Ingreso a clientes
Contáctanos
Nuestro compromiso... el mejor servicio

Infraestructura de RPKI

Sabiendo que la seguridad de enrutamiento es esencial para la integridad del Internet, manteniendo su confiabilidad para interacciones y transacciones, la certificación de recursos es una metodología automatizada y robusta para prevenir la introducción de información falsa dentro del sistema de enrutamiento de Internet.

La certificación de recursos es un esfuerzo para brindar la infraestructura de llave pública (o PKI), comúnmente llamada RPKI (Resource Public Key Infraestructure), para la firma digital del traspaso del derecho de uso de los recursos de Internet.

Esta infraestructura de enrutamiento segura combina la jerarquía del modelo de asignación de recursos de Internet con el uso de certificados digitales basados en el estándar internacional CCITT/ITU para definir certificados de llave pública X.509 (RFC 5280), ampliado por el estándar IETF (RFC 3779) que liga una lista de bloques de direcciones IP y ASN con el sujeto de un certificado, con lo que estos certificados de recursos sólo pueden ser utilizados por aplicaciones y servicios especializados que están relacionados con la verificación de los derechos del titular para usar una dirección IP o ASN.

Funcionamiento

Se trata de una estructura de seguridad de enrutamiento (automatizada) que permite a los usuarios de redes públicas como el Internet verificar la autenticidad del derecho a uso del titular actual sobre un recurso de Internet, a través del uso de certificados digitales, con el fin de asegurar que la información transmitida por Internet es correcta y que corresponde con las intenciones del titular de la dirección.

Mediante el uso de certificados digitales, el titular de los recursos podrá crear objetos firmados (ROAs - Routing Origin Authorization) usando su llave privada, con los cuales podrá demostrar digitalmente que posee el derecho de uso de dichos objetos (uno o varios prefijos de direcciones IP) y autorizar su anuncio a través de un Número de Sistema Autónomo (ASN) de origen especificado.

El contenido de un ROA identifica un único ASN autorizado por el titular de espacio de direcciones para originar rutas y una lista de uno o más prefijos de direcciones IP que serán anunciados, por lo que sería necesario crear un ROA para cada ASN autorizado. Por ejemplo, un ROA debería establecer lo siguiente: "ISP X permite al ASN 12345 originar una ruta para los prefijos: 200.23.0.0/17 y 200.23.128.0/17".

Así mismo, el receptor del certificado generado podrá asegurar su autenticidad usando la llave pública de quien lo firmó, para lo que es necesario verificar la validez de la serie de certificados entrelazados dentro de su jerarquía de distribución para formar su cadena de confianza desde el "trust anchor" hasta el certificado en cuestión, a través del certificado de llave pública proveído por su autoridad de certificación.

Este proceso de verificación sirve para detectar intentos de usos indebidos de cualquier tipo.

Estructura

La autoridad de certificación para los titulares de recursos, miembros de LACNIC, en México es IAR México.

IAR México proveerá información pública de cada asignación de recursos mediante certificados para confirmar el derecho de uso de un titular sobre su lista de sus recursos de Internet actuales.

Servicios a brindar en el RPKI por una Autoridad Certificadora

Las siguientes acciones son parte de los servicios de IAR México como Autoridad Certificadora:

  • Emisión de certificados hijos cuando existen cambios en la base de registro o a demanda de un usuario, con lo que no permite que terceros falsifiquen la información o la firma.
  • Revocación de certificados hijos en forma centralizada o a demanda de un usuario.
  • Publicación de certificados hijos en repositorio público (rsync), referenciados al certificado que los generó.

Algunas de las aplicaciones propuestas para esta infraestructura son:

  • Construcción de filtros para anuncios utilizando BGP (Border Gateway Protocol).
  • Construcción de reglas de enrutamiento basadas en la validez criptográfica de los prefijos anunciados.
  • Extensiones de seguridad para protocolo BGP, a través de las propuestas SBGP o soBGP.
  • Extensiones de seguridad para protocolos de enrutamiento interno, como ser OSPF o IS-IS.
  • Autenticación de routers en las redes de área local (o LANs) para el protocolo de Descubrimiento de Vecinos Seguro o SEND.
  • Firma de información en servicios de WHOIS o en objetos RPSL (Routing Policy Specification Language).

Mas información de la implementación de LACNIC, puede encontrarse aquí: http://lacnic.net/en/rpki/

arriba
D.R. © Instituto Tecnológico y de Estudios Superiores de Monterrey, 2017.Todos los derechos reservados
Eugenio Garza Sada 427 Piso 2, Local 1, Col. Altavista, Monterrey, Nuevo León, CP 64840
Aviso de Privacidad | Aviso Legal | Contáctanos +52 (81) 8864-2600