SlideShare una empresa de Scribd logo

RPKI en America Latina y el Caribe

Carlos Martinez Cagnazzo
Carlos Martinez Cagnazzo

Esta presentación describe las tecnologías de RPKI y validación de origen (ROV) e incluye algunas estadísticas de su despliegue en América Latina y el Caribe

Internet
1 de 24
Descargar para leer sin conexión
RPKI en América Latina GTER 46 Semana de Infraestrutura da Internet no Brasil Sao Paulo – 13 diciembre 2018
BGP: Routing by rumor ASN 20 anuncia 128.66.0.0/16 El prefijo 128.66.0.0/16 se propaga a través de las sesiones BGP en InternetASN 10 recibe 128.66.0.0/16 Atributos: 128.66.0.0/16 AS_PATH ASN1 ASN3 ASN20 Company "True" Web Server Users R2R1 ASN 10 ASN 20 Internet AS 1 AS 2 AS 3
BGP: Routing by rumor • BGP elije rutas de acuerdo a un algoritmo de decisión y a los valores de los atributos • AS_PATH y AS de origen – AS_PATH es la lista de sistemas autónomos recorridos por un UPDATE dado – Incluye el AS que origina el anuncio (“origin-as”) ASN 20 es el “origin-as” del prefijo 128.66.0.0/16 Company "True" Web Server R2 ASN 20
ASN 66 Company "True" Web Server Users R2R1 ASN 10 ASN 20 Internet AS 1 AS 2 AS 3 Secuestro de rutas AS 66 anuncia 128.66.23.0/24 ASN 10 recibe 128.66.0.0/16 y 128.66.23.0/24 128.66.0.0/16 AS_PATH ASN1 ASN3 ASN20 128.66.23.0/24 AS_PATH ASN1 ASN 66 AS 20 anuncia 128.66/16 ASN 10 recibe 128.66.0.0/16
¿QUE PODEMOS HACER AL RESPECTO?
Validación de origen (ROV) UPDATE Router asigna estado de validez al UPDATE Caché informa periódicamente a router sobre prefijos válidos
Estado de validez IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/9 ORIGIN-AS 20 VALID
Estado de validez IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/9 ORIGIN-AS 66 INVALID
RPKI: Resource Public Key Infrastructure LACNIC RTA Recursos de LACNIC LACNIC Producción <<INHERITED>> ISP #2 Recursos del ISP #2 ROA End Entity cert. ROA End Entity cert. ISP #1 Recursos del ISP #1 End User CA #1 (Recursos del EU#1) ROA End Entity cert. ROA End Entity cert. RTA es auto- firmado Cadena de firmas
EXPERIENCIAS REGIONALES
Experiencias regionales exitosas • NAP.ec Ecuador – Opera validador de rutas en el punto de intercambio de tráfico – Marca las rutas con comunidades de acuerdo a su estado de validez • Ver [ http://aeprovi.org.ec/es/napec/politicas-enrutamiento ] • La decisión de aceptar / no aceptar es de cada miembro
Experiencias regionales exitosas • CRIX Costa Rica – Opera validador de rutas en el IX – Actualmente hace Drops de prefijos inválidos – Implementado en etapas • Primero solo tagging • RENATA Colombia – Opera validador de rutas – Solo tagging en este momento • PIT Chile
ALGUNAS ESTADÍSTICAS
Cobertura en IPv4
Cobertura en IPv4
¡MUCHAS GRACIAS!
RPKI no Brasil GTER 46 – São Paulo 13 Dezembro 2018 Frederico A C Neves
Numeração • Nova Interface –Melhor usabilidade –Suporte a DNSSEC –Preparada para RPKI • Maio/19 –Em produção antes do próximo GTER
RPKI CA Software • RPKI Tools - NLnet Labs –Em desenvolvimento –Suportado pelo nic.br –https://nlnetlabs.nl/projects/rpki/about/ • Dez/19 –Primeira versão de Produção
RPKI CA – Modos de Operação • Delegado – Via protocolo Up-Down – RFC 6492 – XML encoded CMS messages over HTTP – Auth configurada via interface OOB • Hospedado – Via interface web – Chaves privadas hospedadas com o provedor de serviços
RPKI CA – Delegado • Authenticação – Configurada via interface da Numeração • Monitoração / Alerta - ROAs inválidos – No ato da delegação e periódico • Beta – Em colaboração com LACNIC Set/19 • Produção – Dez/19 – Tutorial de RPKI na Semana de Infra 2019
RPKI CA – Hospedado • Hospedado em uma CA subordinada • Totalmente integrado com a Interface da Numeração • Beta –1º Sem/20 –Depende de suporte a Multi-CA no RPKI Tools • Produção –2º Sem/20
Perguntas? Obrigado
RPKI en America Latina y el Caribe

