SlideShare una empresa de Scribd logo

Introduccion a RPKI - Certificacion de Recursos de Internet

Descargar como PPTX, PDF
Carlos Martinez Cagnazzo
Carlos Martinez Cagnazzo

Introduccion a RPKI (Resource Public Key Infraestructure) y su aplicación como mecanismo para validar el sistema autonomo de origen de los anuncios BGP.

Tecnología
1 de 45
Enrutamiento seguro con BGP y RPKI Carlos Martínez-Cagnazzo @carlosm3011
Enrutamiento en Internet ASN 6057 anuncia 200.40.0.0/16 El prefijo 200.40.0.0/16 se propaga a través de las sesiones BGP en InternetASN 8158 recibe 200.40.0.0/16 Atributos: 200.40.0.0/16 AS_PATH ASN1 ASN3 ASN6057
Enrutamiento en Internet (ii) • BGP elije rutas de acuerdo a un algoritmo de decisión y a los valores de los atributos • AS_PATH es la lista de sistemas autónomos recorridos por un UPDATE dado – Incluye el AS que origina el anuncio (“origin-as”) ASN 6057 es el “origin-as” del prefijo 200.40/16
Gestión de recursos en Internet • Recursos – Direcciones IPv4 – Direcciones IPv6 – Sistemas autónomos • 16 y 32 bits • Documento fundacional: RFC 2050 – “IP Registry Allocation Guidelines” • Cada RIR es fuente autoritativa de información sobre la relación “usuario” <-> “recurso” – Cada RIR opera su base de datos de registro – Asociados y RIRs firman contratos de servicio entre si
Gestión de recursos en Internet IANA ARIN ISP End users LACNIC NIC.br NIC.mx ISP mx ISP #1 APNIC LIRs/ISPs RIPE NCC LIRs/ISPs AfriNIC
Enrutamiento en Internet (iii) • Algoritmo de decisión de BGP – Fuente http://netcerts.net/?p=116 :# Paso 1 Verificar si NEXT HOP es alcanzable 2 Seleccionar la ruta con el WEIGHT mas alto** 3 Seleccionar la ruta con el LOCAL PREFERENCE mas alto 4 Seleccionar la ruta originada localmente 5 Seleccionar el AS_PATH mas corto 6 Seleccionar el origin code mas bajo (IGP > EGP > Incomplete) 7 Seleccionar el MED mas bajo 8 Seleccionar rutas aprendidas por eBGP (sobre las aprendidas por iBGP) 9 Seleccionar la ruta con la menor metrica IGP al NEXT HOP 10 Seleccionar la ruta mas antigua (AGE) 11 Seleccionar la ruta con el menor Router_ID 12 Seleccionar la ruta con la menor dirección IP si el Router_ID es igual
¿Quién puede usar un recurso? • Un ISP al obtener recursos de Internet (IPv6/IPv4/ASN) – Indica a su upstream/peers cuales son los prefijos que va a anunciar – Vía e-mail, formas web, IRR (Internet Routing Registry) • Proveedores/peers verifican derecho de uso del recurso y configuran filtros – Whois RIRs: Información no firmada, no utilizable directamente para ruteo – Whois IRR: Información no firmada, pocos mecanismos para autentificación de derecho de uso • La verificación no siempre es todo lo meticulosa que debería ser
Verificación de autorización de uso • Administrador de la red – Controles locales en su infraestructura de rutas • Pedir algún proceso previo (ej. Registrar el objeto en un IRR) – Protección de routers – Integridad de operación en sus protocolos de ruteo • Autenticación entre peers • Filtrado de rutas que se saben inválidas – Filtros 1918 (rfc1918) prefijos de redes privadas – "Bogon Filters" espacios no asignados de IANA • La integridad del sistema depende de la confianza entre peers
Secuestro de rutas • Cuando un participante en el routing en Internet anuncia un prefijo que no esta autorizado a anunciar se produce un “secuestro de ruta” (route hijacking) • Malicioso u causado por error operacionales • Casos más conocidos: – Pakistan Telecom vs. You Tube (2008) – China Telecom (2010) – Google en Europa del este (varios AS, 2010) – Casos en nuestra región (enero/febrero de 2011)
Secuestro de rutas (ii) AS 15358 anuncia 200.40.235.0/24ASN 8158 recibe 200.40.0.0/16 y 200.40.235.0/24 200.40.0.0/16 AS_PATH ASN1 ASN3 ASN6057 200.40.235.0/24 AS_PATH ASN1 ASN15358 AS 6057 anuncia 200.40/16 ASN 8158 recibe 200.40.0.0/16
Infraestructura de PKI de recursos • Resource Public Key Infraestructure – Objetivo: poder certificar la autorización a utilizar un cierto recurso de Internet – Mecanismo propuesto • Uso de certificados X.509 v3 • Uso de extensiones RFC 3779 que permiten representar recursos de Internet (direcciones v4/v6, ASNs) • Mecanismo de validación de prefijos – Esfuerzo de estandarización: • SIDR working group en IETF – Esfuerzo de implementación • RIRs
Resource PKI (ii) • Metodología automatizada que permita validar la autoridad asociada a un anuncio de una ruta “origen de una ruta” • El emisor de la información de ruta "firma" la información de “AS de origen” • Para validar certificados e información de enrutamiento se utilizan: – Las propiedades del cifrado de clave pública (certificados) – Las propiedades de los bloques CIDR • Se impide entonces que terceros falsifiquen la información de enrutamiento o las firmas
Resource PKI (iii) Caché Sistema de gestión RPKI Repositorio
Resource PKI (iv) • Los objetos firmados son listados en directorios públicos • Los objetos pueden ser usados para configurar filtros en routers • Proceso de Validación – Los objetos firmados son referenciados al certificado que los generó – Cada certificado tiene una referencia al certificado en un nivel superior – Los recursos listados en un certificado tienen que ser subsets válidos de los recursos de su padre (en el sentido CIDR) – Sigue una cadena de confianza hasta el “trust anchor”, verificando también que los recursos estén contenidos en los recursos del certificado padre
Certificados de recursos • Certificados Digitales X.509 – Información del sujeto, plazo de validez, llave publica, etc • Con extensión: – RFC 3779 estándar IETF define extensión para recursos internet. • Listado de IPv4, IPv6, ASN asignados a una organización • OpenSSL 1.0c en adelante implementa RFC 3779 – Hay que habilitarlo a la hora del “./configure” ya que no se compila por defecto Signature Algorithm Serial Number Version Issuer Subject Subject Public Key Extensions Addr: 10.10.10.0 Asid: 65535 Subject Information Authority (SIA) Authority Information Access (AIA)
Certificados con extensiones RFC 3779 • Sección “IP Delegation” – Valor especial “INHERITED” • Sección “AS Delegation” – Valor especial “INHERITED” • Proceso de validación Signature Algorithm Serial Number Version Issuer Subject Subject Public Key Extensions Addr: 10.10.10.0 Asid: 65535 Subject Information Authority (SIA) Authority Information Access (AIA)
Estructura de la RPKI de LACNIC LACNIC RTA Recursos de LACNIC LACNIC Producción <<INHERITED>> ISP #2 Recursos del ISP #2 ROA End Entity cert. ROA End Entity cert. ISP #1 Recursos del ISP #1 End User CA #1 (Recursos del EU#1) ROA End Entity cert. ROA End Entity cert. RTA es auto- firmado Cadena de firmas
Estructura de la RPKI LACNIC (ii) • CAs – Entidad emisora de certificados (bit CA=1) • ISPs pueden usar este certificado para firmar certificados de sus clientes • Repositorio de certificados – Repositorio de certificados, CRLs y manifiestos – Accesible via “rsync” • Interfaz de gestión – Interfaz web de usuario para aquellos que prefieran el modo “hosted”
Servicios RPKI CA • Emisión de certificados hijos cuando existen cambios en la base de registro o a demanda de un usuario • Revocación de certificados hijos en forma centralizada o a demanda de un usuario • Emisión periódica de CRL para certificado del CA • Publicación de Certificado del CA y de certificados hijos en repositorio público (rsync)
Detalles de los certificados
Política de enrutamiento y RPKI • ROAs: Routing Origin Authorization – Los ROAs contienen información sobre el origen permitido de un prefijo – Los ROAs se firman utilizando los certificados generados por la RPKI – Los ROAs firmados se copian en un repositorio publicamente accesible
ROAs (ii) • Un ROA (simplificado) contiene esta información: • Este ROA afirma que: – “El prefijo 200.40.0.0/17 será anunciado por el sistema autónomo 6057 y podrá ser fraccionado en prefijos de hasta 20 bits de largo. Esto será valido desde el 2 de enero de 2011 hasta el 1 de enero de 2012” • Además – El ROA contiene el material criptográfico que permite verificar la validez de esta información contra la RPKI
ROAs (iii) • Los ROA contienen – Un certificado End Entity con recursos – Una lista de “route origin attestations” ROA End Entity Certificate 200/8 172.17/16 200.40.0.0/20-24 -> AS 100 172.17.0.0/16-19 -> AS 100
ROAs (iii) - Validación • El proceso de validación de los ROAs involucra: – La validación criptográfica de los certificados end entity (EE) que están contenidos dentro de cada ROA – La validación CIDR de los recursos listados en el EE respecto de los recursos listados en el certificado emisor – La verificación de que los prefijos listados en los route origin attestations están incluidos en los prefijos listados en los certificados end entity de cada ROA
ROAs (iv) • Un router podría entonces utilizar los ROAs para validar una ruta y eventualmente, rechazarla – RPKI Routing Protocol
Creación de ROAs
Creación de ROAs
Modos de operación de RPKI • Modo “hosted” – LACNIC emite los certificados y guarda en sus sistemas tanto claves publicas como privadas • Los certificados son emitidos a pedido de las organizaciones miembro – Los usuarios realizan operaciones via una interfaz web provista por LACNIC • Modo “delegado” – Una organización tiene su propio certificado, firmado por la CA de LACNIC – La organización envia solicitudes de firma a LACNIC, quien se las devuelve firmadas • Protocolo “up-down”
RPKI-to-Router Protocol (RTR) • Validar los ASs que originan anuncios de BGP • Routers requieren mecanismos simple pero confiable Global RPKI Local Cache Routers Routers Local Cache Routers draft-ietf-sidr-rpki-rtr Autoritativo Verificable no-Autoritativo Routers recogen datos
RPKI en funcionamiento Router asigna estado de validez al UPDATE Caché informa periódicamente a router sobre prefijos válidos
RPKI en funcionamiento (ii) • El proceso de validación a nivel de la infraestructura de enrutamiento está dividido en dos – Validación de los ROAs como objetos firmados • Lo realiza el caché validador – Validación de la información recibida en los UPDATE de BGP • Lo realizan los “bgp speakers” de la red • Existe un protocolo de comunicación entre caché y routers (RTR) que está siendo definido en el IETF actualmente
RPKI en funcionamiento (iii) • En el caché – Se bajan por RSYNC los contenidos de los repositorios RPKI – Se validan los certificados y ROAs • Criptográficamente (cadena de firmas) • Inclusión correcta de recursos • En los routers – Se construye una base de datos con la relación entre prefijos y AS de origen
Validación de prefijos en el router IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/9 ORIGIN-AS 20 VALID
Validación de prefijos en el router IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/22 ORIGIN-AS 20 INVALID
Validación de prefijos IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/22 ORIGIN-AS 66 INVALID
Validación de prefijos IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 188.0.0.0/9 ORIGIN-AS 66 NOT FOUND
Interación con BGP • El estado {valid, invalid, not found} de un prefijo puede hacerse pesar en la selección de rutas route-map rpki permit 10 match rpki invalid set local-preference 50 route-map rpki permit 20 match rpki incomplete set local-preference 100 route-map rpki permit 30 match rpki valid set local-preference 200
Herramientas • Validadores – RIPE • http://www.ripe.net/lir-services/resource-management/certification – Rcyinc • http://subvert-rpki.hactrn.net/rcynic/ • Visualización y estadísticas – Construidas sobre la salida de los validadores
Validación – RIPE Labs
Validación (iii) • ROAs validados y prefijos (lacnic-roas.csv) URI,ASN,IP Prefix,Max Length,Not Before,Not After” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/UTt-N3nQ91lGZh0jvWpPN- KirQ4.roa",AS28000,200.7.84.0/23,24,2011-01-07 02:00:00,2012-08- 05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/UTt-N3nQ91lGZh0jvWpPN- KirQ4.roa",AS28000,2001:13c7:7001::/48,48,2011-01-07 02:00:00,2012-08-05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246- af9400104596/nfNV84A_GA8ZPeCMR4jX1qe557o.roa",AS28001,200.3.12.0 /22,24,2011-01-07 02:00:00,2012-08-05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246- af9400104596/nfNV84A_GA8ZPeCMR4jX1qe557o.roa",AS28001,2001:13c7: 7002::/48,48,2011-01-07 02:00:00,2012-08-05 03:00:00”
Visualizando RPKI • Fuente: – http://www.labs.lacnic.net/~rpki/rpki-heatmaps/latest/ – Mapas de Hilbert coloreados de acuerdo con el espacio cubierto por ROAs:
Formalización del Protocolo • SIDR (Secure InterDomain Routing) Working Group en IETF • Architecture, certificate structure and profile, certificate policies, Trust Anchor, Repository structure, ROAs, CP • Los documentos mas importantes estan cerca ya del status de RFC • http://tools.ietf.org/wg/sidr/
Otras interfaces con RPKI • Mientras no todos los routers soportan RPKI – Puentes entre IRRd y RPKI – Puentes entre WHOIS y RPKI
Links / Referencias • Sistema RPKI de LACNIC – http://rpki.lacnic.net • Repositorio RPKI LACNIC – rsync://repository.lacnic.net/rpki/ • Para ver el repositorio – rsync --list-only rsync://repository.lacnic.net/rpki/lacnic/ • Estadísticas RPKI – http://www.labs.lacnic.net/~rpki
¡Muchas gracias por su atención! gerardo_@_ lacnic.net carlos_@_lacnic.net

