Preguntas frecuentes RPKI de LACNIC

¿Cómo RPKI mejora la seguridad del routing de Internet?

RPKI es una infraestructura de clave pública que brinda más herramientas a un proveedor para verificar el derecho de uso de un recurso de Internet por parte de un cliente. Por ejemplo, si un cliente solicita el enrutamiento de cierto bloque de direcciones a partir de determinado ASN, el proveedor puede pedir el material criptográfico correspondiente y verificarlo, siguiendo la jerarquía RPKI.

RPKI sustituye a los Registro de Enrutamiento de Internet (IRR)?

No, RPKI es una infraestructura de clave pública que puede ser utilizada para la generación de filtros en routers. RPKI no va a sustituir a los IRR, dado que no implementa varias funcionalidades que estos tienen (como el registro de políticas por ASN). No obstante, la sección IRR de la plataforma MiLACNIC utiliza como fuente de información los ROAs generados.

¿Qué es el secuestro de recursos?

El secuestro de recurso puede producirse cuando un ASN anuncia nuestro prefijo tal cual o con un prefijo mayor, ya sea por error o malicia. El proyecto FORT explica qué son los secuestros de ruta y mide los secuestros de ruta en la región a través de Monitoreo FORT. El caso más conocido de un secuestro de rutas fue el de Pakistan Telecom. Más información en el siguiente video

¿Cómo se ve un certificado RPKI?

Las dos peculiaridades más destacadas de un certificado RPKI son:

  • inexistencia de información de identificación del sujeto del certificado
  • uso de extensiones para la inclusión de direcciones IPv4, IPv6 y ASN (estas extensiones fueron definidas en el documento RFC 3779).
¿Deben mis enrutadores soport ar RPKI?

Para poder generar certificados y ROA no es necesario que sus enrutadores soporten RPKI. Sin embargo, para que los enrutadores puedan tomar decisiones de ruteo en base a la autenticidad de las rutas basadas en RPKI se requiere un software de enrutamiento que soporte RPKI.

Con RPKI, ¿cada organización tiene que mantener una entidad certificadora (CA)?

El proyecto RPKI de LACNIC soporta dos modalidades: delegada y alojado. LACNIC provee el servicio alojado, donde las organizaciones miembro pueden (con el acceso a una simple página web), realizar todas las tareas relacionadas con la arquitectura RPKI sin necesidad de una entidad certificadora (CA).

¿Qué enrutadores soportan validación de origen en RPKI ?

La mayoría de los proveedores de equipos ya soportan validación de origen. Entre ellos, Cisco System, Juniper Network, Quagga, Mikrotik, Huawei.

¿Cómo puedo verificar que mis rutas estén correctamente firmadas?

Para verificar que sus prefijos se han firmado correctamente y que no existen errores que marquen rutas como inválidas, puede visitar la herramienta de validación de origen de LACNIC: https://milacnic.lacnic.net/lacnic/rpki/state