WHOIS Mi LACNIC
Su dirección IP es / Your IP address is: 

RPKI (FAQ)

¿ Cómo accedo al sistema de RPKI de LACNIC ?

Para la generación de certificados y ROAs el sistema de RPKI de LACNIC puede accederse en: http://milacnic.lacnic.net

¿ Qué es un ROA ?

Route Origination Authorizations (ROAs), son objetos firmados digitalmente que proveen la autorización explícita por parte del custodio de un bloque de direcciones que un AS específico puede ser el origen de un grupo de direcciones.

¿Cómo RPKI mejora la seguridad del routing de Internet?

RPKI es una infraestructura de clave pública que brinda más herramientas a un proveedor de verificar el derecho de uso de un recurso de Internet por parte de un cliente. Por ejemplo, si un cliente solicita el enrutamiento de cierto bloque de direcciones a partir de determinado ASN, el proveedor puede solicitar el material criptográfico correspondiente y realizar la verificación del mismo siguiendo la jerarquía RPKI.

¿Cómo se generan filtros de prefijos en Internet hoy?

Cada proveedor escoge qué información es adecuada para la construcción de sus filtros. En algunos casos se utiliza la información existente en los servidores de registros de rutas (o Internet Routing Registries), en otros casos los proveedores cuentan con interfaces web donde el cliente es quien escoge los prefijos que desea anunciar. La generación rápida pero adecuada de filtros en la Internet de hoy es una herramienta fundamenta para asegurar el correcto funcionamiento de la red, combatir el secuestro de recursos pero manteniendo el dinamismo necesario para permitir cambios topológicos.

¿RPKI Sustituye a los Internet Routing Registry?

No, RPKI es una infraestructura de clave pública que puede ser utilizada para la generación de filtros en routers. RPKI no va a sustituir a los IRRs dado que no implementa varias funcionalidades que estos tienen, como el registro de políticas por ASN. Se están desarrollando tecnologías dentro del grupo SIDR del IETF para incorporar en el lenguaje RPSL (Routing Policy Specification Language) la firma de objetos utilizando las claves generadas en la infraestructura RPKI.

¿Qué es el secuestro de recursos?

Secuestro de recursos en acción, el caso youtube

Los secuestros de recursos más dañinos para la estabilidad y seguridad de la red son los que ocurren sobre recursos que están activamente en uso. En particular cuando el anuncio de prefijos se hace de forma más específica. Un caso muy conocido fue el secuestro de recursos a YouTube en Febrero del 2008.

El secuestro de recursos consiste en el anuncio de prefijos IPv4, IPv6 o Números de Sistemas Autónomos en la tabla global de rutas de Internet, por parte organizaciones que no poseen el derecho de uso de estos prefijos. El anuncio en la tabla de rutas de Internet puede propagarse por una falta de controles adecuados de los proveedores que le brindan conectividad a la organización que lleva a cabo el secuestro. La causa del secuestro de recursos no siempre es maliciosa, muchas veces existen errores en la operación y mantenimiento de las redes que tienen como consecuencia un aparente secuestro del recurso. Un ejemplo de secuestro de recursos en Internet es el anuncio de bloques de direcciones que no han sido aún asignadas por los RIRs. Este fenómeno ocurre todos los días en nuestra red. El secuestro de recursos puede tener un alcance limitado a una región o a un grupo de proveedores, dependiendo de las políticas que cada uno de estos implementen, pero también puede tener consecuencias globales. En general, ante un secuestro de direcciones un proveedor de servicios de Internet (ISP) no tiene a su alcance otra herramienta más que intentar contactar a la fuente del secuestro y exhortar a que el incidente cese.

  • Lista de los recursos que se encuentran bajo sospecha de ser secuestrados: IPv4 e IPv6

¿Cómo se ve un certificado RPKI?

Las dos peculiaridades más destacadas de un certificado RPKI son la no existencia de información de identificación del sujeto del certificado y el uso de extensiones para la inclusión de direcciones IPv4, IPv6 y ASNs. Estas extensiones fueron definidas en el documento RFC 3779.

¿Debe mis enrutadores soportar RPKI?

Para poder generar certificados y ROAs no es necesario que sus enrutadores soporten RPKI. Sin embargo para que los enrutadores puedan tomar decisiones de ruteo basadas en la autenticidad de las rutas basadas en RPKI es necesario contar con software de enrutamiento que soporte RPKI

¿Con RPKI cada organización tiene que mantener una Entidad Certificadora (CA)?

El proyecto RPKI de LACNIC soporta dos modalidades, "delegada" y "alojado". Actualmente LACNIC provee el servicio "alojado" donde las organizaciones miembros pueden con el acceso a una simple página web realizar todas las tareas relacionadas con la arquitectura RPKI sin necesidad de implementar una Entidad Certificadora (CA).

¿Dónde puedo obtener software para validar los repositorios de RPKI?

Algunos de los software de validación son:

¿Qué enrutadores soportan validación de origen en RPKI?

La mayoría de los proveedores de equipos ya soportan validación de origen, entre ellos Cisco System, Juniper Network, Quagga, Mikrotik, Huawei.

¿Cómo puedo verificar si mis rutas están firmadas correctamente?

Para verificar que sus prefijos se han firmado correctamente y no existen errores que marquen rutas como inválidas puede visitar la herramienta de validación de origen de LACNIC:

https://milacnic.lacnic.net/lacnic/rpki/state

Top CHK_LACNIC