Recomendados

A Better Architecture for Hybrid WAN - VeloCloud
A Better Architecture for Hybrid WAN - VeloCloudA Better Architecture for Hybrid WAN - VeloCloud
A Better Architecture for Hybrid WAN - VeloCloudVeloCloud Networks, Inc.
 
Micro XRCE-DDS and micro-ROS
Micro XRCE-DDS and micro-ROSMicro XRCE-DDS and micro-ROS
Micro XRCE-DDS and micro-ROSeProsima
 
Ospf area types
Ospf area typesOspf area types
Ospf area typesRoger Perkin
 
Layer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport SystemsLayer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport SystemsADVA
 
Master Thesis on LTE and 5G Technology
Master Thesis on LTE and 5G TechnologyMaster Thesis on LTE and 5G Technology
Master Thesis on LTE and 5G TechnologyThesis Scientist Private Limited
 
NCS: NEtwork Control System Hands-on Labs
NCS: NEtwork Control System Hands-on Labs NCS: NEtwork Control System Hands-on Labs
NCS: NEtwork Control System Hands-on Labs Cisco Canada
 
Real time simulation with HLA and DDS
Real time simulation with HLA and DDSReal time simulation with HLA and DDS
Real time simulation with HLA and DDSJosé Ramón Martínez Salio
 
Hughes: High Throughput Satellites (HTS) Enable Rural and Remote Services
Hughes: High Throughput Satellites (HTS) Enable Rural and Remote ServicesHughes: High Throughput Satellites (HTS) Enable Rural and Remote Services
Hughes: High Throughput Satellites (HTS) Enable Rural and Remote ServicesSmall Cell Forum
 

Recomendados

A Better Architecture for Hybrid WAN - VeloCloud
A Better Architecture for Hybrid WAN - VeloCloudA Better Architecture for Hybrid WAN - VeloCloud
A Better Architecture for Hybrid WAN - VeloCloudVeloCloud Networks, Inc.
 
Micro XRCE-DDS and micro-ROS
Micro XRCE-DDS and micro-ROSMicro XRCE-DDS and micro-ROS
Micro XRCE-DDS and micro-ROSeProsima
 
Ospf area types
Ospf area typesOspf area types
Ospf area typesRoger Perkin
 
Layer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport SystemsLayer 1 Encryption in WDM Transport Systems
Layer 1 Encryption in WDM Transport SystemsADVA
 
Master Thesis on LTE and 5G Technology
Master Thesis on LTE and 5G TechnologyMaster Thesis on LTE and 5G Technology
Master Thesis on LTE and 5G TechnologyThesis Scientist Private Limited
 
NCS: NEtwork Control System Hands-on Labs
NCS: NEtwork Control System Hands-on Labs NCS: NEtwork Control System Hands-on Labs
NCS: NEtwork Control System Hands-on Labs Cisco Canada
 
Real time simulation with HLA and DDS
Real time simulation with HLA and DDSReal time simulation with HLA and DDS
Real time simulation with HLA and DDSJosé Ramón Martínez Salio
 
Hughes: High Throughput Satellites (HTS) Enable Rural and Remote Services
Hughes: High Throughput Satellites (HTS) Enable Rural and Remote ServicesHughes: High Throughput Satellites (HTS) Enable Rural and Remote Services
Hughes: High Throughput Satellites (HTS) Enable Rural and Remote ServicesSmall Cell Forum
 
CommScope RUCKUS Technical Family Day Education & MDF Q12021
CommScope RUCKUS Technical Family Day Education & MDF Q12021CommScope RUCKUS Technical Family Day Education & MDF Q12021
CommScope RUCKUS Technical Family Day Education & MDF Q12021Purdicom
 
SD WAN
SD WANSD WAN
SD WANBri Molina
 
redes.pdf
redes.pdfredes.pdf
redes.pdfFabio Apolinario
 
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dell
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dellCompetitive switching comparison cisco vs. hpe aruba vs. huawei vs. dell
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dellIT Tech
 
Deploying Carrier Ethernet features on ASR 9000
Deploying Carrier Ethernet features on ASR 9000Deploying Carrier Ethernet features on ASR 9000
Deploying Carrier Ethernet features on ASR 9000Vinod Kumar Balasubramanyam
 
Libro ict 2
Libro ict 2Libro ict 2
Libro ict 2Martiux Tokita
 
Xmax Technology Doc
Xmax Technology DocXmax Technology Doc
Xmax Technology DocCharan Reddy Mutyala
 
SIP (Session Initiation Protocol)
SIP (Session Initiation Protocol)SIP (Session Initiation Protocol)
SIP (Session Initiation Protocol)KHNOG
 
CCNA Security - Chapter 8
CCNA Security - Chapter 8CCNA Security - Chapter 8
CCNA Security - Chapter 8Irsandi Hasan
 
COMANDOS CISCO HUAWEI JUNIPER
COMANDOS CISCO HUAWEI JUNIPERCOMANDOS CISCO HUAWEI JUNIPER
COMANDOS CISCO HUAWEI JUNIPEROscarFF
 
MPLS WC 2014 Segment Routing TI-LFA Fast ReRoute
MPLS WC 2014 Segment Routing TI-LFA Fast ReRouteMPLS WC 2014 Segment Routing TI-LFA Fast ReRoute
MPLS WC 2014 Segment Routing TI-LFA Fast ReRouteBruno Decraene
 
Visible Light Communication
Visible Light CommunicationVisible Light Communication
Visible Light CommunicationAshwin Shenoy M
 
Long Distance Connectivity Using WDM Technology at SHARE
Long Distance Connectivity Using WDM Technology at SHARELong Distance Connectivity Using WDM Technology at SHARE
Long Distance Connectivity Using WDM Technology at SHAREADVA
 
Cisco CCNA-CCNP IP SLA Configuration
Cisco CCNA-CCNP IP SLA ConfigurationCisco CCNA-CCNP IP SLA Configuration
Cisco CCNA-CCNP IP SLA ConfigurationHamed Moghaddam
 
Next Generation IP Transport
Next Generation IP TransportNext Generation IP Transport
Next Generation IP TransportMyNOG
 
ACI DHCP Config Guide
ACI DHCP Config GuideACI DHCP Config Guide
ACI DHCP Config GuideWoo Hyung Choi
 
Why and How to Interconnect IXP
Why and How to Interconnect IXPWhy and How to Interconnect IXP
Why and How to Interconnect IXPInternet Society
 
Eternity NE VoIP
Eternity NE VoIPEternity NE VoIP
Eternity NE VoIPMatrixcomsec Ttg
 
RCS Overview
RCS OverviewRCS Overview
RCS OverviewSeungyul Kim
 
Cisco Security portfolio update
Cisco Security portfolio updateCisco Security portfolio update
Cisco Security portfolio updateAtanas Gergiminov
 
ION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origenION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origenDeploy360 Programme (Internet Society)
 
Introducción a la Tecnología Web
Introducción a la Tecnología WebIntroducción a la Tecnología Web
Introducción a la Tecnología WebConsultor Independiente
 

Más contenido relacionado

La actualidad más candente

CommScope RUCKUS Technical Family Day Education & MDF Q12021
CommScope RUCKUS Technical Family Day Education & MDF Q12021CommScope RUCKUS Technical Family Day Education & MDF Q12021
CommScope RUCKUS Technical Family Day Education & MDF Q12021Purdicom
 
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dell
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dellCompetitive switching comparison cisco vs. hpe aruba vs. huawei vs. dell
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dellIT Tech
 
SIP (Session Initiation Protocol)
SIP (Session Initiation Protocol)SIP (Session Initiation Protocol)
SIP (Session Initiation Protocol)KHNOG
 
CCNA Security - Chapter 8
CCNA Security - Chapter 8CCNA Security - Chapter 8
CCNA Security - Chapter 8Irsandi Hasan
 
COMANDOS CISCO HUAWEI JUNIPER
COMANDOS CISCO HUAWEI JUNIPERCOMANDOS CISCO HUAWEI JUNIPER
COMANDOS CISCO HUAWEI JUNIPEROscarFF
 
MPLS WC 2014 Segment Routing TI-LFA Fast ReRoute
MPLS WC 2014 Segment Routing TI-LFA Fast ReRouteMPLS WC 2014 Segment Routing TI-LFA Fast ReRoute
MPLS WC 2014 Segment Routing TI-LFA Fast ReRouteBruno Decraene
 
Visible Light Communication
Visible Light CommunicationVisible Light Communication
Visible Light CommunicationAshwin Shenoy M
 
Long Distance Connectivity Using WDM Technology at SHARE
Long Distance Connectivity Using WDM Technology at SHARELong Distance Connectivity Using WDM Technology at SHARE
Long Distance Connectivity Using WDM Technology at SHAREADVA
 
Cisco CCNA-CCNP IP SLA Configuration
Cisco CCNA-CCNP IP SLA ConfigurationCisco CCNA-CCNP IP SLA Configuration
Cisco CCNA-CCNP IP SLA ConfigurationHamed Moghaddam
 
Next Generation IP Transport
Next Generation IP TransportNext Generation IP Transport
Next Generation IP TransportMyNOG
 
Why and How to Interconnect IXP
Why and How to Interconnect IXPWhy and How to Interconnect IXP
Why and How to Interconnect IXPInternet Society
 
Cisco Security portfolio update
Cisco Security portfolio updateCisco Security portfolio update
Cisco Security portfolio updateAtanas Gergiminov
 

La actualidad más candente (20)

CommScope RUCKUS Technical Family Day Education & MDF Q12021
CommScope RUCKUS Technical Family Day Education & MDF Q12021CommScope RUCKUS Technical Family Day Education & MDF Q12021
CommScope RUCKUS Technical Family Day Education & MDF Q12021
 
