Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Prólogo

 

Internet es fundamental para nuestras vidas y empresas. Internet se basa en un sistema de enrutamiento complejo que se extrae de las interconexiones entre nuestros sistemas autónomos (como). El sistema de encaminamiento global está descentralizado por naturaleza y técnicamente, en general, en función de la confianza. Estas son dos propiedades beneficiosas: a causa de la permissionlessness’de BGP-4 s, es posible interconectarse entre sí fácilmente para uso de pares o varios proveedores de tránsito; todo el tiempo que mantiene un cierto grado de autonomía. Sin embargo, también hay desventajas, un error de configuración en uno, lo que puede afectar negativamente a otros ASNs. Los actores maliciosos pueden abusar del sistema de confianza.

Quizás se pueda crear una analogía entre el aumento y la caída de redes y retransmisiones de correo SMTP abiertas sin RPKI validación de origen. Hace décadas, las retransmisiones de correo abiertas tenían una función importante, ya que permitían la liberación de comunicaciones entre varias partes de Internet. Pero a medida que aumentaba Internet, también lo hacíamos con un apetito de correo basura fácil de explotar. Hoy en día, cada operador de correo razonable mantiene una tapa sobre quién puede utilizar sus servidores de correo y a quién puede llegar a través de esos servidores de correo. Simplemente se ha vuelto inalcanzable para funcionar en modo promiscuo. Mirando los desafíos del enrutamiento de Internet en el día más moderno, puedo ver los procedimientos recomendados para el BGP-4 siguen un camino que evoluciona con parecido.

Con eso en mente, me’gustaría instar a todo el mundo a asegurarse de que cualquier ruta propagada por los altavoces BGP en realidad son anuncios correctos, comprobando lo mejor de sus capacidades. Las instrucciones de directiva de enrutamiento diseñadas teniendo en cuenta la seguridad son lo más interesante para todos los participantes de Internet. En otras palabras: a medida que’aumenta la confiabilidad de la red, también lo hace su valor a la Internet global.

Tenga en cuenta que la seguridad del enrutamiento no es como la inmunidad a las explotaciones: las ventajas de un perímetro de enrutamiento más seguro son inmediatas y unilateral. No es necesario que una cierta cantidad de sistemas autónomos de Internet hayan implementado la validación de origen antes de que los efectos tengan una influencia positiva en el negocio. Cuando protege los límites del dominio administrativo, disfruta inmediatamente de las ventajas y tiene una ventaja competitiva comparado con aquellas redes que han aceptado involuntariamente un error de configuración o un secuestro BGP.

En RPKI validación de origen y otras prácticas recomendadas BGP seguridad de enrutamiento, parece que el pensamiento’de la industria de Internet ha “cambiado de la seguridad de” enrutamiento “es una molestia para nosotros solo nos sentimos a’culparnos si no implementamos el mínimo”de BGP filtros. Las empresas están experimentando un impacto medible positivo en las operaciones del negocio después de desarrollar una postura de seguridad de enrutamiento más sólida. ¡ Sólo usted puede proteger su red!

Me’gustaría agradecer a los autores y Juniper Networks para que realicen el primer día: Implementación de la seguridad de enrutamiento BGP disponible para la comunidad operativa. Melchior y Niels han llevado a cabo una fantástica tarea al consolidar una tonelada de tribal de conocimientos y otras fuentes de información dispares, en una guía de implementación de validación de origen de fácil lectura RPKI. Este libro le ayudará a reducir la barrera para que pueda ejecutar una red segura y sólida.

Snijders de trabajo, arquitecto de Internet, NTT Communications

Febrero de 2019