Attacks on routing: IP hijacks How Internet number resources are - - PowerPoint PPT Presentation

attacks on routing ip hijacks how internet number
SMART_READER_LITE
LIVE PREVIEW

Attacks on routing: IP hijacks How Internet number resources are - - PowerPoint PPT Presentation

Aug 29, 2022 507 likes •924 views

Attacks on routing: IP hijacks How Internet number resources are managed IANA ARIN LACNIC APNIC RIPE NCC AfriNIC ISP #1 ISP NIC.br NIC.MX LIRs/ISPs

slide-1
SLIDE 1
slide-2
SLIDE 2

Attacks on routing: IP hijacks

slide-3
SLIDE 3

How ¡Internet ¡number ¡resources ¡are ¡managed ¡

IANA ¡ ARIN ¡ ISP ¡ End ¡users ¡ LACNIC ¡ NIC.br ¡ NIC.MX ¡ ISP ¡mx ¡ ISP ¡#1 ¡ APNIC ¡ LIRs/ISPs ¡ RIPE ¡NCC ¡ LIRs/ISPs ¡ AfriNIC ¡

slide-4
SLIDE 4

How ¡Internet ¡number ¡resources ¡are ¡managed ¡ (ii) ¡

  • What ¡do ¡we ¡mean ¡by ¡resources ¡

– IPv4 ¡Addresses ¡ – IPv6 ¡Addresses ¡ – Autonomous ¡System ¡Numbers ¡

  • Both ¡16 ¡and ¡32 ¡bits ¡
  • FoundaOonal ¡document: ¡RFC ¡2050 ¡

– “IP ¡Registry ¡Alloca1on ¡Guidelines” ¡

  • Each ¡RIR ¡is ¡the ¡authorita(ve ¡source ¡on ¡the ¡

relaOonship ¡between ¡users/holders ¡and ¡resources ¡

– Each ¡RIR ¡operates ¡a ¡registry ¡database ¡

slide-5
SLIDE 5

RouOng ¡in ¡the ¡Internet ¡

ASN ¡20 ¡ ¡ announces ¡ 10.1.0.0/16 ¡ The ¡10.1.0.016 ¡prefix ¡ propagates ¡across ¡ASs ¡(via ¡BGP ¡ sessions) ¡ ASN ¡10 ¡receives ¡ the ¡prefix ¡ 10.1.0.0/16 ¡ AZributes: ¡ ¡ 10.1.0.0/16 ¡AS_PATH ¡ASN1 ¡ASN3 ¡ASN20 ¡

slide-6
SLIDE 6

RouOng ¡in ¡the ¡Internet ¡(ii) ¡

  • BGP ¡chooses ¡routes ¡using ¡a ¡

decision ¡algorithm ¡and ¡the ¡ values ¡of ¡the ¡available ¡ a=ributes ¡

  • AS_PATH ¡is ¡a ¡list ¡of ¡the ¡

autonomous ¡systems ¡a ¡given ¡ UPDATE ¡has ¡traversed ¡

– The ¡first ¡entry ¡is ¡the ¡AS ¡

  • riginaOng ¡the ¡route ¡("origin-­‑

as") ¡

In ¡this ¡case ¡ASN ¡20 ¡is ¡ the ¡"origin-­‑as" ¡for ¡ 10.1/16 ¡

slide-7
SLIDE 7

Who ¡has ¡the ¡"right" ¡to ¡use ¡resources? ¡

  • When ¡an ¡ISP ¡obtains ¡resources ¡from ¡its ¡RIR ¡(IPv6/IPv4/

ASN): ¡

– The ¡ISP ¡has ¡to ¡noOfy ¡its ¡upstream ¡ASNs ¡which ¡prefixes ¡are ¡ going ¡to ¡be ¡announced ¡via ¡BGP ¡ – This ¡is ¡usually ¡done ¡via ¡e-­‑mail, ¡web ¡forms ¡or ¡by ¡updaOng ¡an ¡ IRR ¡(Internet ¡Rou1ng ¡Registry) ¡