Recomendados

Implentacion de tuneles 6to4 armijos muñoz velez
Implentacion de tuneles 6to4 armijos muñoz velezImplentacion de tuneles 6to4 armijos muñoz velez
Implentacion de tuneles 6to4 armijos muñoz velezElenaArmijos
 
Redes
RedesRedes
Redeskelismargarita
 
Introducción al direccionamiento IPng
Introducción al direccionamiento IPngIntroducción al direccionamiento IPng
Introducción al direccionamiento IPngMarco Antonio Arenas Porcel
 
Protocolos de red alejandro e ivan
Protocolos de red alejandro e ivanProtocolos de red alejandro e ivan
Protocolos de red alejandro e ivanalejandro_ivan
 
Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...
Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...
Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...Alejandro Takahashi
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGPPaulo Colomés
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Carlos Martinez Cagnazzo
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICCarlos Martinez Cagnazzo
 

Recomendados

Implentacion de tuneles 6to4 armijos muñoz velez
Implentacion de tuneles 6to4 armijos muñoz velezImplentacion de tuneles 6to4 armijos muñoz velez
Implentacion de tuneles 6to4 armijos muñoz velezElenaArmijos
 
Redes
RedesRedes
Redeskelismargarita
 
Introducción al direccionamiento IPng
Introducción al direccionamiento IPngIntroducción al direccionamiento IPng
Introducción al direccionamiento IPngMarco Antonio Arenas Porcel
 
Protocolos de red alejandro e ivan
Protocolos de red alejandro e ivanProtocolos de red alejandro e ivan
Protocolos de red alejandro e ivanalejandro_ivan
 
Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...
Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...
Proyecto Servidores Primario y Secundario Ubuntu 18.04 DNSSEC y Servidor de a...Alejandro Takahashi
 
Fundamentos de RPKI y BGP
Fundamentos de RPKI y BGPFundamentos de RPKI y BGP
Fundamentos de RPKI y BGPPaulo Colomés
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Carlos Martinez Cagnazzo
 
Evolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICEvolución del stack de protocolos de Internet - IPv6 y QUIC
Evolución del stack de protocolos de Internet - IPv6 y QUICCarlos Martinez Cagnazzo
 
Seguridad de las Redes
Seguridad de las RedesSeguridad de las Redes
Seguridad de las RedesAlexanderGarcia243
 
Introduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetIntroduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetCarlos Martinez Cagnazzo
 
CASE 2013 - 6lowpan
CASE 2013 - 6lowpanCASE 2013 - 6lowpan
CASE 2013 - 6lowpananadiedrichs
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptxJorgeGonzales972788
 
Route-servers and how to make the most of it with manners
Route-servers and how to make the most of it with mannersRoute-servers and how to make the most of it with manners
Route-servers and how to make the most of it with mannersCSUC - Consorci de Serveis Universitaris de Catalunya
 
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y AlmacenamientoHernan Lopez
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmapCarlos Antonio Leal Saballos
 
Semana 4 ip, arp, icmp
Semana 4 ip, arp, icmpSemana 4 ip, arp, icmp
Semana 4 ip, arp, icmpJH Terly Tuanama
 
Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Fundación Proydesa
 
Protocolos en wireshark
Protocolos en wiresharkProtocolos en wireshark
Protocolos en wiresharkJAV_999
 
Acl
AclAcl
AclANALI GOMEZ
 
PPP & MLPPP CCNA
PPP & MLPPP CCNAPPP & MLPPP CCNA
PPP & MLPPP CCNAJuan Zambrano Burgos
 
IPv6 - Internet Protocol version 6 v2
IPv6 - Internet Protocol version 6 v2IPv6 - Internet Protocol version 6 v2
IPv6 - Internet Protocol version 6 v2Gianpietro Lavado
 
INTERNET PROTOCOL VRSION 6
INTERNET PROTOCOL VRSION 6INTERNET PROTOCOL VRSION 6
INTERNET PROTOCOL VRSION 6Jhoni Guerrero
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaEventos Creativos
 
ION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origenION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origenDeploy360 Programme (Internet Society)
 
I pv6
I pv6I pv6
I pv6Amalia Nuñez
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmapCarlos Antonio Leal Saballos
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Redcyberleon95
 
