Cer$ficación de Recursos en Internet(Resource PKI)

Transcripción

1 Cer$ficación de Recursos en Internet(Resource PKI) Arturo Servin lacnic.net Carlos Mar<nez Cagnazzo lacnic.net

2 Ges$ón de recursos de numeración en Internet IANA ARIN LACNIC APNIC RIPE NCC AfriNIC ISP NIC.br NIC.mx ISP #1 LIRs/ISPs LIRs/ISPs End users ISP mx

3 Ges$ón de recursos de numeración Recursos Direcciones IPv4 en Internet (ii) Direcciones IPv6 Sistemas autónomos 16 y 32 bits Documento fundacional: RFC 2050 IP Registry Alloca3on Guidelines Cada RIR es fuente autorita+va de información sobre la relación usuario <- > recurso Cada RIR opera su base de datos de registro

4 Enrutamiento en Internet ASN 6057 anuncia /16 ASN 8158 recibe /16 El prefijo /16 se propaga a través de las sesiones BGP en Internet Atributos: /16 AS_PATH ASN1 ASN3 ASN6057

5 Enrutamiento en Internet (ii) BGP elije rutas de acuerdo a un algoritmo de decisión y a los valores de los atributos AS_PATH es la lista de sistemas autónomos recorridos por un UPDATE dado Incluye el AS que origina el anuncio ( origin- as ) ASN 6057 es el origin- as del prefijo /16

6 Quién puede usar un recurso? Un ISP al obtener recursos de Internet (IPv6/IPv4/ASN) Indica a su upstream/peers cuales son los prefijos que va a anunciar Vía e- mail, formas web, IRR (Internet Rou$ng Registry) Proveedores/peers verifican derecho de uso del recurso y configuran filtros Whois RIRs: Información no firmada, no u$lizable directamente para ruteo Whois IRR: Información no firmada, pocos mecanismos para auten$ficación de derecho de uso La verificación no siempre es todo lo me$culosa que debería ser

7 Verificación de autorización de uso Administrador de la red Controles locales en su infraestructura de rutas Pedir algún proceso previo (ej. Registrar el objeto en un IRR) Protección de routers Integridad de operación en sus protocolos de ruteo Auten$cación entre peers Filtrado de rutas que se saben inválidas Filtros 1918 (rfc1918) prefijos de redes privadas "Bogon Filters" espacios no asignados de IANA La integridad del sistema depende de la confianza entre peers

8 Secuestro de rutas Cuando un par$cipante en el rou$ng en Internet anuncia un prefijo que no esta autorizado a anunciar se produce un secuestro de ruta (route hijacking) Malicioso u causado por error operacionales Casos más conocidos: Pakistan Telecom vs. You Tube (2008) China Telecom (2010) Google en Europa del este (varios AS, 2010) Casos en nuestra región (enero/febrero de 2011)

9 Secuestro de rutas (ii) AS 6057 anuncia /16 ASN 8158 recibe /16 ASN 8158 recibe y / /16 AS anuncia / /16 AS_PATH ASN1 ASN3 ASN /24 AS_PATH ASN1 ASN15358

10 Secuestro de rutas (iii) Video de RIPE NCC hrp://

11 Resource PKI Resource Public Key Infraestructure Obje$vo: poder cer$ficar la autorización a u$lizar un cierto recurso de Internet Mecanismo propuesto Uso de cer$ficados X.509 v3 Uso de extensiones RFC 3779 que permiten representar recursos de Internet (direcciones v4/v6, ASNs) Mecanismo de validación de prefijos Esfuerzo de estandarización: SIDR working group en IETF Esfuerzo de implementación RIRs

12 Resource PKI (ii) Metodología automa$zada que permita validar la autoridad asociada a un anuncio de una ruta origen de una ruta El emisor de la información de ruta "firma" la información de AS de origen Para validar cer$ficados e información de enrutamiento se u$lizan: Las propiedades del cifrado de clave pública (cer$ficados) Las propiedades de los bloques CIDR Se impide entonces que terceros falsifiquen la información de enrutamiento o las firmas

