerable a errores de configuración o abuso por parte de actores maliciosos que buscan redirigir las rutas para lograr objetivos delictivos.
Para ayudar a cerrar esta brecha en la seguridad, un número cada vez mayor de proveedores de red se ha comprometido a habilitar la infraestructura de clave pública de recursos (RPKI). El 25 de marzo de 2021, Lumen “activará el interruptor” y comenzará a validar rutas utilizando RPKI en nuestro núcleo de Internet AS3356 global.
¿Qué es la RPKI?
RPKI es un marco voluntario destinado a proteger la infraestructura de enrutamiento de Internet y evitar el secuestro de rutas y otras inconsistencias. Y lo hace verificando que un sistema específico esté autorizado a utilizar sus prefijos de IP establecidos. Estas autorizaciones, conocidas como Autorizaciones de origen de ruta (ROA), tienen lugar en el nivel del Registro Regional de Internet (RIR), de modo que las direcciones IP están vinculadas de manera certificable a una autoridad confiable.
Los proveedores de servicios IP pueden usar RPKI para validar los anuncios de rutas IP, lo que ayuda a garantizar que se permitan los anuncios válidos y se eliminen los anuncios inválidos.
Cómo funciona RPKI
Los propietarios de las direcciones IP publican sus ROA con certificación RIR, que establecen: 1) qué sistema autónomo está autorizado para originar determinados prefijos de IP; y 2) la longitud de esos prefijos. RPKI valida las ROA mediante la validación de origen de ruta (ROV) de BGP, un proceso que verifica el sistema de origen y la longitud del prefijo publicado en la ROA.
Una vez implementado, Lumen utilizará la validación de ruta RPKI en todas las sesiones de BGP tanto para clientes como para pares. Los servidores de validación RPKI de Lumen descargan las ROA, las examinan y luego envían las tablas a los enrutadores que pueden determinar la validez de un prefijo de IP. Posteriormente los prefijos de IP se etiquetan y manejan de la siguiente manera:
Etiqueta |
Significado |
Opción |
Válida |
El prefijo de IP tiene una coincidencia positiva con la ROA |
Se permite el prefijo de IP |
Inválida |
El prefijo IP no coincide con la ROA, ya sea por longitud de prefijo inválida o ASN de origen inválida |
Prefijo de IP eliminado |
Desconocido |
El prefijo de IP no está en la ROA |
Se permite el prefijo de IP |
Habilitando la RPKI en el núcleo de Internet AS3356 de Lumen
Una vez que la RPKI está habilitada y activa en la red de Lumen para sesiones BGP tanto de pares como de clientes, no habrá ningún requisito o proceso para «solicitar» la RPKI porque ésta ya estará «activa».
- Los clientes que tengan ROA existentes y establecidas recibirán inmediatamente la validación del origen de la ruta BGP a través de RPKI de Lumen.
- Los clientes que establezcan nuevas ROA recibirán la validación del origen de la ruta BGP una vez que se complete la ROA.
- Los clientes que no tengan ROA no se verán afectados y los anuncios de ruta BGP operarán con normalidad (a menos que esa ruta sea realmente propiedad de otra entidad con una ROA que solo permita su ASN de origen).
Los clientes no tendrán la opción de desconectar o desactivar la RPKI. Todas las sesiones de clientes y pares externos serán validadas y no haremos excepciones ni permitiremos sesiones especiales no verificadas.
¡Asegúrese de que sus prefijos de IP no se eliminen!
Los clientes deberían usar la Looking Glass de Lumen – https://lookingglass.centurylink.com para validar cómo se marcan sus prefijos de IP en la red de Lumen. Los prefijos de IP inválidos se eliminarán para todos los pares y clientes a partir del 25 de marzo.
community “rpki-valid” members “3356:901”
community “rpki-invalid” members “3356:902”
community “rpki-unknown” members “3356:903”
Recursos Adicionales
Si tuviera preguntas respecto de la adopción de RPKI de Lumen, contáctese por favor con un miembro de su equipo de cuentas, o envíe un email a RPKI Support. Asimismo puede visitar el sitio web de Lumen para encontrar información adicional sobre RPKI, que incluye:
• Cómo establecer las ROA
• Información sobre RPKI y Servicio de mitigación de DDoS de Lumen
• Preguntas frecuentes
Leia o post original em inglês > https://blog.lumen.com/lumen-enhances-routing-security-with-resource-public-key-infrastructure-rpki/
Autor:
Ron Pfaff
Como vicepresidente sénior de Service Assurance en Lumen Technologies, Ron es responsable de la tecnología de red global, de infraestructura y de garantizar el servicio al cliente. Como empresa líder en tecnología, su equipo está comprometido a brindar soluciones a una variedad de obstáculos de servicio y de red. Lumen es la plataforma más rápida y segura para aplicaciones y datos de próxima generación y estamos entusiasmados de ofrecer experiencias excepcionales a los clientes.