Bienvenidos a Monitoreo FORT

Monitoreo FORT es una herramienta que presenta, de manera simplificada, datos sobre el estado de la seguridad de ruteo en América Latina y el Caribe y su impacto sobre los usuarios finales de Internet. La herramienta está pensada para aportar información al trabajo de técnicos, tomadores de decisiones y activistas de la región, entre otros.

Aquí podrás ver algunos de los resultados más relevantes y explorar los datos para conocerlos con mayor detalle.

Este sitio se encuentra en desarrollo. A medida que avance la recolección de datos del sistema estarán disponibles los reportes más completos. La herramienta cubre únicamente territorios dentro del área de servicio de LACNIC.

Información para empezar

Si no tienes conocimiento técnico previo, te recomendamos revisar la siguiente información antes de explorar los datos de Monitoreo FORT.

Es el sistema que permite la trasmisión y enrutamiento de paquetes (información) en Internet. En cada transacción o comunicación en Internet que realiza un usuario, la información enviada y recibida es encaminada a destino a través de información de enrutamiento que indica cómo llegar a cada grupo de direcciones IP en Internet. Esta “información de enrutamiento” se intercambia entre los routers mediante un protocolo llamado BGP.

El sistema de ruteo global es uno de los pilares en los que está basada la Internet actual. Una falla en ese sistema impacta en la posibilidad de interconectarse entre usuarios y organizaciones. Dependiendo del alcance de esa falla, esto puede afectar sólo un conjunto de redes (alcance limitado) o tener un impacto regional o global.

El sistema de ruteo global es vulnerable a ataques, si no se despliegan tecnologías para protegerlo. A través de los secuestros de ruta, los paquetes que circulan por Internet pueden ser interceptados y redirigidos a destinaciones falsas o pueden ser inspeccionados para espiar sus contenidos. La solución más efectiva a la fecha es el despliegue de RPKI (Resource Public Key Infrastructure) que usa una infraestructura de clave pública para certificar quién es el poseedor de un conjunto de direcciones IP (IPv4 o IPv6). A su vez. mediante unos objetos llamados ROA (Route Origination Authorizations), firmados mediante el mismo sistema de certificados de clave pública, el poseedor de las direcciones IP podrá definir qué organizaciones (sistemas autónomos) están autorizadas a publicar esas direcciones IP en Internet. De esta manera es posible validar la información de ruteo y distinguir entre anuncios válidos e inválidos o falsos.

Para entender los datos presentados en Monitoreo FORT es importante conocer 3 conceptos clave.

Sistemas Autónomos. Un sistema autónomo es una red o conjunto de redes que están administradas como una unidad. Internet está compuesta por múltiples Sistemas Autónomos que se unen entre sí. Cada una se identifica con un Número de Sistema Autónomo o ASN.

BGP. BGP quiere decir en inglés Border Gate Protocol. BGP es el protocolo por el cual se comunican los sistemas autónomos en Internet. Cada sistema autónomo anuncia a los demás el conjunto de redes IP (prefijos) a los que puede dar conectividad. A su vez, aprende de los otros sistemas autónomos el conjunto de prefijos a los que puede alcanzar. El protocolo BGP se encarga de intercambiar esta información entre sistemas autónomos y esta es la información que utilizarán los routers en Internet para enviar el tráfico de un sitio a otro.

RPKI. RPKI quiere decir Resource Public Key Infrastructure en inglés. Es una infraestructura de clave pública aplicada a los recursos de Internet (IPv4, IPv6, ASN). RPKI sirve como una herramienta para que los operadores de Internet verifiquen que la información de rutas que reciben y propagan, proviene de una fuente fidedigna y autorizada. Esto se hace a través de un proceso de validación, donde el operador utiliza el material criptográfico correspondiente para validar que quien solicita el enrutamiento tenga efectivamente derecho a realizar esa acción (realizar ese anuncio). RPKI es una solución que aún está en proceso de despliegue, es decir, que aún no es de uso universal.

