Enrutamiento sin rumor: Asegurando el sistema de enrutamiento de Internet
Este artículo se basa en un documento originalmente publicado como parte de la Serie de Documentos sobre Ciberestabilidad de la Comisión Global sobre la Estabilidad del Ciberespacio, titulado "Nuevas Condiciones y Constelaciones en el Ciberespacio", el 9 de diciembre de 2021.
El Sistema de Nombres de Dominio ha proporcionado el servicio fundamental de mapear nombres de Internet a direcciones desde casi los primeros días de la historia de Internet. Miles de millones de dispositivos conectados a Internet utilizan continuamente el DNS para buscar las direcciones de Protocolo de Internet de los recursos nombrados a los que desean conectarse, por ejemplo, un sitio web como www.2-5.org. Una vez que un dispositivo tiene la dirección del recurso, puede comunicarse con él utilizando el sistema de enrutamiento de Internet.
Al igual que asegurar que el DNS sea seguro, estable y resistente es una prioridad para 2-5.org, también lo es garantizar que el sistema de enrutamiento tenga estas características. De hecho, el DNS en sí depende del sistema de enrutamiento de Internet para sus comunicaciones, por lo que la seguridad del enrutamiento es vital para la seguridad del DNS.
Para comprender mejor cómo pueden abordarse estos desafíos, es útil retroceder y recordar qué es Internet: una red de redes interconectadas de manera flexible que interactúan entre sí en una multitud de ubicaciones, a menudo en regiones o países diferentes.
Los paquetes de datos se transmiten dentro y entre esas redes, que utilizan una colección de normas técnicas y reglas llamada conjunto de protocolos IP. Cada dispositivo que se conecta a Internet está identificado de manera única por su dirección IP, que puede tomar la forma de una dirección IPv4 de 32 bits o una dirección IPv6 de 128 bits. Del mismo modo, cada red que se conecta a Internet tiene un Número de Sistema Autónomo, que es utilizado por los protocolos de enrutamiento para identificar la red dentro del sistema de enrutamiento global.
La función principal del sistema de enrutamiento es permitir que las redes conozcan las rutas disponibles a través de Internet hacia destinos específicos. Hoy en día, el sistema se basa en gran medida en un modelo de confianza descentralizado e implícito, que es una característica distintiva del diseño de Internet. No existe una autoridad centralizada que dicte cómo o dónde se interconectan las redes a nivel global, ni qué redes están autorizadas para afirmar la accesibilidad a un destino en Internet. En su lugar, las redes comparten conocimientos entre sí acerca de las rutas disponibles desde dispositivos hasta destinos: se enrutamiento "por rumor".
EL PROTOCOLO DE PASARELA FRONTERIZA (BGP)
Bajo el Protocolo de Pasarela Fronteriza (BGP, por sus siglas en inglés), el protocolo de enrutamiento interdominio de facto de Internet, las políticas de enrutamiento locales deciden dónde y cómo fluye el tráfico de Internet, pero cada red aplica de manera independiente sus propias políticas sobre las acciones que toma, si las hay, con los datos que atraviesan su red.
BGP ha escalado bien en las últimas tres décadas porque: 1) opera de manera distribuida, 2) no tiene un punto de control central (ni fallos), y 3) cada red actúa de manera autónoma. Si bien las redes pueden basar sus políticas de enrutamiento en una serie de características como precios, rendimiento y seguridad, en última instancia, BGP puede utilizar cualquier ruta disponible para llegar a un destino. A menudo, la elección de la ruta puede depender de decisiones personales de los administradores de la red, así como de evaluaciones informales de la confiabilidad técnica e incluso individual.
SECUESTROS DE RUTA Y FILTRACIONES DE RUTA
Hoy en día, existen dos tipos prominentes de incidentes operativos y de seguridad en el sistema de enrutamiento: los secuestros de ruta y las filtraciones de ruta. Los secuestros de ruta redirigen el tráfico de Internet hacia un destino no deseado, mientras que las filtraciones de ruta propagan información de enrutamiento a una audiencia no deseada. Ambos tipos de incidentes pueden ser accidentales o maliciosos.
