RPKI (FAQ)

¿Cómo accedo al sistema de RPKI de LACNIC?

Puede acceder mediante el siguiente link: http://rpki.lacnic.net

¿Qué es un ROA?

Route Origination Authorizations (ROAs), son objetos firmados digitalmente que proveen la autorización explícita (por parte del custodio de un bloque de direcciones) para que un AS específico origine un grupo de direcciones.

¿Cómo RPKI mejora la seguridad del routing de Internet?

RPKI es una infraestructura de clave pública que brinda más herramientas a un proveedor para verificar el derecho de uso de un recurso de Internet por parte de un cliente. Por ejemplo, si un cliente solicita el enrutamiento de cierto bloque de direcciones a partir de determinado ASN, el proveedor puede pedir el material criptográfico correspondiente y verificarlo, siguiendo la jerarquía RPKI.

¿Cómo se generan filtros de prefijos en Internet hoy?

Cada proveedor escoge qué información es adecuada para la construcción de sus filtros. En algunos casos se usa la información existente en los servidores de registros de rutas (Internet Routing Registries). En otros casos, los proveedores cuentan con interfaces web donde el cliente elige los prefijos que desea anunciar. En la Internet de hoy, la generación rápida y adecuada de filtros es una herramienta fundamental para asegurar el correcto funcionamiento de la red y combatir el secuestro de recursos, manteniendo el dinamismo necesario para permitir cambios topológicos.

¿RPKI sustituye a los Internet Routing Registry?

No, RPKI es una infraestructura de clave pública que puede ser utilizada para la generación de filtros en routers. RPKI no va a sustituir a los IRR, dado que no implementa varias funcionalidades que estos tienen (como el registro de políticas por ASN). No obstante, las sección IRR de la plataforma MiLacnic utiliza como fuente de informacción los ROAs generados.

¿Qué es el secuestro de recursos?

El secuestro de recurso puede producirse cuando un ASN anuncia nuestro prefijo tal cual o con un prefijo mayor, ya sea por error o malicia.  El caso mas conocido de un secuestro de rutas fue el de Pakistan Telecom. Mas información en el siguiente video https://youtu.be/IzLPKuAOe50

¿Cómo se ve un certificado RPKI?

Las dos peculiaridades más destacadas de un certificado RPKI son:

  • inexistencia de información de identificación del sujeto del certificado
  • uso de extensiones para la inclusión de direcciones IPv4, IPv6 y ASN (estas extensiones fueron definidas en el documento RFC 3779).

¿Deben mis enrutadores soportar RPKI?

Para poder generar certificados y ROA no es necesario que sus enrutadores soporten RPKI. Sin embargo, para que los enrutadores puedan tomar decisiones de ruteo en base a la autenticidad de las rutas basadas en RPKI se requiere unsoftware de enrutamiento que soporte RPKI.

Con RPKI, ¿cada organización tiene que mantener una entidad certificadora (CA)?

El proyecto RPKI de LACNIC soporta dos modalidades: delegada y alojado. LACNIC provee el servicio alojado, donde las organizaciones miembro pueden ?con el acceso a una simple página web? realizar todas las tareas relacionadas con la arquitectura RPKI sin necesidad de una entidad certificadora (CA).

¿Dónde puedo obtener software para validar los repositorios de RPKI?

Algunos de los software de validación son:

Validador FORT de NIC México y LACNIC: https://fortproject.net/

RIPE NCC http://www.ripe.net/lir-services/resource-management/certification/tools-and-resources

rcynic http://subvert-rpki.hactrn.net/trunk/rcynic/

RPSTIR http://sourceforge.net/projects/rpstir/

OctoRPKI https://github.com/cloudflare/cfrpki#octorpki

Routinator https://nlnetlabs.nl/projects/rpki/routinator/

¿Qué enrutadores soportan validación de origen en RPKI?

La mayoría de los proveedores de equipos ya soportan validación de origen. Entre ellos, Cisco System, Juniper Network, Quagga, Mikrotik, Huawei.

¿Cómo puedo verificar que mis rutas estén correctamente firmadas?

Para verificar que sus prefijos se han firmado correctamente y que no existen errores que marquen rutas como inválidas, puede visitar la herramienta de validación de origen de LACNIC: https://milacnic.lacnic.net/lacnic/rpki/state

SYSTEM CERTIFICATION ISO 9001 LSQA

CHK_LACNIC