  • Upstreams ¡verify ¡(or ¡at ¡least ¡they ¡should) ¡the ¡right ¡of ¡

use ¡for ¡the ¡announced ¡resources ¡

– RIR ¡WHOIS ¡Text-­‑based ¡and ¡not ¡really ¡suitable ¡for ¡automaOc ¡ usage ¡ – IRR ¡WHOIS ¡Non-­‑signed ¡informaOon, ¡liZle ¡addiOonal ¡tools ¡ provided ¡for ¡verificaOon ¡of ¡usage ¡rights ¡except ¡for ¡names, ¡ phone ¡numbers ¡and ¡email ¡POCs ¡

  • This ¡verificaOon ¡process ¡is ¡someOmes ¡not ¡as ¡thorough ¡

as ¡it ¡should ¡be ¡

slide-8
SLIDE 8

Checking ¡usage ¡rights ¡for ¡a ¡resource ¡

  • Network ¡administrators ¡

– Local ¡checks ¡in ¡rouOng ¡infrastructure ¡

  • Require ¡previous ¡step ¡(registering ¡the ¡route ¡object ¡with ¡an ¡IRR) ¡

– Router ¡protecOon ¡ – RouOng ¡protocol ¡integrity ¡

  • Peer ¡authenOcaOon ¡
  • Filtering ¡known-­‑invalid ¡routes ¡

– ¡RFC ¡1918 ¡prefix ¡filtering ¡ – ¡Bogon ¡filtering ¡ ¡

  • In ¡the ¡end ¡the ¡integrity ¡of ¡the ¡rouOng ¡system ¡depends ¡
  • n ¡ad-­‑hoc ¡trust ¡rela(onships ¡between ¡peers ¡
slide-9
SLIDE 9

Route ¡Hijacking ¡

  • When ¡an ¡enOty ¡parOcipaOng ¡in ¡Internet ¡rouOng ¡

announces ¡a ¡prefix ¡without ¡authorizaOon ¡we ¡face ¡a ¡ route ¡hijack ¡

  • It ¡can ¡be ¡either ¡malicious ¡or ¡due ¡to ¡operaOonal ¡

mistakes ¡

  • Some ¡well-­‑known ¡cases: ¡

– Pakistan ¡Telecom ¡vs. ¡You ¡Tube ¡(2008) ¡ – China ¡Telecom ¡(2010) ¡ – Google ¡in ¡Eastern ¡Europe ¡(various ¡ASs, ¡2010) ¡ – Some ¡ocurrences ¡in ¡our ¡region ¡(January/February ¡2011) ¡

slide-10
SLIDE 10

Route ¡Hijacking ¡(ii) ¡

AS ¡15358 ¡ announces ¡ 200.40/24 ¡ AS ¡8158 ¡gets ¡ 200.40.0.0/16 ¡ and ¡ 200.40.235.0/24 ¡ 200.40.0.0/16 ¡AS_PATH ¡ASN1 ¡ASN3 ¡ASN6057 ¡ 200.40.235.0/24 ¡AS_PATH ¡ASN1 ¡ASN3 ¡ASN6057 ¡ AS ¡6057 ¡ announces ¡ 200.40/16 ¡ AS ¡8158 ¡gets ¡ 200.40.0.0/16 ¡

slide-11
SLIDE 11

Route ¡Hijacking ¡(iii) ¡

  • RIPE ¡NCC ¡Video ¡

– hZp://www.youtube.com/watch?v=IzLPKuAOe50 ¡

slide-12
SLIDE 12

Resource ¡PKI ¡

  • Resource ¡Public ¡Key ¡Infraestructure ¡

– Goal: ¡create ¡a ¡system ¡that ¡allows ¡the ¡cerOficaOon ¡of ¡ usage ¡rights ¡for ¡Internet ¡numbering ¡resources ¡ – High-­‑level ¡overview ¡

