• Nenhum resultado encontrado

Infraestructura de clave pública para certificación de recursos (RPKI) Carlos M. Martínez Darío Gómez

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "Infraestructura de clave pública para certificación de recursos (RPKI) Carlos M. Martínez Darío Gómez"

Copied!
23
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 23 páginas )

Texto

(1)

Infraestructura de clave pública

para certificación de recursos (RPKI)

(2)

Agenda

 Alocação e administração dos recursos da Internet

 Relação entre registos e usuários dos recursos

 Roteamento na Internet  Seqüestro de rotas

 Certificação de recursos  ROAs

(3)

Alocação e administração dos recursos da

Internet

 Recursos  Endereços IPv4  Endereços IPv6  Sistemas Autônomos  16 y 32 bits  Documento fundacional: RFC 2050

“IP Registry Allocation Guidelines”

Cada RIR é fonte autoritativa de informações da

relação “usuario” <-> “recurso”

(4)

Alocação e administração dos recursos da

Internet (i)

IANA ARIN ISP End users LACNIC NIC.br NIC.mx ISP mx ISP #1 APNIC LIRs/ISPs RIPE NCC LIRs/ISPs AfriNIC

Cada RIR é fonte autoritativa de informações da

(5)

Roteamento na Internet em um slide

ASN 20

anuncia 128.66.0.0/16

O prefixo 128.66.0.0/16 se propaga através das sessões

BGP na Internet

ASN 10 recebe 128.66.0.0/16

Atributos:

128.66.0.0/16 AS_PATH ASN1 ASN3 ASN20

Company "True" Web Server Users R2 R1 ASN 10 ASN 20 I nt er net AS 1 AS 2 AS 3

(6)

Roteamento na Internet (ii)

 BGP escolhe rotas de

acordo com um

algoritmo de decisão e

os valores dos atributos

 AS_PATH e AS de origem

 AS_PATH é a lista de

sistemas autônomos percorridos por um UPDATE

 Inclui o AS que origina o

anúncio (“origin-as”) ASN 20 é o “origin-as” do prefixo 128.66.0.0/16 Company "True" Web Server R2 ASN 20

(7)

Seqüestro de rotas

 Quando um participante no roteamento na Internet

anuncia um prefixo que não tem autorização para anunciar se produz um “seqüestro de rota” (route

hijacking)

 Malicioso ou causado por erros operacionais  Casos mais conhecidos:

 Pakistan Telecom vs. You Tube (2008)  China Telecom (2010)

 Google no Leste Europeu (vários AS, 2010)

(8)

ASN 66 Company "True" Web Server Users R2 R1 ASN 10 ASN 20 I nt er net AS 1 AS 2 AS 3

Seqüestro de rotas (ii)

AS 66 anuncia 128.66.23.0/24

ASN 10 recebe 128.66.0.0/16 e

128.66.23.0/24

128.66.0.0/16 AS_PATH ASN1 ASN3 ASN20

128.66.23.0/24 AS_PATH ASN1 ASN 66

AS 20 anuncia 128.66/16 ASN 10 recebe

(9)

Resource PKI (i)

 Objetivos:

 Emitir certificações digitais de autorização de uso dos

recursos

 Prover uma técnica para validar a autoridade associada a um

anúncio BGP e validar a “origem de uma rota”

O emissor da informação de rota "assina" a informação

de “AS de origem”

 Para a validação dos certificados e informação de

roteamento se utilizam:

 As propriedades do cifrado de chave pública (certificados)  As propriedades dos blocos CIDR

(10)

Resource PKI (ii)

Certificação de recursos

 Uso de certificados X.509 v3

 Uso de

extensões

RFC 3779

permitem representar

em certificados recursos de Internet (endereços v4/v6, ASNs)

Mecanismo de validação de prefixos

Esforço de estandardização

:

 SIDR working group no IETF

Esforço de implementação

(11)

Certificados X.509 v3 com extensões RFC

3779

 Seção “IP Delegation”

 Valor especial “INHERITED”

 Seção “AS Delegation”

 Valor especial “INHERITED”

 Processo de validação

Se validam as cadeias de assinaturas

 É validada a inclusão de recursos

(CIDR) de filhos para pais

Signature Algorithm Serial Number

Version

Issuer Subject

Subject Public Key Extensions Addr: 10.10.10.0 Asid: 65535 Subject Information Authority (SIA) Authority Information Access (AIA)

(12)

Estrutura da RPKI

LACNIC RTA Recursos de LACNIC LACNIC Producción <<INHERITED>> ISP #2 Recursos do ISP #2 ROA

End Entity cert.

ROA

End Entity cert.

ISP #1 Recursos do ISP #1 End User CA #1 (Recursos do EU#1) ROA

End Entity cert.

ROA

End Entity cert.

RTA é auto-assinado

Cadeia de assinaturas

(13)

Resource PKI (iii)

Caché

Sistema de administração RPKI

(14)

Route Origin Authorizations: ROAs (i)

 Um ROA (simplificado) contém esta informação:

 Este ROA afirma que:

“O prefixo 200.40.0.0/17 será anunciado pelo sistema autônomo 6057 e poderá ser fraccionado em prefixos de até 20 bits de

longo. Isto será valido desde o 2 de janeiro de 2011 até o 1 de janeiro de 2012”

 Além disso

 O ROA contém o material criptográfico que permite verificar a validade desta informação contra a RPKI

(15)

ROAs (iii)

 Os ROA contêm

 Um certificado End Entity com recursos  Uma lista de “route origin attestations”

ROA

End Entity

Certificate

200/8 172.17/16 200.40.0.0/20-24 -> AS 100 172.17.0.0/16-19 -> AS 100

(16)

