A evolução do RPKI: rumo a maiores níveis de segurança no roteamento da região

25/01/2023

Com o RPKI como protagonista e de mãos dadas com processos mais simples e
iniciativas de grandes empresas e provedores de conteúdo, as políticas de roteamento na região avançam. No entanto, é necessário o envolvimento de mais operadoras para atingir margens de segurança ideais.

Nos últimos anos, a adoção de políticas de roteamento vem crescendo: isso é uma boa notícia para todo o ecossistema da Internet, mas ainda há um longo caminho a percorrer.

Segundo Carlos Martínez, CTO do LACNIC, as operadoras da região não deveriam ignorar os riscos de não fazer nada em relação aos problemas de segurança de roteamento. “Embora entre 2021 e 2022 observamos uma evolução no crescimento das medidas que as operadoras têm tomado -principalmente no RPKI (Resource Public Key Infrastructure)- a realidade é que muitos ainda não fizeram nada: cerca da metade dos nossos associados ainda não expressou publicamente sua política de roteamento”, diz.

A base do roteamento é o protocolo automatizado BGP (Border Gateway Protocol) encarregado de fornecer endereços para que o tráfego viaje de um endereço IP até seu destino sob a premissa de fazê-lo da forma mais eficiente possível. O problema é que o BGP não incorpora por si só mecanismos para verificar o direito de uso dos recursos IP por parte de uma organização.

É assim que surgem cenários pouco seguros em relação ao roteamento: o sequestro de rotas (route hijacks) e o vazamento de rotas (route leaks).

O sequestro do BGP ocorre quando uma rede afirma falsamente saber como chegar a destino, desviando assim uma parte do tráfego que passa por ela. Embora na maioria desses casos os motivos sejam erros, também há malícia derivada de analisar, modificar ou eliminar o tráfego causando um ataque de negação de serviço. “Existem casos recentes desse tipo de ataque a exchanges de criptomoedas: apreendem uma parte do tráfego e eliminam a capacidade do blockchain de gerar consenso. Vale lembrar que há muito dinheiro comprometido com esse tipo de ataques”, destaca Martínez.

No caso do vazamento de rotas, trata-se da propagação de anúncios de roteamento mais além do escopo pretendido.  “A rede anuncia que pode chegar a um destino ao que não consegue chegar, mas também acrescenta que o caminho que tem para chegar é melhor do que qualquer outro que exista. Quando o tráfego é enviado, este se perde porque efetivamente não sabe qual é o caminho. Em geral, são erros de configuração do sistema autônomo de origem; porém, tecnologicamente, esse caso é um pouco mais difícil de mitigar do que o sequestro de rotas”, explica Martínez.

Da LoA para o RPKI: o caminho das políticas de roteamento

Para verificar se as informações recebidas pelo BGP são legítimas, diversas técnicas foram usadas ao longo dos anos, começando pelas LoA (Letter of Authorization), um documento oficial de um prestador de serviços ou cliente que autoriza um terceiro a ter acesso às informações desse cliente de um provedor de telecomunicações.

“Basicamente, em um documento como esse, alguém está se responsabilizando por todas as rotas. Talvez, a nota colorida seja que se trata de uma carta em PDF com assinatura escaneada, uma situação inusitadamente precária”, enfatiza Martínez.

Por muitos anos, a Internet foi alimentada por LoA. “Vale ressaltar que aqui não há checagem digital ou qualquer automação: a conexão de duas redes é apenas mediada por um papel que anuncia as rotas, com as enormes possibilidades de erro que isso acarreta”, descreve Martínez.

Hoje existe maior sensibilidade quanto aos perigos deste procedimento embora prevaleçam como formalidade administrativa nas empresas.

Os Internet Routing Registry (IRR), por sua vez, são um banco de dados que permite a uma operadora expressar sua política de roteamento e expô-la publicamente de forma que outros atores no sistema de roteamento da Internet possam usar essas informações para configurar seus equipamentos.

Martinez explica que os IRR são marginalmente melhores do que uma LoA porque são uma descrição de roteamento escrita em uma linguagem processável automaticamente e que pode se transformar em configuração de roteadores. “Elimina-se de alguma forma o erro humano, mas em termos estritos, o IRR clássico tem muito potencial para falsificação porque é um arquivo de texto hospedado que se presta à criação de objetos não autênticos sem autorização”, aponta Carlos.

