Bem-vindos ao Monitoramento FORT

O Monitoramento FORT é uma ferramenta que apresenta, de maneira simplificada, dados sobre o estado da segurança de roteamento na América Latina e o Caribe e seu impacto sobre os usuários finais da Internet. A ferramenta foi projetada para fornecer informações ao trabalho de técnicos, tomadores de decisões e ativistas da região, entre outros.

Aqui você poderá ver alguns dos resultados mais relevantes e explorar os dados para conhecê-los com mais detalhes.

O site está em desenvolvimento. À medida que a coleta de dados do sistema avance, os relatórios irão ficar cada vez mais completos. A ferramenta abrange apenas os territórios dentro da área de serviço do LACNIC

Informações para começar

Se você não tiver conhecimentos técnicos prévios, recomendamos verificar as seguintes informações antes de explorar os dados do Monitoramento FORT.

É o sistema que permite a transmissão e roteamento de pacotes (informações) na Internet. Em cada transação ou comunicação na Internet que um usuário faz, as informações enviadas e recebidas são encaminhadas a destino através de informações de roteamento que indicam como chegar a cada grupo de endereços IP na Internet. Essas "informações de roteamento" são trocadas entre os roteadores usando um protocolo chamado BGP.

O sistema de roteamento global é um dos pilares nos quais a Internet atual se baseia. Uma falha nesse sistema afeta a possibilidade de interconexão entre usuários e organizações. Dependendo do escopo dessa falha, isso pode afetar apenas um conjunto de redes (escopo limitado) ou ter um impacto regional ou global.

O sistema de roteamento global é e será vulnerável a ataques, se não forem implementadas tecnologias para protegê-lo. Através do sequestro de rotas, os pacotes que circulam pela Internet podem ser interceptados e redirecionados para destinos falsos ou podem ser inspecionados para espionar seu conteúdo. A solução mais eficaz até o momento é a implementação do RPKI (Resource Public Key Infrastructure) que usa uma infraestrutura de chave pública para certificar quem é o detentor de um conjunto de endereços IP (IPv4 ou IPv6). Por sua vez, por meio de uns objetos chamados ROA (Route Origination Authorizations), assinados pelo mesmo sistema de certificação de chave pública, o detentor dos endereços IP poderá definir quais organizações (sistemas autônomos) estão autorizadas para publicar esses endereços IP na Internet. Dessa maneira, é possível validar as informações de roteamento e distinguir entre anúncios válidos e inválidos ou falsos.

Para compreender os dados apresentados no Monitoramento FORT, é importante conhecer três conceitos-chave.

Sistemas Autônomos. Um Sistema Autônomo é uma rede ou conjunto de redes que são administradas como uma unidade. A Internet é composta de vários Sistemas Autônomos unidos entre si. Cada um é identificado com um Número de Sistema Autônomo ou ASN.

BGP. BGP significa Border Gate Protocol em inglês. BGP é o protocolo pelo qual os sistemas autônomos se comunicam na Internet. Cada sistema autônomo anuncia aos outros o conjunto de redes IP (prefixos) aos que pode fornecer conectividade. Por sua vez, aprende dos outros sistemas autônomos o conjunto de prefixos que pode alcançar. O protocolo BGP é responsável por trocar essas informações entre sistemas autônomos e essas são as informações que os roteadores usarão na Internet para enviar o tráfego de um site para outro.

RPKI. RPKI significa Resource Public Key Infrastructure em inglês. É uma infraestrutura de chave pública aplicada aos recursos da Internet (IPv4, IPv6, ASN). O RPKI serve como uma ferramenta para os operadores da Internet verificarem que as informações de rotas que recebem e propagam vêm de uma fonte confiável e autorizada. Isso é feito através de um processo de validação, em que o operador usa o material criptográfico correspondente para validar que quem solicita o roteamento tenha efetivamente o direito de executar essa ação (realizar esse anúncio). O RPKI é uma solução que ainda está no processo de implementação, isto é, que ainda não é de uso universal.

O Monitoramento FORT pega as trocas entre sistemas autônomos (mensagens BGP) coletadas em toda a rede e as classifica de acordo com o status de validade RPKI. Para fazer isso, ele se conecta regularmente com dois validadores RPKI (Validador FORT e Routinator) a partir dos que extrai o resultado do algoritmo de validação.

A seguir, você encontrará informações úteis sobre as fontes de dados do Monitoramento FORT e como as estatísticas são calculadas.

