Reforçando a segurança de roteamento com RPKI – O que você precisa saber
Os clientes devem verificar seus índices IP para evitar que o tráfego seja eliminado
Ao clicar no link para ler este blog, você disparou uma série de ações que direcionaram seus dados através da internet a esta página, usando a rota mais eficiente possível. Ao longo do caminho, enquanto os dados viajavam de lá para cá, encontraram dezenas de saídas possíveis, cada uma anunciando ser capaz de conduzi-los (e você) até aqui – a este blog.
Como há cerca de milhões de rotas de rede possíveis ao redor do mundo, a internet global tem um protocolo padrão para determinar a melhor rota possível para cada viagem ao longo de uma rede. É chamado de Border Gateway Protocol (BGP) – protocolo de roteamento de borda – e é como o Google Maps das redes. Sem ele, o tráfego não teria uma rota a seguir, muito menos um caminho que o desviasse de acidentes e radares de velocidade. Seria um pouco como dirigir de Nova York a Los Angeles à noite. Sem um mapa. E com os olhos vendados.
Quando o BGP foi criado em 1989, baseou-se na confiança mútua entre as redes, que anunciavam que as rotas eram seguras, precisas e inalteradas de forma maliciosa. Este modelo era suficiente nos primórdios do desenvolvimento da internet; no entanto, se tornou cada vez mais vulnerável a erros de configuração ou abuso por parte de atores maliciosos buscando redirecionar rotas para alcançar objetivos criminosos.
Para ajudar a fechar essa brecha na segurança, um número cada vez maior de provedores de rede se comprometeu a habilitar a infraestrutura de chave pública de recursos (RPKI – Resource Public Key Infrastructure). Em 25 de março de 2021, a Lumen irá “acender o interruptor” e começar a validar rotas usando RPKI no núcleo de nossa internet AS3356 global.
O que é RPKI?
RPKI é uma estrutura voluntária que pretende proteger a infraestrutura de roteamento da internet e evitar o sequestro de rotas e outras inconsistências. Ela faz isto verificando que um sistema específico é autorizado a utilizar seus prefixos IP estabelecidos. Estas autorizações, conhecidas como Autorizações de Origem de Rota (ROA – Route Origin Authorizations), ocorrem no nível do Registro Regional de Internet (RIR), de forma que os endereços IP são vinculados de forma certificável a uma autoridade confiável.
Os provedores de serviços IP podem usar RPKI para validar os anúncios de rotas IP, o que ajuda a garantir que os anúncios válidos sejam permitidos e os anúncios inválidos sejam eliminados.
Como RPKI funciona
Os proprietários de endereços IP publicam suas ROAs com certificação RIR, atestando: 1) qual sistema autônomo está autorizado a originar certos prefixos IP e; 2) o comprimento destes prefixos. RPKI valida as ROAs usando a validação de origem de rota (ROV) BGP, um processo que verifica o sistema de origem e o comprimento do prefixo publicado na ROA.
Uma vez implementada, a Lumen utilizará a validação de rota RPKI em todas as sessões de BGP tanto para clientes como para pares. Os servidores de validação de RPKI da Lumen baixam as ROAs, as examinam e depois enviam as tabelas aos roteadores que podem determinar a validade de um prefixo IP. Os prefixos IP depois são etiquetados e tratados da seguinte forma:
|
Etiqueta |
Significado |
Opção |
|
Válido |
Prefixo IP tem uma correspondência positiva com a ROA |
Prefixo IP é permitido |
|
Inválido |
Prefixo IP não corresponde à ROA, seja por comprimento inválido do prefixo ou por ASN de origem inválida |
Prefixo IP é eliminado |
|
Desconhecido |
Prefixo IP não está na ROA |
Habilitando RPKI no núcleo de Internet AS3356 da Lumen
Uma vez que a RPKI esteja habilitada e ativada na rede Lumen para sessões BGP tanto de pares quanto de clientes, não haverá qualquer requisito ou processo para “solicitar” uma RPKI, porque ela já estará “ativada”.
- Os clientes que tiverem ROAs existentes e estabelecidas receberão imediatamente a validação de origem de rota BGP através da RPKI da Lumen.
- Os clientes que estabelecerem novas ROAs receberão validação de origem de rota BGP uma vez que a ROA for concluída.
- Os clientes que não tiverem ROAs não serão afetados e os anúncios de rota BGP operarão normalmente (exceto se aquela rota for de fato de propriedade de outra entidade com uma ROA que apenas permita sua ASN de origem).
Os clientes não terão a opção de desconectar ou desativar a RPKI. Todas as sessões externas de clientes e pares serão validadas e não faremos exceções ou permitiremos sessões especiais, não verificadas.
Certifique-se de que seus prefixos IP não sejam eliminados!
Os clientes devem utilizar o Looking Glass da Lumen – https://lookingglass.centurylink.com para validar como seus prefixos IP estão sendo marcados na rede Lumen. Os prefixos IP inválidos serão eliminados para todos os pares e clientes a partir de 25 de março.
community “rpki-valid” members “3356:901”
community “rpki-invalid” members “3356:902”
community “rpki-unknown” members “3356:903”
Recursos Adicionais
Se tiver perguntas sobre a adoção de RPKI pela Lumen, por favor entre em contato com um membro de equipe de contas ou envie um e-mail para RPKI Support. Você também pode visitar o website da Lumen para encontrar informações adicionais sobre RPKI, incluindo:
• Como estabelecer ROAs
• Detalhes sobre RPKI e o Serviço de Mitigação de DDoS da Lumen
• Perguntas frequentes
Leia o post original em inglês > https://blog.lumen.com/lumen-enhances-routing-security-with-resource-public-key-infrastructure-rpki/
Autor:
Ron Pfaff
Como vice-presidente sênior de Service Assurance na Lumen Technologies, Ron é responsável pela tecnologia da rede global, infraestrutura e garantir o serviço ao cliente. Como uma empresa líder em tecnologia, sua equipe é comprometida a fornecer soluções a uma gama de obstáculos de serviços e de rede. A Lumen é a plataforma mais rápida e segura para aplicações e dados de negócios de próxima geração e estamos entusiasmados para oferecer experiências de ponta aos clientes.
