RPKI para operadores de CA e autoridades de registro (parte 2) Netcafe Italo Valcy Salvador BA, 31/Mar/2017

Transcrição

1 RPKI para operadores de CA e autoridades de registro (parte 2) Netcafe Italo Valcy <italovalcy@ufba.br> Salvador BA, 31/Mar/2017

2 Agenda Introdução / Motivação Visão geral do funcionamento do RPKI (visão dos validadores) Demonstração de validação RPKI Limitações e soluções complementares... Parte 2: operação de CA e autoridades de registro

3 RPKI Adicionando segurança aos recursos de numeração da Internet

4 O que é RPKI? Um framework de segurança para roteamento na Internet que provê verificação da associação entre recursos de Internet e proprietários de recursos

5 RPKI: ROA + Chain of Trust Fonte: bgp-operations-and-security (RIPE)

6 RPKI prevenção de prefix hijack Fonte: Jumpstarting, Avichai, SIGCOMM

7 Principais componentes Autoridade Certificadora (CA) / Trust Anchor Internet Registries (RIR, NIR, LIR) Emite certificados para os clientes (delegação) Permite o uso do sistema da CA para emitir ROAs para seus prefixos Route Origination Authorizations (ROA) Armazena informações de autorização de prefixos Validators (Relying Party RP) Software que obtém os dados da CA Fonte: bgp-operations-and-security (RIPE)

8 Autoridade Certificadora Internet Registries (RIR, NIR, grandes LIRs) Atua como AC e AR, emitindo certificados para detentores de recursos Geralmente também disponibiliza uma interface para emissão de ROAs Publica os ROAs em um repositório RPKI engine publicação Repositório rpki-testbed.ufba.br MyRPKI GUI

9 Route Origination Authorization (ROA) Objeto digital assinado que contém uma lista de endereços IP É uma autorização emitida pelo proprietário de recursos autorizando um AS a anunciar um ou mais específicos prefixos/rotas

10 Validators (Relying Party RP) Roteadores que suportam RPKI podem validar os prefixos recebidos através de Relying Parties / RPKI Cache / Validators A validação é feita no RP, o roteador apenas pergunta algo como: Recebi um anuncio para /24 com origem no AS 15169, este anuncio é autorizado?

11 Relaying Party Testbed Repo rpki-testbed.ufba.br

12 Resultado da checagem Valid Indica que o prefixo e o AS foram encontrados na base RPKI e estão válidos; Invalid Indica que o prefixo/as foram encontrados, porém o AS de origem ou o tamanho do prefixo divergem do que está autorizado na base Not Found / Unknown Indica que o prefixo não está na base Valid > Unknown > Invalid

13 Operação da CA Gerenciamento da Trust Anchor RPKI Emissão de certificado da CA Emissão, revogação, renovação de certificados Gerenciamento dos recursos de numeração e seus detentores Gerenciamento do repositório Distribuição da TAL (Trust Anchor Locator) Interface com clientes para emissão de ROAs Interface com clientes para delegação de recursos e cadeia de certificação

14 X.509 Certificates 3779 EXT - Certificados padrão X.509 v3 (RFC 5280) - Extensão da RFC 3779 add (IP,ASN) como subject - SIA Subject Information Access; contém a URL para o repo

15 Trust Anchor Locator (TALs) Na estrutura de PKI uma Trust Anchor é uma entidade em que a confiança é assumida e não derivada Tipicamente consiste no certificado raiz No RPKI foi usado a TAL para permitir a mudança de alguns dados do certificado sem a necessidade de redistribuição da Trust Anchor em si E.g. Internet Number Resources (INRs) provavelmente muda ao longo do tempo Uma TAL é constante desde que a chave pública e a localização da Trust Anchor não mudem Formato: 1) Uma URI rsync (e https); 2) Line break (<CRLF> ou <LF>) 3) O subjectpublickeyinfo (DER + Base64)

16 Protocolo de sincronização TAL Lista a URI do certificado Contém apenas a chave pública do certificado Certificado Manisfest Contém as informações de recursos de numeração, repositório, Manifest, Notificação Lista de todos os arquivos no diretório e hashes A sincronização é feita via rsync ou http

17 RPKI.net Implementação opensource da infraestrutura completa de RPKI (CA e RP) Usado em diversos cenários de teste e de produção (e.g. SURFnet) Desenvolvimento ativo

18 RPKI.net Arquitetura do rpki.net

19 RPKI.net Rpki.net GUI

20 Demonstração

21 Resumo

22 Resumo BGP não é seguro por padrão Tecnologias como RPKI e BGPSEC melhoram a segurança do plano de controle A adoção ampla dessa tecnologia requer testes e familiaridade pelos operadores A operação de CA / AR envolve diversas etapas e, portanto, requer conhecimento avançado da equipe Proposta: criação de um testbed nacional pode ajudar a ganhar familiaridade com RPKI

23 Dúvidas? RPKI para operadores de CA e autoridades de registro Italo Valcy <italovalcy@ufba.br> Salvador BA, 31/Mar/2017