Producto
Soluciones
Recursos
Más
Acceder
Solicitar demo

Actualizaciones del producto

Descubra la capacidad de la infraestructura de clave pública de recursos (RPKI)

Por Arun Mehra & Kemal Sanjta
| 14 de noviembre de 2024 | 11 minutos de lectura

Esta publicación también está disponible para: United States (English), Germany (Deutsch), Mexico (Español), France (Français), Canada (Français), Italy (Italiano), Japan (日本語), Korea (한국어), Brazil (Português) & Mainland China (简体中文).

Resumen

La RPKI usa certificados digitales para comprobar que determinados números de AS pueden anunciar bloques de direcciones IP específicos. Con la nueva función de ThousandEyes, puede monitorizar fácilmente el estado de la RPKI.

Le damos la bienvenida al mundo de la infraestructura de clave pública de recursos (RPKI), una mejora significativa en la seguridad del enrutamiento en Internet. Si su empresa todavía no ha explorado la RPKI, este artículo del blog es para usted. Trataremos los aspectos esenciales, pondremos de relieve las ventajas principales y le explicaremos los motivos por los que la RPKI resulta una ventaja para su estrategia de seguridad de red. Además, presentaremos una nueva función de ThousandEyes que le permite monitorizar la RPKI de forma más eficaz.

¿Qué es la RPKI?

La RPKI es un marco de trabajo diseñado para mejorar la seguridad de la infraestructura de enrutamiento de internet. Permite garantizar que los prefijos IP que se anuncian desde los sistemas autónomos (AS) son legítimos y tienen la autorización necesaria. Esta función reduce la posibilidad de un secuestro del espacio de la dirección IP por parte de intervinientes maliciosos y minimiza los efectos de las configuraciones incorrectas por parte de entidades benignas, con lo que se mejora la seguridad y la fiabilidad general del enrutamiento en Internet.

¿Por qué las empresas deberían preocuparse por la RPKI?

Al validar la autenticidad de los orígenes de los prefijos de IP, la RPKI ayuda a limitar la difusión de prefijos ilegítimos que tienen su origen en configuraciones incorrectas y secuestros. A medida que más organizaciones, incluidas grandes instituciones financieras y el Gobierno Federal de Estados Unidos, adoptan la RPKI, se está convirtiendo en un imprescindible para conseguir la mejor seguridad en el enrutamiento. Limitar el radio de alcance de los secuestros y las configuraciones incorrectas del protocolo BGP resulta beneficioso para la seguridad de la red, la estabilidad operativa, la salud financiera, el cumplimiento normativo y la ventaja competitiva. Al invertir en medidas para evitar y reducir los secuestros BGP, las organizaciones pueden proteger sus activos, reputación y flujos de ingresos, y mejorar la confianza y la satisfacción de los clientes. 

Historia breve de la RPKI

BGP no se diseñó originalmente pensando en la seguridad, lo que limita las operaciones disponibles para los operadores cuando se produce el secuestro de una ruta. Si no se puede anunciar un prefijo más específico, con frecuencia el único recurso es ponerse en contacto con los pares directamente. Así que, para enfrentarse a estos desafíos, la comunidad de enrutamiento ha adoptado diversas prácticas recomendadas, como configurar el número máximo de prefijos que se pueden anunciar y usar el filtrado de rutas. 

Durante la última década, se ha hecho también un esfuerzo significativo para construir y promocionar la RPKI para evitar los secuestros accidentales y maliciosos de las rutas. En la actualidad, alrededor del 53 % de los prefijos IPv4 y aproximadamente el 60 % de los prefijos IPv6 tienen autorizaciones de origen de ruta (ROA) válidas. 

