Producto
Soluções
Recursos
Saiba Mais
Login
Solicitar uma demonstração

Atualizações do produto

Explorar todo o potencial da infraestrutura de chaves públicas de recursos (RPKI)

Por Arun Mehra & Kemal Sanjta
| 14 de novembro de 2024 | 10 leitura minuciosa

Este post também está disponível para: United States (English), Germany (Deutsch), Mexico (Español), Spain (Español), France (Français), Canada (Français), Italy (Italiano), Japan (日本語), Korea (한국어) & Mainland China (简体中文).

Resumo

A RPKI usa certificados digitais para verificar se determinados números AS podem anunciar blocos de endereços IP específicos. Com o novo recurso do ThousandEyes, você pode monitorar o status do RPKI com facilidade.

Bem-vindo ao mundo da infraestrutura de chaves públicas de recursos (RPKI), uma melhoria significativa na segurança de roteamento da Internet. Se sua empresa ainda não conhece a RPKI, esta publicação no blog é para você. Vamos contemplar os conceitos básicos, destacar os principais benefícios e explicar a por que a RPKI é vantajosa para a estratégia de segurança de rede. Além disso, lançaremos um novo recurso do ThousandEyes que permite monitorar a RPKI com mais eficiência.

O que é RPKI?

RPKI é uma estrutura criada para melhorar a segurança da infraestrutura de roteamento da Internet. A RPKI ajuda a garantir que os prefixos IP anunciados pelos Sistemas autônomos (AS) sejam legítimos e autorizados. Esse recurso reduz o impacto do sequestro de espaço de endereço IP por agentes mal-intencionados e minimiza os efeitos das configurações incorretas feitas por entidades inofensivas, melhorando assim a segurança geral e a confiabilidade do roteamento da Internet.

Por que as empresas devem se importar com a RPKI?

Ao validar a autenticidade das origens do prefixo IP, a RPKI ajuda a limitar a disseminação dos anúncios de prefixo ilegítimos causados por configurações incorretas e sequestros. À medida que mais empresas, inclusive grandes instituições financeiras e o governo federal dos EUA, adotam a RPKI, ela está se tornando essencial para melhorar a segurança do roteamento. Limitar o raio de ocorrência de sequestros e configurações incorretas do protocolo de roteador de borda (BGP) favorece a segurança da rede, estabilidade operacional, saúde financeira, conformidade regulatória e vantagem competitiva. Ao investir em medidas para prevenir e mitigar sequestros de BGP, as empresas podem proteger seus recursos, sua reputação e seus fluxos de receita, ao mesmo tempo em que aumentam a confiança e a satisfação do cliente. 

Um histórico resumido da RPKI

O BGP não foi criado originalmente pensando em segurança, o que limita as opções que os operadores têm quando uma rota é sequestrada. Se anunciar um prefixo mais específico não for viável, muitas vezes o único recurso é entrar em contato diretamente com os colegas. Portanto, para enfrentar esses desafios, a comunidade de roteamento adotou várias práticas recomendadas, como configurar o máximo de prefixos que podem ser anunciados e usar a filtragem de rotas. 

Na última década, também houve um esforço significativo na construção e promoção da RPKI para evitar sequestros de rotas mal-intencionados e acidentais. No momento, cerca de 53% dos prefixos IPv4 e aproximadamente 60% dos prefixos IPv6 têm Autorizações de origem de rota (ROAs) válidas. 

Apesar do progresso, implementar medidas de segurança como RPKI não é obrigatório para operadores de rede, o que sinaliza uma longa jornada pela frente para proteger o BGP completamente. No entanto, há tendências positivas: grandes provedores de trânsito, como NTT, Cogent e Lumen, juntamente com grandes provedores de conteúdo, como Amazon e Netflix, implantaram a validação de RPKI, contribuindo para uma Internet mais segura. Os operadores devem trabalhar juntos para garantir que mais provedores adotem essas práticas e tornem a Internet mais segura para todos.

Como funciona a RPKI?

A RPKI usa certificados digitais para verificar se blocos de endereços IP específicos podem ser anunciados por determinados números AS. Há duas etapas: assinatura e validação. Confira uma análise simplificada do processo:

  1. Autoridade de certificado (CA): uma entidade confiável, conhecida como Autoridade de certificado, emite certificados digitais para titulares de prefixos IP e AS. Esses certificados confirmam para quais prefixos IP e AS a entidade pode emitir ROAs.

  2. Autorizações de origem de rota (ROAs): o titular do prefixo IP cria as ROAs, que especificam os números AS autorizados a anunciar os blocos de endereços IP. Essas ROAs são assinadas com os certificados digitais emitidos pela CA.

  3. Validação: os operadores de rede usam os validadores de RPKI para verificar a autenticidade das ROAs. Se as ROAs forem válidas e os anúncios de rotas forem consistentes com elas, as rotas serão aceitas. Caso contrário, elas deverão ser rejeitadas. Esse processo é chamado de Validação de origem de rota (ROV).