  • Use ¡of ¡X.509 ¡v3 ¡cerOficates ¡ ¡
  • Apply ¡RFC ¡3779 ¡extensions ¡to ¡these ¡cerOficates. ¡These ¡extensions ¡

allow ¡Internet ¡resources ¡(IPv4/IPv6/ASNs) ¡fields ¡within ¡ cerOficates ¡ ¡ ¡

  • A ¡way ¡to ¡automaOcally ¡validate ¡the ¡origin-­‑as ¡of ¡a ¡BGP ¡UPDATE ¡

– StandardizaOon ¡AcOviOes ¡

  • IETF ¡SIDR ¡working ¡group ¡

– ImplementaOon ¡AcOviOes ¡

  • RIRs ¡
slide-13
SLIDE 13

Resource ¡PKI ¡(ii) ¡

  • Automated ¡origin ¡valida(on ¡for ¡route ¡

announcements ¡

  • The ¡enOty ¡with ¡usage ¡rights ¡for ¡a ¡resource ¡signs ¡the ¡
  • rigin-­‑as ¡field ¡of ¡a ¡PKI ¡object ¡
  • The ¡following ¡procedures ¡are ¡applied ¡to ¡validate ¡

RPKI ¡cerOficates ¡and ¡rouOng ¡informaOon ¡objects: ¡

– The ¡cryptographic ¡validity ¡of ¡the ¡RPKI ¡cerOficate ¡chain ¡ (just ¡like ¡any ¡other ¡PKI) ¡ – The ¡CIDR ¡inclusion ¡properOes ¡of ¡IP ¡addresses ¡

  • In ¡this ¡way ¡it ¡becomes ¡more ¡difficult ¡for ¡a ¡third ¡

party ¡to ¡inject ¡invalid ¡data ¡into ¡the ¡rouOng ¡system ¡

slide-14
SLIDE 14

Resource ¡PKI ¡(iii) ¡

Cache ¡ RPKI ¡ Management ¡ System ¡ Repository ¡

slide-15
SLIDE 15

Resource ¡PKI ¡(iv) ¡

  • All ¡RPKI ¡signed ¡objects ¡are ¡listed ¡in ¡public ¡

repositories ¡

  • Aoer ¡verificaOon, ¡these ¡objects ¡can ¡be ¡used ¡to ¡

configure ¡filtering ¡in ¡routers ¡

  • ValidaOon ¡Process ¡

– Signed ¡objects ¡have ¡references ¡to ¡the ¡cerOficate ¡used ¡to ¡ sign ¡them ¡ – Each ¡cerOficate ¡has ¡a ¡pointer ¡to ¡an ¡upper ¡level ¡cerOficate ¡ – The ¡resources ¡listed ¡in ¡a ¡cerOficate ¡MUST ¡be ¡valid ¡subsets ¡

  • f ¡the ¡resources ¡listed ¡in ¡its ¡parent's ¡cerOficate ¡

– In ¡this ¡way ¡a ¡trust ¡chain ¡can ¡be ¡traced ¡to ¡a ¡"trust ¡anchor" ¡ both ¡cryptographically ¡as ¡well ¡as ¡in ¡CIDR ¡terms ¡

slide-16
SLIDE 16

X.509 ¡v3 ¡cerOficates ¡with ¡RFC ¡3779 ¡ extensions ¡

  • X.509 ¡Digital ¡CerOficates ¡

– Subject, ¡validity ¡period, ¡public ¡key ¡and ¡

  • ther ¡fields ¡
  • With ¡extensions: ¡

– RFC ¡3779 ¡defines ¡extensions ¡that ¡allow ¡the ¡ representaOon ¡of ¡Internet ¡resources ¡as ¡ cerOficate ¡fields ¡

  • List ¡of ¡IPv4, ¡IPv6 ¡and ¡ASNs ¡assigned ¡to ¡

an ¡organizaOon ¡

  • Implemented ¡in ¡OpenSSL ¡1.0c ¡onwards ¡

– It ¡has ¡to ¡be ¡specifically ¡enabled ¡when ¡ running ¡"./configure" ¡

Signature ¡Algorithm ¡ Serial ¡Number ¡ Version ¡ Issuer ¡ Subject ¡ Subject ¡Public ¡Key ¡ Extensions ¡ Addr: ¡10.10.10.0 ¡ Asid: ¡65535 ¡

