Post on 01-Dec-2018
RPKI – Segurança nos recursos de numeração da Internet
(parte 1)
Netcafe – vida inteligente depois do almoçoItalo Valcy <italovalcy@ufba.br>Salvador – BA, 13/Jan/2017
Agenda
● Introdução / Motivação● Visão geral do funcionamento do RPKI (visão dos
validadores)● Demonstração de validação RPKI● Limitações e soluções complementares● Conclusões
...
● Parte 2: operação de CA e autoridades de registro
Recursos de numeração da Internet e validação de autoridade
Recursos de Numeração da Internet
● Blocos de endereços IPv4, IPv6 e Números de sistemas autônomos (ASN)
● Distribuição coordenada e hierárquica
Número de Sistema Autônomo (ASN)
● Identificador “único” de um sistema autônomo:– Conjunto de Redes sob uma mesma administração, com
política própria de roteamento e independente
ASN “16bits only”: 0 ~ 65535
ASN “32bits”: 0 ~ 4294697295
● Exemplos:– PoP-BA / UFBA: AS 53164
– RNP: AS 1916
– Google: AS 15169
– CBF: AS 264083
Blocos de endereços IPv4 e IPv6
● Organizações categorizadas de acordo ao uso planejado:– ISP: provedores de acesso/serviço Internet
– Usuários finais
● Ex: Alocação de endereçamento para ISPs:– IPv4: Alocação mínima /24 (256 IPs) e máxima /22 (1024
IPs)● Desde 2014, não será alocado novos blocos para ISPs que já tem
bloco no NIC.br
– IPv6: ISP – /32; usuários finais – /48
Recursos não são “bens”, são concessões de direito de uso!
Blocos de endereços IPv4 e IPv6
Exemplos:● PoP-BA/RNP:
– IPv4: 200.128.0.0/17 e 192.188.11.0/24
– IPv6: 2801:86::/32
● UFBA:– IPv4: 200.128.51.0/24, 200.128.56.0/21,
192.188.11.0/24
– IPv6: 2801:86:2000::/40
O que é BGP
● Protocolo de roteamento para troca de informações de rotas na Internet (rfc4271, ...)
● ASNs identificam unicamente as redes (política de roteamento)
● Capacidade de transportar informações sobre diversos protocolos (ipv4, ipv6, l2vpn, vpnv4)
● Path vector protocol (controle de loops, updates incrementais, métricas)
● Cada AS divulga seus prefixos e adiciona seu ASN
*> 1.22.151.0/24 200.184.206.20 17379 3549 6453 4755 24186 45528 i*> 1.23.0.0/20 200.184.206.20 17379 6762 9498 45528 i
BGP entre ASes na Internet
Fonte: http://bgp.he.net
Excesso de confiança no BGP
● Excesso de confiança no protocolo BGP– Não apenas no BGP, mas em diversos protocolos
da Internet
● O BGP funciona com base na “confiança” entre os peers– Cada peer confia nos prefixos
enviados pelo outro peer
– Peers confiam no caminho
anunciado
Notícias relacionadas
"Defensive" BGP hijacking?
Tipos de Incidente de Roteamento
● Má configuração– Não intencional
– Bugs de software
● Maliciosa– Concorrência
– Contestando espaço
não utilizado
● Ataques dirigidos– Redirecionamento de tráfego
– Espionagem ou modificação de tráfego
Fonte: www.ripe.net (youtube-hijacking-a-ripe-ncc-ris-case-study)
Validação de autoridade
● Prefix hijack
Fonte: Jumpstarting, Avichai, SIGCOMM
Validação de autoridade
● Prefix hijack
Fonte: Jumpstarting, Avichai, SIGCOMM
Problemas à vista
● Como garantir a autoridade dos prefixos anunciados?
● Como garantir a validade de informações em bases IRR?
● O que fazer com rotas inválidas?● Como validar o caminho (path) de um prefixo?
