En las etapas iniciales de Internet, durante la década de 1980, la red se caracterizaba por ser un entorno sencillo y experimental. Durante esos primeros años, la gestión del enrutamiento no necesitaba abordar la extensa y heterogénea malla de sistemas autónomos y políticas que caracteriza a la Internet actual. Sin embargo, el escenario comenzó a cambiar drásticamente a mediados de la década de 1990, cuando Internet experimentó una expansión sin precedentes, tanto en términos de usuarios, como de redes participantes, comenzando a requerir mecanismos dedicados y eficientes para la administración del enrutamiento en toda la red global.
Fue en este punto de inflexión donde el Registro de Enrutamiento de Internet (IRR) fue concebido, complementando a otros protocolos, como BGP. Mientras que BGP facilita el intercambio de información de rutas entre sistemas autónomos, el IRR proporciona un marco que permite a los operadores de red documentar, compartir y validar esta información. Esto no solo refuerza la seguridad y fiabilidad del enrutamiento global de Internet, sino que también promueve una gestión y coordinación más coherente y colaborativa entre los operadores de red en la comunidad de Internet global.
El IRR consiste en un repositorio distribuido y globalmente accesible, para documentar la información de rutas entre los diversos operadores de red, asegurando la coherencia y fiabilidad del enrutamiento a través de todo Internet. La colaboración en esta iniciativa es diversa y amplia, involucrando a una variedad de actores de diferentes sectores y regiones para mejorar la coordinación y seguridad de las rutas en Internet, tales como los Registros de Recursos de Internet (RIR) o algunos grandes ISP.
Esta colaboración ayuda a mejorar el filtrado de anuncios de rutas en la red permitiendo identificar y descartar aquellos que no coincidan con las rutas y políticas registradas. Este mecanismo de filtrado es crucial para prevenir problemas, como el secuestro de prefijos y las fugas de rutas, ya que ayuda a asegurar que solo los anuncios de rutas válidas y autorizadas sean aceptados y propagados a través de la red. Además, los datos del IRR son replicados y puestos a disposición en varias ubicaciones alrededor del mundo, permitiendo un acceso robusto y redundante a la información de enrutamiento.
Las políticas de enrutamiento son cruciales para comunicar y establecer cómo las redes interactúan y cómo el tráfico es dirigido a través de Internet. Las políticas se pueden crear utilizando el Routing Policy Specification Language (RPSL) basado en los RFC 2622 y RFC 2650. Para ello, lo primero es definir los objetos de encaminamiento funcionales, esencialmente, objetos de entidad y objetos de ruta.
El objeto principal utilizado para describir las políticas de un AS en RPSL es el objeto aut-num. Este objeto incluye atributos que describen las políticas de importación y exportación del AS, entre otros detalles. Por ejemplo, para el AS64500 se puede definir que acepta todos los anuncios de rutas (accept ANY) desde AS64501 y anuncia rutas de su propio AS-set (announce AS-EXAMPLENET) a AS64501. Además, debe incluir contactos administrativos y técnicos, la fecha de creación y la última modificación, y la fuente que identifica el IRR al cual pertenece el objeto.
Los objetos de ruta formalizan los anuncios de un prefijo IP en Internet, específico para cada red. Esto incluye detalles como el prefijo IP, una descripción del objeto de ruta, y el ASN desde el cual se origina el anuncio de la ruta.
Para evitar un uso no autorizado o descontrolado de los objetos dentro del IRR, existen atributos de autenticación que establecen un marco de control estricto sobre quién puede modificar y representar las políticas de enrutamiento y los objetos relacionados. Ejemplos de esto incluyen los atributos Maintained By (mnt-by), Maintained Lower (mnt-lower) y Maintained Routes (mnt-routes), que respectivamente identifican la autoridad para crear, modificar, o eliminar un objeto, prevenir creaciones no autorizadas y especificar rutas dentro de un objeto de rango de direcciones IP.
La asignación de estas autoridades pasa por la definición de un objeto fundamental, el mantenedor (mntner), que se utiliza para proteger otros objetos, asegurando que solo las entidades autorizadas puedan realizar cambios utilizando métodos de autenticación como contraseñas o cifrado PGP.
Publicar un objeto de enrutamiento generalmente involucra crear una cuenta en el IRR correspondiente, asegurar la autenticación y la autorización mediante un objeto mantenedor, definir y crear los objetos de ruta, validar el registro y configurar los routers de acuerdo con la información almacenada en el IRR. Herramientas como IRRToolSet ayudan en esta configuración.
La operatividad de Internet reside en su capacidad para gestionar de manera eficiente y segura las políticas y anuncios de rutas, un aspecto crítico al que contribuye el IRR. Este proporciona un marco de seguridad y confiabilidad en la transferencia de los paquetes de datos a través de Internet que ayuda en la prevención de los ataques de spoofing. Además, los IRR se conciben como una plataforma donde los operadores pueden colaborar, fomentando un ecosistema de Internet más transparente y confiable.
El IRR es compatible con otros sistemas de seguridad y confiabilidad, como RPKI. Mientras que el IRR documenta detalladamente las políticas y prefijos de enrutamiento, el RPKI proporciona un nivel adicional de seguridad al utilizar criptografía para validar la autenticidad de los anuncios de rutas BGP. La combinación y coexistencia de IRR y RPKI permiten crear un entorno de enrutamiento de Internet más seguro y verificable, dando un paso significativo hacia la mitigación de incidentes en Internet.
Contenido realizado en el marco de los fondos del Plan de Recuperación, Transformación y Resiliencia del Gobierno de España, financiado por la Unión Europea (Next Generation).
Etiquetas:
– Análisis forense
– Antiforense
– Bug hunting
– Cibercrimen
– DFIR
– Pentesting
– Threat intelligence
– Vulnerabilidad
vía: INCIBE