7.1.2.4 packet tracer configuring vp ns (optional) instructions
7.1.2.4 packet tracer configuring vp ns (optional) instructions7.1.2.4 packet tracer configuring vp ns (optional) instructions
7.1.2.4 packet tracer configuring vp ns (optional) instructionsJaab Mikrotik
 
Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Carlos Martinez Cagnazzo
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersCarlos Martinez Cagnazzo
 

Más contenido relacionado

Similar a RPKI en America Latina y el Caribe

Introduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetIntroduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetCarlos Martinez Cagnazzo
 
CASE 2013 - 6lowpan
CASE 2013 - 6lowpanCASE 2013 - 6lowpan
CASE 2013 - 6lowpananadiedrichs
 
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y AlmacenamientoHernan Lopez
 
Protocolos en wireshark
Protocolos en wiresharkProtocolos en wireshark
Protocolos en wiresharkJAV_999
 
IPv6 - Internet Protocol version 6 v2
IPv6 - Internet Protocol version 6 v2IPv6 - Internet Protocol version 6 v2
IPv6 - Internet Protocol version 6 v2Gianpietro Lavado
 
INTERNET PROTOCOL VRSION 6
INTERNET PROTOCOL VRSION 6INTERNET PROTOCOL VRSION 6
INTERNET PROTOCOL VRSION 6Jhoni Guerrero
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaEventos Creativos
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Redcyberleon95
 
7.1.2.4 packet tracer configuring vp ns (optional) instructions
7.1.2.4 packet tracer configuring vp ns (optional) instructions7.1.2.4 packet tracer configuring vp ns (optional) instructions
7.1.2.4 packet tracer configuring vp ns (optional) instructionsJaab Mikrotik
 

Similar a RPKI en America Latina y el Caribe (20)

Seguridad de las Redes
Seguridad de las RedesSeguridad de las Redes
Seguridad de las Redes
 
Introduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de InternetIntroduccion a RPKI - Certificacion de Recursos de Internet
Introduccion a RPKI - Certificacion de Recursos de Internet
 
CASE 2013 - 6lowpan
CASE 2013 - 6lowpanCASE 2013 - 6lowpan
CASE 2013 - 6lowpan
 
Practica_1_STD.pptx
Practica_1_STD.pptxPractica_1_STD.pptx
Practica_1_STD.pptx
 
Route-servers and how to make the most of it with manners
Route-servers and how to make the most of it with mannersRoute-servers and how to make the most of it with manners
Route-servers and how to make the most of it with manners
 
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
​Capacitación de QNAP Soluciones de Videovigilancia y Almacenamiento
 
Uso del escaner de puertos nmap
Uso del escaner de puertos nmapUso del escaner de puertos nmap
Uso del escaner de puertos nmap
 
Semana 4 ip, arp, icmp
Semana 4 ip, arp, icmpSemana 4 ip, arp, icmp
Semana 4 ip, arp, icmp
 
Seguridad en i pv6 (2)
Seguridad en i pv6 (2)Seguridad en i pv6 (2)
Seguridad en i pv6 (2)
 
Protocolos en wireshark
Protocolos en wiresharkProtocolos en wireshark
Protocolos en wireshark
 
Acl
AclAcl
Acl
 
PPP & MLPPP CCNA
PPP & MLPPP CCNAPPP & MLPPP CCNA
PPP & MLPPP CCNA
 
IPv6 - Internet Protocol version 6 v2
IPv6 - Internet Protocol version 6 v2IPv6 - Internet Protocol version 6 v2
IPv6 - Internet Protocol version 6 v2
 
INTERNET PROTOCOL VRSION 6
INTERNET PROTOCOL VRSION 6INTERNET PROTOCOL VRSION 6
INTERNET PROTOCOL VRSION 6
 
Ataque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil FocaAtaque a redes de datos IPv6 con Evil Foca
Ataque a redes de datos IPv6 con Evil Foca
 
ION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origenION Costa Rica - Validacion en el origen
ION Costa Rica - Validacion en el origen
 
I pv6
I pv6I pv6
I pv6
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
 
Herramientas Administrativas de Red
Herramientas Administrativas de RedHerramientas Administrativas de Red
Herramientas Administrativas de Red
 
7.1.2.4 packet tracer configuring vp ns (optional) instructions
7.1.2.4 packet tracer configuring vp ns (optional) instructions7.1.2.4 packet tracer configuring vp ns (optional) instructions
7.1.2.4 packet tracer configuring vp ns (optional) instructions
 

Más de Carlos Martinez Cagnazzo

Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Carlos Martinez Cagnazzo
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersCarlos Martinez Cagnazzo
 
Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Carlos Martinez Cagnazzo
 
An Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECAn Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECCarlos Martinez Cagnazzo
 
Seguridad de la Información para Traductores
Seguridad de la Información para TraductoresSeguridad de la Información para Traductores
Seguridad de la Información para TraductoresCarlos Martinez Cagnazzo
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLCarlos Martinez Cagnazzo
 
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoNAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoCarlos Martinez Cagnazzo
 

Más de Carlos Martinez Cagnazzo (18)

Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4Como brindar servicio de Internet (casi) sin IPv4
Como brindar servicio de Internet (casi) sin IPv4
 
The End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident RespondersThe End of IPv4: What It Means for Incident Responders
The End of IPv4: What It Means for Incident Responders
 
Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28Actualización sobre DNS en el IETF para LACNIC 28
Actualización sobre DNS en el IETF para LACNIC 28
 
IPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size AnalysisIPv6 Routing Table Prefix Size Analysis
IPv6 Routing Table Prefix Size Analysis
 
An Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSECAn Introduction to DANE - Securing TLS using DNSSEC
An Introduction to DANE - Securing TLS using DNSSEC
 
Internet of Things en el Dia de Internet
Internet of Things en el Dia de InternetInternet of Things en el Dia de Internet
Internet of Things en el Dia de Internet
 
Monitoreo de Red para Peering
Monitoreo de Red para PeeringMonitoreo de Red para Peering
Monitoreo de Red para Peering
 
An IPv6 Primer
An IPv6 PrimerAn IPv6 Primer
An IPv6 Primer
 
Enabling IPv6 Services Transparently
Enabling IPv6 Services TransparentlyEnabling IPv6 Services Transparently
Enabling IPv6 Services Transparently
 
LACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 WorldLACNOG - Logging in the Post-IPv4 World
LACNOG - Logging in the Post-IPv4 World
 
Seguridad de la Información para Traductores
Seguridad de la Información para TraductoresSeguridad de la Información para Traductores
Seguridad de la Información para Traductores
 
Mitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRLMitigación de denegaciones de servicio en DNS con RRL
Mitigación de denegaciones de servicio en DNS con RRL
 
An Overview of DNSSEC
An Overview of DNSSECAn Overview of DNSSEC
An Overview of DNSSEC
 
An Overview of RPKI
An Overview of RPKIAn Overview of RPKI
An Overview of RPKI
 
IPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPsIPv6 Transition Considerations for ISPs
IPv6 Transition Considerations for ISPs
 
Una introduccion a IPv6
Una introduccion a IPv6Una introduccion a IPv6
Una introduccion a IPv6
 
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estadoNAT64 en LACNIC 18: Experimentos con NAT64 sin estado
NAT64 en LACNIC 18: Experimentos con NAT64 sin estado
 
DNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e IntroducciónDNSSEC - Generalidades e Introducción
DNSSEC - Generalidades e Introducción
 

Último

COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfOscarBlas6
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdflauradbernals
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenadanielaerazok
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webDecaunlz
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAdanielaerazok
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdfedwinmelgarschlink2
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfisrael garcia
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenajuniorcuellargomez
 

Último (8)

COMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdfCOMPETENCIAS CIUDADANASadadadadadadada .pdf
COMPETENCIAS CIUDADANASadadadadadadada .pdf
 
Guia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdfGuia para el registro en el sitio slideshare.pdf
Guia para el registro en el sitio slideshare.pdf
 
Institucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalenaInstitucion educativa la esperanza sede la magdalena
Institucion educativa la esperanza sede la magdalena
 
Buscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la webBuscadores, SEM SEO: el desafío de ser visto en la web
Buscadores, SEM SEO: el desafío de ser visto en la web
 
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENAINSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
INSTITUCION EDUCATIVA LA ESPERANZA SEDE MAGDALENA
 
12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf12 Clasificacion de las Computadoras.pdf
12 Clasificacion de las Computadoras.pdf
 
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdfNUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
NUVO PROGRAMAS DE ESCUELAS NUEVO-ACUERDO-CTE.pdf
 
institucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalenainstitucion educativa la esperanza sede magdalena
institucion educativa la esperanza sede magdalena
 

