Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
Validador FORT para RPKI y Análisis de
Incidentes de RuteoGuillermo Cicileo (LACNIC) y Jorge Cano (NIC.MX)
Sobre el Proyecto FORT
• FORT es una iniciativa de LACNIC y NIC.MX • Objetivos
• promover la seguridad de ruteo en LAC• Demostrar el nexo que existe entre la seguridad de ruteo y la
experiencia de usuarios finales en términos de acceder información libremente en Internet y de manera segura
• El proyecto nace en base a una colaboración entre LACNIC y NIC.MX para crear un validador de RPKI.• La iniciativa se potenció a través del financiamiento del
Open Technology Fund• Fondo especializado en fomentar una Internet Libre y Abierta
a través de apoyo a infraestructura crítica.
Herramientas FORT
• Validador FORT• Validador de RPKI con caracterísRcas disRnRvas respecto
a otros validadores disponibles
• Monitoreo FORT• Herramienta para documentar incidentes de ruteo en
América LaRna y Caribe
• Reporte: Incidentes de Ruteo y Libertad en Internet• Reporte diagnósRco del período 2017- inicio 2019.
FORT Monitoreo
• Objetivo: identificar secuestros de rutas y abrir datos para técnicos y tomadores de decisiones• Herramienta abierta, aún bajo desarrollo.• Para identificar secuestros de ruta combina:• Validación basada en Validación de Origen de RPKI (ROV)
• Prefijos clasificados según ROV: válido, invalido• Se generan: Vista de anuncios válidos, inválidos y not found con
sus respectivos filtros por país; Vista de anuncios por prefijo; Vista de anuncios por AS
• Heurísticas: trabajando vía Artemis.
FORT: Reporte sobre Incidentes de ruteo en LAC• ObjeRvo: Servir cómo diagnósRco sobre los
incidentes de ruteo en LAC y explicar el nexo entre incidentes de ruteo y experiencia de usuario final• Pensado para técnicos y tomadores de decisiones.
• Analiza incidentes de 2017, 2018 e inicios 2019• Fecha esRmada de publicación: noviembre 2019.• Presentado por Augusto Mathurin en LACNOG
Validador FORT
Validación de origen de rutas
Validador RPKI
• Descarga la información de los TAL• Valida criptográficamente la información• Transmite la información validada a los
ruteadores
Validación de origen de rutas
Descripción• Implementación de RPKI Relying
Party (Validador y Servidor RTR)• Código Abierto y de libre uso• Soporte para Linux y BSD• Desarrollado en C
Estado• 27-ago-2019: Versión 1.0• 29-oct-2019: Versión 1.1• Q1-2020: Versión 1.2
Código fuente:https://github.com/NICMx/FORT-validator
Road Map
• FORT Validator versión 1.0• Validación criptográfica de los objetos en los repositorios
de RPKI• Servidor RTR usando el protocolo RTR 0• Validación Reconsiderada (RFC 8360)• RSYNC como mecanismo de sincronización
• FORT Validator versión 1.1• Optimización en el proceso de validación (~ 49% más
rápido)• Soporte del protocolo RTR 1• Soporte para syslog
FORT-Validator: Testing
• Debian-Based• Debian 10 Passed• Ubuntu 18.04.2 LTS Passed
• BSD-Based• FreeBSD 12.0 Passed• OpenBSD 6.5 Passed
• RedHat-Based• CentOS 7 Passed• Fedora 30 Passed
• Slackware-Based• Slackware (current) Passed• OpenSUSE Leap 15.1 Passed
Instalación de FORT-Validator
1. Instalar las dependencias:a. janssonb. libcrypto (LibreSSL o OpenSSL)c. rsyncd. compilador C
2. Descargar el código de github3. Compilar e instalar
Instalación de FORT-Validator
1. Instalar dependencias# apt install autoconf automake build-essential libjansson-dev libssl-dev pkg-config rsync
2. Descargar el código de github$ wget https://github.com/NICMx/FORT-validator/releases/download/v1.0.0/fort-1.0.0.tar.gz
$ tar xvzf fort-1.0.0.tar.gz
$ cd fort-1.0.0/
Nota:# Indica que el comando necesita permisos de administrador para ejecutarse.
Instalación de FORT-Validator
3. Compilar e instalar$ ./configure
$ make
# make install
Nota:# Indica que el comando necesita permisos de administrador para ejecutarse.
¿Qué son los TALs y dónde los consigo?• Un Trust Anchor Locator (TAL) apunta al certificado
digital raíz de un RIR para validar los objetos en su repositorio• Es necesario contar con los 5 archivos TAL para poder
utilizar FORT-Validator• Estos archivos se pueden encontrar en las páginas web
de los 5 RIRs• AFRINIC https://afrinic.net• APNIC https://apnic.net• ARIN https://arin.net• LACNIC https://lacnic.net• RIPE https://ripe.net
¿Qué son los TALs y dónde los consigo?rsync://repository.lacnic.net/rpki/lacnic/rta-lacnic-rpki.cer
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqZEzhYK0+PtDOPfub/KR
c3MeWx3neXx4/wbnJWGbNAtbYqXg3uU5J4HFzPgk/VIppgSKAhlO0H60DRP48by9
gr5/yDHu2KXhOmnMg46sYsUIpfgtBS9+VtrqWziJfb+pkGtuOWeTnj6zBmBNZKK+
5AlMCW1WPhrylIcB+XSZx8tk9GS/3SMQ+YfMVwwAyYjsex14Uzto4GjONALE5oh1
M3+glRQduD6vzSwOD+WahMbc9vCOTED+2McLHRKgNaQf0YJ9a1jG9oJIvDkKXEqd
fqDRktwyoD74cV57bW3tBAexB7GglITbInyQAsmdngtfg2LUMrcROHHP86QPZINj
DQIDAQAB
Usando FORT-Validator
fort \
--tal <archivo o directorio con los TALs> \
--local-repository <directorio para el cache> \--server.address <Dirección del Servidor RTR> \
--server.port <Puerto del Servidor RTR>
Archivo de configuración{
"tal": "/tmp/tal/test.tal",
"local-repository": "/tmp/repository",
"mode": "server",
“server”: {
“address”: “192.0.2.1”,
“port”: “323”
},
…
}
Desempeño de FORT
OS: Ubuntu Server 18.04.2 LTS
Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit
[email protected] | 1 GB RAM)
FORT en Raspberry Pi3 B+
Modo: Standalone
OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)
Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit [email protected] | 1 GB RAM)
FORT en Raspberry Pi3 B+
Modo: Standalone
OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)
Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit [email protected] | 1 GB RAM)
FORT en Raspberry Pi3 B+
Modo: Server
OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)
Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit [email protected] | 1 GB RAM)
FORT en Raspberry Pi3 B+
Modo: Server
OS: Ubuntu Server 18.04.2 LTS (Preinstalled Ubuntu Server ARM64)
Hardware: Raspberry Pi3 B+ (Cortex-A53 (ARMv8) 64-bit [email protected] | 1 GB RAM)
FORT Validator 1.1
Modo: Standalone
OS: openSUSE Leap 15.1
Hardware: Intel Core i7-4600U CPU @2.10GHz x 4; 8 GB RAM
FORT Validator 1.1
Modo: Standalone
OS: openSUSE Leap 15.1
Hardware: Intel Core i7-4600U CPU @2.10GHz x 4; 8 GB RAM
Mas información
• Proyecto FORThttps://fortproject.net
• FORT-Validator• Documentación
https://nicmx.github.io/FORT-validator
• Repositorio del código
https://github.com/NICMx/FORT-validator
¿Preguntas?
¡Muchas Gracias!