{"id":3097,"date":"2021-03-03T10:50:15","date_gmt":"2021-03-03T14:50:15","guid":{"rendered":"http:\/\/arielantigua.com\/weblog\/?p=3097"},"modified":"2021-03-03T10:50:56","modified_gmt":"2021-03-03T14:50:56","slug":"seguridad-de-enrutamiento-como-estamos-y-como-debemos-estar","status":"publish","type":"post","link":"https:\/\/arielantigua.com\/weblog\/2021\/03\/seguridad-de-enrutamiento-como-estamos-y-como-debemos-estar\/","title":{"rendered":"Seguridad de Enrutamiento, como estamos y como debemos estar."},"content":{"rendered":"<p><strong>Nota<\/strong>: Esto es un post que esta publicado en el portal de ISCO-Dominicana, he decidido publicarlo aqui tambien y asi poder relacionarlo con otros proyectos que tengo en lista.<\/p>\n<p><strong>Seguridad de Enrutamiento, como estamos y como debemos estar.<\/strong><\/p>\n<p>Cada d\u00eda la infraestructura de Internet es atacada de formas que no imaginamos, en los \u00faltimos a\u00f1os hemos visto como personas y\/o organizaciones buscan la manera de lucrarse aprovechando las debilidades en la infraestructura de Internet ya sea apoder\u00e1ndose de recursos o haciendo que estos recursos no est\u00e9n disponibles para los usuarios.<\/p>\n<p>Muchos sabemos el origen de Internet, en sus primeros a\u00f1os nadie imagino que esta plataforma seria lo que es hoy y por esto, muchos de los protocolos que son pilares de Internet no cuentan con la seguridad necesaria para prevenir que un atacante pueda causar da\u00f1os a la infraestructura que lo forma. Aunque en sus inicios estos protocolos no ten\u00edan esa seguridad que deseamos no quiere decir que no se han creado las medidas para protegerlos.<\/p>\n<p><!--more--><\/p>\n<p>En este caso nos enfocaremos en BGP (Border Gateway Protocol) Protocolo de ruteo de borde.<\/p>\n<p>Este es uno de esos protocolos que se cre\u00f3 para resolver un problema espec\u00edfico, es un protocolo mediante el cual se intercambia informaci\u00f3n de encaminamiento entre sistemas aut\u00f3nomos. Por ejemplo, los proveedores de servicio registrados en Internet suelen componerse de varios sistemas aut\u00f3nomos y para este caso es necesario un protocolo como BGP.<\/p>\n<p><strong>\u00bfQue podemos hacer para ayudar a proteger la Internet?<\/strong><\/p>\n<p>Existen varios proyectos que nos brindan las herramientas y pasos necesarios para colaborar con el aseguramiento de la infraestructura de Internet. En esta ocasi\u00f3n estaremos hablando sobre MANRS.<\/p>\n<p><strong>\u00bfQu\u00e9 es MANRS?<\/strong><\/p>\n<p><strong>MANRS<\/strong> (por sus siglas en ingl\u00e9s) son Normas Mutuamente Acordadas para la Seguridad del Enrutamiento.<\/p>\n<p>Es una iniciativa de la <strong>Internet Society<\/strong> que provee pasos espec\u00edficos los cuales nos ayudaran a asegurar la informaci\u00f3n de enrutamiento en nuestros equipos gracias a las cuatro normas sugeridas.<\/p>\n<ul>\n<li>Filtros<\/li>\n<li>Anti-spoofing<\/li>\n<li>Coordinaci\u00f3n<\/li>\n<li>Validaci\u00f3n Global<\/li>\n<\/ul>\n<p>Las acciones anteriores son especificas para operadores de red que cuentan con ASN y tienen infraestructura BGP.<\/p>\n<p>En nuestro caso estaremos trabajando en base a las acciones desarrolladas para los IXP.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" width=\"1174\" height=\"665\" class=\"wp-image-3098\" src=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image.png\" srcset=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image.png 1174w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-300x170.png 300w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-1024x580.png 1024w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-768x435.png 768w\" sizes=\"auto, (max-width: 1174px) 100vw, 1174px\" \/><\/p>\n<p>La primera acci\u00f3n ser\u00e1 el filtrado de rutas, con esta acci\u00f3n se logra prevenir la propagaci\u00f3n de informaci\u00f3n de enrutamiento incorrecta hacia los participantes, para cumplir con dicha acci\u00f3n debemos hacer cambios en el Servidor de Rutas (routeserver).<\/p>\n<p>Primero debemos entender que hace un routeserver antes de proceder con el aseguramiento de este.<\/p>\n<p>El routeserver en una red de Peering juega un papel importante ya que simplifica la cantidad de configuraciones de los participantes y ayuda con el Peering unilateral, si todos hacen Peering con el routeserver, todos tendr\u00e1n visibilidad de las rutas de cada participante. En los \u00faltimos a\u00f1os a incrementado la tendencia de usar implementaciones basadas en software para as\u00ed eliminar equipos f\u00edsicos que a veces no eran lo suficientemente r\u00e1pidos para distribuir la informaci\u00f3n de Peering entre todos los participantes.