Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

Introducción a la seguridad de enrutamiento

 

Los ISP conectan sus redes entre sí e intercambian información de enrutamiento mediante el protocolo BGP. A medida que crece la importancia de Internet, la calidad y la seguridad del enrutamiento de Internet se han convertido en críticas.

Este día empezó un libro como una descripción de cómo implementar la validación de ruta con RPKI, para que sea más fácil de implementar mediante recetas probadas. Pero una vez que empezamos a escribir sobre RPKI, descubrimos que la Directiva de enrutamiento en las redes de los ISP es mucho más extensa que la RPKI por sí sola. Por lo tanto, el alcance de este libro va más allá de la RPKI; también puede ayudarle a configurar las políticas de enrutamiento para todas las rutas que puede aceptar en su red.

Note

Si sólo va a leer este libro porque desea implementar RPKI – y se’siente satisfecho con el resto de las directivas – de enrutamiento, puede saltarse los capítulos 2 y 4. Sin embargo, para asegurar totalmente la tabla de enrutamiento, siga y lea todo el libro. Puede que encuentre una o dos sugerencias útiles en los capítulos que no son de RPKI.

Ya esté amenazado por ataques de denegación de servicio (DDoS) distribuidos, secuestros ‘de’ prefijo o solo fugas de ruta involuntarias, su red debe proporcionar estabilidad y accesibilidad a Internet. La mayoría de los incidentes de enrutamiento son involuntarios y debidos a errores de configuración, y lamentablemente, todos los ingenieros de red sufren el síndrome de la huella FAT cada vez y luego. Considere la posibilidad de implementar la seguridad de enrutamiento no solo para proteger su propia red, pero quizás, incluso más, para ayudar a otros a proteger sus equipos.

Tradicionalmente, los cortafuegos y los sistemas de IDS/IPS se han distribuido para proteger la red, actuando en el tráfico que llega desde Internet. Esto significa que ‘el tráfico’ malo ya ha llegado a su red antes de que pueda rechazarla y que los ‘malos’ se comunican con sus servidores antes de que pueda detenerla. Es posible que se necesiten inversiones adicionales para filtrar el tráfico limpio del tráfico incorrecto.

Cuando se aprovecha la seguridad de enrutamiento, la red no puede ‘comunicarse completamente’ con actores erróneos en primer lugar, lo que permite ofrecer a sus clientes un servicio más fácil y sostenible de forma más económica. Cuanto antes detenga la amenaza, mejor. Si implementa los métodos correctos, es posible que no deje que estas amenazas lleguen a su red, pero puede impedir que la red alcance un prefijo no válido, lo que hace imposible establecer una comunicación bidireccional completa. Por lo tanto, la implementación de la seguridad de enrutamiento dificultará la propagación de las amenazas.

Este libro se habla mucho de la configuración de los enrutadores BGPs que conforman el perímetro de una red DFZ. Aceptan rutas a través de BGP sesiones con clientes, proveedores de tránsito y colegas. También anuncian las rutas que se originan en su red’ y en las redes de sus clientes. Un anuncio de ruta consta, entre otras cosas, de una combinación de prefijo, longitud de prefijo, origen como (sistema autónomo) y ruta de acceso. La seguridad de enrutamiento tiene como objetivo reducir el número de anuncios potencialmente no válidos que acepta la red al rechazar de forma activa anuncios de rutas no válidas, y asegurando que sólo se anuncien los prefijos correctos.

Este libro reúne algunas de las mejores prácticas actuales para implementar la seguridad de enrutamiento. Puede mejorar en gran medida la estabilidad y la seguridad de su red, y quizás sea más importante la estabilidad y la calidad de Internet mediante su uso.

¡ La filtración y rechazo de rutas es buena!

Una de las primeras preocupaciones que hay que tener en cuenta cuando se piensa en filtrar y rechazar rutas de BGP es: Si rechazamos una ruta, sin duda la red ¡ ya no podrá tener acceso a toda Internet?! Aunque esto podría ser cierto, rechazar rutas no válidas es realmente algo positivo. ’No se preocupe, ya que no se puede tener acceso a la parte de Internet. En su lugar, considere que dejar claras las rutas no válidas de su tabla de enrutamiento significa que puede hacer que su red no sea inmune a (probablemente no intencionada) anuncios de ruta incorrectos, así como a través de secuestros de direcciones IP (intencionales).

Otra forma de pensar en esto es que muchas de las rutas no válidas que rechazará son anuncios fortuitos (errores tipográficos) y, de hecho, rechazarlos, hace que el destino previsto sea alcanzable, en lugar de hacer que no se pueda llegar a un destino imprevisto. En este caso, rechazar la ruta realmente garantiza la posibilidad de alcanzar el acceso. Y, en el caso de los secuestros intencionados del prefijo – , es obvio que no desea aceptarlos en primer lugar. Por lo tanto, la única opción es rechazar rutas no válidas y hacer que la tabla de enrutamiento sea estable y segura.

