fbpx

Como funciona o RPKI e como ele é implementado?

Como funciona o RPKI e como ele é implementado_

Como funciona o RPKI e como ele é implementado?

Em 2019, o NLNet Labs, apoiado pelo NIC.br lançou o protocolo RPKI (Public Key Infrastructure Resource) como uma das soluções mais modernas e eficientes do mercado. O RPKI é um pacote de códigos prontos de segurança para roteamento na internet que verifica a associação entre recursos da internet, recursos da rede e seus proprietários.

O RPKI soluciona vários problemas de segurança de roteamento de internet, inclusive o roubo de prefixos. Essa solução baseia-se em certificados digitais e chaves públicas, por isso é conhecida como certificação de recursos.

Uso do RPKI

A utilização do RPKI permite que as empresas possam administrar recursos de numeração e prevenir o roubo de prefixos e outros ataques. Com uso dos certificados digitais, as principais funções do RPKI são:

  • Prevenir ataques
  • Validar rotas
  • Verificar origem no BGP
  • Garantir que a empresa seja responsável pelo seu bloco de IPs
  • Autorizar ao ASN (sistema autônomo das rotas) o anúncio de prefixos do BGP
  • Encaminhar e rotear pacotes de dados de forma segura

O RPKI é uma infraestrutura digital que fornece várias ferramentas para um provedor para que o mesmo verifique o uso de determinado recurso da internet por parte de uma empresa. Por exemplo, caso uma entidade peça o roteamento de um bloco específico de endereços IP a partir de um ASN determinado. Com base na hierarquia RPKI, o provedor vai pedir o material criptográfico correspondente e fazer a verificação do mesmo.

 

Leia também: Segurança de roteamento de internet, RPKI e prevenção a roubos de prefixos.

 

De maneira simples e aplicável, o RPKI fornece uma solução de segurança de roteamento de internet, utilizando certificados digitais para validar as rotas. Assim, o ASN ou seu prefixo não poderão ser roubados. O RPKI impede boa parte dos ataques que redes diversas e empresas recebem, tornando o roteamento de internet mais protegido e seguro.

Como funciona o RPKI

Uma vez que o RPKI é uma infraestrutura de certificação digital de chaves pública, há uma hierarquia que deve ser respeitada para validar o processo.

O topo da hierarquia é um certificado digital “auto-assinado”, também chamado de Trust Anchor ou Raiz de Confiança. O certificado raiz é inserido nos sistemas que carecem de validação. Por exemplo, os navegadores web como Internet Explorer, Google Chrome, Firefox contém os certificados “raiz” pré-instalados.

No que diz respeito ao RPKI, existem 5 certificados “raiz”, correspondentes a cada Registro de Numeração Internet – RIR.  São eles:

AFRINIC – Registro regional dos endereços da internet na África.

APNIC – Registro regional dos endereços da internet para região da Ásia-Pacífico.

ARIN – Registro regional para endereços da internet para os Estados Unidos, Canadá, ilhas do Caribe e Atlântico Norte.

LACNIC – Registro regional para endereços da internet para as regiões da América Latina e Caribe.

RIPE NCC – Registro regional para endereços da internet para as regiões da Europa, Oriente Médio e partes da Ásia Central.

Cadeia de verificação

O RPKI valida os anúncios das rotas por meio do protocolo BGP, utilizando toda a hierarquia de certificação para alocar um conjunto de recursos feito por RIR/NIR a uma empresa. A validação é realizada por meio de uma cadeia de verificação criptográfica de certificados digitais e assinaturas.

A primeira validação é se a rota que se encontra em análise condiz com as informações da ROA (Route Origin Authorization). ROA são objetos assinados de forma digital que oferecem autorização explícita para promover rotas para blocos de endereços específicos. A partir daí, a assinatura dessa determinada ROA é comparada com a chave pública do certificado que gerou essa assinatura para validar a mesma.

Assim, é preciso realizar a validação de toda cadeia de assinaturas até chegar aos certificados raiz. Também é fundamental verificar se os blocos IP contidos na ROS constam nas extensões dos certificados que foram validados. Dessa forma, é possível evitar a utilização indevida ou roubo dos blocos de IP.

Aplicações do RPKI

Ao implementar o RPKI, as empresas podem gerar protocolos de segurança de roteamento de internet mais eficientes. Por meio do RPKI, as empresas podem validar o direito de uso de determinado recurso, podendo ser restritivo a um determinado número de usuários. Aplicando o RPKI, as organizações podem:

  • Se protegerem contra roubo de prefixos e vazamento de rotas;
  • Construir filtros para anúncios utilizando BGP;
  • Expandir a segurança para protocolos BGP, ISIS, OSPF etc.;
  • Autenticar routers para protocolos em ambiente seguro;
  • Desenvolver regras de roteamento com base na validação criptográfica dos anúncios de prefixo.

Como é feita a implementação de um RPKI

As ameaças cibernéticas estão cada vez mais presentes no cenário mundial. Sejam privadas ou públicas, essas ameaças atacam diretamente a infraestrutura de rede e colocam em risco a segurança de roteamento de internet.

A segurança cibernética atinge empresas do setor privado, órgãos e agências governamentais, forças armadas, residências, terceiro setor, entre outros. Como visto anteriormente, as principais ameaças à segurança de roteamento de internet são: roubo de prefixos, vazamento de rotas, falha na configuração do protocolo BGP etc..

 

Leia também: Vazamento de prefixos, um problema constante de segurança

 

O RPKI é uma infraestrutura de rede capaz de tornar o roteamento de internet mais seguro. Há dois modelos de implementação do RPKI: o delegado e o hospedado.

O modelo RPKI hospedado é fornecido pelo LACNIC e por outros RIRs (Registro de internet Regional), sendo dependente desse registro para sua realização. Esse modelo armazena e emite os certificados de recursos. Veja como funciona:

  1. Há o acesso à interface do sistema do RIR,
  2. Solicita as chaves públicas e privadas,
  3. RIR gera o par das chaves e armazena a chave privada desse usuário no repositório,
  4. RIR faz a emissão do certificado, armazenando-o no diretório.

O modelo RPKI delegado, utilizado pelo NIC.br, facilita a automatização, uma vez que os usuários vão conseguir operar de forma independente das autorizações de alocação. Com esse modelo, o sistema é operado com a centralização e o gerenciamento das ROAs.

Independentemente do modelo, a implementação do RKPI é fundamental para que as empresas reduzam seus problemas de segurança de roteamento de internet e garantam trocas de dados de forma segura. Além disso, a implementação do RPKI contribui para otimizar as autenticações de maneira flexível e específica, conforme a necessidade de cada empresa.

Deixe uma resposta