Subject ¡InformaOon ¡ ¡Authority ¡(SIA) ¡ Authority ¡InformaOon ¡ ¡ Access ¡(AIA) ¡

slide-17
SLIDE 17

CerOficates ¡with ¡RFC ¡3779 ¡extensions ¡

  • "IP ¡DelegaOon" ¡SecOon ¡

– Special ¡value: ¡"INHERITED" ¡ ¡

  • "AS ¡DelegaOon" ¡SecOon ¡

– Special ¡value: ¡"INHERITED" ¡

  • ValidaOon ¡Process ¡

– It ¡involves ¡the ¡validaOon ¡of ¡the ¡resources ¡ ¡

Signature ¡Algorithm ¡ Serial ¡Number ¡ Version ¡ Issuer ¡ Subject ¡ Subject ¡Public ¡Key ¡ Extensions ¡ Addr: ¡10.10.10.0 ¡ Asid: ¡65535 ¡

Subject ¡InformaOon ¡ ¡Authority ¡(SIA) ¡ Authority ¡InformaOon ¡ ¡ Access ¡(AIA) ¡

slide-18
SLIDE 18

RPKI ¡Structure ¡

LACNIC ¡RTA ¡

LACNIC ¡resources ¡

LACNIC ¡ ProducOon ¡

<<INHERITED>> ¡

ISP ¡#2 ¡

ISP ¡#2 ¡Resources ¡

ROA ¡

End ¡EnOty ¡cert. ¡

ROA ¡

End ¡EnOty ¡cert. ¡

ISP ¡#1 ¡

ISP ¡#1 ¡Resources ¡

End ¡User ¡CA ¡ #1 ¡

(EU ¡#1 ¡Resources) ¡

ROA ¡

End ¡EnOty ¡cert. ¡

ROA ¡

End ¡EnOty ¡cert. ¡

RTA ¡is ¡the ¡self-­‑ signed ¡cerOficate ¡ in ¡the ¡hierarchy ¡ Signature ¡ chain ¡

slide-19
SLIDE 19

RPKI ¡Structure ¡(ii) ¡

  • CAs ¡

– CerOficate-­‑signing ¡enOty ¡(CA ¡bit ¡= ¡1) ¡

  • ISPs ¡can ¡use ¡this ¡cerOficate ¡to ¡sign ¡their ¡client's ¡cerOficates ¡
  • CerOficate ¡Repository ¡

– The ¡repository ¡contains ¡cerOficates, ¡CRLs, ¡ROAs ¡and ¡manifests ¡ – Accesible ¡via ¡“rsync” ¡

  • Management ¡Interface ¡

– Web ¡interface ¡for ¡those ¡who ¡prefer ¡"hosted" ¡mode ¡

slide-20
SLIDE 20

RPKI ¡Management ¡for ¡Users ¡

  • "Hosted" ¡mode ¡

– LACNIC ¡emits ¡the ¡resource ¡cerOficate ¡for ¡an ¡organizaOon ¡ and ¡guards ¡both ¡private ¡and ¡public ¡keys ¡

  • CerOficates ¡are ¡emiZed ¡when ¡requested ¡by ¡LACNIC ¡member ¡
  • rganizaOons ¡

– Users ¡can ¡manage ¡their ¡RPKI ¡objects ¡using ¡a ¡user-­‑friendly ¡ web ¡interface ¡provided ¡by ¡LACNIC ¡

  • "Delegated" ¡mode ¡

– An ¡organizaOon ¡creates ¡its ¡own ¡resource ¡cerOficate ¡ – This ¡cerOficate ¡is ¡submiZed ¡to ¡LACNIC ¡for ¡signing. ¡LACNIC ¡ returns ¡the ¡signed ¡cerOficate. ¡

