Estadísticas RPKI

Cuando queremos medir el grado de despliegue de RPKI, tenemos distintas formas de hacerlo. En principio, podemos hacer una división entre las organizaciones que realizan validación de origen con RPKI por un lado, que serán aquellas organizaciones que han instalado un software validador y determinan cuáles de los prefijos recibido por BGP son válidos, inválidos o unknown. Por otro lado, para poder hacer esta validación, es necesario que las organizaciones que poseen recursos IP asignados (por un RIR/NIR/LIR) tengan definidos los ROA que cubren sus anuncios BGP. De esta forma, cuando aparece un update de BGP incorrecto, podrá ser descartado si no se corresponde con lo que el poseedor del recurso ha declarado en los ROAs.

En este informe nos centramos en un análisis de la cobertura de los prefijos mediante ROAs: podemos decir que cuanto mayor es el porcentaje de prefijos cubiertos por ROA de una organización, un país o una región, mejor estará preparada y protegida para contrarrestar posibles hijacks.

A su vez, cuando determinamos el porcentaje de cobertura por ROAs de un espacio IP, podemos tomar al menos dos referencias: el espacio total asignado (a una organización, país, región) o el espacio total anunciado por BGP. En el primer caso, una buena cobertura implica que habrá una buena protección contra posibles hijacks. En el segundo caso, la protección estará más relacionada con los prefijos que están anunciados en las tablas de BGP, pero podría haber espacio no protegido que puede ser aprovechado por atacantes.

Reporte de Adopción de RPKI

El NRO ha desarrollado unas mediciones sobre porcentajes de asignación de recursos IPv4 e IPv6 cubiertos por ROAs. Estas mediciones, desarrolladas por el ECG, reportan la adopción para cada región correspondiente a los RIR y para cada economía en particular.

Adopción IPv4

En el siguiente gráfico se pueden visualizar los porcentajes de prefijos IPv4 asignados a cada país que están cubiertos por ROAs (medido en /24s).

Los países con color verde más oscuro tienen una mayor cobertura de ROAs para los prefijos asignados por el RIR a ese país. De esta forma, esos países están en cierta forma más protegidos que otros, ya que hay un mayor número de prefijos que están protegidos por un ROA que los cubre. Los países sin color corresponden a situaciones en las que no hay ningún ROA definido para los prefijos asignados a esos países. En la región de LAC es notable el caso de Brasil, que hasta esta fecha no cuenta con la posibilidad de utilizar RPKI por parte de los miembros. Esta situación sin embargo cambiará en 2020, cuando se comience a utilizar un sistema de RPKI por parte de NIC Brasil.

El gráfico que sigue muestra la adopción en IPv4 por región

Adopción IPv6

En este gráfico se puede visualizar el mismo tipo de información, porcentaje de prefijos asignados a cada país que están cubiertos por ROAs, pero para IPv6 (medido en /48s). En este caso, los valores son notablemente menores en porcentaje a IPv4. Esto puede estar relacionado con un menor grado de despliegue y utilización de IPv6 por parte de los operadores y por lo tanto, una consideración de menor prioridad sobre IPv4. También, debido a que el porcentaje se mide sobre los prefijos asignados y el espacio asignado en IPv6 es mucho más grande que el correspondiente en IPv4, puede haber cuestiones de escala que muestren una menor cobertura por ROAs.

El siguiente gráfico muestra la adopción en IPv6 por región

Estadísticas de LACNIC

LACNIC realiza algunas mediciones de RPKI en su región por país. Se mide el porcentaje de recursos IPv4 e IPv6 cubiertos por ROAs y el porcentaje en IPv4 e IPv6 de anuncios válidos, inválidos y not found. Este último dato se toma analizando tablas globales de BGP y contrastando con la información de ROAs del validador.

IPv4

A continuación se puede ver el porcentaje de recursos cubiertos por ROAs (primera imagen) y de anuncios de BGP válidos (segunda imagen) por país.

IPv6

En los siguientes mapas se puede ver el porcentaje de recursos cubiertos por ROAs (primera imagen) y el porcentaje de anuncios válidos (segunda imagen).