Monitoreo FORT toma los intercambios entre sistemas autónomos (mensajes BGP) recolectados en toda la red y los clasifica de acuerdo a su estado de validez RPKI. Para hacerlo se conecta regularmente con dos validadores RPKI (Validador FORT y Routinator) de donde extrae el resultado del algoritmo de validación.

A continuación encontrarás información útil sobre las fuentes de datos de Monitoreo FORT y cómo se calculan las estadísticas.

La información intercambiada entre los sistema autónomos es analizada por la herramienta y acumulada diariamente. Los anuncios observados se agrupan por por Prefijo/AS de origen distintos y esto conforma la unidad básica para los cálculos de Monitoreo FORT. Es decir, si uno de estos pares prefijo/AS de origen fue observado en el período que se está estudiando se contabiliza como uno sin importar la cantidad de veces que fue visto ni la cantidad de días en los que apareció. Por ejemplo en el análisis de despliegue de RPKI se consideran los diferentes Prefijo/AS de origen y su respectiva validez RPKI en un período de tiempo. Para el caso del gráfico de evolución la información se agrupa por día, mientras que para el gráfico de porcentajes, la información se agrupa por mes. Es importante observar que, por este motivo, el porcentaje de despliegue mensual puede no corresponderse con el promedio de los porcentajes diarios en la evolución.

Anuncios BGP. Para obtener la información de prefijos anunciados en Internet utilizamos como fuente los mensajes updates de todos los colectores disponibles en BGPStream .

Países. Para relacionar prefijos con países dentro del área de cobertura de LACNIC utilizamos la información disponible en el delegated extended de LACNIC. Para los países fuera de la región utilizamos la información disponible en GeoLite2 que está integrada en Elasticsearch.

Validación RPKI. Para saber qué anuncios son válidos por RPKI obtenemos la validación de dos validadores RPKI, el Validador FORT y Routinator . A través de RTRLib integramos la información de la validación y la incorporamos a nuestro sistema.

Validación IRR. Para validar la información del Registro de Rutas de Internet utilizamos los datos disponibles de las bases de datos de RADB y RIPE.

Sistemas Autónomos. Para incorporar más información sobre los AS que se muestran en el sistema integramos los datos de cada AS obtenidos de ASRank . Los nombres de los AS que se muestran en los listados son obtenidos de esta fuente.

Infraestructura crítica. Para determinar qué prefijos incluyen servidores raíz que forman parte de la infraestructura crítica se la región utilizamos la información disponible en Internic .

Despliegue de RPKI

RPKI es una tecnología que permite proteger el sistema de ruteo de ataques. RPKI está en proceso de despliegue, es decir, que aún no es de uso universal. Este gráfico nos permite dimensionar, en el último mes, qué porcentaje de prefijos IPv4 e IPv6 de Internet en LAC está protegido por RPKI. Para que el sistema de ruteo esté totalmente protegido, se necesita avanzar lo más posible hacia el 100% de cobertura. Vale destacar que las organizaciones/países que tienen un menor porcentaje de cobertura están más expuestos a ataques como secuestros de rutas o hijacks.

El grado de cobertura por RPKI se calcula como la proporción de los pares Prefijo/AS de origen distintos correspondientes a prefijos cubiertos por ROAs respecto de los prefijos ruteados. Decimos que un prefijo está cubierto por ROAs si es posible determinar la validez de los anuncios que lo contengan a través de RPKI. A mayor cobertura, mayor nivel de protección sobre rutas que anuncia la región.

La información desglosada por país se encuentra siguiendo el enlace.

Ver en el mapa Ver evolución

Resultados de Validación RPKI en la región

Al usar RPKI, los operadores de la región pueden comprobar si un sistema autónomo está autorizado para anunciar un cierto rango de prefijos. Esto garantiza que el tráfico de información en Internet llegue al destino correcto y que lo haga de manera segura.

Como el despliegue de RPKI aún no es universal, los resultados de la validación pueden ser variados. Los prefijos que figuran como “válidos” están protegidos por RPKI y sabemos con certeza que son fidedignos. Los llamados “not found” son anuncios de prefijos que aún no están protegidos por RPKI. Los “inválidos” son anuncios incorrectos o maliciosos.

