Ventajas de usar RPKI

Lectura Tiempo de lectura: 8 minutos.
Eduardo Collado
11 de enero de 2023

Internet se creó en un momento en el que el Mundo era más inocente y carente de maldad. Por otro lado la gestión de las redes en Internet la realizaba gente muy preparada y era un lugar donde todos se conocían.

Ese tiempo lejano para nosotros empezó en Junio de 1989, cuando se publicó la RFC 1105: A Border Gateway Protocol (BGP). En esa RFC se definió por primera vez el protocolo de comunicaciones que gobierna Internet a día de hoy, ya bastante avanzado el Siglo XXI.

El protocolo (BGP) es el responsable de que los routers del Mundo puedan conectarse entre si y convertir el aparente caos en eso que llamamos Internet. BGP es el responsable de decirle a otros routers qué redes IP gestiona y también de decirle a otros routers las redes que gestionan otros routers.

El conocimiento de la red se aprende en una tabla, como las de excel, que a día de hoy tiene prácticamente 900.000 registros, es decir, 900.000 redes indicando donde están y como llegar a ellas.

¿Por qué se necesita RPKI?

A veces por error o desconociento un router puede anunciar una red IP (prefijo) que no le corresponde creando lo que se conoce como secuestro de prefijos o BGP hijacking.

Para el que suscribe estas líneas el robo de prefijos más impactante fue en Febrero de 2008 cuando Pakistan Telecom durante unas protestas decidió bloquear YouTube anunciando el rango de YouTube por BGP a sus vecinos.

Como no había forma de diferenciar de forma automática si YouTube estaba en la red de Pakistan Telecom o no, YouTube estuvo inaccesible para gran parte de Mundo durante unas horas porque el tráfico que nuestros ordenadores le enviaban a YouTube solicitando un vídeo se iban a Pakistán.

Si los routers BGP del Mundo hubieran tenido una forma de saber que si el rango de YouTube se anunciaba desde Pakistan Telecom era un anuncio falso y había que ignorarlo, no habría pasado nada, pero no fue así.

A día de hoy tenemos una herramienta llamada RPKI que nos permite firmar nuestros prefijos para que cualquier router BGP pueda saber si la ruta aprendida es válida o no, obviamente con RPKI el prefijo anunciado por Pakistan Telecom habría sido considerado como «inválido» y podría ser descartado.

Por este motivo el uso de RPKI es tan importante en nuestros routers BGP, ya que el objetivo final de RPKI no es más que proporcionar la validación de los prefijos en Internet.

¿Cómo funiona RPKI?

RPKI permite a los titulares de direccionamiento público IP declarar sus recursos de forma verificada gracias a una cadena de certificados.

Antes de nada tenemos que saber que el ROA (Route Origin Authorization) es la declaración donde se especifica el prefijo, la longitud máxima y el sistema autónomo de origen. En la siguiente imagen se pueden ver los ROAs de Tecnocrática en la herramienta de RIPE.

imagen
ROAs de Tecnocrática

El ROA de cada prefijo puede tener tres estados posibles:

Al final los routers tienen que acceder a esta información y actuar en consecuencia.

Por ejemplo, si un router recibe el rango 185.203.224.0/22 desde el AS (Sistema Autónomo) 1423 debería de rechazarlo porque ese ROA va a ser invalido, debido a que en el válido, el AS que lo puede anunciar es el AS15954.

También podría pasar que se anunciara el rango 185.203.224.0/24 por el AS15954, en principio es rango de Tecnocrática y el AS de origen es Tecnocrática, pero sólo está permitido anunciarlo como /22, así que ese ROA será inválido.

¿Cómo funciona la jerarquía de certificados para RPKI?

La jerarquía es la misma que para la asignación de direccionamiento con la excepción de IANA. El la jerarquía para RPKI cada RIR ofrece un CA raíz del que se deriva la cadena de confianza.

imagen 2
Sistema de CA raíz para los RPKI

¿Cómo puedo saber si mi dirección IP está en una Red con RPKI válido o no?

Simplemente tienes que ir a https://miip.tecnocratica.net/ una herramienta que hemos creado para este fin. También podéis ir a la página de MANRS donde verificar si vuestro proveedor ha pasado las pruebas de validación en la acción 4 como Tecnocrática.

imagen 1
Certificación de buenas prácticas de Tecnocrática por MANRS.

Posts relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *