RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da...
Transcript of RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da...
![Page 1: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/1.jpg)
RPKI – Segurança nos recursos de numeração da Internet
(parte 1)
Netcafe – vida inteligente depois do almoçoItalo Valcy <[email protected]>Salvador – BA, 13/Jan/2017
![Page 2: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/2.jpg)
Agenda
● Introdução / Motivação● Visão geral do funcionamento do RPKI (visão dos
validadores)● Demonstração de validação RPKI● Limitações e soluções complementares● Conclusões
...
● Parte 2: operação de CA e autoridades de registro
![Page 3: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/3.jpg)
Recursos de numeração da Internet e validação de autoridade
![Page 4: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/4.jpg)
Recursos de Numeração da Internet
● Blocos de endereços IPv4, IPv6 e Números de sistemas autônomos (ASN)
● Distribuição coordenada e hierárquica
![Page 5: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/5.jpg)
Número de Sistema Autônomo (ASN)
● Identificador “único” de um sistema autônomo:– Conjunto de Redes sob uma mesma administração, com
política própria de roteamento e independente
ASN “16bits only”: 0 ~ 65535
ASN “32bits”: 0 ~ 4294697295
● Exemplos:– PoP-BA / UFBA: AS 53164
– RNP: AS 1916
– Google: AS 15169
– CBF: AS 264083
![Page 6: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/6.jpg)
Blocos de endereços IPv4 e IPv6
● Organizações categorizadas de acordo ao uso planejado:– ISP: provedores de acesso/serviço Internet
– Usuários finais
● Ex: Alocação de endereçamento para ISPs:– IPv4: Alocação mínima /24 (256 IPs) e máxima /22 (1024
IPs)● Desde 2014, não será alocado novos blocos para ISPs que já tem
bloco no NIC.br
– IPv6: ISP – /32; usuários finais – /48
Recursos não são “bens”, são concessões de direito de uso!
![Page 7: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/7.jpg)
Blocos de endereços IPv4 e IPv6
Exemplos:● PoP-BA/RNP:
– IPv4: 200.128.0.0/17 e 192.188.11.0/24
– IPv6: 2801:86::/32
● UFBA:– IPv4: 200.128.51.0/24, 200.128.56.0/21,
192.188.11.0/24
– IPv6: 2801:86:2000::/40
![Page 8: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/8.jpg)
O que é BGP
● Protocolo de roteamento para troca de informações de rotas na Internet (rfc4271, ...)
● ASNs identificam unicamente as redes (política de roteamento)
● Capacidade de transportar informações sobre diversos protocolos (ipv4, ipv6, l2vpn, vpnv4)
● Path vector protocol (controle de loops, updates incrementais, métricas)
● Cada AS divulga seus prefixos e adiciona seu ASN
*> 1.22.151.0/24 200.184.206.20 17379 3549 6453 4755 24186 45528 i*> 1.23.0.0/20 200.184.206.20 17379 6762 9498 45528 i
![Page 9: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/9.jpg)
BGP entre ASes na Internet
Fonte: http://bgp.he.net
![Page 10: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/10.jpg)
Excesso de confiança no BGP
● Excesso de confiança no protocolo BGP– Não apenas no BGP, mas em diversos protocolos
da Internet
● O BGP funciona com base na “confiança” entre os peers– Cada peer confia nos prefixos
enviados pelo outro peer
– Peers confiam no caminho
anunciado
![Page 11: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/11.jpg)
Notícias relacionadas
"Defensive" BGP hijacking?
![Page 12: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/12.jpg)
Tipos de Incidente de Roteamento
● Má configuração– Não intencional
– Bugs de software
● Maliciosa– Concorrência
– Contestando espaço
não utilizado
● Ataques dirigidos– Redirecionamento de tráfego
– Espionagem ou modificação de tráfego
Fonte: www.ripe.net (youtube-hijacking-a-ripe-ncc-ris-case-study)
![Page 13: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/13.jpg)
Validação de autoridade
● Prefix hijack
Fonte: Jumpstarting, Avichai, SIGCOMM
![Page 14: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/14.jpg)
Validação de autoridade
● Prefix hijack
Fonte: Jumpstarting, Avichai, SIGCOMM
![Page 15: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/15.jpg)
Problemas à vista
● Como garantir a autoridade dos prefixos anunciados?
● Como garantir a validade de informações em bases IRR?
● O que fazer com rotas inválidas?● Como validar o caminho (path) de um prefixo?
![Page 16: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/16.jpg)
RPKI – Adicionando segurança aos recursos de numeração da Internet
![Page 17: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/17.jpg)
O que é RPKI?
Um framework de segurança para roteamento na Internet que provê verificação da associação entre recursos de Internet e proprietários de recursos
![Page 18: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/18.jpg)
Resource PKI (RPKI)● Autenticação da origem
– Protege contra prefix/subprefix hijacking
– Adiciona certificados digitais a recursos de rede, associando-os com seus proprietários
– Route Origin Authorisation (ROA) + Chain of trust
Fonte: Jumpstarting, Avichai, SIGCOMM
![Page 19: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/19.jpg)
Relembrando...● PKI – Infraestrutura de chaves públicas
– Autoridade Certificadora (CA raiz e intermediárias)
– Certificados, Lista de Certificados Revogados
– Par de chaves Pública e PrivadaAutenticidade
![Page 20: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/20.jpg)
RPKI: ROA + Chain of Trust
Fonte: bgp-operations-and-security (RIPE)
![Page 21: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/21.jpg)
Exemplo
Fonte: RPKI Tutorial, SANOG25
![Page 22: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/22.jpg)
Ex c/ Validação da Origem RPKI
Fonte: RPKI Tutorial, SANOG25
![Page 23: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/23.jpg)
RPKI – prevenção de prefix hijack
Fonte: Jumpstarting, Avichai, SIGCOMM
![Page 24: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/24.jpg)
RPKI building blocks
Fonte: bgp-operations-and-security (RIPE)
● Trust Anchors (RIR, NIR, LIR)● Route Origination Authorizations (ROA)● Validators (Relying Party – RP)
![Page 25: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/25.jpg)
Trust Anchors
![Page 26: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/26.jpg)
Route Origination Authorization (ROA)
● Objeto digital assinado que contém uma lista de endereços IP
● É uma autorização emitida pelo proprietário de recursos autorizando um AS a anunciar um ou mais específicos prefixos/rotas
![Page 27: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/27.jpg)
Validators (Relying Party – RP)
● Roteadores que suportam RPKI podem validar os prefixos recebidos através de Relying Parties / RPKI Cache / Validators– A validação é feita no RP, o roteador apenas
pergunta algo como:
“Recebi um anuncio para 8.8.8.0/24 com origem no AS 15169, este anuncio é autorizado?”
![Page 28: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/28.jpg)
Resultado da checagem
● Valid – Indica que o prefixo e o AS foram encontrados na base RPKI e estão válidos;
● Invalid – Indica que o prefixo/AS foram encontrados, porém o AS de origem ou o tamanho do prefixo divergem do que está autorizado na base
● Not Found / Unknown – Indica que o prefixo não está na base
Valid > Unknown > Invalid
![Page 29: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/29.jpg)
Exemplo
![Page 30: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/30.jpg)
RPKI Status
● RPKI– RPKI é padrão IETF (rfc5280, rfc3779, rfc6481-
6493)
– Os RIRs estão implantando desde 2011● http://certification-stats.ripe.net/
– Muitos fabricantes já implementam
![Page 31: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/31.jpg)
Adoção de RPKI nos RIRs
Fonte: http://rpki.surfnet.nl/perrir.html
![Page 32: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/32.jpg)
Demonstração
![Page 33: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/33.jpg)
Cenário
![Page 34: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/34.jpg)
Limitações
![Page 35: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/35.jpg)
Estamos seguros agora?
● RPKI melhora a segurança na infraestrutura de roteamento de Internet, adicionando a possibilidade de validação da origem (autorização para anunciar)– Prevenção de hijacks acidentais
● Isto é apenas um primeiro passo!● Este mecanismo não protege contra spoofing do
AS de origem (prepending), também conhecido como “Ataque Next-AS”– Validação do caminho (ainda) não é possível no RPKI
![Page 36: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/36.jpg)
Ataque Next-AS● RPKI não protege contra roteamento incorreto
terminando em origens válidas
Fonte: Jumpstarting, Avichai, SIGCOMM
![Page 37: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/37.jpg)
Ataque Next-AS
Fonte: Jumpstarting, Avichai, SIGCOMM
![Page 38: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/38.jpg)
Resumo
![Page 39: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/39.jpg)
Resumo
● BGP não é seguro por padrão– Peers desonestos podem prejudicar a rede
● Existem muitos patches a serem aplicados– Não aplicá-los também não resolve
● Segurança BGP pode ser melhorada com:– Boas práticas gerais de roteamento e BGP
– Filtros
– RPKI + BGPSEC
● Em breve: mais informações sobre operação de CA e autoridades de registro
![Page 40: RPKI – Segurança nos recursos de numeração da Internet ... · Recursos de Numeração da Internet ... Fonte: . Demonstração. Cenário. Limitações. Estamos seguros agora?](https://reader030.fdocument.pub/reader030/viewer/2022021808/5c02036609d3f22b088d7779/html5/thumbnails/40.jpg)
Dúvidas ?
RPKI – Segurança nos recursos de numeração da Internet
Italo Valcy <[email protected]>Salvador – BA, 13/Jan/2017