Como ejemplo, supongamos que ha recibido una ruta para a/16 del proveedor de tránsito y que un interlocutor le envía una sola/24 que se encuentra en el/16. Si se trata de un anuncio de ruta legítima y sus políticas lo aceptaran, enviará el tráfico a ese interlocutor en lugar de al tránsito, lo que puede ser su intención. Sin embargo, si la ruta es un error o una apropiación, aceptarla significa que realmente se hará desconectarse correctamente/24 aceptando esa ruta. Por lo tanto, rechazar las rutas no significa automáticamente que no se pueda tener acceso a las partes de Internet.

Al implementar RPKI, muchos administradores de red deciden aceptar RPKI rutas no válidas independientemente, pero con una menor preferencia local. Esto no hace nada absolutamente para que la tabla de enrutamiento sea más segura: Si la ruta no válida es más específica de la ruta correcta, siempre ganará. Ésta es la naturaleza de BGP. La única manera de implementar RPKI correctamente es rechazando rutas no válidas.

La implementación de la seguridad’de enrutamiento constituye una sola solución de casilla de verificación. En su lugar, es una colección de políticas de enrutamiento, filtros y fuentes externas, como las herramientas de validación ROA y RPKI. Las directivas de enrutamiento son un método para influir en el comportamiento predeterminado de un protocolo de enrutamiento. En este caso, está intentando influir en el comportamiento predeterminado de BGP.

Junto a las directivas, que contienen filtros estáticos o semiestáticos, la seguridad de enrutamiento depende de fuentes externas de información, como las que ofrecen los registros regionales de Internet (RIRs). En los casos en los que se mencionan herramientas RIR, este libro utiliza RIPE (www.RIPE.net) como ejemplo. Obviamente, hay otras RIRs (https://en.wikipedia.org/wiki/Regional_Internet_registry) que tienen más o menos las mismas bases de datos y herramientas disponibles. Los orígenes de validación ROA y RPKI son ejemplos típicos de orígenes externos que se aprovechan en este manual.

Registros de enrutamiento de Internet

La información de enrutamiento se almacena en los registros de enrutamiento de Internet (IRRs). Cada uno de los RIRs ofrece su propia IRR. Además, existen IRRs de terceros, algunos son comerciales y otros están disponibles de manera gratuita. Cuando recibe una asignación de dirección IP del RIR, puede crear un objeto Route en una IRR para ‘conectar’ su asignación de direcciones IP con su número as.

Pero, lo ha adivinado, hay un problema. Aunque los IRRs son bastante confiables, no todos los datos que contienen se garantiza que sean correctos. En algunos IRRs puede crear objetos sin comprobaciones de ningún tipo para asegurarse de que la información es correcta.

Desafortunadamente, en muchos casos el IRRs sigue proporcionando los mejores datos, incluso aunque los datos no sean totalmente correctos. En la mayoría de los casos, los datos son suficientemente buenos y mejor que nada. Por lo tanto, seguimos utilizando los datos de TIR según sea necesario, pero usarán información más fiable cuando y si está disponible.

Filtrar manualmente unos cuantos clientes descendentes o colegas con filtros estrictos puede ser trivial, pero filtrar cientos o miles de clientes cuya lista de prefijos cambia por un puñado’de distribuciones dos veces por semana. Especialmente si va a utilizar orígenes TIR para crear filtros, el proceso resultará muy lento. Por lo tanto, no tocaré el filtrado de TIR manual en los siguientes capítulos, pero encontrará algunas sugerencias y trucos acerca de’cómo se realiza con las secuencias de comandos del apéndice.

RPKI

Hoy en día, existen cientos de miles de anuncios de enrutamiento en Internet y el Magic millones no se encuentra lejos. Muchos de estos anuncios no son válidos. El error de enrutamiento más común que se ve es la pérdida de ruta accidental o la incorrecta de un prefijo, lo que significa que alguien anuncia involuntariamente un prefijo IP del que no es propietario o que anuncia una ruta más específica sin un objeto de enrutamiento válido en una base de datos rir. Estos errores podrían hacer que BGP enrutadores seleccionaran una ruta que no está prevista ya que no conduce a la red del verdadero propietario del espacio IP. Como respuesta (parcial) a este problema, RPKI ofrece BGP validación de origen. La pregunta a la que intenta responder es: “¿Está autorizado este anuncio de ruta en particular por el titular legítimo del espacio de dirección?”

Debe tenerse en cuenta que RPKI no valida todo como ruta de acceso AS. Solo le informará si el usuario original puede anunciar ese prefijo específico. A partir de este punto de escritura, no hay una buena forma de validar todo como ruta de acceso. Se está realizando el trabajo en IETF para obtener un mecanismo para resolver este problema, y estos borradores pueden encontrarse aquí: https://datatracker.ietf.org/doc/draft-ietf-Grow-RPKI-as-cones/ y aquí: https://tools.ietf.org/ html/draft-azimov-sidrops-aspa-verification-01.

RPKI permite a los operadores de red crear instrucciones acerca de los anuncios de ruta a los que autorizan, que se pueden validar criptográficamente con los prefijos que contienen. Estas instrucciones se denominan autorizaciones de origen de ruta (ROAS). Un ROA Estados que está autorizado para originar un determinado prefijo de dirección IP. Además, puede determinar la longitud máxima del prefijo que el AS está autorizado a anunciar. En función de esta información, otros operadores de red pueden tomar decisiones de enrutamiento.

