Desde el 5 de septiembre del 2013, todos los operadores de redes1 en Ecuador han registrado de forma voluntaria sus redes para ser protegidas con la última tecnología desarrollada en el IETF (Grupo de trabajo de Ingeniería de Internet). Adicionalmente, NAP.EC, el punto de intercambio de tráfico en Ecuador, está en capacidad de verificar, para el tráfico local, que los operadores de redes no realizan anuncios falsos de encaminamiento. El proyecto también ha sido una oportunidad para fomentar la innovación y la creación de nuevas capacidades en la comunidad local de proveedores de Internet. El desarrollo de estas capacidades es un importante paso hacia el aseguramiento de la infraestructura crítica de Internet. De la misma forma, el resto de los operadores de la región y el mundo pueden nutrirse de los resultados y experiencias emanados de este esfuerzo pionero.
El problema de la seguridad en el encaminamiento global
El encaminamiento global en Internet se realiza a través del protocolo BGP (Border Gateway Protocol), desarrollado por el IETF a principios de los años 90. Gracias a esta tecnología, Internet ha podido desarrollarse hasta llegar a ser la plataforma crítica que utilizamos hoy. La propuesta original del protocolo no incluye una forma para que una organización manifieste su derecho de uso sobre un bloque de direcciones IP sea versión 4 o versión 6. Este hecho ha derivado a lo largo de la historia del protocolo en varios incidentes donde el tráfico fue desviado a destinos incorrectos (en general por problemas operacionales), ocasionando trastornos a los usuarios y los operadores.
El IETF y los registros regionales (RIRs) han trabajado durante cerca de una década en una arquitectura que permita evitar o contener estos incidentes. Esta arquitectura consiste de dos elementos: la infraestructura de clave pública para recursos de Internet (o RPKI) y la autenticación de origen en BGP. Gracias a estos desarrollos, un miembro de un RIR (por ejemplo LACNIC) puede hacer una aseveración criptográfica (llamada ROA) de quién está autorizado a utilizar sus direcciones IP. Operadores alrededor del mundo tienen la opción de configurar sus enrutadores habilitando la funcionalidad de filtrado automático basado en esas aseveraciones (i.e. la autenticación de origen en BGP).
El rol de un Punto de Intercambio de Tráfico (IXP) en el RPKI y la validación de origen en BGP
Una de las estrategias para la inserción de tecnologías de seguridad es la configuración de islas de confianza, dentro de la cual la tecnología se desarrolla completamente.
Un punto de intercambio de tráfico es un lugar de encuentro donde una serie de organizaciones se reúnen para intercambiar información de alcanzabilidad. Si tecnologías como RPKI y validación de origen en BGP se implementan en un IXP, se avanza hacia la configuración de una isla de confianza.
El proyecto RPKI y validación de origen en Ecuador
En Ecuador, AEPROVI (Asociación de empresas proveedoras de servicios de Internet, valor agregado, portadores y tecnologías de la información) administra desde el año 2001 la infraestructura para intercambio de tráfico local de Internet a la cual denomina NAP.EC y que actualmente tiene 2 puntos de presencia: uno en Quito y otro en Guayaquil. Gracias a esta infraestructura, el tráfico local ecuatoriano se intercambia sin necesidad de utilizar costosos enlaces internacionales. Los proveedores conectados directamente a NAP.EC dan servicio a aproximadamente el 97% de usuarios de Internet en Ecuador y si a esto se agrega que NAP.EC permite a estos proveedores anunciar las redes de sus clientes proveedores más pequeños, el resultado es una cobertura de prácticamente el 100% de usuarios y tráfico local2 . Esto también implica que la adopción de las nuevas tecnologías por el NAP.EC y su comunidad en la práctica significa una adopción total del país.
Desde inicios de septiembre de 2013, cerca del 100% de las redes locales de Ecuador presentes en NAP.EC para intercambio de tráfico tienen registrada información de encaminamiento en el sistema RPKI de LACNIC. Adicionalmente, los equipos de NAP.EC han sido equipados con la funcionalidad de validación de origen en BGP. De esta forma NAP.EC está en condiciones de monitorear y asistir a los operadores de redes en la implementación de la validación de origen BGP.
Instructores y algunos de los participantes del evento de capacitación y firma de ROAs realizado en Quito el 4 y 5 de septiembre de 2013
Indicadores
Para medir el impacto de un proyecto de despliegue de RPKI pueden tomarse diversos indicadores. Los más comúnmente utilizados son:
1. Cantidad de prefijos contenidos en ROAs
2. Cantidad de espacio IPv4 protegido por firmas (medido en porcentaje del espacio total asignado a organizaciones de Ecuador)
3. Cantidad de espacio IPv6 protegido por firmas (medido en porcentaje del espacio total asignado a organizaciones de Ecuador)
En todas las métrica, el resultado es cerca de un 100% de adhesión. Este hecho significa que, el IXP de Ecuador es pionero a nivel mundial en no permitir que alguno de sus miembros tome posesión de los recursos de otro de sus miembros.
El camino hacia adelante
El exitoso proyecto en Ecuador sólo pudo llevarse a cabo gracias a la fortaleza de la comunidad local, la confianza en el equipo de NAP.EC y el compromiso de los socios en hacer que el proyecto sea una realidad.
La experiencia del proyecto emprendido en Ecuador es una muy importante fuente de experiencias para el resto de la comunidad global de Internet. Este documento es uno de los pasos tomados para seguir diseminando mejores prácticas al resto de la comunidad de Internet.
Operadores de redes en otros países y regiones pueden utilizar estas experiencias aprendidas en el proyecto del NAP.EC para sus implementaciones de RPKI y la validación de origen BGP.
