Una de las tecnologías clave para la evolución continua de Internet a la que prestamos mucha atención aquí en Pulse es el enrutamiento seguro de Internet con RPKI. Como toda la tecnología fundamental de Internet, los despliegues iniciales de los protocolos de encaminamiento de Internet eran completamente inseguros. Con el tiempo, a medida que se han producido transacciones más valiosas a través de Internet, ha aumentado la presión para que la infraestructura subyacente sea más fiable. La seguridad tiene un papel vital en esto.
Los protocolos de encaminamiento de Internet determinan cómo los mensajes de un host (ordenador) de Internet llegan al destino correcto. Estos protocolos permiten que las miles de redes que componen la Internet global se interconecten y enruten el tráfico entre sí sin necesidad de acuerdos previos (más allá de soportar el mismo protocolo de enrutamiento).
El tráfico de Internet puede ser desviado accidental o deliberadamente sin medidas de seguridad adicionales, creando riesgos de vigilancia y denegación de servicio.
¿Qué es RPKI?
Hay dos elementos principales para mejorar la seguridad del encaminamiento en Internet con RPKI. La primera es que los operadores de red publiquen Autorizaciones de Origen de Ruta (ROA). Los ROA son objetos firmados criptográficamente que indican qué Sistema Autónomo (AS/red) está autorizado a originar un prefijo o conjunto de prefijos de direcciones IP concreto. Aquí es donde entra en juego la parte PKI (Infraestructura de Clave Pública) de la RPKI, ya que estos ROA se certifican en una cadena de confianza hasta un Anclaje de Confianza.
El segundo elemento del marco RPKI es que los operadores de red importen Anclas de Confianza y las utilicen para verificar las ROA publicadas por otras redes. La lista verificada de prefijos, longitudes máximas y números de AS de origen proporciona un conjunto de cargas útiles de ROA validadas (VRP) para las decisiones de enrutamiento.
Medir la adopción
En Pulse, controlamos la adopción de la validación de rutas por parte de los operadores de red utilizando datos de RoVista. Su técnica de medición nos proporciona dos datos: el porcentaje de redes que se benefician de una protección completa de sus rutas y el porcentaje de redes que se benefician de una protección parcial. Esta última categoría puede estar formada por operadores de red que, aunque no realicen ellos mismos la validación de la ruta, obtienen conectividad de redes que sí lo hacen y, por tanto, obtienen algún beneficio de seguridad de dicha validación.
Según la métrica de RoVista, en 2023, las redes parcialmente protegidas casi se duplicaron, pasando del 44% al 81%, mientras que las redes totalmente protegidas experimentaron un nivel de crecimiento similar, pasando del 9% al 18%. Este notable crecimiento demuestra que el despliegue de la verificación RPKI por parte de las redes de tránsito más grandes está repercutiendo desproporcionadamente en la protección de sus clientes en sentido descendente. Estaría bien que todos los operadores de red validaran las rutas mediante RPKI. Aun así, no es necesario que sea así para que la adopción de RPKI por parte de los principales operadores de redes de tránsito genere beneficios generalizados.
En la actualidad, más de la mitad de las redes del sistema global de enrutamiento de Internet figuran como AS de origen en al menos una ROA. Los ROA cubren la mayoría de los pares únicos prefijo-origen IPv6 en la zona libre de incumplimientos, y es probable que la tabla de encaminamiento IPv4 alcance el mismo hito en las próximas semanas. Del mismo modo, la mayor parte del espacio de direcciones IPv6 anunciado está cubierto por una ROA válida.
Más información y acción
Estas métricas indican una adopción muy saludable de RPKI entre algunos de los principales operadores de redes mundiales. Si quieres saber más sobre la importancia de la seguridad del encaminamiento para el futuro de Internet y sobre lo que están haciendo los operadores de redes de todo el mundo para colaborar en la mejora de la infraestructura de comunicaciones de la que tantos de nosotros dependemos, consulta MANRS.
Foto de Brett Jordan en Unsplash