El uso del sistema RPKI requiere por completo una acción en dos partes:

  1. El titular legítimo de un prefijo IP crea un certificado, o ROA, indicando los que encargaron que sus prefijos se anunciarán (se originaron) desde y la longitud máxima permitida para los prefijos.

    Note

    Solo el propietario de la asignación de direcciones IP puede crear un ROA para esta asignación. Esto es más confiable que los datos de TIR.

  2. Otros operadores de red pueden establecer sus políticas de enrutamiento en función de la RPKI validez de los anuncios de ruta cuando los compara con los ROAs que se crearon. Estas son las políticas de enrutamiento que finalmente rechazarán anuncios no válidos.

En lo que se refiere al paso 1 anterior (crear ROAs para sus propias asignaciones IP), puede pasar al portal web de su RIR. Para los fines de este libro, que es el LIR portal de NCC RIPE, donde puede crear fácilmente su ROAs y que ofrece un método fácil de usar para mostrar sus anuncios de BGP actuales, y confirmar si éstos son los anuncios exactos para los que desea crear un ROA. Confirmar esta elección y publicar el ROAs resultante es todo lo que tiene que hacer.

Si todavía no ha creado ROAs para cubrir su espacio de IP, hágalo ahora. La creación de ROAs para su espacio de IP significa que otras redes no podrán secuestrar sus prefijos IP – de forma más o más precisa, que estas redes que han implementado RPKI rechazarán esos secuestros.

Para el paso 2 (instalación y ejecución de un validador que comprobará el ROAs de otras redes), siga leyendo’y detendremos la incorporación.

RPKI es una infraestructura de claves públicas, y cualquier parte puede optar por configurar una autoridad de certicate (CA) y alojarla en sus propios servidores. Para que sea más fácil empezar con RPKI, RIRs ofrece entidades de certificación que se alojan con facilidad para el espacio IP que pertenecen a sus miembros. Los ROAs se almacenan en las entidades emisoras, los anclajes de veracidad, ejecutados por el RIRs. Un ROA es un archivo de texto sin formato que contiene información cifrada y se descarga desde el anclaje de veracidad a un validador, que se ejecuta en su propia red. A continuación, el validador se comunica con los enrutadores para que puedan tomar decisiones de directiva de enrutamiento basadas en la información de RPKI recibida desde el validador.

Cuando una ruta RPKI no es válida, significa que la ruta anunciada (el prefijo IP, la longitud máxima del prefijo y el número de sistema autónomo en el que se origina) no se corresponde con el certificado creado. Por ejemplo, AS123 creó un certificado que se permitía anunciar 1.1.0.0/22, pero en su lugar recibirá 1.1.0.0/22 de AS456. Dado que no hay ningún certificado, la ruta de AS456 no es válida y no debe aceptarse en la tabla de enrutamiento (incluso si la ruta AS es más corta o si la preferencia local es mayor que en la ruta de AS123). Esto se conoce como validación de origen BGP.

Participar en su NOG local

En este manual, puede’encontrar casos de uso comprobados para hacer que su red sea más segura. Los autores las utilizan en las redes de producción y han comprobado que funcionan en el momento en que se escribe este escrito. Sin embargo, todo no siempre se mantiene igual. Los nuevos avances conducen a nuevas características de nuestro’ software de enrutadores. El software existente puede tener errores que deben solucionarse. En el mundo de BGP redes, es importante mantenerse informado acerca de los cambios. Nuestro Consejo, en este sentido, es ponerse en – contacto – con su grupo local de operadores’ de red (Nog). Algunos NOGs han estado ahí durante años y años (como www. Nanog.org o www.nlnog.net) y tienen conferencias y otros eventos regulares. Otras NOGs pueden ser más pequeñas y estar compuestas solo por una lista de correo o canal IRC. Independientemente de la NOG que pueda ofrecer el área, merece la pena participar.

Algunos casos de uso de este libro se han tomado de la guía de filtrado de BGP de NLNOG, que se puede encontrar en http://bgpfilterguide.nlnog.net. Este sitio web se actualiza periódicamente a medida que se encuentran nuevas maneras de proteger Internet. Es recomendable que revisemos cada uno de estos momentos y, a continuación, implementemos nuevas recomendaciones que encuentre.

Conclusión

Las redes necesitan una tabla de enrutamiento segura para mantener alejado el tráfico. Una tabla de enrutamiento segura no contiene rutas erróneas o no válidas. Para lograr esto lo más fielmente posible, hay varias maneras de filtrar los anuncios de ruta, como la implementación de políticas, o el uso de RPKI.

El filtrado y el rechazo de rutas no tienen miedo y, por lo general, no causan problemas de accesibilidad: en casos de secuestros BGP obvios, rechazar las rutas es undeniably bueno y, en caso de que alguien haya cometido un error tipográfico en el anuncio de la ruta, el rechazo de la ruta realmente permitirá alcanzar el alcance en lugar de entorpecerla.

Ahora vamos’a empezar a proteger la tabla de enrutamiento.