En este texto intentaré explicar para qué sirve RPKI tratando de no entrar en detalles técnicos.
¿Qué es RPKI? (en tres oraciones)
- Resource Public Key Infrastructure es un sistema en donde cada empresa va a declarar a una base de datos mundial cómo y a quién anuncia sus Direcciones IP sin costo alguno.
- Luego, los routers del mundo podrán consultar esa base de datos para verificar que la información que reciben coincide con las que la empresa declara, pudiendo filtrar redes que sean 'robadas' por atacantes malintencionados.
- Esto se complementa con un fuerte sistema criptográfico de firmado, que garantiza la integridad, validez y veracidad de la información obtenida.
¿Qué hago para comenzar a implementar RPKI?
En este momento de la historia todas las entidades que poseen recursos IP propios deben declarar y firmar digitalmente la información acerca de las redes que publican a internet. Técnicamente esto se denomina "Firmar un ROA" (Autorización de Originación de Rutas).
Esto se hace desde el sitio web de su RIR, en cuestión de minutos.
Luego, se deben actualizar los sistemas operativos de los routers de forma tal que puedan consultar la información de todos los ROA de las organizaciones.
Pasos para la implementación de RPKI |
Ahora algunos detalles más, quizás un poco más técnicos.
Una dirección IP es a un equipo lo que una chapa patente a un auto. No se puede circular por la red sin tener una de ellas.
Generalmente las organizaciones toman Direcciones IP prestadas de su proveedor de acceso a Internet, pero en los casos en donde las organizaciones tienen varios proveedores o bien prestan servicio (son ISP) deben "comprar" su propio rango de direcciones.
Usted debe saber si su empresa paga un cargo anual por "Direcciones IP" a alguna de las entidades presentadas en el siguiente diagrama, de acuerdo a su localización geográfica.
Registros Regionales de Internet según la zona geográfica |
Ahora bien, una vez que a su empresa se le asignan los rangos de direcciones y se concreta el pago, su personal técnico debe Publicar o Anunciar al resto de los routers del mundo el rango de Direcciones IP propias, para que el resto del mundo pueda enviar información hacia las redes de su empresa.
En este punto es donde debemos concentrarnos y lo remarco:
Alguien (idealmente su personal técnico) debe anunciar al mundo la existencia del nuevo rango de Direcciones IP asignadas a su empresa usando un protocolo de ruteo llamado BGP.
La realidad es que por como están hechos el protocolo BGP, ya sea en forma malitencionada o no ese alguien puede ser cualquier empresa o persona que cuente con la infraestructura necesaria. Se necesita:
- Un router
- Un enlace a internet
- Una conexión de BGP con un proveedor de internet.
Esto quiere decir que hoy en día cualquier entidad puede anunciar al mundo los rangos de otra entidad. Por ejemplo:
Hace un par de años hubo un incidente en donde por error una Telco de Pakistán anunció al mundo las redes del portal Youtube. La consecuencia de esto es que gran parte de los millones de personas que pedían su navegador de entrar este sitio eran redirigidos hacia Pakistán
Imaginemos un caso que hipotéticamente podría pasar:
- Un atacante crea un clon del sitio web de su banco de confianza.
- Anuncia como propias las direcciones IP del banco.
- Los clientes van a caer en los servidores del atacante cuando quieran entrar al sitio del banco.
- El atacante roba las contraseñas del home banking de los clientes que caigan en esta trampa.
- Luego, el atacante se hace rico al retirar dinero de esas cuentas.
Por favor no deje de hacer los comentarios que crea necesarios.
Nos vemos en la próxima.