SD WAN
SD WANSD WAN
SD WAN
 
redes.pdf
redes.pdfredes.pdf
redes.pdf
 
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dell
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dellCompetitive switching comparison cisco vs. hpe aruba vs. huawei vs. dell
Competitive switching comparison cisco vs. hpe aruba vs. huawei vs. dell
 
Deploying Carrier Ethernet features on ASR 9000
Deploying Carrier Ethernet features on ASR 9000Deploying Carrier Ethernet features on ASR 9000
Deploying Carrier Ethernet features on ASR 9000
 
Libro ict 2
Libro ict 2Libro ict 2
Libro ict 2
 
Xmax Technology Doc
Xmax Technology DocXmax Technology Doc
Xmax Technology Doc
 
SIP (Session Initiation Protocol)
SIP (Session Initiation Protocol)SIP (Session Initiation Protocol)
SIP (Session Initiation Protocol)
 
CCNA Security - Chapter 8
CCNA Security - Chapter 8CCNA Security - Chapter 8
CCNA Security - Chapter 8
 
COMANDOS CISCO HUAWEI JUNIPER
COMANDOS CISCO HUAWEI JUNIPERCOMANDOS CISCO HUAWEI JUNIPER
COMANDOS CISCO HUAWEI JUNIPER
 
MPLS WC 2014 Segment Routing TI-LFA Fast ReRoute
MPLS WC 2014 Segment Routing TI-LFA Fast ReRouteMPLS WC 2014 Segment Routing TI-LFA Fast ReRoute
MPLS WC 2014 Segment Routing TI-LFA Fast ReRoute
 
Visible Light Communication
Visible Light CommunicationVisible Light Communication
Visible Light Communication
 
Long Distance Connectivity Using WDM Technology at SHARE
Long Distance Connectivity Using WDM Technology at SHARELong Distance Connectivity Using WDM Technology at SHARE
Long Distance Connectivity Using WDM Technology at SHARE
 
Cisco CCNA-CCNP IP SLA Configuration
Cisco CCNA-CCNP IP SLA ConfigurationCisco CCNA-CCNP IP SLA Configuration
Cisco CCNA-CCNP IP SLA Configuration
 
Next Generation IP Transport
Next Generation IP TransportNext Generation IP Transport
Next Generation IP Transport
 
ACI DHCP Config Guide
ACI DHCP Config GuideACI DHCP Config Guide
ACI DHCP Config Guide
 
Why and How to Interconnect IXP
Why and How to Interconnect IXPWhy and How to Interconnect IXP
Why and How to Interconnect IXP
 
Eternity NE VoIP
Eternity NE VoIPEternity NE VoIP
Eternity NE VoIP
 
RCS Overview
RCS OverviewRCS Overview
RCS Overview
 
Cisco Security portfolio update
Cisco Security portfolio updateCisco Security portfolio update
Cisco Security portfolio update
 

Similar a Introduccion a RPKI - Certificacion de Recursos de Internet

Curso ccna inicio 17 enero 2015
Curso ccna inicio 17 enero 2015Curso ccna inicio 17 enero 2015
Curso ccna inicio 17 enero 2015Jose Fernandez
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIxjunral
 
Filtrado der contenido web con GNU/Linux y Squid
Filtrado der contenido web con GNU/Linux y SquidFiltrado der contenido web con GNU/Linux y Squid
Filtrado der contenido web con GNU/Linux y SquidJorge Medina
 
Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02
Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02
Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02YAK2067
 
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Adrian Belmonte Martín
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreToni de la Fuente
 
Mejores practicas en seguridad informática para la implementación de Web APIs
Mejores practicas en seguridad informática para la implementación de Web APIsMejores practicas en seguridad informática para la implementación de Web APIs
Mejores practicas en seguridad informática para la implementación de Web APIsSoftware Guru
 

Similar a Introduccion a RPKI - Certificacion de Recursos de Internet (20)

ION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origenION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origen
 
Introducción a la Tecnología Web
Introducción a la Tecnología WebIntroducción a la Tecnología Web
Introducción a la Tecnología Web
 
RPKI en America Latina y el Caribe
RPKI en America Latina y el CaribeRPKI en America Latina y el Caribe
RPKI en America Latina y el Caribe
 
RPKI en America Latina y el Caribe
RPKI en America Latina y el CaribeRPKI en America Latina y el Caribe
RPKI en America Latina y el Caribe
 
PKI.pdf
PKI.pdfPKI.pdf
PKI.pdf
 
T04 01 pki
T04 01 pkiT04 01 pki
T04 01 pki
 
Isa intro
Isa introIsa intro
Isa intro
 
Eap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptxEap, PKI Y WPA.pptx
Eap, PKI Y WPA.pptx
 
Curso ccna inicio 17 enero 2015
Curso ccna inicio 17 enero 2015Curso ccna inicio 17 enero 2015
Curso ccna inicio 17 enero 2015
 
Clase 05
Clase 05Clase 05
Clase 05
 
Clase 05
Clase 05Clase 05
Clase 05
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
Radius
RadiusRadius
Radius
 
Infrestructura PKIx
Infrestructura PKIxInfrestructura PKIx
Infrestructura PKIx
 
Filtrado der contenido web con GNU/Linux y Squid
Filtrado der contenido web con GNU/Linux y SquidFiltrado der contenido web con GNU/Linux y Squid
Filtrado der contenido web con GNU/Linux y Squid
 
Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02
Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02
Filtradocontenidowebcongnulinuxysquid 110414191512-phpapp02
 
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
Análisis de estructura y funcionamiento de las redes de ordenadores compromet...
 
Infraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software LibreInfraestructura de clave pública con Software Libre
Infraestructura de clave pública con Software Libre
 
Mejores practicas en seguridad informática para la implementación de Web APIs
Mejores practicas en seguridad informática para la implementación de Web APIsMejores practicas en seguridad informática para la implementación de Web APIs
Mejores practicas en seguridad informática para la implementación de Web APIs
 

Más de Carlos Martinez Cagnazzo

Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Carlos Martinez Cagnazzo
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICCarlos Martinez Cagnazzo
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersCarlos Martinez Cagnazzo
 
Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Carlos Martinez Cagnazzo
 
An Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECAn Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECCarlos Martinez Cagnazzo
 
Seguridad de la Información para Traductores
Seguridad de la Información para TraductoresSeguridad de la Información para Traductores
Seguridad de la Información para TraductoresCarlos Martinez Cagnazzo
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLCarlos Martinez Cagnazzo
 
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoNAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoCarlos Martinez Cagnazzo
 

Más de Carlos Martinez Cagnazzo (19)

Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUIC
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident Responders
 
Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28
 
IPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size AnalysisIPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size Analysis
 
An Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECAn Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSEC
 
Internet of Things en el Dia de Internet
Internet of Things en el Dia de InternetInternet of Things en el Dia de Internet
Internet of Things en el Dia de Internet
 
Monitoreo de Red para Peering
Monitoreo de Red para PeeringMonitoreo de Red para Peering
Monitoreo de Red para Peering
 
An IPv6 Primer
An IPv6 PrimerAn IPv6 Primer
An IPv6 Primer
 
Enabling IPv6 Services Transparently
Enabling IPv6 Services TransparentlyEnabling IPv6 Services Transparently
Enabling IPv6 Services Transparently
 
LACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 WorldLACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 World
 
Seguridad de la Información para Traductores
Seguridad de la Información para TraductoresSeguridad de la Información para Traductores
Seguridad de la Información para Traductores
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
 
An Overview of DNSSEC
An Overview of DNSSECAn Overview of DNSSEC
An Overview of DNSSEC
 
An Overview of RPKI
An Overview of RPKIAn Overview of RPKI
An Overview of RPKI
 
IPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPsIPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPs
 
Una introduccion a IPv6
Una introduccion a IPv6Una introduccion a IPv6
Una introduccion a IPv6
 
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoNAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
 
DNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónDNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e Introducción
 

Último

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...AlanCedillo9
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024GiovanniJavierHidalg
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 

Último (19)

Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
Instrumentación Hoy_ INTERPRETAR EL DIAGRAMA UNIFILAR GENERAL DE UNA PLANTA I...
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024Cortes-24-de-abril-Tungurahua-3 año 2024
Cortes-24-de-abril-Tungurahua-3 año 2024
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 