RPKI – Adicionando segurança aos recursos de numeração da Internet
O que é RPKI?
Um framework de segurança para roteamento na Internet que provê verificação da associação entre recursos de Internet e proprietários de recursos
Resource PKI (RPKI)● Autenticação da origem
– Protege contra prefix/subprefix hijacking
– Adiciona certificados digitais a recursos de rede, associando-os com seus proprietários
– Route Origin Authorisation (ROA) + Chain of trust
Fonte: Jumpstarting, Avichai, SIGCOMM
Relembrando...● PKI – Infraestrutura de chaves públicas
– Autoridade Certificadora (CA raiz e intermediárias)
– Certificados, Lista de Certificados Revogados
– Par de chaves Pública e PrivadaAutenticidade
RPKI: ROA + Chain of Trust
Fonte: bgp-operations-and-security (RIPE)
Exemplo
Fonte: RPKI Tutorial, SANOG25
Ex c/ Validação da Origem RPKI
Fonte: RPKI Tutorial, SANOG25
RPKI – prevenção de prefix hijack
Fonte: Jumpstarting, Avichai, SIGCOMM
RPKI building blocks
Fonte: bgp-operations-and-security (RIPE)
● Trust Anchors (RIR, NIR, LIR)● Route Origination Authorizations (ROA)● Validators (Relying Party – RP)
Trust Anchors
Route Origination Authorization (ROA)
● Objeto digital assinado que contém uma lista de endereços IP
● É uma autorização emitida pelo proprietário de recursos autorizando um AS a anunciar um ou mais específicos prefixos/rotas
Validators (Relying Party – RP)
● Roteadores que suportam RPKI podem validar os prefixos recebidos através de Relying Parties / RPKI Cache / Validators– A validação é feita no RP, o roteador apenas
pergunta algo como:
“Recebi um anuncio para 8.8.8.0/24 com origem no AS 15169, este anuncio é autorizado?”
Resultado da checagem
● Valid – Indica que o prefixo e o AS foram encontrados na base RPKI e estão válidos;
● Invalid – Indica que o prefixo/AS foram encontrados, porém o AS de origem ou o tamanho do prefixo divergem do que está autorizado na base
● Not Found / Unknown – Indica que o prefixo não está na base
Valid > Unknown > Invalid
Exemplo
RPKI Status
● RPKI– RPKI é padrão IETF (rfc5280, rfc3779, rfc6481-
6493)
– Os RIRs estão implantando desde 2011● http://certification-stats.ripe.net/
– Muitos fabricantes já implementam
Adoção de RPKI nos RIRs
Fonte: http://rpki.surfnet.nl/perrir.html
Demonstração
Cenário
Limitações
Estamos seguros agora?
● RPKI melhora a segurança na infraestrutura de roteamento de Internet, adicionando a possibilidade de validação da origem (autorização para anunciar)– Prevenção de hijacks acidentais
● Isto é apenas um primeiro passo!● Este mecanismo não protege contra spoofing do
AS de origem (prepending), também conhecido como “Ataque Next-AS”– Validação do caminho (ainda) não é possível no RPKI
Ataque Next-AS● RPKI não protege contra roteamento incorreto
terminando em origens válidas
Fonte: Jumpstarting, Avichai, SIGCOMM
Ataque Next-AS
Fonte: Jumpstarting, Avichai, SIGCOMM
Resumo
Resumo
● BGP não é seguro por padrão– Peers desonestos podem prejudicar a rede
● Existem muitos patches a serem aplicados– Não aplicá-los também não resolve
● Segurança BGP pode ser melhorada com:– Boas práticas gerais de roteamento e BGP
– Filtros
– RPKI + BGPSEC
● Em breve: mais informações sobre operação de CA e autoridades de registro
Dúvidas ?
RPKI – Segurança nos recursos de numeração da Internet
Italo Valcy <italovalcy@ufba.br>Salvador – BA, 13/Jan/2017