Notas:
Contribuyeron para la redacción:
- Fabián Mejía - AEPROVI
- Roque Gagliano - Cisco Systems
- Álvaro Retana - Cisco Systems
- Arturo Servín - LACNIC
- Carlos Martínez - LACNIC
El encaminamiento global en Internet se realiza a través del protocolo BGP (Border Gateway Protocol), desarrollado por el IETF a principios de los años 90. Gracias a esta tecnología, Internet ha podido desarrollarse hasta llegar a ser la plataforma crítica que utilizamos hoy. La propuesta original del protocolo no incluye una forma para que una organización manifieste su derecho de uso sobre un bloque de direcciones IP sea versión 4 o versión 6. Este hecho ha derivado a lo largo de la historia del protocolo en varios incidentes donde el tráfico fue desviado a destinos incorrectos (en general por problemas operacionales), ocasionando trastornos a los usuarios y los operadores.
El IETF y los registros regionales (RIRs) han trabajado durante cerca de una década en una arquitectura que permita evitar o contener estos incidentes. Esta arquitectura consiste de dos elementos: la infraestructura de clave pública para recursos de Internet (o RPKI) y la autenticación de origen en BGP. Gracias a estos desarrollos, un miembro de un RIR (por ejemplo LACNIC) puede hacer una aseveración criptográfica (llamada ROA) de quién está autorizado a utilizar sus direcciones IP. Operadores alrededor del mundo tienen la opción de configurar sus enrutadores habilitando la funcionalidad de filtrado automático basado en esas aseveraciones (i.e. la autenticación de origen en BGP).
El rol de un Punto de Intercambio de Tráfico (IXP) en el RPKI y la validación de origen en BGP
Una de las estrategias para la inserción de tecnologías de seguridad es la configuración de islas de confianza, dentro de la cual la tecnología se desarrolla completamente.
Un punto de intercambio de tráfico es un lugar de encuentro donde una serie de organizaciones se reúnen para intercambiar información de alcanzabilidad. Si tecnologías como RPKI y validación de origen en BGP se implementan en un IXP, se avanza hacia la configuración de una isla de confianza.
El proyecto RPKI y validación de origen en Ecuador
En Ecuador, AEPROVI (Asociación de empresas proveedoras de servicios de Internet, valor agregado, portadores y tecnologías de la información) administra desde el año 2001 la infraestructura para intercambio de tráfico local de Internet a la cual denomina NAP.EC y que actualmente tiene 2 puntos de presencia: uno en Quito y otro en Guayaquil. Gracias a esta infraestructura, el tráfico local ecuatoriano se intercambia sin necesidad de utilizar costosos enlaces internacionales. Los proveedores conectados directamente a NAP.EC dan servicio a aproximadamente el 97% de usuarios de Internet en Ecuador y si a esto se agrega que NAP.EC permite a estos proveedores anunciar las redes de sus clientes proveedores más pequeños, el resultado es una cobertura de prácticamente el 100% de usuarios y tráfico local2 . Esto también implica que la adopción de las nuevas tecnologías por el NAP.EC y su comunidad en la práctica significa una adopción total del país.
Desde inicios de septiembre de 2013, cerca del 100% de las redes locales de Ecuador presentes en NAP.EC para intercambio de tráfico tienen registrada información de encaminamiento en el sistema RPKI de LACNIC. Adicionalmente, los equipos de NAP.EC han sido equipados con la funcionalidad de validación de origen en BGP. De esta forma NAP.EC está en condiciones de monitorear y asistir a los operadores de redes en la implementación de la validación de origen BGP.
Instructores y algunos de los participantes del evento de capacitación y firma de ROAs realizado en Quito el 4 y 5 de septiembre de 2013
Indicadores
Para medir el impacto de un proyecto de despliegue de RPKI pueden tomarse diversos indicadores. Los más comúnmente utilizados son:
1. Cantidad de prefijos contenidos en ROAs
2. Cantidad de espacio IPv4 protegido por firmas (medido en porcentaje del espacio total asignado a organizaciones de Ecuador)
3. Cantidad de espacio IPv6 protegido por firmas (medido en porcentaje del espacio total asignado a organizaciones de Ecuador)
Gráficas de la evolución de los prefijos firmados con ROA en Ecuador
En todas las métrica, el resultado es cerca de un 100% de adhesión. Este hecho significa que, el IXP de Ecuador es pionero a nivel mundial en no permitir que alguno de sus miembros tome posesión de los recursos de otro de sus miembros.
El camino hacia adelante
El exitoso proyecto en Ecuador sólo pudo llevarse a cabo gracias a la fortaleza de la comunidad local, la confianza en el equipo de NAP.EC y el compromiso de los socios en hacer que el proyecto sea una realidad.
La experiencia del proyecto emprendido en Ecuador es una muy importante fuente de experiencias para el resto de la comunidad global de Internet. Este documento es uno de los pasos tomados para seguir diseminando mejores prácticas al resto de la comunidad de Internet.
Operadores de redes en otros países y regiones pueden utilizar estas experiencias aprendidas en el proyecto del NAP.EC para sus implementaciones de RPKI y la validación de origen BGP.
Notas:
- El término “operadores de redes” y “operadores” en esta contribución refiere a las organizaciones que gestionan redes de datos e incluye operadores de servicio, empresas, academia, etc.
- Datos basados en las estadísticas de servicios que publica la Superintendencia de telecomunicaciones de Ecuador en su página de Internet, actualizado a junio de 2013: http://supertel.gob.ec/index.php?option=com_k2&view=item&id=21:servicios-de-telecomunicaciones&Itemid=90
Contribuyeron para la redacción:
- Fabián Mejía - AEPROVI
- Roque Gagliano - Cisco Systems
- Álvaro Retana - Cisco Systems
- Arturo Servín - LACNIC
- Carlos Martínez - LACNIC
