Recientemente, cinco expertos en seguridad de enrutamiento compartieron sus estrategias de trabajo para proteger Internet contra la amenaza al enrutamiento más habitual, es decir, poniendo en marcha y promoviendo las acciones recogidas en las Normas Mutuamente Acordadas para la Seguridad del Enrutamiento o MANRS, por sus siglas en inglés. Todos ellos participaron en la InterCommunity, un evento que ofrece a los miembros de Internet Society una forma de participar en debates constructivos sobre los temas más relevantes para Internet.
¿Quieres participar en el debate de InterCommunity? ¡Hazte miembro de Internet Society hoy!
La sesión de InterCommunity “Proteger el enrutamiento global”, planteada para difundir las normas MANRS, es un espacio donde se comparten buenas prácticas de enrutamiento y se insta a más operadores de red a poner en marcha las acciones de la iniciativa MANRS para que Internet sea más seguro para todos.
Los ponentes compartieron sus actividades de red y conocimientos para desarrollo de competencias con más de 200 asistentes que participaron en directo en el debate informativo.
¡Queremos expresar un agradecimiento especial a Melchior Aelmans de Juniper Networks por su maestría para moderar el debate!
Esto es lo que comentaron los ponentes:
Abdul Awal (Bangladesh National DataCentre)
Awal habló sobre sus objetivos para desarrollar capacidad técnica en los Recursos de Infraestructura de Clave Pública (RPKI, por sus siglas en inglés) y difundir los principios de la iniciativa MANRS en el sur de Asia. También comentó cómo podemos ayudar a las redes a validar su información de enrutamiento mediante la implementación de Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés).
Las ROA permiten a los operadores de red firmar criptográficamente los anuncios de ruta enviados por el Protocolo de Puerta de Enlace de Frontera (BGP, por sus siglas en inglés) a otras redes de Internet. Con el uso de los RPKI otras redes pueden verificar las ROA criptográficamente y enviar información de enrutamiento similar que pueden haber recibido de otras redes.
Esto mejora considerablemente la seguridad de Internet al evitar la difusión de anuncios de ruta no válidos que pueden provocar que algunas partes de Internet sean inaccesibles o secuestros de redes maliciosas.
Awal ha trabajado con redes en la región de Asia Pacífico para aumentar el porcentaje de información de enrutamiento válida, lo que ha mejorado la seguridad de enrutamiento de la región.
Mark Tinka (SEACOM)
Mark lleva varios años en el sector de la ingeniería de red y enrutamiento, donde ha trabajado como operador de red y formador en la región de Asia Pacífico y África.
Lleva trabajando con RPKI desde 2014 y explicó las mejoras de compatibilidad del hardware de enrutamiento de Cisco y Juniper con RPKI a lo largo de los años. También describió el proceso de puesta en marcha de la RPKI en África y algunos desafíos a los que se enfrentó.
Kevin Blumberg (TORIX)
Kevin habló sobre la introducción de los principios MANRS desde el punto de vista de un punto neutro (IXP, por sus siglas en inglés).
TORIX es un IXP de Toronto (Canadá) que ha pasado de un tráfico de 1 Gigabit por segundo en 2000 a 1.1 Terabits por segundo en 2020. Explicó que para TORIX fue fácil sumarse a la iniciativa MANRS, porque lleva más de una década administrando un Registro de Enrutamiento de Internet (IRR, por sus siglas en inglés) basado en filtros.
También dijo que los operadores de IXP suelen ser menos restrictivos y por lo tanto, los IXP son proclives a convertirse en una fuente de secuestro de BGP, en el que redes diferentes confían en la información de enrutamiento que reciben. Por lo tanto, TORIX cree que tiene una obligación especial de asegurarse de que los datos de pares en el IXP sean válidos. Sin esto, sería fácil propagar los secuestros de ruta por IXP y TORIX quiere evitarlo.
Jorge Cano (NIC.mx)
Jorge habló sobre FORT, un validador de RPKI gratis y de código abierto. Un validador de RPKI ayuda a los rúteres a validar rápidamente la información de enrutamiento recibida por el BGP sin sobrecargarlos con más carga de procesamiento. FORT es compatible con Linux y BSD (el registro mexicano) con la ayuda de LACNIC. El validador se puede usar gratis y está abierto para todo el mundo.
Jorge hizo una encuesta para ver qué validador es el más utilizado por el público. Descubrimos que la mayoría de los participantes utiliza actualmente el validador RIPE y algunos todavía usan FORT.
Tashi Phuntsho (APNIC)
Tashi hizo una presentación sobre la importancia de proteger el enrutamiento global, destacando los problemas con las diferencias en datos ROA validados que se observaron en varios validadores y la labor de difusión de ROA desarrollada por el equipo de formación de APNIC en la región. Tashi también habló sobre la prueba beta de ROSv7 que ha hecho el equipo de formación de APNIC.