  • "Up-­‑down" ¡protocol ¡
slide-21
SLIDE 21

Services ¡provided ¡by ¡the ¡RPKI ¡CA ¡

  • Emisng ¡child ¡resource ¡cerOficates ¡when ¡changes ¡to ¡the ¡

registry ¡database ¡occur ¡or ¡when ¡solicited ¡by ¡a ¡resource ¡ holder ¡

  • Child ¡cerOficate ¡revocaOon ¡when ¡solicited ¡by ¡a ¡resource ¡

holder ¡

  • CRL ¡periodic ¡update ¡
  • Publishing ¡child ¡cerOficates, ¡trust ¡anchor ¡and ¡auxiliary ¡
  • bjects ¡in ¡a ¡public ¡repository ¡(rsync) ¡
slide-22
SLIDE 22

Resource ¡CerOficate ¡

slide-23
SLIDE 23

ROAs ¡

  • ROAs: ¡RouOng ¡Origin ¡AuthorizaOon ¡

– ROAs ¡contain ¡data ¡on ¡the ¡allowed ¡origin-­‑as ¡for ¡a ¡set ¡of ¡prefixes ¡ – ROAs ¡are ¡signed ¡using ¡the ¡cerOficates ¡generated ¡by ¡the ¡RPKI ¡ ¡ – Signed ¡ROAs ¡are ¡copied ¡to ¡the ¡repository ¡

slide-24
SLIDE 24

ROAs ¡(ii) ¡

  • A ¡simplified ¡ROA ¡contains ¡the ¡following ¡informaOon: ¡
  • These ¡ROAs ¡states ¡that: ¡

– "The ¡prefix ¡200.40.0.0/17 ¡will ¡be ¡originated ¡by ¡ASN ¡6057 ¡ and ¡could ¡be ¡de-­‑aggregated ¡up ¡to ¡/20" ¡"This ¡statement ¡is ¡ valid ¡star1ng ¡on ¡Jan ¡2, ¡2011 ¡un1l ¡Jan ¡1, ¡2012" ¡

  • Other ¡ROA ¡content ¡

– ROAs ¡contain ¡cryptographic ¡material ¡that ¡allows ¡ valida(on ¡of ¡the ¡ROAs ¡content ¡

slide-25
SLIDE 25

ROAs ¡(iii) ¡

  • Contents ¡of ¡a ¡ROA ¡

– An ¡end-­‑enOty ¡cerOficate ¡with ¡resources ¡ – A ¡list ¡of ¡"route ¡origin ¡aZestaOons" ¡ ¡

ROA ¡ End ¡EnOty ¡ CerOficate ¡

200/8 ¡ 172.17/16 ¡ 200.40.0.0/20-­‑24 ¡-­‑> ¡AS ¡100 ¡ 172.17.0.0/16-­‑19 ¡-­‑> ¡AS ¡100 ¡

slide-26
SLIDE 26

ROAs ¡(iii) ¡-­‑ ¡ValidaOon ¡

  • In ¡order ¡to ¡validate ¡a ¡ROA ¡three ¡steps ¡have ¡to ¡be ¡

performed ¡

– Crypto ¡validaOon ¡of ¡the ¡public ¡keys ¡and ¡signatures ¡included ¡in ¡ the ¡EE ¡cerOficates ¡inside ¡each ¡ROA ¡ – CIDR ¡inclusion ¡checking ¡of ¡resources ¡listed ¡in ¡the ¡EE ¡cerOficate ¡ ¡ – CIDR ¡inclusion ¡checking ¡of ¡resources ¡in ¡the ¡route ¡origin ¡

  • aZestaOons. ¡These ¡resources ¡have ¡to ¡be ¡included ¡in ¡the ¡

resources ¡listed ¡in ¡the ¡EE ¡cerOficate ¡

slide-27
SLIDE 27

RPKI ¡in ¡AcOon ¡

U P D A T E ¡ Routers ¡assign ¡a ¡ "validity ¡status" ¡to ¡the ¡ route ¡included ¡in ¡an ¡ UPDATE ¡ Cache ¡periodically ¡ updates ¡the ¡router ¡ with ¡a ¡list ¡of ¡validated ¡ prefixes ¡

