stringtranslate.com

Infraestructura de clave pública de recursos

La Infraestructura de clave pública de recursos ( RPKI ), también conocida como Certificación de recursos , es un marco de infraestructura de clave pública (PKI) especializado para respaldar una seguridad mejorada para la infraestructura de enrutamiento BGP de Internet .

RPKI proporciona una forma de conectar la información de recursos numéricos de Internet (como números de Sistema Autónomo y direcciones IP ) a un ancla de confianza . La estructura del certificado refleja la forma en que se distribuyen los recursos numéricos de Internet . Es decir, los recursos son distribuidos inicialmente por la IANA a los registros regionales de Internet (RIR), quienes a su vez los distribuyen a los registros locales de Internet (LIR), quienes luego distribuyen los recursos a sus clientes. RPKI puede ser utilizado por los titulares legítimos de los recursos para controlar el funcionamiento de los protocolos de enrutamiento de Internet para evitar el secuestro de rutas y otros ataques. En particular, RPKI se utiliza para asegurar el Protocolo de Puerta de Enlace Fronteriza (BGP) a través de la Validación de Origen de Ruta (ROV) de BGP, así como el Protocolo de Descubrimiento de Vecinos (ND) para IPv6 a través del protocolo de Descubrimiento de Vecinos Seguros (SEND).

La arquitectura RPKI está documentada en RFC 6480. La especificación RPKI está documentada en una serie de RFC: RFC 6481, RFC 6482, RFC 6483, RFC 6484, RFC 6485, RFC 6486, RFC 6487, RFC 6488, RFC 6489, RFC 6490, RFC 6491, RFC 6492 y RFC 6493. SEND está documentado en RFC 6494 y RFC 6495. Estas RFC son un producto del grupo de trabajo SIDR ("Secure Inter-Domain Routing") del IETF , [1] y se basan en un análisis de amenazas que se documentó en RFC 4593. Estos estándares cubren la validación del origen BGP, mientras que la validación de la ruta la proporciona BGPsec , que se ha estandarizado por separado en RFC 8205. Ya existen varias implementaciones para la validación del origen del prefijo. [2]

Certificados de recursos y objetos secundarios

RPKI utiliza certificados PKI X.509 (RFC 5280) con extensiones para direcciones IP e identificadores AS (RFC 3779). Permite a los miembros de los registros regionales de Internet , conocidos como registros locales de Internet (LIR), obtener un certificado de recursos que enumera los recursos de números de Internet que poseen. Esto les ofrece una prueba validable de su titularidad, aunque el certificado no contiene información de identidad. Mediante el certificado de recursos, los LIR pueden crear certificaciones criptográficas sobre los anuncios de ruta que autorizan que se realicen con los prefijos y ASN que poseen. Estas certificaciones se describen a continuación.

Autorizaciones de origen de ruta

Una autorización de origen de ruta (ROA) [3] establece qué sistema autónomo (AS) está autorizado a generar determinados prefijos IP . Además, puede determinar la longitud máxima del prefijo que el AS está autorizado a anunciar.

Longitud máxima del prefijo

La longitud máxima del prefijo es un campo opcional. Cuando no se define, el AS solo está autorizado a anunciar exactamente el prefijo especificado. Cualquier anuncio más específico del prefijo se considerará inválido. Esta es una forma de hacer cumplir la agregación y evitar el secuestro mediante el anuncio de un prefijo más específico.

Cuando está presente, especifica la longitud del prefijo IP más específico que el AS está autorizado a anunciar. Por ejemplo, si el prefijo de la dirección IP es 10.0.0.0 / 16 y la longitud máxima es 22, el AS está autorizado a anunciar cualquier prefijo inferior a 10.0.0.0 / 16 , siempre que no sea más específico que / 22 . Por lo tanto, en este ejemplo, el AS estaría autorizado a anunciar 10.0.0.0 / 16 , 10.0.128.0 / 20 o 10.0.252.0 / 22 , pero no 10.0.255.0 / 24 .