ROAs (iii) - Validação

 O processo de validação dos ROAs envolve:

 A validação criptográfica dos certificados end entity (EE) que

estão conteúdos dentro de cada ROA

 Certificado de recursos da organização  Certificado de recursos do RIR

 A validação CIDR dos recursos listados no EE respeito dos

recursos listados no certificado emissor

 Inclusão nos recursos listados no EE

 Inclusão nos recursos do certificado da organização

 A verificação de que os prefixos listados nos “route origin

attestations” estão incluídos nos prefixos listados nos certificados end entity de cada ROA

(17)

RPKI em funcionamento

Roteador atribui estado de validez ao UPDATE Caché informa periodicamente ao roteador sobre prefixos válidos

(18)

Interação com BGP

 O roteador cria uma tabela com as informações que

recebem do caché

 Essa tabela contém

 Prefixo

 Longo mínimo  Longo máximo  AS de origem

 Com base em um conjunto de regras é atribuído para

cada prefixo um estado de validade  {VALID, INVALID, NOT_FOUND}

(19)

Interação com BGP (ii)

IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20

Se o “UPDATE pfx” não encontra nenhuma entrada que o tenha incluso no banco de dados -> “not found”

• Se o “UPDATE pfx” encontra pelo menos uma entrada que o tenha incluso no banco de dados e também o AS de origem do “UPDATE pfx” coincide com um

deles -> “valid”

• No caso anterior, se não coincide nenhum AS de origem -> “invalid”

UPDATE 200.0.0.0/9 ORIGIN-AS 20

(20)

Interação com BGP (iii)

IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20

Se o “UPDATE pfx” não encontra nenhuma entrada que o tenha incluso no banco de dados -> “not found”

• Se o “UPDATE pfx” encontra pelo menos uma entrada que o tenha incluso no banco de dados e também o AS de origem do “UPDATE pfx” coincide com um

deles -> “valid”

• No caso anterior, se não coincide nenhum AS de origem -> “invalid”

UPDATE 200.0.0.0/9 ORIGIN-AS 66

(21)

Estado atual de RPKI na LACNIC

 RPKI em modo “hosted” está em produção desde o

1-1-2011

 http://rpki.lacnic.net

 Quem pode utilizá-lo?

 Todos os membros de LACNIC através de seus contatos

técnicos e administrativos

 Que funcionalidades estão disponíveis?

 Criação do certificado de recursos

 Criação, modificação e revogação de ROAs

 Onde se encontra o repositório da LACNIC?

(22)

Referências

 RPKI LACNIC: http://rpki.lacnic.net

 Estatísticas RPKI: http://www.labs.lacnic.net/~rpki  RPKI Demo:

 Acesso: http://rpkidemo.labs.lacnic.net

 Documento de uso:

http://www.labs.lacnic.net/drupal/acceso-al-demo-rpki

 IETF SIDR Working Group: http://tools.ietf.org/wg/sidr/  RIPE Repository Validator:

(23)

Obrigado pela atenção!

Carlos M. Martínez (carlos@lacnic.net)

Referências

Descarregar agora ( PDF - 23 páginas - 1.64 MB )

Documentos relacionados

Análise da variabilidade espacial do teor de cobre em solo de lavoura cafeeira

Em Araras, São Paulo, Cerri (2005) para avaliar e correlacionar os atributos físicos e químicos do solo com os dados de produtividade da Usina São João Açúcar e Álcool,

RESUMOS EXPANDIDOS e RELATOS DE EXPERIÊNCIAS

Dessa forma, dentro dessas configurações, o projeto hegemônico não prevê a formação de um montante significativo de força de trabalho que irá se voltar ao trabalho

SECÇÃO IV - ADMINISTRAÇÃO DAS PARTES COMUNS DO EDIFÍCIO. ARTIGO 1430.º - (órgãos administrativos)

No prazo de 10 dias contada da deliberação, para os condóminos presentes, ou contada da sua comunicação, para os condómino ausentes, pode ser exigida ao administrador a convocação

nocumentos tflt II III Ill i"'' Eficiência da Extração e Análise Qualitativa de Óleo Essencial da Biomassa Aérea de Pimenta Longa FL

15, estão representados os teores médios de safrol contido em óleo essencial obtido, no decorrer do progresso de extração, da biomassa aérea de pimenta longa procedente de cultivos

Roteador Assíncrono de Latência 0.

Todo esse processo é feito de maneira assíncrona, ou seja, o usuário envia uma solicitação e as partes (bolsa ou corretora) criam as regras para atender essa solicitação e enviam

São Paulo Setembro/2009 PROPOSTA DE UM MÉTODO FOCADO EM USABILIDADE PARA APLICAÇÕES WEB ADERENTE AO PROCESSO DE DESENVOLVIMENTO DE SOFTWARE DO 3º CENTRO DE TELEMÁTICA DE ÁREA R H W C E E T P S

Para disciplinar o processo de desenvolvimento, a Engenharia de Usabilidade, também conceituada e descrita neste capítulo, descreve os métodos estruturados, a

Development of weCope, a mobile app for illness self-management in schizophrenia

Results: weCope targets coping with voices, problem solving, goals setting and stress management, and results indicated that: weCope improved symptoms, sense of recovery and

Preliminary study of the Thai-version of the Scale for the Assessment of Positive Symptoms (SAPS-Thai): content validity, known-group validity, and internal consistency reliability

Preliminary study of the Thai-version of the Scale for the Assessment of Positive Symptoms (SAPS-Thai): content validity, known-group validity, and internal consistency