slide-28
SLIDE 28

RPKI ¡in ¡AcOon ¡(ii) ¡

  • The ¡validaOon ¡process ¡is ¡split ¡in ¡two ¡parts ¡

– Crypto ¡and ¡CIDR ¡validaOon ¡of ¡ROAs ¡and ¡cerOficates ¡

  • Performed ¡by ¡the ¡validaOn ¡cache ¡

– ValidaOon ¡of ¡routes ¡in ¡BGP ¡UPDATEs ¡

  • Performed ¡by ¡the ¡BGP ¡speakers ¡in ¡the ¡network ¡
  • A ¡special ¡protocol ¡called ¡RTR ¡is ¡being ¡worked ¡on ¡by ¡

the ¡IETF ¡for ¡Router ¡-­‑ ¡Cache ¡communicaOon ¡

slide-29
SLIDE 29

RPKI ¡in ¡AcOon ¡(iii) ¡

  • Cache ¡

– Repository ¡content ¡is ¡downloaded ¡via ¡RSYNC ¡ – CerOficates ¡and ¡ROAs ¡are ¡validated ¡

  • Cryptographically ¡(signature ¡chain) ¡
  • Correct ¡CIDR ¡resource ¡inclusion ¡
  • In ¡the ¡routers ¡

– A ¡database ¡of ¡prefix ¡<-­‑> ¡origin-­‑as ¡relaOonships ¡is ¡built ¡

slide-30
SLIDE 30

BGP ¡interacOon ¡

  • Routers ¡build ¡a ¡database ¡with ¡the ¡informaOon ¡they ¡

receive ¡from ¡the ¡caches ¡

  • This ¡table ¡contains ¡

– Prefix ¡ – Min ¡length ¡ – Max ¡length ¡ – Origin-­‑AS ¡

  • By ¡applying ¡a ¡set ¡of ¡rules ¡a ¡validity ¡status ¡is ¡assigned ¡to ¡

each ¡UPDATE ¡prefix ¡ ¡ ¡

slide-31
SLIDE 31

BGP ¡interacOon ¡(ii) ¡

IP ¡prefix/[min_len ¡– ¡max_len] ¡ Origin ¡AS ¡ 172.16.0.0 ¡/ ¡[16-­‑20] ¡ 10 ¡ 200.0.0.0/[8-­‑21] ¡ 20 ¡

  • If ¡the ¡"UPDATE ¡pfx" ¡is ¡not ¡covered ¡by ¡any ¡entry ¡in ¡

the ¡DB ¡-­‑> ¡"not ¡found" ¡

  • If ¡the ¡"UPDATE ¡pfx" ¡is ¡covered ¡by ¡at ¡least ¡one ¡entry ¡

in ¡the ¡DB, ¡and ¡the ¡origin-­‑AS ¡matches ¡the ¡ASNs ¡in ¡ the ¡DB ¡-­‑> ¡"valid" ¡

  • If ¡the ¡origin-­‑AS ¡does ¡NOT ¡match ¡-­‑> ¡"invalid" ¡

UPDATE ¡200.0.0.0/9 ¡ ORIGIN-­‑AS ¡20 ¡

VALID ¡

slide-32
SLIDE 32

Herramientas ¡

  • Validadores ¡

– RIPE ¡

  • hZp://labs.ripe.net/Members/agowland/ripe-­‑ncc-­‑validator-­‑for-­‑resource-­‑

cerOficaOon/view ¡ ¡

– Rcyinc ¡

  • hZp://subvert-­‑rpki.hactrn.net/rcynic/ ¡ ¡
  • Visualización ¡y ¡estadísOcas ¡

– Construidas ¡sobre ¡la ¡salida ¡de ¡los ¡validadores ¡

slide-33
SLIDE 33

Validación ¡– ¡RIPE ¡Labs ¡

slide-34
SLIDE 34

Validación ¡(ii) ¡

  • Example: ¡

– Validación ¡top-­‑down ¡del ¡repositorio ¡de ¡LACNIC ¡exportando ¡ prefijos ¡validados ¡en ¡un ¡CSV ¡

  • Paso ¡1: ¡bajar ¡el ¡RTA ¡de ¡LACNIC ¡

– wget --output-document=./trust-anchors/ta- lacnic.cer https://rpki.lacnic.net/rpki/rootcert