A pesar del progreso, implementar medidas de seguridad como la RPKI no es obligatorio para los operadores de red, lo que indica que todavía queda mucho por hacer para conseguir que BGP sea totalmente seguro. Sin embargo, hay tendencias positivas: los principales proveedores de tránsito, como NTT, Cogent y Lumen, junto con grandes proveedores de contenido como Amazon y Netflix, han desarrollado la validación de RPKI, lo que contribuye a que Internet sea un lugar más seguro. Los operadores deben trabajar juntos para garantizar que más proveedores adoptan estas prácticas y hacen que Internet sea un lugar más seguro para todos.

¿Cómo funciona la RPKI?

La RPKI usa certificados digitales para comprobar que determinados números de AS pueden anunciar bloques de direcciones IP específicos. Después se llevan a cabo dos pasos: la firma y la validación. Aquí tenemos un esquema simplificado del proceso:

  1. Autoridad de certificación (CA): una entidad de confianza, conocida como la Autoridad de certificación, emite certificados digitales a los titulares de los prefijos IP y AS. Estos certificados confirman para qué prefijos IP y AS puede emitir la entidad autorizaciones de origen de la ruta.

  2. Autorizaciones de origen de la ruta (ROA): el titular del prefijo IP crea ROA, que especifican los números de AS que están autorizados para anunciar sus bloques de direcciones IP. Estas ROA están firmadas con los certificados digitales que emite la CA.

  3. Validación: los operadores de red usan validadores de RPKI para comprobar la autenticidad de las ROA. Si las ROA son válidas y los anuncios de ruta son consistentes con ellas, las rutas se aceptan. Si no es el caso, se rechazan. A este proceso se le llama validación del origen de la ruta (ROV).

Validación de RPKI en acción

En la figura 1, la visualización de la ruta BGP de ThousandEyes muestra cambios en la ruta para un prefijo específico. Las líneas continuas en rojo representan rutas nuevas que se instalan, mientras que las líneas con puntos rojos indican las rutas que se quitan. Dos monitores BGP de ThousandEyes, que se encuentran en Nueva York y Ámsterdam, indican que no se puede acceder al prefijo. Esto pasa porque dos proveedores, AT&T y KPN, detectan ROA no válidas para el prefijo anunciado. Debido a su implementación de ROV, retiran este anuncio y se produce una falta de visibilidad del prefijo. Esta situación se produce por una configuración incorrecta de la ROA y no por una actividad maliciosa. Sin embargo, en este escenario, podemos ver cómo puede evitar RPKI la difusión de anuncios no válidos en el caso de un secuestro.

La visualización del enrutamiento BGP de ThousandEyes muestra falta de visibilidad del prefijo en algunos monitores
Figura 1. La visualización del enrutamiento BGP de ThousandEyes muestra falta de visibilidad del prefijo en algunos monitores

Cuando los operadores de red arreglan la ROA, todo funciona bien, como se indica en la Figura 2 que aparece a continuación.

La plataforma ThousandEyes muestra que se han restaurado las rutas tras haber arreglado la ROA
Figura 2. Las rutas se han restaurado después de haber arreglado la ROA

Primeros pasos con RPKI

Implementar RPKI puede parecer una tarea difícil, pero es más sencilla de lo que piensa. Estos son los pasos para comenzar:

  1. Comprender el papel de los registros regionales de Internet (RIR): los registros regionales de Internet (RIR, ARIN, RIPE NCC, APNIC, LACNIC y AFRINIC) actúan como CA raíz para los servicios de RPKI y como anclajes de confianza. Empiece por iniciar sesión en su portal del RIR y revise su guía sobre cómo crear ROA.

  2. Crear ROA: utilice la interfaz web o la API del RIR para crear ROA. Una ROA especifica qué AS cuenta con autorización para originar un prefijo IP específico. En muchos casos, el RIR puede sugerirlo automáticamente y solo tiene que confirmarlo.

  3. Monitorizar: monitorizar en busca de RPKI no válidas con ThousandEyes.

  4. Mantener: además, los operadores tendrán que definir la longitud máxima del prefijo, evaluar el impacto en los sistemas existentes, como la mitigación de denegación de servicio distribuida (DDoS), y actualizar los flujos de trabajo relacionados para mantener las ROA al día y garantizar la seguridad y el cumplimiento continuos, y ayudar a evitar las caídas generales. (Nota: para la finalidad de este blog, hemos tenido que simplificar algunos detalles).