O RPKI, por sua vez, é uma infraestrutura de chave pública que fornece mais ferramentas a um provedor para verificar o direito de uso de um recurso da Internet por parte de um cliente. Incorpora os ROA (Route Origin Attestations), objetos assinados digitalmente que descrevem uma associação entre um conjunto de prefixos (IPv4 ou IPv6) e o sistema autônomo autorizado para originar esses prefixos em anúncios BGP.  Dessa forma, é possível comparar as informações recebidas pelo BGP com as definições contidas nos ROA do RPKI de forma automática.

Mais um degrau de segurança

Para Martínez, o RPKI permite mais um degrau de segurança porque elimina em grande parte o erro humano do processo de configuração de roteamento. Além disso, destaca-se o papel fundamental de atores como o LACNIC. “Somos garantia de confiança para todo o sistema. Nossos esforços estão voltados para a verificação da validade de todas as certidões dos nossos associados e a exigência de toda a documentação necessária para validá-las”, explica.

Daí a importância e insistência de que as operadoras da região ativem suas políticas de roteamento. “Alcançar um crescimento na cobertura de validação no espaço IP anunciado pelos associados do LACNIC e, com isso, uma operação melhor e mais estável, depende em parte de mais associados nossos criarem objetos ROA em nosso sistema”, destaca.

Da análise realizada pelo LACNIC, pode-se deduzir que os objetos criados no IRR foram os que mais cresceram, mais de 200%. “De um lado, porque voltaram a estar na moda e porque nós desenvolvemos um software que torna a gestão muito simples”, afirma.

Além disso, nos últimos anos, a adoção do RPKI cresceu globalmente. “No LACNIC, vemos isso, principalmente no último ano, entre os nossos associados”, disse Martínez.

Há vários motivos subjacentes, um deles relacionado à atuação de grandes empresas. Recentemente, grandes operadoras como a NTT ou AT&T, e provedores importantes de conteúdo como o Cloudflare, começaram a descartar os anúncios BGP inválidos em relação às informações do RPKI. 

No mesmo sentido, uma coisa interessante que Martínez destaca é que no final de 2020 algumas das grandes provedoras de conteúdo como o Netflix e Google começaram a exigir que, se quiser trocar tráfego diretamente com eles, deve ter alguma proteção de roteamento configurada, o IRR ou preferencialmente o RPKI. “Quando os grandes provedores de conteúdo começaram a pedi-lo, nós notamos claramente um número muito grande de objetos criados em ambos os casos”, esclarece Martínez.

Outro motivo para o aumento do RPKI tem a ver com a simplificação do processo no nível tecnológico. No entanto, aqui soa um alarme: a importância de verificar que as informações definidas no RPKI por cada organização sejam as corretas. No caso de ter ROA mal criados, a conectividade com operadoras importantes poderia eventualmente ser perdida, daí a importância de políticas de roteamento precisas.

Martínez aponta que uma das grandes surpresas com que se deparam é o desconhecimento que às vezes as operadoras têm de sua própria rede. “Para poder criar os ROA adequadamente, é necessário conhecer a sua própria rede ou identificar informações que às vezes se perdem dentro da organização. Os ROA devem acompanhar efetivamente a sua política de roteamento.”

Por sua vez, existem propostas no IETF que apresentam possíveis extensões para as funcionalidades básicas do RPKI.Todos esses são sintomas da aceitação que o RPKI está tendo nas operadoras para garantir a segurança do roteamento global. Uma das coisas que se tornaram mais importantes são as técnicas chamadas ASPA, porque embora o sequestro de rotas está bastante bem resolvido com o RPKI, no caso de vazamentos há muito a ser feito, por isso se está trabalhando para adicionar funcionalidades nesse sentido”, diz Martínez.

À medida que mais e mais operadoras declaram publicamente sua política de roteamento, a segurança do roteamento na América Latina e o Caribe atinge novos níveis. “Além de o processo ser cada vez menos complexo, em algum momento pode se tornar uma exigência, como está acontecendo entre as grandes operadoras de conteúdo. Por que fazer com pressa se pode ser feito de forma proativa?”, finaliza Martínez.

Os associados diretos do LACNIC e os associados do México podem acessar o portal Mi LACNIC para criar seus ROA. Os associados do Brasil devem fazer o processo por meio das ferramentas disponibilizadas pelo NIC.BR .

Suscríbete para recibir las últimas novedades en tu mail Click here to subscribe receive the latest news in your inbox. Inscreva-se aqui para receber as últimas novidades no seu e-mail