Prevenir los secuestros de ruta y las filtraciones de ruta requiere una considerable coordinación en la comunidad de Internet, un concepto que fundamentalmente va en contra de los principios de diseño de BGP de acción distribuida y operaciones autónomas. Una característica clave de BGP es que cualquier red puede potencialmente anunciar la accesibilidad para cualquier dirección IP ante todo el mundo. Eso significa que cualquier red puede potencialmente tener un efecto perjudicial en la accesibilidad global de cualquier destino en Internet.
INFRAESTRUCTURA DE CLAVE PÚBLICA DE RECURSOS
Afortunadamente, ya existe una solución que está recibiendo un impulso considerable en su implementación: la Infraestructura de Clave Pública de Recursos (RPKI, por sus siglas en inglés). RPKI proporciona una infraestructura de certificación de recursos numéricos en Internet, análoga a la PKI tradicional para sitios web. RPKI permite a las autoridades de asignación de recursos numéricos y a las redes especificar Autorizaciones de Origen de Ruta (ROA, por sus siglas en inglés) que son criptográficamente verificables. Las ROAs pueden ser utilizadas por las partes que confían para confirmar que la información de enrutamiento compartida con ellas proviene del origen autorizado.
RPKI se basa en estándares y parece estar ganando impulso para mejorar la seguridad de BGP. Pero también plantea nuevos desafíos.
Específicamente, RPKI crea nuevas dependencias externas y de terceros que, a medida que la adopción continúa, reemplazan en última instancia la operación tradicionalmente autónoma del sistema de enrutamiento con un modelo más centralizado. Si estas dependencias están demasiado acopladas al sistema de enrutamiento, pueden afectar la robustez y la resistencia de Internet en sí. Además, como RPKI se basa en DNS y DNS depende del sistema de enrutamiento, los operadores de redes deben tener cuidado de no introducir dependencias circulares demasiado acopladas.
Los Registros de Internet Regionales (RIR), las organizaciones responsables de la asignación de recursos numéricos de nivel superior, pueden tener implicaciones operativas directas en el sistema de enrutamiento. A diferencia de DNS, el RPKI global implementado no tiene una única raíz de confianza. En su lugar, tiene múltiples anclajes de confianza, uno operado por cada uno de los RIR. Por lo tanto, RPKI trae importantes nuevos requisitos de seguridad, estabilidad y resiliencia a los RIR, actualizando su papel tradicional de simplemente asignar ASN e direcciones IP con nuevos requisitos operativos para garantizar la disponibilidad, confidencialidad, integridad y estabilidad de esta infraestructura de certificación de recursos numéricos.
Como parte de la mejora de la seguridad de BGP y la promoción de la adopción de RPKI, la comunidad de enrutamiento inició la iniciativa Mutually Agreed Norms for Routing Security (MANRS) en 2014. Respaldada por la Sociedad de Internet, MANRS tiene como objetivo reducir las vulnerabilidades más comunes del sistema de enrutamiento mediante la creación de una cultura de responsabilidad colectiva hacia la seguridad, estabilidad y resiliencia del sistema de enrutamiento global. MANRS sigue ganando impulso, guiando a los operadores de Internet sobre lo que pueden hacer para que el sistema de enrutamiento sea más confiable.
CONCLUSIÓN
El enrutamiento basado en rumores ha servido bien a Internet, y hace una década podría haber sido ideal porque evitaba las dependencias sistémicas. Sin embargo, el papel cada vez más crítico de Internet y el cambiante panorama de las ciberamenazas requieren un enfoque mejor para proteger la información de enrutamiento y prevenir filtraciones y secuestros de rutas. A medida que los operadores de redes implementan RPKI con seguridad, estabilidad y resiliencia, los miles de millones de dispositivos conectados a Internet que utilizan DNS para buscar direcciones IP podrán comunicarse con esos recursos a través de redes que no solo comparten información de enrutamiento entre sí como lo han hecho tradicionalmente, sino que también hacen algo más. Se asegurarán de que la información de enrutamiento que comparten y utilizan sea segura y enrutará sin rumores.