Autorizaciones de proveedores de sistemas autónomos

Una Autorización de Proveedor de Sistema Autónomo (ASPA) establece qué redes pueden aparecer como adyacencias ascendentes directas de un sistema autónomo en BGP AS_PATHs. [4]

Validez del anuncio de ruta RPKI

Cuando se crea un ROA para una determinada combinación de AS de origen y prefijo, esto tendrá un efecto en la validez RPKI [5] de uno o más anuncios de ruta. Pueden ser:

Tenga en cuenta que las actualizaciones de BGP no válidas también pueden deberse a ROA configurados incorrectamente. [6]

Gestión

Existen herramientas de código abierto [7] disponibles para ejecutar la autoridad de certificación y administrar el certificado de recurso y los objetos secundarios, como los ROA. Además, los RIR tienen una plataforma RPKI alojada disponible en sus portales de miembros. Esto permite a los LIR optar por confiar en un sistema alojado o ejecutar su propio software.

Publicación

El sistema no utiliza un único punto de publicación de repositorio para publicar objetos RPKI. En su lugar, el sistema de repositorio RPKI consta de múltiples puntos de publicación de repositorio distribuidos y delegados. Cada punto de publicación de repositorio está asociado con uno o más puntos de publicación de certificados RPKI. En la práctica, esto significa que cuando se ejecuta una autoridad de certificación, un LIR puede publicar todo el material criptográfico por sí mismo o puede confiar en un tercero para la publicación. Cuando un LIR elige utilizar el sistema alojado proporcionado por el RIR, en principio la publicación se realiza en el repositorio del RIR.

Validación

El software de la parte que confía obtendrá, almacenará en caché y validará los datos del repositorio mediante rsync o el Protocolo Delta de Repositorio RPKI (RFC 8182). [8] Es importante que una parte que confía sincronice regularmente con todos los puntos de publicación para mantener una vista completa y oportuna de los datos del repositorio. Los datos incompletos o desactualizados pueden dar lugar a decisiones de enrutamiento erróneas. [9] [10]

Decisiones de ruta

Después de la validación de los ROA, las certificaciones se pueden comparar con el enrutamiento BGP y ayudar a los operadores de red en su proceso de toma de decisiones. Esto se puede hacer manualmente, pero los datos de origen del prefijo validados también se pueden enviar a un enrutador compatible mediante el protocolo RPKI a enrutador (RFC 6810), [11] Cisco Systems ofrece soporte nativo en muchas plataformas [12] para obtener el conjunto de datos RPKI y usarlo en la configuración del enrutador. [13] Juniper ofrece soporte en todas las plataformas [14] que ejecutan la versión 12.2 o más reciente. Quagga obtiene esta funcionalidad a través de BGP Secure Routing Extensions (BGP-SRx) [15] o una implementación RPKI [16] totalmente compatible con RFC basada en RTRlib. RTRlib [17] proporciona una implementación C de código abierto del protocolo RTR y la verificación del origen del prefijo. La biblioteca es útil para los desarrolladores de software de enrutamiento, pero también para los operadores de red. [18] Los desarrolladores pueden integrar RTRlib en el demonio BGP para ampliar su implementación hacia RPKI. Los operadores de red pueden utilizar RTRlib para desarrollar herramientas de monitoreo (por ejemplo, para verificar el funcionamiento correcto de los cachés o para evaluar su rendimiento).

La RFC 6494 actualiza el método de validación de certificados de los mecanismos de seguridad del protocolo Secure Neighbor Discovery (SEND) para el protocolo Neighbor Discovery (ND) con el fin de utilizar RPKI en IPv6. Define un perfil de certificado SEND que utiliza un perfil de certificado RPKI RFC 6487 modificado que debe incluir una única extensión de delegación de dirección IP RFC 3779.

