Enorme crecimiento de las redes que se benefician de la seguridad de las rutas

Una de las tecnologías clave para la evolución continua de Internet a la que prestamos mucha atención aquí en Pulse es el enrutamiento seguro de Internet con RPKI. Como toda tecnología fundamental de Internet, los despliegues iniciales de los protocolos de enrutamiento de Internet eran completamente inseguros. Con el tiempo, a medida que se han producido transacciones más valiosas a través de Internet, ha aumentado la presión para que la infraestructura subyacente sea más fiable. La seguridad tiene un papel vital en ello.

Los protocolos de enrutamiento de Internet determinan cómo los mensajes de un host (ordenador) de Internet llegan al destino correcto. Estos protocolos permiten que las miles de redes que componen la Internet global se interconecten y enruten el tráfico entre sí sin necesidad de acuerdos previos (más allá de soportar el mismo protocolo de enrutamiento).

El tráfico de Internet puede ser desviado accidental o deliberadamente sin medidas de seguridad adicionales, creando riesgos de vigilancia y de denegación de servicio.

Hay dos elementos principales para mejorar la seguridad del enrutamiento en Internet con RPKI. El primero es que los operadores de red publiquen autorizaciones de origen de ruta (ROA). Las ROA son objetos firmados criptográficamente que establecen qué sistema autónomo (AS/red) está autorizado a originar un prefijo de direcciones IP o un conjunto de prefijos concretos. Aquí es donde entra en juego la parte de PKI (infraestructura de clave pública) de RPKI, ya que estas ROA se certifican en una cadena de confianza hasta llegar a un anclaje de confianza.

El segundo elemento del marco RPKI es que los operadores de red importen anclas de confianza y las utilicen para verificar las ROA publicadas por otras redes. La lista verificada de prefijos, longitudes máximas y números de AS de origen proporciona un conjunto de cargas útiles de ROA validadas (VRP) para las decisiones de enrutamiento.

En Pulse, supervisamos la adopción de la validación de rutas por parte de los operadores de red utilizando los datos de RoVista. Su técnica de medición nos proporciona dos datos: el porcentaje de redes que se benefician de una protección completa de sus rutas y el porcentaje de redes que se benefician de una protección parcial. Esta última categoría puede corresponder a operadores de red que, aunque no realizan ellos mismos la validación de rutas, obtienen conectividad de redes que sí lo hacen y, por tanto, obtienen algún beneficio de seguridad de dicha validación.

Según la métrica de RoVista, en 2023, las redes parcialmente protegidas casi se duplicaron, pasando del 44% al 81%, mientras que las redes totalmente protegidas experimentaron un nivel de crecimiento similar, pasando del 9% al 18%. Este notable crecimiento demuestra que el despliegue de la verificación RPKI por parte de las redes de tránsito más grandes está teniendo un impacto desproporcionado en la protección de sus clientes en sentido descendente. Estaría bien que todos los operadores de red validaran las rutas utilizando RPKI. Sin embargo, no es necesario que sea así para que la adopción de RPKI por parte de los principales operadores de redes de tránsito genere beneficios generalizados.

En la actualidad, más de la mitad de las redes del sistema global de enrutamiento de Internet figuran como AS de origen en al menos un ROA. Los ROA cubren la mayoría de los pares únicos prefijo-origen IPv6 en la zona libre de defecto, y es probable que la tabla de enrutamiento IPv4 alcance el mismo hito en las próximas semanas. Del mismo modo, la mayor parte del espacio de direcciones IPv6 anunciado está cubierto por un ROA válido.

Estas métricas indican una adopción muy saludable de RPKI entre algunos de los principales operadores de red mundiales. Si desea saber más sobre la importancia de la seguridad del enrutamiento para el futuro de Internet y sobre lo que están haciendo los operadores de redes de todo el mundo para colaborar en la mejora de la infraestructura de comunicaciones de la que tantos de nosotros hemos llegado a depender, consulte MANRS.

Foto de Brett Jordan en Unsplash