13 Resource PKI (iii) Sistema de ges$ón RPKI Caché Repositorio

14 Resource PKI (iv) Los objetos firmados son listados en directorios públicos Los objetos pueden ser usados para configurar filtros en routers Proceso de Validación Los objetos firmados son referenciados al cer$ficado que los generó Cada cer$ficado $ene una referencia al cer$ficado en un nivel superior Los recursos listados en un cer$ficado $enen que ser subsets válidos de los recursos de su padre (en el sen$do CIDR) Sigue una cadena de confianza hasta el trust anchor, verificando también que los recursos estén contenidos en los recursos del cer$ficado padre

15 X.509v3 con extensiones de direcciones de IP y ASNs (RFC3779) Cer$ficados Digitales X.509 Información del sujeto, plazo de validez, llave publica, etc Con extensión: RFC 3779 estándar IETF define extensión para recursos internet. Listado de IPv4, IPv6, ASN asignados a una organización OpenSSL 1.0c en adelante implementa RFC 3779 Hay que habilitarlo a la hora del./configure ya que no se compila por defecto Version Serial Number Signature Algorithm Issuer Subject Subject Public Key Extensions Subject Informa$on Authority (SIA) Authority Informa$on Access (AIA) Addr: Asid: 65535

16 Cer$ficados con extensiones RFC 3779 Sección IP Delega$on Valor especial INHERITED Sección AS Delega$on Valor especial INHERITED Proceso de validación Involucra validación de los recursos Version Serial Number Signature Algorithm Issuer Subject Subject Public Key Extensions Subject Informa$on Authority (SIA) Authority Informa$on Access (AIA) Addr: Asid: 65535

17 Estructura de la RPKI RTA es auto- firmado LACNIC RTA Recursos de LACNIC LACNIC Producción <<INHERITED>> Cadena de firmas ISP #2 Recursos del ISP #2 ISP #1 Recursos del ISP #1 ROA End En$ty cert. ROA End En$ty cert. End User CA #1 (Recursos del EU#1) ROA End En$ty cert. ROA End En$ty cert.

18 Estructura de la RPKI (ii) CAs En$dad emisora de cer$ficados (bit CA=1) ISPs pueden usar este cer$ficado para firmar cer$ficados de sus clientes Repositorio de cer$ficados Repositorio de cer$ficados, CRLs y manifiestos Accesible via rsync Interfaz de ges$ón Interfaz web de usuario para aquellos que prefieran el modo hosted

19 Modos de operación de la RPKI Modo hosted LACNIC emite los cer$ficados y guarda en sus sistemas tanto claves publicas como privadas Los cer$ficados son emi$dos a pedido de las organizaciones miembro Los usuarios realizan operaciones via una interfaz web provista por LACNIC Modo delegado Una organización $ene su propio cer$ficado, firmado por la CA de LACNIC La organización envia solicitudes de firma a LACNIC, quien se las devuelve firmadas Protocolo up- down

20 Servicios RPKI CA Emisión de cer$ficados hijos cuando existen cambios en la base de registro o a demanda de un usuario Revocación de cer$ficados hijos en forma centralizada o a demanda de un usuario Emisión periódica de CRL para cer$ficado del CA Publicación de Cer$ficado del CA y de cer$ficados hijos en repositorio público (rsync)

21 Cer$ficado con recursos

22 ROAs ROAs: Rou$ng Origin Authoriza$on Los ROAs con$enen información sobre el origen permi$do de un prefijo Los ROAs se firman u$lizando los cer$ficados generados por la RPKI Los ROAs firmados se copian en un repositorio publicamente accesible

23 ROAs (ii) Un ROA (simplificado) con$ene esta información: Este ROA afirma que: El prefijo /17 será anunciado por el sistema autónomo 6057 y podrá ser fraccionado en prefijos de hasta 20 bits de largo. Esto será valido desde el 2 de enero de 2011 hasta el 1 de enero de 2012 Además El ROA con$ene el material criptográfico que permite verificar la validez de esta información contra la RPKI

24 ROAs (iii) Los ROA con$enen Un cer$ficado End En$ty con recursos Una lista de route origin aresta$ons ROA End En$ty Cer$ficate 200/ / / > AS / > AS 101

25 ROAs (iii) - Validación El proceso de validación de los ROAs involucra: La validación criptográfica de los cer$ficados end en$ty (EE) que están contenidos dentro de cada ROA La validación CIDR de los recursos listados en el EE respecto de los recursos listados en el cer$ficado emisor La verificación de que los prefijos listados en los route origin aresta$ons están incluidos en los prefijos listados en los cer$ficados end en$ty de cada ROA

