WALC 2010 / Sta. Cruz de la Sierra Bolivia - Octubre 2010

Transcripción

1 WALC 2010 / Sta. Cruz de la Sierra Bolivia - Octubre 2010

2 x.z.y/20 ISP x.z.y.0/24

3 Hoy un ISP recibe un bloque de direcciones por parte de, completa la información correspondiente en el whois y registra sus reversos de DNS Cada ISP indica a su upstream cuales son los prefijos que va a anunciar a través de diferentes mecanismos, como por ejemplo: A través de formulario web o planilla de datos Utilizando Registros de Routing (IRR)

4 El Carrier debería verificar el derecho a uso por parte de sus clientes a los recursos que solicita rutear y configurar filtros ( prefix-lists ) adecuados en sus interfaces a sus clientes Cuáles son la fuentes de información que cuenta? Whois de los RIRs: No está pensado para información de routing, información no es firmado, muchas veces la información básica (nombre de entidad) no es actualizada Whois de los IRRs: No hay (en general) buenos mecanismos de autenticación para introducir la información, información no es firmada

5 Administrador de la red Controles locales en su infraestructura de rutas Protección de routers Integridad de operación en sus protocolos de ruteo Medidas posibles de protección Filtros 1918 (rfc1918) prefijos de redes privadas "Bogon Filters" espacios no asignados de IANA

6 Es fiable la información manejada por los protocolos de ruteo? Quien anuncia una ruta en Internet puede no ser el autorizado a hacerlo Puede ser pasible de vectores de ataque Secuestro de redes para el envío de spam Ataques man-in-the-middle Anuncio de una red que pertenece a otro para capturar su tráfico e inspeccionar su contenido Service cloning Ataques coordinados que puedan distorsionar porciones de red

7

8 Ocurre todo el tiempo en Internet, en especial de direcciones no distribuidas El problema es cuando se secuestran prefijos en operación, sea por error operacional o por actividad maliciosa Particularmente es dañino cuando el ataque se hace con prefijos más específicos Un ejemplo muy divulgado es el ataque a YouTube que ocurrió en Febrero 2008 por parte de Pakistan Telecom:

9

10 Validación de Anuncio Metodología automatizada que permita validar la autoridad asociada a un anuncio de ruta El emisor de la información de ruta "firma" la actualización No permite que terceros falsifiquen la información o la firma Utilizar las propiedades de encriptación con Clave Pública Principio: La información es encriptada con una clave privada y desencriptada con la clave pública asociada El emisor del mensaje podría firmar el digest del bloque de información

11

12 El proyecto de certificación de recursos es un esfuerzo para brindar la infraestructura para la firma digital del transpaso del derecho de uso de los recursos de Internet El proyecto de Certificación de Recursos implementa un Infraestructura de Clave Pública (PKI), por lo que hereda el nombre RPKI (Resource Public Key Infrastructure) La certificación de recursos no brinda seguridad en sí misma, pero establece la infraetructura para que los ISPs puedan desarrollar herramientas y metodologías mejorar la seguridad del routing entre dominios

13 Usar sistema de certificación con CA confiables Función de estos CA Describe la entidad a quien se han asignado bloques IP y AS Identifica la clave pública de esta entidad PKIX utiliza el standard x.509 Puede usarse para (la v3) Clave publica/privada Encriptación Firma de mensajes Verificación de firma (reemplazo de password-based access)

14 X.509 Elementos básicos del Certificado Version 1,2 o 3 SerialNumber Identificador único por CA Signature Algoritmo utilizado Issuer El nombre del emisor de certificado Validity Subject Periodo de validez del certificado El nombre de la entidad a quien se emite (puede obviarse e indicarse en SubjectAltName) SubjectPublicKeyInfo Algoritmo de clave y clave pública de la entidad

15 X.509

16

17 x.z.y/20 ISP x.z.y.0/24

18 Certificación de Recursos Para cada distribución o asignación de recursos va a entregar un certificado digital X509v3 que incluye la lista de recursos y la firma digital utilizando la clave privada de La estandarización se hace en el WG SIDR del IETF Los certificados dentro del RPKI tienen tres características importantes: La identidad del receptor (subject) no es relevante. RPKI no tiene como objetivo identificación Los certificados emitidos por permiten la generación de sub- CAs por los ISPs (CA bit=1) Se implementan extensiones para representar direccciones IP y ASN en un certificado x509v3

19 El ISP va a poder tomar la clave privada de sus certificados y firmar material cryptográfico, en especial un ROA (Route Origin Authorizations) Prefijos IP / :13c7:7003::/48 Origin ASN: Los certificados y todo el material criptográfico se almacena en repositorios de acceso públicos. Estos pueden ser usados para verificar derecho de uso de un prefijo IP por determinado ASN de Origen o generar filtros automáticamente.

20

21 Emisión de certificados hijos cuando existen cambios en la base de registro o a demanda de un usuario Revocación de certificados hijos en forma centralizada o a demanda de un usuario Emisión periódica de CRL para certificado del CA Publicación de Certificado del CA y de certificados hijos en repositorio público (rsync)

22 Los miembros (ej. ISP) que reciben sus certificados CA por parte de una CA madre necesitarán los siguientes servicios Administrar su CA y dar los mismos servicios anterior para sus CA hijas (por ejemplo ISP emite certificado para Usuario Final u otro ISP) Solicitar emisión o revocación de certificados a la CA madre en caso de ser necesario Generar material criptográfico (Ej. ROAs) para sus recursos Mantener un repositorio público

23 RPKI en los routers Los routers cambian su algoritmo BGP y antes de dar un prefijo como válido verifican la autenticación en tabla pre-cargada. Push de tabla de prefijos autenticados a los routers, usando protocolo sobre ssh

24 ha comenzado su desarrollo con los siguientes principios Comenzaremos con el servicio delegado Utilizamos tecnologías JEE, en particular basados en la implementación de RIPE NCC Utilizamos técnicas de gestión ágil de proyectos (SCRUM) Implementación delegada a continuación Clave del CA de y de los servicios alojados serán alojadas en HSM con FIPS 3 cuando se ponga en producción ya tiene una implementación en fase beta

25 Recursos con dedicacón Full-Time Contratación de consultores sobre temas específicos JEE Capacitación en Gestión Ágil (Scrum) Difusión Presentación en eventos Presentación en GTER 13 Presentación en reuniones de CITEL Página web con información sobre RPKI en

26 X.509 Extensions for IP Addresses and AS Identifiers Internet X.509 Public Key Infrastructure Certificate and CRL Profile A Profile for X.509 PKIX Resource Certificates

27