Monitorizar RPKI en ThousandEyes

Después de definir las ROA para sus pares de prefijos ASN, puede configurar alertas con el nuevo tipo de alerta de estado de RPKI de ThousandEyes (consulte la Figura 3) para monitorizar la aparición de cualquier RPKI no válida que detecten nuestros monitores BGP. Asocie estas alertas con los tests o prefijos específicos que desee monitorizar.

Configuración de alertas de RPKI en la plataforma ThousandEyes
Figura 3. Configuración de alerta de la RPKI

Cuando los monitores BGP de ThousandEyes detectan un anuncio no válido de la RPKI, recibirá una alerta y verá una representación visual en Vistas de BGP, como se muestra en la Figura 4, que indica qué AS anuncia el prefijo no válido de la RPKI.

Plataforma ThousandEyes mostrando un anuncio no válido de la RPKI
Figura 4. Plataforma ThousandEyes mostrando un anuncio no válido de la RPKI

Conclusión

RPKI es un potente marco de seguridad que puede mejorar la seguridad y la fiabilidad de su posición de BGP. Al mitigar los efectos de las configuraciones incorrectas y los secuestros BGP, RPKI facilita la protección de sus datos y le ayuda a mantener una presencia fiable en Internet. Empiece a utilizar RPKI hoy mismo y descubra todo el potencial que tiene el enrutamiento seguro para su empresa.

Si tiene alguna pregunta o necesita ayuda con la implementación de RPKI, póngase en contacto con nuestro equipo. Estamos aquí para ayudarle a adentrarse en el mundo del enrutamiento más seguro en Internet.

Publicado el 14 de noviembre de 2024

Author Portrait:Arun Mehra
Arun Mehra
Gerente de productos de ingeniería (BGP)
Author Portrait:Kemal Sanjta
Kemal Sanjta
Analista principal de Internet
Categorías:
Actualizaciones del producto
Temas:
Protocolo BGP Infraestructura de clave pública de recursos (RPKI)
Compartir!
  Volver al blog de ThousandEyes

Blogs relacionados

Blog Thumbnail: ThousandEyes Connected Devices: ampliación de la visibilidad del proveedor de servicios a la red del último tramo
Actualizaciones del producto
ThousandEyes Connected Devices: ampliación de la visibilidad del proveedor de servicios a la red del último tramo
En el Mobile World Congress (MWC), ThousandEyes anuncia ThousandEyes Connected Devices, que eleva el rendimiento de los proveedores de servicios con una mayor visibilidad de la experiencia de los clientes.
Por David Puzas & Hassan Qadir | 3 de marzo de 2025 | 11 minutos de lectura
Blog Thumbnail: Traffic Insights: un punto de inflexión para NetOps
Actualizaciones del producto
Traffic Insights: un punto de inflexión para NetOps
Los clientes de ThousandEyes ya pueden acceder a una vista previa privada de Traffic Insights, que utiliza NetFlow para llevar el Assurance de la red empresarial al siguiente nivel.
Por Jonathan Zarkower | 11 de febrero de 2025 | 15 minutos de lectura
Blog Thumbnail: ThousandEyes está ya disponible en los dispositivos Cisco ISR 1000
Actualizaciones del producto
ThousandEyes está ya disponible en los dispositivos Cisco ISR 1000
La integración de ThousandEyes con Cisco ISR 1000 permite a los equipos de TI y de red conseguir visibilidad en tiempo real, monitorización proactiva y funciones robustas de resolución de problemas, lo que les ayuda a mantener el rendimiento general de sus redes y aplicaciones.…
Por Chitra Shastri | 14 de enero de 2025 | 10 minutos de lectura
AMERICAS
EUROPE
ASIA