Validador FORT para RPKI y Análisis de

Incidentes de RuteoGuillermo Cicileo (LACNIC) y Jorge Cano (NIC.MX)

Sobre el Proyecto FORT

• FORT es una iniciativa de LACNIC y NIC.MX • Objetivos

• promover la seguridad de ruteo en LAC• Demostrar el nexo que existe entre la seguridad de ruteo y la

experiencia de usuarios finales en términos de acceder información libremente en Internet y de manera segura

• El proyecto nace en base a una colaboración entre LACNIC y NIC.MX para crear un validador de RPKI.• La iniciativa se potenció a través del financiamiento del

Open Technology Fund• Fondo especializado en fomentar una Internet Libre y Abierta

a través de apoyo a infraestructura crítica.

Herramientas FORT

• Validador FORT• Validador de RPKI con caracterísRcas disRnRvas respecto

a otros validadores disponibles

• Monitoreo FORT• Herramienta para documentar incidentes de ruteo en

América LaRna y Caribe

• Reporte: Incidentes de Ruteo y Libertad en Internet• Reporte diagnósRco del período 2017- inicio 2019.

FORT Monitoreo

• Objetivo: identificar secuestros de rutas y abrir datos para técnicos y tomadores de decisiones• Herramienta abierta, aún bajo desarrollo.• Para identificar secuestros de ruta combina:• Validación basada en Validación de Origen de RPKI (ROV)

• Prefijos clasificados según ROV: válido, invalido• Se generan: Vista de anuncios válidos, inválidos y not found con

sus respectivos filtros por país; Vista de anuncios por prefijo; Vista de anuncios por AS

• Heurísticas: trabajando vía Artemis.

FORT: Reporte sobre Incidentes de ruteo en LAC• ObjeRvo: Servir cómo diagnósRco sobre los

incidentes de ruteo en LAC y explicar el nexo entre incidentes de ruteo y experiencia de usuario final• Pensado para técnicos y tomadores de decisiones.

• Analiza incidentes de 2017, 2018 e inicios 2019• Fecha esRmada de publicación: noviembre 2019.• Presentado por Augusto Mathurin en LACNOG

Validador FORT

Validación de origen de rutas

Validador RPKI

• Descarga la información de los TAL• Valida criptográficamente la información• Transmite la información validada a los

ruteadores

Validación de origen de rutas

Descripción• Implementación de RPKI Relying

Party (Validador y Servidor RTR)• Código Abierto y de libre uso• Soporte para Linux y BSD• Desarrollado en C

Estado• 27-ago-2019: Versión 1.0• 29-oct-2019: Versión 1.1• Q1-2020: Versión 1.2

Código fuente:https://github.com/NICMx/FORT-validator

Road Map

• FORT Validator versión 1.0• Validación criptográfica de los objetos en los repositorios

de RPKI• Servidor RTR usando el protocolo RTR 0• Validación Reconsiderada (RFC 8360)• RSYNC como mecanismo de sincronización

• FORT Validator versión 1.1• Optimización en el proceso de validación (~ 49% más

rápido)• Soporte del protocolo RTR 1• Soporte para syslog

FORT-Validator: Testing

• Debian-Based• Debian 10 Passed• Ubuntu 18.04.2 LTS Passed

• BSD-Based• FreeBSD 12.0 Passed• OpenBSD 6.5 Passed

• RedHat-Based• CentOS 7 Passed• Fedora 30 Passed

• Slackware-Based• Slackware (current) Passed• OpenSUSE Leap 15.1 Passed

Instalación de FORT-Validator

1. Instalar las dependencias:a. janssonb. libcrypto (LibreSSL o OpenSSL)c. rsyncd. compilador C

2. Descargar el código de github3. Compilar e instalar

Instalación de FORT-Validator

1. Instalar dependencias# apt install autoconf automake build-essential libjansson-dev libssl-dev pkg-config rsync

2. Descargar el código de github$ wget https://github.com/NICMx/FORT-validator/releases/download/v1.0.0/fort-1.0.0.tar.gz

$ tar xvzf fort-1.0.0.tar.gz

$ cd fort-1.0.0/

Nota:# Indica que el comando necesita permisos de administrador para ejecutarse.

Instalación de FORT-Validator

3. Compilar e instalar$ ./configure

$ make

# make install

Nota:# Indica que el comando necesita permisos de administrador para ejecutarse.

¿Qué son los TALs y dónde los consigo?• Un Trust Anchor Locator (TAL) apunta al certificado

digital raíz de un RIR para validar los objetos en su repositorio• Es necesario contar con los 5 archivos TAL para poder

utilizar FORT-Validator• Estos archivos se pueden encontrar en las páginas web

de los 5 RIRs• AFRINIC https://afrinic.net• APNIC https://apnic.net• ARIN https://arin.net• LACNIC https://lacnic.net• RIPE https://ripe.net

¿Qué son los TALs y dónde los consigo?rsync://repository.lacnic.net/rpki/lacnic/rta-lacnic-rpki.cer

MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqZEzhYK0+PtDOPfub/KR

c3MeWx3neXx4/wbnJWGbNAtbYqXg3uU5J4HFzPgk/VIppgSKAhlO0H60DRP48by9

gr5/yDHu2KXhOmnMg46sYsUIpfgtBS9+VtrqWziJfb+pkGtuOWeTnj6zBmBNZKK+

5AlMCW1WPhrylIcB+XSZx8tk9GS/3SMQ+YfMVwwAyYjsex14Uzto4GjONALE5oh1

M3+glRQduD6vzSwOD+WahMbc9vCOTED+2McLHRKgNaQf0YJ9a1jG9oJIvDkKXEqd

fqDRktwyoD74cV57bW3tBAexB7GglITbInyQAsmdngtfg2LUMrcROHHP86QPZINj

DQIDAQAB

Usando FORT-Validator

fort \

--tal <archivo o directorio con los TALs> \

--local-repository <directorio para el cache> \--server.address <Dirección del Servidor RTR> \

--server.port <Puerto del Servidor RTR>

Archivo de configuración{

"tal": "/tmp/tal/test.tal",

"local-repository": "/tmp/repository",

"mode": "server",

“server”: {

“address”: “192.0.2.1”,

“port”: “323”

},

…

}

Desempeño de FORT

OS: Ubuntu Server 18.04.2 LTS

Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit

SoC@1.2GHz | 1 GB RAM)

FORT en Raspberry Pi3 B+

Modo: Standalone

OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)

Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit SoC@1.2GHz | 1 GB RAM)

FORT en Raspberry Pi3 B+

Modo: Standalone

OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)

Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit SoC@1.2GHz | 1 GB RAM)

FORT en Raspberry Pi3 B+

Modo: Server

OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)

Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit SoC@1.2GHz | 1 GB RAM)

FORT en Raspberry Pi3 B+

Modo: Server

OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)

Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit SoC@1.2GHz | 1 GB RAM)

FORT Validator 1.1

Modo: Standalone

OS: openSUSE Leap 15.1

Hardware: Intel Core i7-4600U CPU @2.10GHz x 4; 8 GB RAM

FORT Validator 1.1

Modo: Standalone

OS: openSUSE Leap 15.1

Hardware: Intel Core i7-4600U CPU @2.10GHz x 4; 8 GB RAM

Mas información

• Proyecto FORThttps://fortproject.net

• FORT-Validator• Documentación

https://nicmx.github.io/FORT-validator

• Repositorio del código

https://github.com/NICMx/FORT-validator

¿Preguntas?

¡Muchas Gracias!