<\/p>\n<p><strong>\u00bfComo funciona un routeserver?<\/strong><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" width=\"715\" height=\"542\" class=\"wp-image-3099\" src=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-1.png\" srcset=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-1.png 715w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-1-300x227.png 300w\" sizes=\"auto, (max-width: 715px) 100vw, 715px\" \/><\/p>\n<p>Las sesiones BGP se realizan a RS1 y RS2, sin embargo, estos servidores no intervienen en el tr\u00e1fico entre los participantes.<\/p>\n<ul>\n<li>Trafico de Control-Plane es manejado por los routeserver, este es el tr\u00e1fico con informaci\u00f3n de prefijos y n\u00fameros aut\u00f3nomos.<\/li>\n<li>Trafico de Data-plane fluye directamente entre los participantes.<\/li>\n<\/ul>\n<p>Los routeserver son el punto donde debemos aplicar seguridad para proteger la informaci\u00f3n distribuida entre los participantes, estas son las ventajas que recibimos si aplicamos filtros en los routeservers:<\/p>\n<ul>\n<li>Forzamos a participantes maliciosos a dejar rastros en los IRR, si no existen registro IRR los prefijos son denegados.<\/li>\n<li>Reforzamiento de higiene b\u00e1sica en la red de Peering: no se permiten bogon ASN o prefijos bogon.<\/li>\n<\/ul>\n<p>La buena noticia es que, para realizar las acciones recomendadas por MANRS en los IXP, existen plataformas OpenSource que facilitan dichas configuraciones en los routeserver. <a href=\"https:\/\/www.ixpmanager.org\/\"><strong>IXP Manager<\/strong><\/a> es la plataforma en la que basaremos las recomendaciones a continuaci\u00f3n.<\/p>\n<p><a href=\"https:\/\/www.ixpmanager.org\/\">IXP Manager<\/a> soporta RPKI, esto significa que al instalar y configurar esta plataforma en nuestro IXP y por supuesto activar la opci\u00f3n de RPKI, estamos m\u00e1s cerca de cumplir con la primera recomendaci\u00f3n de MANRS.<\/p>\n<p>Activar RPKI en los routeserver no resuelve nuestro problema de manera inmediata ya que primero debemos iniciar una campa\u00f1a de concientizaci\u00f3n para que todos los participantes con direcciones IP (v4 o v6) usen esta opci\u00f3n la cual LACNIC tiene disponible desde hace varios a\u00f1os, mientras tanto nos apoyaremos en IRR.<\/p>\n<p><strong>Habilitemos RPKI en nuestros prefijos.<\/strong><\/p>\n<p>Tener RPKI en un prefijo (IPv4 o IPv6) es tan f\u00e1cil como ir al portal de RPKI de LACNIC y generar el certificado.<\/p>\n<p><a href=\"https:\/\/rpki.lacnic.net\/\">https:\/\/rpki.lacnic.net\/<\/a><\/p>\n<p>Una vez generado el certificado de RPKI, tendremos informaci\u00f3n parecida a:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" width=\"733\" height=\"225\" class=\"wp-image-3100\" src=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-2.png\" srcset=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-2.png 733w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-2-300x92.png 300w\" sizes=\"auto, (max-width: 733px) 100vw, 733px\" \/><\/p>\n<p>Usando la aplicaci\u00f3n whois en el terminal de un equipo Linux, podremos hacer una petici\u00f3n para validar que esta firma RPKI esta siendo distribuida en Internet.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" width=\"960\" height=\"240\" class=\"wp-image-3101\" src=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-3.png\" srcset=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-3.png 960w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-3-300x75.png 300w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-3-768x192.png 768w\" sizes=\"auto, (max-width: 960px) 100vw, 960px\" \/><\/p>\n<p><strong>\u00bfQu\u00e9 pasa si no tengo RPKI y planeo habilitarlo m\u00e1s adelante?<\/strong><\/p>\n<p>En ese caso usaremos IRR para validar que los prefijos anunciados por un participante corresponden a este, este m\u00e9todo no es tan seguro como RPKI, sin embargo, aporta seguridad a la informaci\u00f3n de enrutamiento que se distribuye.<\/p>\n<p><strong>IRR (Internet Routing Registry)<\/strong>, es una herramienta con m\u00e1s tiempo y con mejor adopci\u00f3n que RPKI, actualmente existen varios registros de este tipo, algunos libre para usar y otros de pago. La siguiente imagen muestra informaci\u00f3n registrada en RADB para el prefijo 200.1.154.0\/24.