Introduccion a RPKI - Certificacion de Recursos de Internet

  • 1. Enrutamiento seguro con BGP y RPKI Carlos Martínez-Cagnazzo @carlosm3011
  • 2. Enrutamiento en Internet ASN 6057 anuncia 200.40.0.0/16 El prefijo 200.40.0.0/16 se propaga a través de las sesiones BGP en InternetASN 8158 recibe 200.40.0.0/16 Atributos: 200.40.0.0/16 AS_PATH ASN1 ASN3 ASN6057
  • 3. Enrutamiento en Internet (ii) • BGP elije rutas de acuerdo a un algoritmo de decisión y a los valores de los atributos • AS_PATH es la lista de sistemas autónomos recorridos por un UPDATE dado – Incluye el AS que origina el anuncio (“origin-as”) ASN 6057 es el “origin-as” del prefijo 200.40/16
  • 4. Gestión de recursos en Internet • Recursos – Direcciones IPv4 – Direcciones IPv6 – Sistemas autónomos • 16 y 32 bits • Documento fundacional: RFC 2050 – “IP Registry Allocation Guidelines” • Cada RIR es fuente autoritativa de información sobre la relación “usuario” <-> “recurso” – Cada RIR opera su base de datos de registro – Asociados y RIRs firman contratos de servicio entre si
  • 5. Gestión de recursos en Internet IANA ARIN ISP End users LACNIC NIC.br NIC.mx ISP mx ISP #1 APNIC LIRs/ISPs RIPE NCC LIRs/ISPs AfriNIC
  • 6. Enrutamiento en Internet (iii) • Algoritmo de decisión de BGP – Fuente http://netcerts.net/?p=116 :# Paso 1 Verificar si NEXT HOP es alcanzable 2 Seleccionar la ruta con el WEIGHT mas alto** 3 Seleccionar la ruta con el LOCAL PREFERENCE mas alto 4 Seleccionar la ruta originada localmente 5 Seleccionar el AS_PATH mas corto 6 Seleccionar el origin code mas bajo (IGP > EGP > Incomplete) 7 Seleccionar el MED mas bajo 8 Seleccionar rutas aprendidas por eBGP (sobre las aprendidas por iBGP) 9 Seleccionar la ruta con la menor metrica IGP al NEXT HOP 10 Seleccionar la ruta mas antigua (AGE) 11 Seleccionar la ruta con el menor Router_ID 12 Seleccionar la ruta con la menor dirección IP si el Router_ID es igual
  • 7. ¿Quién puede usar un recurso? • Un ISP al obtener recursos de Internet (IPv6/IPv4/ASN) – Indica a su upstream/peers cuales son los prefijos que va a anunciar – Vía e-mail, formas web, IRR (Internet Routing Registry) • Proveedores/peers verifican derecho de uso del recurso y configuran filtros – Whois RIRs: Información no firmada, no utilizable directamente para ruteo – Whois IRR: Información no firmada, pocos mecanismos para autentificación de derecho de uso • La verificación no siempre es todo lo meticulosa que debería ser
  • 8. Verificación de autorización de uso • Administrador de la red – Controles locales en su infraestructura de rutas • Pedir algún proceso previo (ej. Registrar el objeto en un IRR) – Protección de routers – Integridad de operación en sus protocolos de ruteo • Autenticación entre peers • Filtrado de rutas que se saben inválidas – Filtros 1918 (rfc1918) prefijos de redes privadas – "Bogon Filters" espacios no asignados de IANA • La integridad del sistema depende de la confianza entre peers
  • 9. Secuestro de rutas • Cuando un participante en el routing en Internet anuncia un prefijo que no esta autorizado a anunciar se produce un “secuestro de ruta” (route hijacking) • Malicioso u causado por error operacionales • Casos más conocidos: – Pakistan Telecom vs. You Tube (2008) – China Telecom (2010) – Google en Europa del este (varios AS, 2010) – Casos en nuestra región (enero/febrero de 2011)
  • 10. Secuestro de rutas (ii) AS 15358 anuncia 200.40.235.0/24ASN 8158 recibe 200.40.0.0/16 y 200.40.235.0/24 200.40.0.0/16 AS_PATH ASN1 ASN3 ASN6057 200.40.235.0/24 AS_PATH ASN1 ASN15358 AS 6057 anuncia 200.40/16 ASN 8158 recibe 200.40.0.0/16
  • 11. Infraestructura de PKI de recursos • Resource Public Key Infraestructure – Objetivo: poder certificar la autorización a utilizar un cierto recurso de Internet – Mecanismo propuesto • Uso de certificados X.509 v3 • Uso de extensiones RFC 3779 que permiten representar recursos de Internet (direcciones v4/v6, ASNs) • Mecanismo de validación de prefijos – Esfuerzo de estandarización: • SIDR working group en IETF – Esfuerzo de implementación • RIRs
  • 12. Resource PKI (ii) • Metodología automatizada que permita validar la autoridad asociada a un anuncio de una ruta “origen de una ruta” • El emisor de la información de ruta "firma" la información de “AS de origen” • Para validar certificados e información de enrutamiento se utilizan: – Las propiedades del cifrado de clave pública (certificados) – Las propiedades de los bloques CIDR • Se impide entonces que terceros falsifiquen la información de enrutamiento o las firmas
  • 13. Resource PKI (iii) Caché Sistema de gestión RPKI Repositorio
  • 14. Resource PKI (iv) • Los objetos firmados son listados en directorios públicos • Los objetos pueden ser usados para configurar filtros en routers • Proceso de Validación – Los objetos firmados son referenciados al certificado que los generó – Cada certificado tiene una referencia al certificado en un nivel superior – Los recursos listados en un certificado tienen que ser subsets válidos de los recursos de su padre (en el sentido CIDR) – Sigue una cadena de confianza hasta el “trust anchor”, verificando también que los recursos estén contenidos en los recursos del certificado padre
  • 15. Certificados de recursos • Certificados Digitales X.509 – Información del sujeto, plazo de validez, llave publica, etc • Con extensión: – RFC 3779 estándar IETF define extensión para recursos internet. • Listado de IPv4, IPv6, ASN asignados a una organización • OpenSSL 1.0c en adelante implementa RFC 3779 – Hay que habilitarlo a la hora del “./configure” ya que no se compila por defecto Signature Algorithm Serial Number Version Issuer Subject Subject Public Key Extensions Addr: 10.10.10.0 Asid: 65535 Subject Information Authority (SIA) Authority Information Access (AIA)
  • 16. Certificados con extensiones RFC 3779 • Sección “IP Delegation” – Valor especial “INHERITED” • Sección “AS Delegation” – Valor especial “INHERITED” • Proceso de validación Signature Algorithm Serial Number Version Issuer Subject Subject Public Key Extensions Addr: 10.10.10.0 Asid: 65535 Subject Information Authority (SIA) Authority Information Access (AIA)
  • 17. Estructura de la RPKI de LACNIC LACNIC RTA Recursos de LACNIC LACNIC Producción <<INHERITED>> ISP #2 Recursos del ISP #2 ROA End Entity cert. ROA End Entity cert. ISP #1 Recursos del ISP #1 End User CA #1 (Recursos del EU#1) ROA End Entity cert. ROA End Entity cert. RTA es auto- firmado Cadena de firmas