RPKI en America Latina y el Caribe

  • 1. RPKI en América Latina GTER 46 Semana de Infraestrutura da Internet no Brasil Sao Paulo – 13 diciembre 2018
  • 2. BGP: Routing by rumor ASN 20 anuncia 128.66.0.0/16 El prefijo 128.66.0.0/16 se propaga a través de las sesiones BGP en InternetASN 10 recibe 128.66.0.0/16 Atributos: 128.66.0.0/16 AS_PATH ASN1 ASN3 ASN20 Company "True" Web Server Users R2R1 ASN 10 ASN 20 Internet AS 1 AS 2 AS 3
  • 3. BGP: Routing by rumor • BGP elije rutas de acuerdo a un algoritmo de decisión y a los valores de los atributos • AS_PATH y AS de origen – AS_PATH es la lista de sistemas autónomos recorridos por un UPDATE dado – Incluye el AS que origina el anuncio (“origin-as”) ASN 20 es el “origin-as” del prefijo 128.66.0.0/16 Company "True" Web Server R2 ASN 20
  • 4. ASN 66 Company "True" Web Server Users R2R1 ASN 10 ASN 20 Internet AS 1 AS 2 AS 3 Secuestro de rutas AS 66 anuncia 128.66.23.0/24 ASN 10 recibe 128.66.0.0/16 y 128.66.23.0/24 128.66.0.0/16 AS_PATH ASN1 ASN3 ASN20 128.66.23.0/24 AS_PATH ASN1 ASN 66 AS 20 anuncia 128.66/16 ASN 10 recibe 128.66.0.0/16
  • 5. ¿QUE PODEMOS HACER AL RESPECTO?
  • 6. Validación de origen (ROV) UPDATE Router asigna estado de validez al UPDATE Caché informa periódicamente a router sobre prefijos válidos
  • 7. Estado de validez IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/9 ORIGIN-AS 20 VALID
  • 8. Estado de validez IP prefix/[min_len – max_len] Origin AS 172.16.0.0 / [16-20] 10 200.0.0.0/[8-21] 20 • Si el “UPDATE pfx” no encuentra ninguna entrada que lo cubra en la BdeD -> “not found” • Si el “UPDATE pfx” si encuentra al menos una entrada que lo cubra en la BdeD y además el AS de origen del “UPDATE pfx” coincide con uno de ellos -> “valid” • En el caso anterior, si no coincide ningun AS de origen -> “invalid” UPDATE 200.0.0.0/9 ORIGIN-AS 66 INVALID
  • 9. RPKI: Resource Public Key Infrastructure LACNIC RTA Recursos de LACNIC LACNIC Producción <<INHERITED>> ISP #2 Recursos del ISP #2 ROA End Entity cert. ROA End Entity cert. ISP #1 Recursos del ISP #1 End User CA #1 (Recursos del EU#1) ROA End Entity cert. ROA End Entity cert. RTA es auto- firmado Cadena de firmas
  • 11. Experiencias regionales exitosas • NAP.ec Ecuador – Opera validador de rutas en el punto de intercambio de tráfico – Marca las rutas con comunidades de acuerdo a su estado de validez • Ver [ http://aeprovi.org.ec/es/napec/politicas-enrutamiento ] • La decisión de aceptar / no aceptar es de cada miembro
  • 12. Experiencias regionales exitosas • CRIX Costa Rica – Opera validador de rutas en el IX – Actualmente hace Drops de prefijos inválidos – Implementado en etapas • Primero solo tagging • RENATA Colombia – Opera validador de rutas – Solo tagging en este momento • PIT Chile
  • 17. RPKI no Brasil GTER 46 – São Paulo 13 Dezembro 2018 Frederico A C Neves
  • 18. Numeração • Nova Interface –Melhor usabilidade –Suporte a DNSSEC –Preparada para RPKI • Maio/19 –Em produção antes do próximo GTER
  • 19. RPKI CA Software • RPKI Tools - NLnet Labs –Em desenvolvimento –Suportado pelo nic.br –https://nlnetlabs.nl/projects/rpki/about/ • Dez/19 –Primeira versão de Produção
  • 20. RPKI CA – Modos de Operação • Delegado – Via protocolo Up-Down – RFC 6492 – XML encoded CMS messages over HTTP – Auth configurada via interface OOB • Hospedado – Via interface web – Chaves privadas hospedadas com o provedor de serviços
  • 21. RPKI CA – Delegado • Authenticação – Configurada via interface da Numeração • Monitoração / Alerta - ROAs inválidos – No ato da delegação e periódico • Beta – Em colaboração com LACNIC Set/19 • Produção – Dez/19 – Tutorial de RPKI na Semana de Infra 2019
  • 22. RPKI CA – Hospedado • Hospedado em uma CA subordinada • Totalmente integrado com a Interface da Numeração • Beta –1º Sem/20 –Depende de suporte a Multi-CA no RPKI Tools • Produção –2º Sem/20