RPKI – Segurança nos recursos de numeração da Internet

(parte 1)

Netcafe – vida inteligente depois do almoçoItalo Valcy <italovalcy@ufba.br>Salvador – BA, 13/Jan/2017

Agenda

● Introdução / Motivação● Visão geral do funcionamento do RPKI (visão dos

validadores)● Demonstração de validação RPKI● Limitações e soluções complementares● Conclusões

...

● Parte 2: operação de CA e autoridades de registro

Recursos de numeração da Internet e validação de autoridade

Recursos de Numeração da Internet

● Blocos de endereços IPv4, IPv6 e Números de sistemas autônomos (ASN)

● Distribuição coordenada e hierárquica

Número de Sistema Autônomo (ASN)

● Identificador “único” de um sistema autônomo:– Conjunto de Redes sob uma mesma administração, com

política própria de roteamento e independente

ASN “16bits only”: 0 ~ 65535

ASN “32bits”: 0 ~ 4294697295

● Exemplos:– PoP-BA / UFBA: AS 53164

– RNP: AS 1916

– Google: AS 15169

– CBF: AS 264083

Blocos de endereços IPv4 e IPv6

● Organizações categorizadas de acordo ao uso planejado:– ISP: provedores de acesso/serviço Internet

– Usuários finais

● Ex: Alocação de endereçamento para ISPs:– IPv4: Alocação mínima /24 (256 IPs) e máxima /22 (1024

IPs)● Desde 2014, não será alocado novos blocos para ISPs que já tem

bloco no NIC.br

– IPv6: ISP – /32; usuários finais – /48

Recursos não são “bens”, são concessões de direito de uso!

Blocos de endereços IPv4 e IPv6

Exemplos:● PoP-BA/RNP:

– IPv4: 200.128.0.0/17 e 192.188.11.0/24

– IPv6: 2801:86::/32

● UFBA:– IPv4: 200.128.51.0/24, 200.128.56.0/21,

192.188.11.0/24

– IPv6: 2801:86:2000::/40

O que é BGP

● Protocolo de roteamento para troca de informações de rotas na Internet (rfc4271, ...)

● ASNs identificam unicamente as redes (política de roteamento)

● Capacidade de transportar informações sobre diversos protocolos (ipv4, ipv6, l2vpn, vpnv4)

● Path vector protocol (controle de loops, updates incrementais, métricas)

● Cada AS divulga seus prefixos e adiciona seu ASN

*> 1.22.151.0/24 200.184.206.20 17379 3549 6453 4755 24186 45528 i*> 1.23.0.0/20 200.184.206.20 17379 6762 9498 45528 i

BGP entre ASes na Internet

Fonte: http://bgp.he.net

Excesso de confiança no BGP

● Excesso de confiança no protocolo BGP– Não apenas no BGP, mas em diversos protocolos

da Internet

● O BGP funciona com base na “confiança” entre os peers– Cada peer confia nos prefixos

enviados pelo outro peer

– Peers confiam no caminho

anunciado

Notícias relacionadas

"Defensive" BGP hijacking?

Tipos de Incidente de Roteamento

● Má configuração– Não intencional

– Bugs de software

● Maliciosa– Concorrência

– Contestando espaço

não utilizado

● Ataques dirigidos– Redirecionamento de tráfego

– Espionagem ou modificação de tráfego

Fonte: www.ripe.net (youtube-hijacking-a-ripe-ncc-ris-case-study)

Validação de autoridade

● Prefix hijack

Fonte: Jumpstarting, Avichai, SIGCOMM

Validação de autoridade

● Prefix hijack

Fonte: Jumpstarting, Avichai, SIGCOMM

Problemas à vista

● Como garantir a autoridade dos prefixos anunciados?

● Como garantir a validade de informações em bases IRR?

● O que fazer com rotas inválidas?● Como validar o caminho (path) de um prefixo?

