Producto
Soluciones
Recursos
Más
Ingresar
Solicite una demostración

Actualizaciones del producto

Liberar el poder de la infraestructura de claves públicas de recursos (RPKI)

Por Arun Mehra & Kemal Sanjta
| 14 de noviembre de 2024 | 11 minutos de lectura

Este artículo también está disponible para: United States (English), Germany (Deutsch), Spain (Español), France (Français), Canada (Français), Italy (Italiano), Japan (日本語), Korea (한국어), Brazil (Português) & Mainland China (简体中文).

Resumen

La RPKI usa certificados digitales para verificar que determinados números del AS puedan anunciar bloques específicos de direcciones IP. Con la nueva función de ThousandEyes, puede monitorear fácilmente el estado de su RPKI.

Le damos la bienvenida al mundo de la infraestructura de claves públicas de recursos de la RPKI, una mejora significativa en la seguridad del routing en Internet. Si su compañía aún no ha investigado sobre la RPKI, esta publicación de blog es para usted. Abarcaremos lo esencial, destacaremos las ventajas clave y explicaremos por qué la RPKI resulta beneficiosa para su estrategia de seguridad de red. Además, lanzaremos una nueva función de ThousandEyes que le permitirá monitorear la RPKI de forma más eficaz.

¿Qué es la RPKI?

La RPKI es un marco diseñado para mejorar la seguridad de la infraestructura de routing de Internet. La RPKI ayuda a garantizar que los prefijos IP anunciados desde los AS sean legítimos y estén autorizados. Esta funcionalidad reduce el impacto del secuestro del espacio de direcciones IP cometidos por agentes maliciosos y minimiza los efectos de los errores de configuración por parte de entidades benignas. De ese modo, se mejora la seguridad y fiabilidad generales del routing en Internet.

¿Por qué las compañías deberían interesarse por la RPKI?

Al validar la autenticidad de los orígenes de los prefijos IP, la RPKI ayuda a limitar la propagación de anuncios de prefijos ilegítimos causados por errores de configuración y secuestros. A medida que más organizaciones adoptan la RPKI, incluidas las grandes instituciones financieras y el Gobierno Federal de EE. UU., esta se convierte en un elemento imprescindible para mejorar la seguridad del routing. Limitar el radio de acción de los secuestros y los errores de configuración del protocolo de puerta de enlace de frontera (BGP) redunda en beneficio de seguridad de la red, estabilidad operativa, salud financiera, cumplimiento normativo y ventaja competitiva. Al invertir en medidas para prevenir y mitigar los secuestros de BGP, las organizaciones pueden proteger sus activos, su reputación y sus flujos de ingresos, al mismo tiempo que mejoran la confianza y la satisfacción de los clientes.

Breve historia de la RPKI

El BGP no se diseñó originalmente pensando en la seguridad, lo que limita las opciones de los operadores cuando se secuestra una ruta. Si anunciar un prefijo más específico no es factible, a menudo el único recurso es contactar directamente a los pares. De modo que, para hacer frente a estos retos, la comunidad de routing ha adoptado diversas mejores prácticas, como la configuración del máximo de prefijos que pueden anunciarse y el uso del filtrado de ruta.

Durante la última década, también se han realizado importantes esfuerzos en la creación y promoción de la RPKI para evitar los secuestros de ruta tanto maliciosos como accidentales. Actualmente, alrededor del 53 % de los prefijos IPv4 y aproximadamente el 60 % de los prefijos IPv6 tienen autorizaciones de origen de ruta (ROA) válidas.

A pesar de los avances, la implementación de medidas de seguridad como la RPKI no es obligatoria para los operadores de redes, lo que indica que queda un largo camino por recorrer para asegurar completamente el BGP. Sin embargo, hay tendencias positivas: grandes proveedores de tránsito, como NTT, Cogent y Lumen, junto con grandes proveedores de contenido, como Amazon y Netflix, han implementado la validación de la RPKI y contribuido a una Internet más segura. Los operadores deben colaborar para que más proveedores adopten estas prácticas y hacer que la Internet sea más segura para todos.

¿Cómo funciona la RPKI?

La RPKI utiliza certificados digitales para verificar que determinados bloques de direcciones IP puedan ser anunciados por determinados números del AS. Luego, siguen dos pasos: la firma y la validación. He aquí un desglose simplificado del proceso:

  1. Autoridad de certificación (CA): Una entidad de confianza, conocida como autoridad de certificación, emite certificados digitales a los titulares de prefijos IP y AS. Estos certificados confirman a qué prefijos IP y AS puede emitir una ROA

  2. ROA: El titular del prefijo IP crea las ROA, que especifica los números del AS que están autorizados a anunciar sus bloques de direcciones IP. Estas ROA se firman con los certificados digitales emitidos por la CA.

  3. Validación: Los operadores de red usan validadores de la RPKI para comprobar la autenticidad de las ROA. Si las ROA son válidas y los anuncios de ruta son coherentes con ellas, se aceptan las rutas; en caso contrario, deben rechazarse. Este proceso se denomina validación del origen de la ruta (ROV).