Referencias

  1. ^ "Enrutamiento seguro entre dominios (SIDR)". datatracker.ietf.org .
  2. ^ Informe de implementación de enrutador de infraestructura de clave pública de recursos (RPKI) (RFC 7128), R. Bush, R. Austein, K. Patel, H. Gredler, M. Waehlisch, febrero de 2014
  3. ^ Perfil de las autorizaciones de origen de rutas (ROA), M. Lepinski, S. Kent, D. Kong, 9 de mayo de 2011
  4. ^ Azimov, Alexander; Bogomazov, Eugene; Bush, Randy; Patel, Keyur; Snijders, Job; Sriram, Kotikalapudi (29 de agosto de 2023). "Verificación de BGP AS_PATH basada en objetos de Autorización de proveedor de sistema autónomo (ASPA)". Grupo de trabajo de ingeniería de Internet.
  5. ^ Huston, Geoff; Michaelson, George G. (febrero de 2012). Validación del origen de la ruta mediante la infraestructura de clave pública (PKI) de certificados de recursos y las autorizaciones de origen de la ruta (ROA) (informe). Grupo de trabajo de ingeniería de Internet.
  6. ^ M. Wählisch, O. Maennel, TC Schmidt: "Hacia la detección del secuestro de rutas BGP utilizando RPKI", Proc. of ACM SIGCOMM , págs. 103-104, Nueva York:ACM, agosto de 2012.
  7. ^ "GitHub - dragonresearch/rpki.net: Kit de herramientas RPKI de Dragon Research Labs rpki.net". 23 de noviembre de 2019 – vía GitHub.
  8. ^ Bruijnzeels, Tim; Muravskiy, Oleg; Weber, Bryan; Austein, Rob (julio de 2017). "RFC 8182 - El protocolo delta del repositorio RPKI". datatracker.ietf.org .
  9. ^ Kristoff, John; Bush, Randy; Kanich, Chris; Michaelson, George; Phokeer, Amreesh; Schmidt, Thomas C.; Wählisch, Matthias (27 de octubre de 2020). "Sobre la medición de las partes que confían en RPKI". Actas de la Conferencia de medición de Internet de la ACM . IMC '20. Nueva York, NY, EE. UU.: Association for Computing Machinery. págs. 484–491. doi :10.1145/3419394.3423622. ISBN 978-1-4503-8138-3.S2CID225042016  .​
  10. ^ Kristoff, John; Bush, Randy; Kanich, Chris; Michaelson, George; Phokeer, Amreesh; Schmidt, Thomas C.; Wählisch, Matthias (27 de octubre de 2020). "Sobre la medición de las partes que confían en RPKI". Actas de la Conferencia de medición de Internet de la ACM . ACM. págs. 484–491. doi :10.1145/3419394.3423622. ISBN . 978-1-4503-8138-3.S2CID225042016  .​
  11. ^ Bush, Randy; Austein, Rob (enero de 2013). "RFC 6810 - Protocolo de enrutador de infraestructura de clave pública de recursos (RPKI)". datatracker.ietf.org .
  12. ^ "Configuración de RPKI con Cisco IOS". RIPE .
  13. ^ "Enrutamiento IP de Cisco IOS: Referencia de comandos BGP - Comandos BGP: M a N [Compatibilidad]". Cisco .
  14. ^ "Ejemplo: Configuración de la validación de origen para BGP - Documentación técnica - Soporte - Juniper Networks". www.juniper.net .
  15. ^ "Prototipo de extensión de enrutamiento seguro BGP (BGP‑SRx)". NIST . 15 de agosto de 2016.
  16. ^ "Compatibilidad con validación de origen de prefijo RPKI-RTR de Quagga: rtrlib/quagga-rtrlib". 10 de mayo de 2019 – vía GitHub.
  17. ^ "RTRlib - La biblioteca C del cliente RPKI RTR". rpki.realmv6.org .
  18. ^ M. Wählisch, F. Holler, TC Schmidt, JH Schiller: "RTRlib: una biblioteca de código abierto en C para la validación del origen de prefijo basada en RPKI, Actas del Taller de seguridad de USENIX CSET'13 , Berkeley, CA, EE. UU.: USENIX Assoc., 2013.

Enlaces externos