Este gráfico nos muestra el estado de los prefijos de origen en LAC al hacer validación RPKI. A medida que avance el despliegue de RPKI, se reducirán la cantidad de prefijos desprotegidos (not found) y se aumentará la precisión con la que se identifican los prefijos inválidos.

También es posible filtrar estos datos por país y ver su evolución a lo largo del tiempo.

Ver en el mapa Ver evolución

Posibles secuestros de ruta

Un secuestro de ruta o hijack es un intento de redirigir el tráfico en Internet a destinaciones falsas. Esta gráfica estima, para el total de anuncios en la región, agrupados por par Prefijo/AS de origen distintos, qué porcentaje puede considerarse como un posible secuestro de ruta (RPKI-Invalid Origin, RPKI-Invalid Length), qué pares presentan anomalías y por ende son sospechosos (IRR-Invalid), qué porcentajes corresponden a anuncios de prefijos cuya fuente no se puede verificar, por ende están desprotegidos (RPKI/IRR - not found) y qué porcentaje provienen de una fuente fidedigna/autorizada (RPKI-valid y IRR-Valid).

En “Ampliar información” podemos ver cómo se distribuyen en la región las víctimas y los responsables de posibles secuestros de ruta, y el detalle de anuncios anómalos y posibles hijacks.

Para estimar los secuestros de ruta, se toman como base los datos de la validación RPKI. Si un anuncio es identificado como inválido lo consideramos como un posible secuestro de ruta. Esto puede ocurrir por dos motivos: el sistema autónomo de origen no está autorizado para hacer un anuncio de ruta, o el prefijo que se anuncia es demasiado específico (se excede el largo máximo). Pero, ¿qué pasa con los anuncios no cubiertos por RPKI? Para estos casos utilizamos fuentes de los Registros de Rutas de Internet ( IRR ) para validar si los anuncios encontrados están registrados o no. Si en el IRR existe un registro que se corresponde con el anuncio (mismo ASN de origen y misma longitud de prefijo), entonces lo etiquetamos como IRR-valid. Si existen registros, pero contradicen esta información, se considera como IRR-invalid. En el caso de que el prefijo no esté registrado en un IRR se lo considera como IRR-not found. Estos casos no se consideran posibles secuestros de ruta, pero sí se reportan como anomalías.

La unidad considerada para realizar los cálculos es el par Prefijo/AS de origen diferentes.

Ampliar información

Protección de Infraestructura Crítica

La Infraestructura Crítica está compuesta por recursos que son esenciales para que Internet pueda funcionar correctamente. En este caso, consideramos Infraestructura Crítica a todos los servidores de nombre que resuelven los dominios de nivel superior de código de país (ccTLDs) tales como el .uy, .br o .mx. Un secuestro a nivel de la infraestructura crítica puede generar un gran impacto. Aquí se presenta la cantidad de secuestros de ruta que impactaron sobre infraestructura crítica de la región en los últimos 3 meses. En “Ampliar información” se presenta información sobre la evolución de la cobertura de infraestructura crítica en la región y detalles de los secuestros ocurridos.

ampliar información

En los últimos 3 meses han ocurrido

17

secuestros sobre la infraestructura crítica

Reporte mensual

Al cierre de cada mes preparamos un resumen con los datos más relevantes del mes. Es posible suscribirse para recibir el reporte mensual en tu correo electrónico.

Ampliar información

Reportes técnicos

Para usuarios con perfil técnico disponemos algunos reportes para conocer más en detalle la información presentada.

Ver detalle

Por prefijo

En la búsqueda por prefijo se accede a un listado de sistemas autónomos que anunciaron el prefijo marcado y su estado de validez.

Buscar por prefijo

Ver detalle

Por Sistema Autónomo

En la búsqueda por Sistema Autónomo se accede a un listado de prefijos anunciados del sistema autónomo elegido y su validez RPKI.

Buscar por AS