  • 18. Estructura de la RPKI LACNIC (ii) • CAs – Entidad emisora de certificados (bit CA=1) • ISPs pueden usar este certificado para firmar certificados de sus clientes • Repositorio de certificados – Repositorio de certificados, CRLs y manifiestos – Accesible via “rsync” • Interfaz de gestión – Interfaz web de usuario para aquellos que prefieran el modo “hosted”
  • 19. Servicios RPKI CA • Emisión de certificados hijos cuando existen cambios en la base de registro o a demanda de un usuario • Revocación de certificados hijos en forma centralizada o a demanda de un usuario • Emisión periódica de CRL para certificado del CA • Publicación de Certificado del CA y de certificados hijos en repositorio público (rsync)
  • 20. Detalles de los certificados
  • 21. Política de enrutamiento y RPKI • ROAs: Routing Origin Authorization – Los ROAs contienen información sobre el origen permitido de un prefijo – Los ROAs se firman utilizando los certificados generados por la RPKI – Los ROAs firmados se copian en un repositorio publicamente accesible
  • 22. ROAs (ii) • Un ROA (simplificado) contiene esta información: • Este ROA afirma que: – “El prefijo 200.40.0.0/17 será anunciado por el sistema autónomo 6057 y podrá ser fraccionado en prefijos de hasta 20 bits de largo. Esto será valido desde el 2 de enero de 2011 hasta el 1 de enero de 2012” • Además – El ROA contiene el material criptográfico que permite verificar la validez de esta información contra la RPKI
  • 23. ROAs (iii) • Los ROA contienen – Un certificado End Entity con recursos – Una lista de “route origin attestations” ROA End Entity Certificate 200/8 172.17/16 200.40.0.0/20-24 -> AS 100 172.17.0.0/16-19 -> AS 100
  • 24. ROAs (iii) - Validación • El proceso de validación de los ROAs involucra: – La validación criptográfica de los certificados end entity (EE) que están contenidos dentro de cada ROA – La validación CIDR de los recursos listados en el EE respecto de los recursos listados en el certificado emisor – La verificación de que los prefijos listados en los route origin attestations están incluidos en los prefijos listados en los certificados end entity de cada ROA
  • 25. ROAs (iv) • Un router podría entonces utilizar los ROAs para validar una ruta y eventualmente, rechazarla – RPKI Routing Protocol
  • 28. Modos de operación de RPKI • Modo “hosted” – LACNIC emite los certificados y guarda en sus sistemas tanto claves publicas como privadas • Los certificados son emitidos a pedido de las organizaciones miembro – Los usuarios realizan operaciones via una interfaz web provista por LACNIC • Modo “delegado” – Una organización tiene su propio certificado, firmado por la CA de LACNIC – La organización envia solicitudes de firma a LACNIC, quien se las devuelve firmadas • Protocolo “up-down”
  • 29. RPKI-to-Router Protocol (RTR) • Validar los ASs que originan anuncios de BGP • Routers requieren mecanismos simple pero confiable Global RPKI Local Cache Routers Routers Local Cache Routers draft-ietf-sidr-rpki-rtr Autoritativo Verificable no-Autoritativo Routers recogen datos
  • 30. RPKI en funcionamiento Router asigna estado de validez al UPDATE Caché informa periódicamente a router sobre prefijos válidos
  • 31. RPKI en funcionamiento (ii) • El proceso de validación a nivel de la infraestructura de enrutamiento está dividido en dos – Validación de los ROAs como objetos firmados • Lo realiza el caché validador – Validación de la información recibida en los UPDATE de BGP • Lo realizan los “bgp speakers” de la red • Existe un protocolo de comunicación entre caché y routers (RTR) que está siendo definido en el IETF actualmente
  • 32. RPKI en funcionamiento (iii) • En el caché – Se bajan por RSYNC los contenidos de los repositorios RPKI – Se validan los certificados y ROAs • Criptográficamente (cadena de firmas) • Inclusión correcta de recursos • En los routers – Se construye una base de datos con la relación entre prefijos y AS de origen
  • 33. Validación de prefijos en el router IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/9 ORIGIN-AS 20 VALID
  • 34. Validación de prefijos en el router IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/22 ORIGIN-AS 20 INVALID
  • 35. Validación de prefijos IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/22 ORIGIN-AS 66 INVALID
  • 36. Validación de prefijos IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 188.0.0.0/9 ORIGIN-AS 66 NOT FOUND
  • 37. Interación con BGP • El estado {valid, invalid, not found} de un prefijo puede hacerse pesar en la selección de rutas route-map rpki permit 10 match rpki invalid set local-preference 50 route-map rpki permit 20 match rpki incomplete set local-preference 100 route-map rpki permit 30 match rpki valid set local-preference 200
  • 38. Herramientas • Validadores – RIPE • http://www.ripe.net/lir-services/resource-management/certification – Rcyinc • http://subvert-rpki.hactrn.net/rcynic/ • Visualización y estadísticas – Construidas sobre la salida de los validadores
  • 40. Validación (iii) • ROAs validados y prefijos (lacnic-roas.csv) URI,ASN,IP Prefix,Max Length,Not Before,Not After” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/UTt-N3nQ91lGZh0jvWpPN- KirQ4.roa",AS28000,200.7.84.0/23,24,2011-01-07 02:00:00,2012-08- 05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246-af9400104596/UTt-N3nQ91lGZh0jvWpPN- KirQ4.roa",AS28000,2001:13c7:7001::/48,48,2011-01-07 02:00:00,2012-08-05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246- af9400104596/nfNV84A_GA8ZPeCMR4jX1qe557o.roa",AS28001,200.3.12.0 /22,24,2011-01-07 02:00:00,2012-08-05 03:00:00” rsync://repository.lacnic.net/rpki/hosted/d62c58a7-668d-41a6- a246- af9400104596/nfNV84A_GA8ZPeCMR4jX1qe557o.roa",AS28001,2001:13c7: 7002::/48,48,2011-01-07 02:00:00,2012-08-05 03:00:00”
  • 41. Visualizando RPKI • Fuente: – http://www.labs.lacnic.net/~rpki/rpki-heatmaps/latest/ – Mapas de Hilbert coloreados de acuerdo con el espacio cubierto por ROAs:
  • 42. Formalización del Protocolo • SIDR (Secure InterDomain Routing) Working Group en IETF • Architecture, certificate structure and profile, certificate policies, Trust Anchor, Repository structure, ROAs, CP • Los documentos mas importantes estan cerca ya del status de RFC • http://tools.ietf.org/wg/sidr/
  • 43. Otras interfaces con RPKI • Mientras no todos los routers soportan RPKI – Puentes entre IRRd y RPKI – Puentes entre WHOIS y RPKI
  • 44. Links / Referencias • Sistema RPKI de LACNIC – http://rpki.lacnic.net • Repositorio RPKI LACNIC – rsync://repository.lacnic.net/rpki/ • Para ver el repositorio – rsync --list-only rsync://repository.lacnic.net/rpki/lacnic/ • Estadísticas RPKI – http://www.labs.lacnic.net/~rpki
  • 45. ¡Muchas gracias por su atención! gerardo_@_ lacnic.net carlos_@_lacnic.net