Validación de la RPKI en acción

En la figura 1, la visualización de las rutas de BGP hacia y desde su red con ThousandEyes muestra los cambios de ruta para un prefijo específico. Las líneas rojas continuas representan las nuevas rutas que se instalan, mientras que las líneas rojas discontinuas indican las rutas que se retiran. Dos monitores de BGP de ThousandEyes, ubicados en Nueva York y Ámsterdam, informan de la inalcanzabilidad del prefijo. Esto se debe a que dos proveedores, AT&T y KPN, detectan ROA no válidas para el prefijo anunciado. Debido a su implementación de ROV, eliminan este anuncio, lo que se traduce en una falta de visibilidad del prefijo. Esta situación se debe a un error de configuración de la ROA y no a una actividad maliciosa. Sin embargo, a partir de este escenario, podemos ver cómo la RPKI puede evitar la propagación de anuncios no válidos en caso de secuestro.

La visualización de rutas de BGP con ThousandEyes muestra falta de visibilidad de prefijos para algunos monitores
Figura 1. La visualización de rutas de BGP con ThousandEyes muestra falta de visibilidad de prefijos para algunos monitores

Cuando los operadores de red arreglan la ROA, todo funciona como se esperaba, como se indica en la figura 2.

La plataforma ThousandEyes muestra que las rutas se restauran tras una corrección de la ROA
Figura 2. Se restauran las rutas tras una corrección de la ROA

Introducción a la RPKI

Implementar la RPKI puede sonar desafiante, pero es más sencillo de lo que cree. Estos son los pasos para comenzar:

  1. Comprender el papel de los registros regionales de Internet (RIR): Los registros regionales de Internet (RIRs, ARIN, RIPE NCC, APNIC, LACNIC y AFRINIC) actúan como CA raíz para los servicios de la RPKI y como Trust Anchors. Comience por iniciar sesión en el portal de su RIR y revise su guía sobre cómo crear las ROA.

  2. Crear ROA: Use la interfaz web o API del RIR para crear ROA Una ROA especifica qué AS está autorizado a originar un prefijo IP concreto. En muchos casos, el RIR puede sugerirlo de manera automática, y usted solo debe confirmarlo.

  3. Monitorear: Monitoree anuncios de la RPKI no válidos usando ThousandEyes.

  4. Mantener: Además, los operadores deberán establecer la longitud máxima del prefijo, evaluar los impactos en los sistemas existentes, como la mitigación de la denegación de servicio distribuida (DDoS), y actualizar los flujos de trabajo relacionados para mantener las ROA ctualizadas con el fin de garantizar la seguridad y el cumplimiento continuos, y ayudar a prevenir interrupciones globales. (Nota: A efectos de este blog, hemos simplificado necesariamente algunos detalles).

Monitoreo de la RPKI en ThousandEyes

Después de configurar las ROA para sus pares ASN-prefijo, puede configurar alertas usando el nuevo tipo de alerta de estado de la RPKI de ThousandEyes (ver figura 3) para monitorear cualquier anuncio no válido de la RPKI detectado por nuestros monitores de BGP. Asocie estas alertas a las pruebas o los prefijos específicos que desee monitorear.

Configuración de alertas de la RPKI en la plataforma ThousandEyes
Figura 3. Configuración de alertas de la RPKI

Cuando los monitores de BGP de ThousandEyes detectan un anuncio de la RPKI no válido, recibirá una alerta y verá una representación visual en Vistas de BGP, como se muestra en la figura 4, que indicará qué AS está anunciando el prefijo de la RPKI no válido.

La plataforma ThousandEyes mostrando un anuncio no válido de la RPKI
Figura 4. La plataforma ThousandEyes mostrando un anuncio no válido de la RPKI

Conclusión

La RPKI es un potente marco de seguridad que puede mejorar la seguridad y fiabilidad de su postura de BGP. Al mitigar los efectos de los errores de configuración y los secuestros de BGP, la RPKI facilita la protección de sus datos y le ayuda a mantener una presencia fiable en Internet. Comience hoy mismo su viaje de la RPKI y libere todo el potencial del routing seguro para su compañía.

Si tiene alguna pregunta o necesita asistencia con la implementación de la RPKI, póngase en contacto con nuestro equipo. Estamos aquí para ayudarle a navegar por el mundo de un routing de Internet más seguro.

Publicado el 14 de noviembre de 2024

Author Portrait:Arun Mehra
Arun Mehra
Gerente de productos de ingeniería (BGP)
Author Portrait:Kemal Sanjta
Kemal Sanjta
Analista principal de Internet
Categorías:
Actualizaciones del producto
Temas:
Protocolo BGP Infraestructura de clave pública de recursos (RPKI)
Compartir!
  Volver al blog de ThousandEyes

Blogs relacionados

Procesando...
Procesando...
AMERICAS
EUROPE
ASIA