  • Paso ¡2: ¡correr ¡la ¡validación ¡

– ./ripencc-rpki-validator/bin/ certification-validator \

  • -top-down -o validator/ \
  • t ./trust-anchors/ta-lacnic.cer \
  • r lacnic-roas.csv
slide-35
SLIDE 35

Validación ¡(iii) ¡

  • ROAs ¡validados ¡y ¡prefijos ¡(lacnic-roas.csv) ¡

URI,ASN,IP Prefix,Max Length,Not Before,Not After” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/UTt-N3nQ91lGZh0jvWpPN- KirQ4.roa",AS28000,200.7.84.0/23,24,2011-01-07 02:00:00,2012-08-05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/UTt-N3nQ91lGZh0jvWpPN- KirQ4.roa",AS28000,2001:13c7:7001::/48,48,2011-01-07 02:00:00,2012-08-05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/ nfNV84A_GA8ZPeCMR4jX1qe557o.roa",AS28001,200.3.12.0/22,24,2011-01

  • 07 02:00:00,2012-08-05 03:00:00”

rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/ nfNV84A_GA8ZPeCMR4jX1qe557o.roa",AS28001,2001:13c7:7002::/48,48,2 011-01-07 02:00:00,2012-08-05 03:00:00”

slide-36
SLIDE 36

Visualizando ¡RPKI ¡

  • Fuente: ¡

– hZp://www.labs.lacnic.net/~rpki/rpki-­‑heatmaps/latest/ ¡ – Mapas ¡de ¡Hilbert ¡coloreados ¡de ¡acuerdo ¡con ¡el ¡espacio ¡ cubierto ¡por ¡ROAs: ¡

slide-37
SLIDE 37

The ¡LACNIC ¡RPKI ¡System ¡

  • RPKI ¡in ¡hosted ¡mode ¡is ¡in ¡producOon ¡state ¡since ¡1/1/2011 ¡
  • To ¡use ¡it ¡you ¡only ¡need: ¡

– Have ¡your ¡AdministraOve ¡Contact ¡details ¡(username ¡and ¡ password) ¡at ¡hand ¡to ¡create ¡cerOficates ¡ – Have ¡your ¡Technical ¡Contact ¡details ¡(username ¡and ¡password) ¡at ¡ hand ¡to ¡create ¡ROAs ¡

  • Where ¡is ¡it ¡? ¡ ¡hZp://rpki.lacnic.net/ ¡ ¡
slide-38
SLIDE 38

Comentarios ¡finales ¡

  • Posibles ¡usos ¡de ¡RPKI ¡mientras ¡no ¡todos ¡los ¡routers ¡

sean ¡capaces ¡de ¡validar ¡ ¡

– Puentes ¡entre ¡IRRd ¡y ¡RPKI ¡ – Puentes ¡entre ¡WHOIS ¡y ¡RPKI ¡ – Procesamiento ¡de ¡tablas ¡BGP ¡de ¡routers ¡offline ¡

  • Existe ¡una ¡variedad ¡de ¡herramientas ¡de ¡uso ¡libre ¡

para ¡RPKI ¡

  • Los ¡repositorios ¡de ¡los ¡5 ¡RIRs ¡pueden ¡bajarse ¡

libremente ¡via ¡rsync ¡

– rsync ¡–avz ¡rsync://repository.lacnic.net/rpki/ ¡./rpki ¡

slide-39
SLIDE 39

Links ¡/ ¡References ¡

  • The ¡LACNIC ¡RPKI ¡System ¡

– hZp://rpki.lacnic.net/ ¡

  • LACNIC’s ¡RSYNC ¡Repository ¡

– rsync://repository.lacnic.net/rpki/ ¡

  • LisOng ¡the ¡repository ¡

– rsync ¡-­‑-­‑list-­‑only ¡rsync://repository.lacnic.net/rpki/lacnic/ ¡

  • Some ¡RPKI ¡StaOsOcs ¡

– hZp://www.labs.lacnic.net/~rpki ¡

slide-40
SLIDE 40

Thank You!