O desafio de ampliar a base de recursos certificados na região do LACNIC

14/07/2022

Por Carlos Martínez – CTO do LACNIC

Há 13 anos que o LACNIC promove ativamente a adoção do RPKI (Resource Public Key Infrastructure, por suas siglas em inglês), uma infraestrutura de chave pública que contém certificados digitais que permitem aos titulares dos recursos de numeração provar que estão realmente autorizados a anunciar esses prefixos.

No âmbito da Semana do RPKI da Internet Society, participamos do painel sobre adoção do RPKI no qual compartilhamos as ações desenvolvidas pelo LACNIC que permitiram alcançar hoje 40% dos recursos certificados na região da América Latina e o Caribe. No entanto, devemos avançar no uso do RPKI para que o sistema de roteamento fique totalmente protegido. Para isso, é necessário chegar o mais próximo possível a 100% de cobertura.

Quando falamos da implementação do RPKI na nossa região, há dois objetivos diferentes que geram confusão e que é preciso distinguir. Um deles é a certificação e criação de ROA dentro do PKI cujo público são todas as operadoras de redes e associados do LACNIC. O outro é a implementação da função de validação de origem (ROV, por suas siglas em inglês) nos equipamentos de infraestrutura por parte das grandes operadoras ou carriers.

A função ROV usa as informações inseridas no RPKI pelos associados para validar que os anúncios recebidos pelo BGP representam a vontade de seus titulares. Aqueles que não passam neste teste são descartados.

Esta distinção é importante porque temos uma grande assimetria no tamanho dos associados do LACNIC. Em muitos dos casos, as organizações tinham certa relutância de começar a criar objetos no RPKI porque achavam que seria inútil se as grandes operadoras não implementassem por sua vez a validação de origem.

Assim começamos a trabalhar com colegas da região. Em 2012 tivemos o caso do NAP Equador que estava muito interessado em usar o RPKI não apenas para melhorar sua postura de segurança, mas também para resolver um problema operacional: como aceitar novos prefixos na matriz do IXP com a menor intervenção manual possível.

Finalmente, conseguimos entre a equipe do NAP.ec, o LACNIC e a colaboração da Cisco Systems, implementar a validação de origem no NAP.ec e acompanhamos com uma atividade presencial para ajudar os associados do NAP.ec a criarem seus objetos no RPKI do LACNIC; eu diria que esta foi a primeira grande conquista no desenvolvimento do RPKI na nossa região.

Aos poucos, a certificação dos recursos se tornou uma tendência na região.

Depois continuamos com mais uma experiência muito enriquecedora e bem-sucedida na Costa Rica, e assim chegaram outras.

A tendência interessante que pudemos observar é que, à medida que novos IXP são criados na região, estes assumem que a certificação de recursos é parte integrante dos serviços que precisam fornecer.

Continuamos trabalhando com os IXP -agora em estreita colaboração com os nossos colegas do LAC-IX-, mas também com operadoras individuais. Outras ações que implementamos nessa linha são a criação de um IRR unificado com nossa PKI durante quase três anos e a criação -por exemplo para os associados- de uma API para hospedar o RPKI, e aos poucos começa a ser usada.

Cobertura e desafio – Um dos desafios que temos é ampliar a cobertura, que, segundo dados do Monitoramento FORT desenvolvido pelo LACNIC, é de cerca de 40%. Se conseguirmos convencer as operadoras da região a usarem o RPKI e verificar se um sistema autônomo está autorizado para anunciar uma determinada faixa de prefixo, elas poderão garantir que o tráfego chegue ao destino correto e que o faça com segurança.

À medida que a implementação do RPKI avança, o número de prefixos não protegidos será reduzido, e a precisão com a que os prefixos inválidos são identificados aumentará.

Isso vai nos permitir contar com uma Internet mais robusta na região, melhorar nossa posição e nos proteger contra possíveis ataques.

Por mais informações, acesse o vídeo da atividade clicando aqui

Suscríbete para recibir las últimas novedades en tu mail Click here to subscribe receive the latest news in your inbox. Inscreva-se aqui para receber as últimas novidades no seu e-mail