26 RPKI en funcionamiento UPDATE Router asigna estado de validez al UPDATE Caché informa periódicamente a router sobre prefijos válidos

27 RPKI en funcionamiento (ii) El proceso de validación a nivel de la infraestructura de enrutamiento está dividido en dos Validación de los ROAs como objetos firmados Lo realiza el caché validador Validación de la información recibida en los UPDATE de BGP Lo realizan los bgp speakers de la red Existe un protocolo de comunicación entre caché y routers (RTR) que está siendo definido en el IETF actualmente

28 RPKI en funcionamiento (iii) En el caché Se bajan por RSYNC los contenidos de los repositorios RPKI Se validan los cer$ficados y ROAs Criptográficamente (cadena de firmas) Inclusión correcta de recursos En los routers Se construye una base de datos con la relación entre prefijos y AS de origen

29 Interación con BGP Los routers construyen una tabla con la información que reciben del caché Esa tabla con$ene Prefijo Largo mínimo Largo máximo AS de origen En funcion de un conjunto de reglas se le asigna a cada prefijo un estado de validez

30 Interacción con BGP (ii) UPDATE /9 ORIGIN- AS 20 VALID IP prefix/[min_len max_len] / [16-20] /[8-21] 20 Origin AS Si el UPDATE pfx no encuentra ninguna entrada que lo cubra en la BdeD - > not found Si el UPDATE pfx si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del UPDATE pfx coincide con uno de ellos - > valid En el caso anterior, si no coincide ningun AS de origen - > invalid

31 Herramientas Validadores RIPE hrp://labs.ripe.net/members/agowland/ripe- ncc- validator- for- resource- cer$fica$on/view Rcyinc hrp://subvert- rpki.hactrn.net/rcynic/ Visualización y estadís$cas Construidas sobre la salida de los validadores

32 Validación RIPE Labs

33 Validación (ii) Ejemplo: Validación top- down del repositorio de LACNIC exportando prefijos validados en un CSV Paso 1: bajar el RTA de LACNIC wget --output-document=./trust-anchors/talacnic.cer Paso 2: correr la validación./ripencc-rpki-validator/bin/ certification-validator \ --top-down -o validator/ \ -t./trust-anchors/ta-lacnic.cer \ -r lacnic-roas.csv

34 Validación (iii) ROAs validados y prefijos (lacnic-roas.csv) URI,ASN,IP Prefix,Max Length,Not Before,Not After rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af /utt-n3nq91lgzh0jvwppn- KirQ4.roa",AS28000, /23,24, :00:00, :00:00 rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af /utt-n3nq91lgzh0jvwppn- KirQ4.roa",AS28000,2001:13c7:7001::/48,48, :00:00, :00:00 rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af / nfnv84a_ga8zpecmr4jx1qe557o.roa",as28001, /22,24, :00:00, :00:00 rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af / nfnv84a_ga8zpecmr4jx1qe557o.roa",as28001,2001:13c7:7002::/48,48, :00:00, :00:00

35 Visualizando RPKI Fuente: hrp:// heatmaps/latest/ Mapas de Hilbert coloreados de acuerdo con el espacio cubierto por ROAs:

36 Sistema RPKI de LACNIC El sistema RPKI en modo alojado de LACNIC está en producción desde 1/1/2011 Para acceder solo hace falta: Contar con el contacto administra$vo de la organización para crear los cer$ficados Contar con el contacto técnico de la organización para crear los ROAs Acceso a través de hrp://rpki.lacnic.net

37 Comentarios finales Posibles usos de RPKI mientras no todos los routers sean capaces de validar Puentes entre IRRd y RPKI Puentes entre WHOIS y RPKI Procesamiento de tablas BGP de routers offline Existe una variedad de herramientas de uso libre para RPKI Los repositorios de los 5 RIRs pueden bajarse libremente via rsync rsync avz rsync://repository.lacnic.net/rpki/./rpki

38 Links / Referencias Sistema RPKI de LACNIC hrp://rpki.lacnic.net Repositorio RPKI LACNIC rsync://repository.lacnic.net/rpki/ Para ver el repositorio rsync - - list- only rsync://repository.lacnic.net/rpki/lacnic/ Estadís$cas RPKI hrp://

39 Gracias! lacnic.net lacnic.net