RPKI Validators
Carlos Ortiz
Jorge Varela
Validadores RPKI
La certificación de recursos numéricos de internet, se realiza a través del protocolo de Infraestructura de Clave Pública de Recursos (RPKI), el cual permite validar el ASN(Número de Sistema Autónomo) que originó una ruta o prefijo IP en internet, dicho estándar opera a través de dos modos, uno hosted en el cual LACNIC emite los certificados de recursos y almacena tanto claves públicas como privadas. Estos certificados se emiten a demanda de las organizaciones y son estas las que realizan operaciones por medio de una interfaz web provista por LACNIC. El segundo modo es el delegated, el cual se basa en el estándar UpDown RPKI, este es un protocolo de aprovisionamiento de certificados RPKI basado en una simple interacción request / response, dónde el cliente o parte Down, envía solicitudes al servidor, el cual opera como parte Up y procesa, genera y envía la respuesta.
Por medio de RPKI, es posible validar el derecho a uso de un recurso por parte de una organización. El principal objetivo de esta infraestructura, es proporcionar las bases para el mejoramiento de la seguridad en el routing. Hoy en día, algunas organizaciones están haciendo de RPKI un requisito más para el anuncio de sus bloques IPs, en donde por medio de la creación de ROAs, queda explícito el sistema autónomo de origen que está publicando dichos prefijos.
La necesidad de verificar que realmente la información generada en RPKI es fidedigna, generó el hecho de tener herramientas que permitan validar estos objetos de RPKI, es por ello que se han creado diversas herramientas de validación para ayudar a los ISPs a verificar si realmente la veracidad de la información y que efectivamente los ROAs creados pertenecen al dueño de los recursos.
Las herramientas de validación RPKI, más utilizadas son los siguientes:
RIPE Validator
Este validador es uno de los más conocidos y más usados en el ecosistema RPKI, cuenta con información de validación de los repositorios RPKI de todos los RIRs, información de ROAs, entre otra información relevante.
Para acceder y visualizar la información, se debe ingresar al siguiente enlace: https://rpki-validator.ripe.net
Routinator
Routinator es un software que puede ser instalado en el hardware de los routers Juniper, Cisco y Nokia, además de servir soluciones de softwares como BIRD y OpenBGPD. Dicha herramienta puede presentar los datos validados en diferentes formatos como CSV, JSON y RPSL.
Para acceder y visualizar la información, se debe ingresar al siguiente enlace: https://www.nlnetlabs.nl/projects/rpki/routinator/
Para acceder al repositorio de git del proyecto, se debe ingresar al siguiente enlace: https://github.com/NLnetLabs/routinator
FORT Validator
Esta herramienta fue desarrollada por la organización NIC.MX, es un servicio que realiza validación de todo el repositorio RPKI, y que sirve a los ROAs resultantes para un fácil acceso por parte de sus enrutadores. Actualmente es compatible con los siguientes OS : Debian, OpenBSD, CentOS, Fedora, openSUSE, FreeBSD, Slackware. Fort
Para acceder y visualizar la información del proyecto, se debe ingresar al siguiente enlace: https://nicmx.github.io/FORT-validator/doc/index.html
Para acceder al proyecto git, se debe ingresar al siguiente enlace: https://github.com/NICMx/FORT-validator
Por medio del uso de estas herramientas de validación, se puede acceder a un repositorio RPKI y validar toda la información de forma criptográfica referente a los ROAs que han sido creados. De esta manera tenemos una forma de verificar que los prefijos están siendo publicados por quien tiene la autoridad para hacerlo.