RPKI (Infraestructura de Clave Pública de Recursos)

Definición de RPKI

La Infraestructura de Clave Pública de Recursos (RPKI) es un sistema diseñado para asegurar el Border Gateway Protocol (BGP), que es fundamental para el funcionamiento de internet. RPKI permite a los operadores de redes verificar criptográficamente la legitimidad de los prefijos de direcciones IP y los sistemas autónomos que los anuncian.

Cómo funciona RPKI

RPKI proporciona un mecanismo para que los titulares de espacio de direcciones IP verifiquen su asociación con prefijos IP específicos mediante la emisión de certificados firmados digitalmente. Estos certificados, emitidos por los registros regionales de internet (RIRs), emparejan bloques de direcciones IP con los sistemas autónomos autorizados a anunciarlos. Con RPKI, los operadores de redes pueden comprobar la validez de los anuncios de rutas validándolos contra los datos de RPKI, asegurando que las rutas anunciadas provienen de fuentes legítimas.

RPKI opera sobre un modelo jerárquico. A nivel superior, se encuentran los RIRs, que son responsables de administrar las asignaciones de direcciones IP y emitir certificados. Los RIRs, como el American Registry for Internet Numbers (ARIN) y el Asia-Pacific Network Information Centre (APNIC), emiten certificados a Proveedores de Servicios de Internet (ISPs) y otras entidades que poseen espacio de direcciones IP. Estos certificados contienen información sobre los bloques de direcciones IP y los sistemas autónomos autorizados a anunciarlos.

Cuando un ISP u operador de red recibe un anuncio de ruta a través de BGP, pueden utilizar RPKI para verificar su legitimidad. Esto implica comprobar la firma digital del anuncio y cotejar el prefijo IP y el número de sistema autónomo (ASN) contra los datos de RPKI. Si el anuncio coincide con un certificado válido en el repositorio de RPKI, se considera legítimo. Si no, el operador de red puede tomar acciones apropiadas, como filtrar o rechazar la ruta.

Consejos de Prevención

Para mejorar la seguridad y confiabilidad del enrutamiento BGP, los operadores de redes pueden tomar las siguientes acciones:

• Desplegar Validación RPKI: Configure los routers de internet para realizar la validación RPKI. Esto asegura que sólo se acepten los anuncios de rutas que sean verificados contra los datos de RPKI.
• Revisar Regularmente el Estado de RPKI: Los operadores de redes deben revisar periódicamente el estado de RPKI de su espacio de direcciones IP usando validadores RPKI. Estas herramientas proporcionan información en tiempo real sobre la validez de las autorizaciones de origen de rutas (ROA) y ayudan a identificar cualquier posible mal configuración o anuncios no autorizados.
• Participar en RPKI: Los operadores de redes deben participar activamente en RPKI adquiriendo y manteniendo ROAs para su espacio de direcciones IP. Los ROAs son documentos firmados digitalmente que especifican los prefijos que un sistema autónomo (AS) autorizado puede originar. Al crear y publicar ROAs, los operadores de redes pueden imponer la validación de origen de rutas y proteger contra el secuestro de rutas y la filtración accidental de rutas.

Términos Relacionados

• BGP (Border Gateway Protocol): El protocolo que permite el encaminamiento del tráfico de internet entre sistemas autónomos.
• ROA (Route Origin Authorization): Un documento firmado digitalmente que especifica el prefijo que un AS autorizado puede originar.

Beneficios e Importancia de RPKI

RPKI juega un papel crucial en mejorar la seguridad y resiliencia de la infraestructura de enrutamiento de internet. Al verificar criptográficamente la legitimidad de los prefijos de direcciones IP y los sistemas autónomos que los anuncian, RPKI ayuda a mitigar diversas amenazas de enrutamiento, como el secuestro de rutas, la filtración accidental de rutas y el spoofing de direcciones IP.

1. Prevención del Secuestro de Rutas: El secuestro de rutas ocurre cuando una entidad no autorizada anuncia falsamente la propiedad de prefijos de direcciones IP, causando el desvío del tráfico de internet hacia redes no autorizadas. RPKI permite a los operadores de redes validar la legitimidad de los anuncios de rutas, reduciendo el riesgo de secuestros de rutas y asegurando que el tráfico de internet siga las rutas previstas.

2. Mitigación de la Filtración Accidental de Rutas: La filtración accidental de rutas ocurre cuando un sistema autónomo anuncia erróneamente rutas que no está autorizado a anunciar, lo que puede causar interrupciones o afectar la estabilidad de internet. RPKI permite a los operadores de redes verificar la autorización de los anuncios de rutas, ayudando a prevenir filtraciones accidentales de rutas y asegurando la precisión de la información de enrutamiento.

3. Protección Contra el Spoofing de Direcciones IP: El spoofing de direcciones IP es una técnica utilizada por atacantes para hacerse pasar por la dirección IP de origen de paquetes de red, permitiendo diversas actividades maliciosas, como ataques de Denegación de Servicio Distribuido (DDoS) y reconocimiento de red. RPKI, combinado con otras medidas de seguridad como el filtrado de prefijo BGP, ayuda a mitigar el spoofing de direcciones IP verificando la propiedad y autorización de los prefijos de direcciones IP.

4. Seguridad Mejorada de Enrutamiento: RPKI fortalece la seguridad general del Border Gateway Protocol (BGP), que es fundamental para el enrutamiento en internet. Al proporcionar mecanismos de verificación criptográfica, RPKI reduce el potencial de incidentes de seguridad relacionados con BGP y ayuda a proteger contra secuestros de rutas, filtraciones de rutas y otros ataques de enrutamiento que pueden interrumpir la conectividad a internet y comprometer la integridad de los datos.

5. Estabilidad y Confiabilidad de Internet: Al implementar RPKI y participar en el proceso de validación, los operadores de redes contribuyen a la estabilidad y confiabilidad general de internet. Validando los anuncios de rutas y previniendo anuncios no autorizados se ayuda a establecer una infraestructura de enrutamiento más sólida y confiable, mejorando la experiencia de usuario final y asegurando la integridad de las comunicaciones a través de redes.

Vale la pena señalar que aunque RPKI aporta beneficios significativos a la seguridad del enrutamiento BGP, su adopción y despliegue son procesos en curso. Fomentar la participación y colaboración generalizada entre operadores de redes, ISPs y RIRs es esencial para maximizar la efectividad de RPKI y fortalecer aún más la seguridad del sistema de enrutamiento global.

En resumen, RPKI (Infraestructura de Clave Pública de Recursos) es un sistema diseñado para asegurar el Border Gateway Protocol (BGP) permitiendo a los operadores de redes verificar la legitimidad de los prefijos de direcciones IP y los sistemas autónomos que los anuncian. Al validar criptográficamente los anuncios de rutas contra los datos de RPKI, RPKI ayuda a prevenir el secuestro de rutas, la filtración accidental de rutas y el spoofing de direcciones IP. Sus beneficios incluyen una seguridad de enrutamiento mejorada, la reducción de riesgos de actividades maliciosas y la mejora de la estabilidad y confianza de internet. Desplegar la validación RPKI, revisar regularmente el estado de RPKI y participar activamente en RPKI son medidas preventivas clave para los operadores de redes para asegurar la seguridad y confiabilidad del enrutamiento BGP.