Validação da RPKI em ação

Na Figura 1, a visualização de rotas BGP do ThousandEyes mostra as alterações de caminho para um prefixo específico. Linhas vermelhas sólidas representam os novos caminhos que estão sendo instalados, enquanto linhas vermelhas pontilhadas indicam caminhos que estão sendo retirados. Dois monitores de BGP do ThousandEyes, localizados em Nova York e Amsterdã, relatam a indisponibilidade do prefixo. Isso ocorre porque dois provedores, AT&T e KPN, detectam ROAs inválidas para o prefixo anunciado. Devido à implementação da ROV, eles descartam esse anúncio, resultando em uma falta de visibilidade do prefixo. Essa situação surge de uma configuração incorreta da ROA e não de uma atividade mal-intencionada. No entanto, nesse cenário, podemos ver como a RPKI pode impedir a disseminação de anúncios inválidos no caso de um sequestro.

A visualização de rota BGP do ThousandEyes mostra a falta de visibilidade do prefixo para alguns monitores
Figura 1. A visualização de rota BGP do ThousandEyes mostra a falta de visibilidade do prefixo para alguns monitores

Quando os operadores de rede corrigem a ROA, tudo funciona conforme o esperado, conforme indicado na Figura 2 abaixo.

A plataforma ThousandEyes mostra que os caminhos foram restaurados após uma correção da ROA
Figura 2. Os caminhos foram restaurados após uma correção da ROA

Introdução à RPKI

Implementar a RPKI pode parecer intimidador, mas é mais simples do que você imagina. Estas são as etapas para começar:

  1. Entender a função dos Registros regionais de Internet (RIRs): os Registros regionais de Internet (RIRs, ARIN, RIPE NCC, APNIC, LACNIC e AFRINIC) atuam como CAs raiz para serviços de RPKI e atuam como Trust Anchors. Comece acessando o portal do RIR e analise o guia sobre como criar ROAs.

  2. Criar ROAs: use a interface Web ou a API do RIR para criar ROAs. Uma ROA especifica qual AS está autorizado a originar um prefixo IP específico. Em muitos casos, o RIR pode sugerir isso automaticamente, e você só precisa confirmar.

  3. Monitora: monitore as RPKIs inválidas usando o ThousandEyes.

  4. Manter: além disso, os operadores precisarão definir o tamanho máximo do prefixo, avaliar os impactos nos sistemas atuais, como mitigação de DDoS, e atualizar os fluxos de trabalho relacionados para manter as ROAs atualizadas, garantir segurança e conformidade contínuas e ajudar a evitar interrupções globais. (Observação: para fins deste blog, simplificamos necessariamente alguns detalhes.)

Monitoramento da RPKI no ThousandEyes

Depois de configurar as ROAs para os pares de prefixos ASN, é possível configurar alertas usando o novo tipo de alerta de status de RPKI do ThousandEyes (veja a Figura 3) para monitorar os anúncios inválidos de RPKI detectados por nossos monitores BGP. Associe esses alertas aos testes ou prefixos específicos que você deseja monitorar.

Configuração de alerta de RPKI na plataforma ThousandEyes
Figura 3. Configuração de alerta de RPKI

Quando os monitores BGP do ThousandEyes detectarem um anúncio de RPKI inválido, você receberá um alerta e verá uma representação visual nas visualizações BGP, conforme mostrada na Figura 4, indicando qual AS está anunciando o prefixo RPKI inválido.

A plataforma ThousandEyes mostrando um anúncio de RPKI inválido
Figura 4. A plataforma ThousandEyes mostrando um anúncio de RPKI inválido

Conclusão

RPKI é uma estrutura de segurança eficiente que pode melhorar a segurança e a confiabilidade da postura BGP. Ao mitigar os efeitos de configurações incorretas e sequestros de BGP, a RPKI facilita a proteção dos dados e ajuda a manter uma presença confiável na Internet. Comece sua jornada de RPKI hoje mesmo e explore todo o potencial do roteamento seguro para sua empresa.

Se você tiver alguma dúvida ou precisar de assistência com a implementação da RPKI, entre em contato com nossa equipe. Estamos aqui para ajudar você a navegar no mundo do roteamento de Internet mais seguro.

Data de publicação 14 de novembro de 2024

Author Portrait:Arun Mehra
Arun Mehra
Gerente de produto de engenharia (BGP)
Author Portrait:Kemal Sanjta
Kemal Sanjta
Analista Principal de Internet
Categorias:
Atualizações do produto
Tópicos:
Protocolo de roteador de borda (BGP) Infraestrutura de chaves públicas de recursos (RPKI)
Compartilhar Isso!
  Voltar ao blog do ThousandEyes

blogs relacionados

Processing...
Processing...
AMERICAS
EUROPE
ASIA