Notas del editor

  1. ** WEIGHT es un atributo propietario de Cisco que tiene significado unicamente local
  2. ¿que pasa cuando no podemos confiar con nuestros peers? Caso de Telefonica que demora dos semanas en abrir filtros
  3. ** Recordar que las rutas mas especificas son preferidas Luego del primer anuncio de rutas, el trafico normal fluye entre el AS 6057 y el AS 8158 Luego del segundo anuncio, hay trafico dirigido desde y hacia un /24 que se ve desviado hacia el AS 15358
  4. Explicar la idea del offline Comentar sobre el single trust anchor LACNIC RTA es la raiz de la rPKI para la region LAC Es un certificado **auto firmado** La clave privada de LACNIC RTA esta offline LACNIC Produccion es un certificado intermedio, el que efectivamente firma los objetos con su clave privada ISP #n son CAs que pueden firmar otras Cas Cada uno de ellos lista los recursos del ISP correspondiente Los ROAs son objetos firmados Contienen informacion de enrutamiento (origin-as) Usan un certificado end-entity cuya clave privada se usa una vez y luego se descarta
  5. El caché se baja periódicamente el contenido de los repositorios via RSYNC El caché corre un proceso de validación y genera una lista de prefijos válidos Los routers se bajan de los cachés esta lista y cuando reciben un UPDATE de sus vecinos ejecutan un algoritmo que asigna los estados de validez a cada prefijo {valid, invalid, unknown}