RPKI – Adicionando segurança aos recursos de numeração da Internet

O que é RPKI?

Um framework de segurança para roteamento na Internet que provê verificação da associação entre recursos de Internet e proprietários de recursos

Resource PKI (RPKI)● Autenticação da origem

– Protege contra prefix/subprefix hijacking

– Adiciona certificados digitais a recursos de rede, associando-os com seus proprietários

– Route Origin Authorisation (ROA) + Chain of trust

Fonte: Jumpstarting, Avichai, SIGCOMM

Relembrando...● PKI – Infraestrutura de chaves públicas

– Autoridade Certificadora (CA raiz e intermediárias)

– Certificados, Lista de Certificados Revogados

– Par de chaves Pública e PrivadaAutenticidade

RPKI: ROA + Chain of Trust

Fonte: bgp-operations-and-security (RIPE)

Exemplo

Fonte: RPKI Tutorial, SANOG25

Ex c/ Validação da Origem RPKI

Fonte: RPKI Tutorial, SANOG25

RPKI – prevenção de prefix hijack

Fonte: Jumpstarting, Avichai, SIGCOMM

RPKI building blocks

Fonte: bgp-operations-and-security (RIPE)

● Trust Anchors (RIR, NIR, LIR)● Route Origination Authorizations (ROA)● Validators (Relying Party – RP)

Trust Anchors

Route Origination Authorization (ROA)

● Objeto digital assinado que contém uma lista de endereços IP

● É uma autorização emitida pelo proprietário de recursos autorizando um AS a anunciar um ou mais específicos prefixos/rotas

Validators (Relying Party – RP)

● Roteadores que suportam RPKI podem validar os prefixos recebidos através de Relying Parties / RPKI Cache / Validators– A validação é feita no RP, o roteador apenas

pergunta algo como:

“Recebi um anuncio para 8.8.8.0/24 com origem no AS 15169, este anuncio é autorizado?”

Resultado da checagem

● Valid – Indica que o prefixo e o AS foram encontrados na base RPKI e estão válidos;

● Invalid – Indica que o prefixo/AS foram encontrados, porém o AS de origem ou o tamanho do prefixo divergem do que está autorizado na base

● Not Found / Unknown – Indica que o prefixo não está na base

Valid > Unknown > Invalid

Exemplo

RPKI Status

● RPKI– RPKI é padrão IETF (rfc5280, rfc3779, rfc6481-

6493)

– Os RIRs estão implantando desde 2011● http://certification-stats.ripe.net/

– Muitos fabricantes já implementam

Adoção de RPKI nos RIRs

Fonte: http://rpki.surfnet.nl/perrir.html

Demonstração

Cenário

Limitações

Estamos seguros agora?

● RPKI melhora a segurança na infraestrutura de roteamento de Internet, adicionando a possibilidade de validação da origem (autorização para anunciar)– Prevenção de hijacks acidentais

● Isto é apenas um primeiro passo!● Este mecanismo não protege contra spoofing do

AS de origem (prepending), também conhecido como “Ataque Next-AS”– Validação do caminho (ainda) não é possível no RPKI

Ataque Next-AS● RPKI não protege contra roteamento incorreto

terminando em origens válidas

Fonte: Jumpstarting, Avichai, SIGCOMM

Ataque Next-AS

Fonte: Jumpstarting, Avichai, SIGCOMM

Resumo

Resumo

● BGP não é seguro por padrão– Peers desonestos podem prejudicar a rede

● Existem muitos patches a serem aplicados– Não aplicá-los também não resolve

● Segurança BGP pode ser melhorada com:– Boas práticas gerais de roteamento e BGP

– Filtros

– RPKI + BGPSEC

● Em breve: mais informações sobre operação de CA e autoridades de registro

Dúvidas ?

RPKI – Segurança nos recursos de numeração da Internet

Italo Valcy <italovalcy@ufba.br>Salvador – BA, 13/Jan/2017