Fastly mejora la seguridad del enrutamiento en internet abogando por la adopción mundial de la RPKI

¿Sabías que el Grupo de Trabajo de Ingeniería de Internet (Internet Engineering Task Force o IETF) cuenta con el apoyo y la participación de Fastly, que además aboga por la adopción mundial de la infraestructura de recursos de clave pública (Resource Public Key Infrastructure o RPKI)?

Además de apoyar y participar activamente en la iniciativa de la comunidad global de internet por adoptar la RPKI, Fastly ha mejorado hace poco la seguridad del enrutamiento en su propia red.

¿Por qué impulsamos los estándares de seguridad de internet del IETF? Los clientes confían en Fastly para que sus redes dispongan de la mayor seguridad a la hora de llevar a cabo sus operaciones más importantes, y nos tomamos esa confianza con gran sentido de la responsabilidad. Mejorar los estándares en todo el sector no solo aumenta la protección de los clientes de Fastly, sino que también hace de internet un lugar más seguro en general.

¿Qué es el enrutamiento de internet?

El protocolo de puerta de enlace de frontera (Border Gateway Protocol o BGP) se utiliza para anunciar la disponibilidad de rutas para las redes de internet, como si fueran las vías de una red de carreteras. Para ir de un punto A a un punto B, hay que saber si existe una ruta y, en tal caso, por dónde discurre. Con internet ocurre algo similar: las organizaciones tienen que anunciar las rutas que llevan hasta sus servicios y sus servidores a través del BGP, una especificación que mantiene el IETF mediante un modelo abierto y colaborativo.

Cuestiones relativas a la seguridad y la fiabilidad

El BGP lleva utilizándose durante décadas para enrutar el tráfico de internet y es una pieza clave de internet tal y como lo conocemos, ya que permite identificar las rutas entre las organizaciones y los proveedores tanto de servicios como de contenidos. El BGP tiene sus defectos, entre los que destaca su susceptibilidad al secuestro de rutas. Esto sucede cuando una organización anuncia las rutas de otra (es decir, sus direcciones IP) por error o con mala intención. Con lo cerca que están los números en el teclado, no es de extrañar que de vez en cuando se introduzcan errores en la configuración de enrutadores. Aunque muchas de estas apropiaciones son accidentales, el redireccionamiento del tráfico con fines maliciosos tiene un largo historial, como se puede ver aquí, aquí y aquí. En otras palabras, ya iba siendo hora de aumentar la seguridad en lo relacionado con quién anuncia las rutas y para qué prefijos mediante el BGP.

¿Qué es la RPKI?

La RPKI permite certificar la autenticidad de los anuncios realizados a través del BGP en internet siguiendo un método con verificación criptográfica y surgió como respuesta a esta laguna en materia de seguridad. Gracias a ella, los propietarios de los recursos pueden utilizar las autorizaciones de origen de ruta (Route Origin Authorizations o ROA) para indicar cuáles son los orígenes legítimos de un conjunto de prefijos en el BGP global. Al otro lado de este proceso de certificación se encuentran los operadores de red, que actúan como transmisores (relying parties o RP) y procesan las ROA para validar los anuncios de rutas que reciben de pares y puntos de tránsito. 

El documento RFC 6811 explica cómo se pueden utilizar los datos validados de la RPKI para validar el origen de los prefijos del BGP en los anuncios de rutas. El tema puede imponer un poco al principio, pero se trata de un documento muy accesible y que merece la pena leer.

¿Qué ha hecho Fastly al respecto?

Fastly ha emitido ROA para todo su espacio de direcciones IP. De esta forma, otros proveedores de internet pueden confirmar la validez de los anuncios de rutas en el espacio de IP de Fastly. El equipo de Fastly ha hecho grandes aportaciones a varios proyectos de código abierto de la RPKI, como rpki-client y StayRTR, ha enviado comentarios como respuesta a la investigación sobre el enrutamiento seguro de internet por parte de la Comisión Federal de Comunicaciones de Estados Unidos, y ha participado en la elaboración de varias especificaciones de estándares de RPKI, como los documentos RFC 9319, RFC 9323, RFC 9582 y RFC 9589.

Es más, Job Snijders de Fastly ha desempeñado un papel destacado en el despliegue de la RPKI en todo el sector. Job, que lleva mucho tiempo defendiendo su introducción en la comunidad de internet, ha dado conferencias, presentado análisis y desarrollado tanto estándares como herramientas con el objetivo de fomentar la adopción de la RPKI en el sector y poner fin a este vacío de seguridad en todo el mundo. A fecha de 1 de mayo de 2024, más del 50 % de las rutas de internet están cubiertas por ROA.

Los documentos RFC 9589 y RFC 9582 merecen especial atención, puesto que acaban de aprobarse y publicarse, en parte gracias a Job. El primero detalla una estrategia para optimizar el transporte de los datos de la RPKI, y el segundo es una revisión retroactiva de una especificación de ROA que elimina ambigüedades como la prohibición de números enteros positivos y negativos de longitud infinita, puesto que, como es evidente, los números de sistemas autónomos no pueden ser enteros negativos. Este detalle pasará desapercibido para muchos, pero dejar claros los límites ayuda a programar con seguridad.

De cara al futuro

Los clientes de Fastly dejan en nuestras manos su enrutamiento de internet, así como sus contenidos y sus cargas de trabajo, sobre todo en el caso de aquellos que usan sus propias IP, modelo que aquí conocemos como «prefijo proporcionado por el suscriptor». Y ese nivel de confianza es algo que nos tomamos con gran sentido de la responsabilidad. 

Durante los últimos años, Fastly ha exigido a los clientes que usan sus propias direcciones IP la instalación de ROA de RPKI antes del anuncio de los prefijos, además de firmar una autorización, práctica muy extendida en el sector. Al impulsar este tipo de estándares de red en el sector, ponemos nuestro granito de arena para hacer de internet un lugar más seguro para nuestros clientes y para todo el mundo.