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" width=\"408\" height=\"150\" class=\"wp-image-3102\" src=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-4.png\" srcset=\"https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-4.png 408w, https:\/\/arielantigua.com\/weblog\/wp-content\/uploads\/2021\/03\/word-image-4-300x110.png 300w\" sizes=\"auto, (max-width: 408px) 100vw, 408px\" \/><\/p>\n<p>\u00bfQu\u00e9 significan estos valores?<\/p>\n<ul>\n<li>route: hace referencia al bloque en cuesti\u00f3n.<\/li>\n<li>descr: una descripci\u00f3n enviada por la persona o sistema que registro la informaci\u00f3n en el IRR.<\/li>\n<li>origin: el Numero Aut\u00f3nomo que esta permitido a originar rutas relacionadas a este prefijo.<\/li>\n<li>notify: dato de contacto en caso de anomal\u00edas.<\/li>\n<li>changed: \u00faltimo cambio realizado (por quien y cuando).<\/li>\n<li>source: el IRR de donde sali\u00f3 esta informaci\u00f3n.<\/li>\n<\/ul>\n<p>Actualmente LACNIC no cuenta con IRR, en varias ocasiones se ha hablado del tema y se espera que se habilite dicha opci\u00f3n y que est\u00e9 disponible para los miembros como un servicio agregado a la membres\u00eda. Por esta raz\u00f3n estaremos usando RADB (de pago) o ALTDB (gratuito).<\/p>\n<p>En nuestro caso, veremos como hacerlo con ALTDB. Esta es una plataforma de IRR administrada por la comunidad de operadores de redes, en su mayor\u00eda ubicados en Estados Unidos. Administrar prefijos en un IRR es un tema con mucha informaci\u00f3n y por esta raz\u00f3n prefiero dejar un documento desarrollado espec\u00edficamente para ALTDB, en este documento se explica como mantener nuestros recursos en este IRR.<\/p>\n<p>A Quickstart Guide to Documenting Your Prefixes with IRR<\/p>\n<p><a href=\"https:\/\/fcix.net\/whitepaper\/2018\/07\/14\/intro-to-irr-rpsl.html\">https:\/\/fcix.net\/whitepaper\/2018\/07\/14\/intro-to-irr-rpsl.html<\/a><\/p>\n<p><strong>\u00bfQu\u00e9 sucede cuando prefijos no son aceptados por RPKI inv\u00e1lidos o IRR incorrectos?<\/strong><\/p>\n<p>En estos casos se pretende marcar estos prefijos con comunidades informativas para que los participantes puedan determinar la raz\u00f3n y actuar en base a esta informaci\u00f3n.<\/p>\n<p>Usando IXP Manager se puede consultar esta informaci\u00f3n en el portal de usuario, en este portal tendremos acceso a plataforma de Looking Glass.<\/p>\n<p>Un Looking Glass no es m\u00e1s que una herramienta con la cual podemos ver informaci\u00f3n desde el punto de vista de los routeserver y que pasa con los prefijos que los routeserver reciben de los participantes.<\/p>\n<p>Los beneficios de tener una infraestructura de IXP organizada y segura van desde un Internet seguro a mejor infraestructura como pa\u00eds. Internet es una plataforma de la cual todos dependemos y si creamos mecanismos no solo de seguridad si no tambi\u00e9n de transparencia y comunicaci\u00f3n, podremos lograr que nuestra infraestructura apoye proyectos como el trabajo remoto y telemedicina por mencionar solo dos.<\/p>\n<p>Debemos formar un grupo de operadores de red que velemos por la estabilidad de nuestro Internet y lograr que la comunicaci\u00f3n entre los miembros de nuestro IXP sea transparente para impedir que personas maliciosas puedan vulnerar los servicios en red que usamos d\u00eda a d\u00eda.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nota: Esto es un post que esta publicado en el portal de ISCO-Dominicana, he decidido publicarlo aqui tambien y asi poder relacionarlo con otros proyectos que tengo en lista. Seguridad de Enrutamiento, como estamos y como debemos estar. Cada d\u00eda la infraestructura de Internet es atacada de formas que no imaginamos, en los \u00faltimos a\u00f1os [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,7,34],"tags":[146],"class_list":["post-3097","post","type-post","status-publish","format-standard","hentry","category-bgp","category-general","category-networking","tag-manrs"],"_links":{"self":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/3097","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/comments?post=3097"}],"version-history":[{"count":0,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/posts\/3097\/revisions"}],"wp:attachment":[{"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/media?parent=3097"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/categories?post=3097"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/arielantigua.com\/weblog\/wp-json\/wp\/v2\/tags?post=3097"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}