Google e sua contribuição para a segurança de roteamento na região

15/12/2022

Por Arturo Servín

Estratégia de Interconexão e Distribuição de Conteúdo Google

O problema da segurança de roteamento é complexo de resolver, requer de múltiplas ferramentas e soluções, além da participação da maioria das redes que estão interconectadas.

Para contribuir com este esforço, a Google desenvolveu sua rede para cumprir com as melhores práticas referente ao requerimento seguro da Internet. Isto implica postar e verificar que a nossa informação da Internet

Routing Registry (IRR) e Resource Public Key Infrastructure (RPKI) seja correta e esteja atualizada, bem como usar esta informação de outras redes para criar filtros que evitem problemas de segurança de roteamento.  Esperamos com isso, que a nossa rede seja mais segura e menos propensa a fugas de roubos de roteamento.

Que tipo de informação deverá ser fornecida por uma organização quando fizer um peering ou quando instalar um cache com a Rede de Distribuição de Conteúdo (CDN)? 

Para o IRR, a rede deve criar pelo menos seus objetivos de rotas, seus objetivos de ASN (sistema autônomo único) e seu maintainer (administrador). Ao prover trânsito a outros ASNs, é preciso criar um objeto de ASSET, este objeto deve ser também compartilhado em seu registro de PeeringDB. Por outro lado, para o RPKI, a rede deve criar seus ROAs (objetos firmados digitalmente para suportar segurança do roteamento) e verificar que sejam válidos para os anúncios dos prefixos enviados. Por enquanto o requerimento de IRR e RPKI é apenas para peering. Para GGC (caches colocados na rede da operadora), a Google não requer destes registros.

Para que é usado o AS-SET? O AS-SET é usado para verificar que os prefixos de um sistema autônomo de um terceiro (e.g. cliente ou ASN ‘downstream’) possam ser recebidos a través de nosso “peer” (ASN interconectado diretamente com Google.) O AS-SET deve conter todos os ASNs dos prefixos que nosso peer deseja nos anunciar. Por ser o AS-SET uma cadeia de caracteres (e.g. AS-GOOGLE) não existe relação direta entre um número de AS e este objeto que pode inferir-se ou ser obtido automaticamente. Portanto é necessário criar esta relação, usando um mecanismo externo. Hoje em dia usa-se o campo do ‘IRR as-set/route-set’ de PeeringDB para ligar ambos os objetos. Da mesma forma que o RPKI evita o roubo de origem de um prefixo, a filtração com o AS-SET evita problemas de rotas, razão pela qual é tão requerido.

Recomendações:

A pesar de muitas redes possuírem registros IRR e RPKI, detectamos que estes estão desatualizados. Ao fazerem peering (troca de tráfego) com CDNs e provedores de nuvem, a redes conseguem revisar e atualizar esta informação.

É possível utilizar diversas fontes públicas (RIS de RIPE NCC, página de BGP de Hurricane Electric, MANRS) e privadas (por exemplo: Portal do ISP do Google) que fornecem informação sobre a validez de uma rota (IRR e/ou RPKI). As redes podem seguir as indicações estabelecidas pelos MANRS e, se for possível, incorporar-se como membros.

*Esta coluna faz parte de uma série de postagens realizadas no LACNIC News sobre os CDN na região da América Latina e o Caribe.

Suscríbete para recibir las últimas novedades en tu mail Click here to subscribe receive the latest news in your inbox. Inscreva-se aqui para receber as últimas novidades no seu e-mail