As informações trocadas entre os sistemas autônomos são analisadas pela ferramenta e acumuladas diariamente. Os anúncios observados são agrupados por Prefixo/AS de origem diferentes e isso forma a unidade básica para os cálculos de Monitoramento FORT. Quer dizer, se um desses pares Prefixo/AS de origem foi observado no período em estudo, ele é contado como um, independentemente do número de vezes que foi visto ou do número de dias em que apareceu. Por exemplo, na análise de implementação do RPKI, são levados em conta os diferentes Prefixo/AS de origem e sua respectiva validade RPKI em um período de tempo. No caso do gráfico de evolução, as informações são agrupadas por dia, enquanto no gráfico de porcentagens, as informações são agrupadas por mês. É importante observar que, por esse motivo, a percentagem de implementação mensal pode não corresponder à média das porcentagens diárias na evolução.

Anúncios BGP. Para obter as informações dos prefixos anunciados na Internet, usamos como fonte as mensagens de atualização de todos os coletores disponíveis em BGPStream .

Países. Para relacionar prefixos a países dentro da área de cobertura do LACNIC, usamos as informações disponíveis no delegated extended do LACNIC. Para os países fora da região usamos as informações disponíveis no GeoLite2 que estão integradas em Elasticsearch.

Validação RPKI. Para saber quais anúncios são válidos pelo RPKI obtemos a validação de dois validadores RPKI, o Validador FORT e Routinator . Através de RTRLib integramos as informações de validação e as incorporamos ao nosso sistema.

Validação IRR. Para validar as informações do Registro de Rotas da Internet usamos os dados disponíveis dos bancos de dados de RADB e RIPE.

Sistemas Autônomos. Para incorporar mais informações sobre os AS mostrados no sistema integramos os dados de cada AS obtidos de ASRank . Os nomes dos AS mostrados nas listagens são obtidos dessa fonte.

Infraestrutura crítica. Para determinar quais prefixos incluem servidores raiz que fazem parte da infraestrutura crítica da região, usamos as informações disponíveis em Internic .

Implementação do RPKI

O RPKI é uma tecnologia que permite proteger o sistema de roteamento de ataques. O RPKI está no processo de implementação, isto é, que ainda não é de uso universal. Esse gráfico nos permite medir, no último mês, qual porcentagem de prefixos IPv4 e IPv6 da Internet na LAC é protegida pelo RPKI. Para que o sistema de roteamento seja totalmente protegido, é necessário avançar o mais rápido possível para atingir 100% de cobertura. Observe-se que as organizações/países que possuem uma porcentagem menor de cobertura estão mais expostas a ataques como sequestro de rotas ou hijacks.

O grau de cobertura pelo RPKI é calculado como a proporção dos prefixos cobertos pelos ROA em relação aos prefixos roteados. Dizemos que um prefixo é coberto por ROA se for possível determinar a validade dos anúncios que o contenham por meio do RPKI. Quanto maior a cobertura, maior o nível de proteção nas rotas anunciadas pela região.

Confira as informações discriminadas por país clicando no link.

Ver no Mapa Ver evolução

Resultados da Validação RPKI na região

Ao usar o RPKI, os operadores da região podem verificar se um sistema autônomo está autorizado para anunciar uma determinada faixa de prefixos. Isso garante que o tráfego de informações na Internet chegue ao destino correto e o faça com segurança.

Como a implementação do RPKI ainda não é universal, os resultados da validação podem variar. Os prefixos que aparecem como "válidos" são protegidos pelo RPKI e sabemos com certeza que são confiáveis. Os chamados “not found” são anúncios de prefixos que ainda não estão protegidos pelo RPKI. Os “inválidos” são anúncios errados ou maliciosos.

Este gráfico mostra o status dos prefixos de origem na LAC ao fazer a validação RPKI. À medida que a implementação do RPKI progride, o número de prefixos não protegidos (not found) será reduzido, e a precisão com a que os prefixos inválidos são identificados será aumentada.

Também é possível filtrar esses dados por país e ver sua evolução ao longo do tempo.

Ver no Mapa Ver evolução

Possíveis sequestros de rota

Um sequestro de rota ou hijack é uma tentativa de redirecionar o tráfego da Internet para destinos falsos. Este gráfico estima, para o total de anúncios na região, qual porcentagem pode ser considerada como possível sequestro de rota (RPKI-Invalid Origin, RPKI-Invalid Length), que anúncios têm anomalias e, portanto, são suspeitos (IRR-Invalid), que porcentagens são anúncios de prefixos cuja fonte não pode ser verificada e, portanto, não estão protegidos (RPKI/IRR - not found) e que porcentagem dos prefixos é proveniente de uma fonte confiável/autorizada (RPKI-valid e IRR-Valid).

Em “Ampliar Informações” podemos ver como as vítimas e os responsáveis por possíveis sequestros são distribuídos na região, bem como o detalhe de anúncios anômalos e possíveis hijacks.

Para estimar os sequestros de rota, os dados da validação RPKI são tomados como base. Se um anúncio for identificado como inválido, será considerado como um possível sequestro de rota. Isso pode acontecer por dois motivos: o sistema autônomo de origem não está autorizado a fazer um anúncio de rota, ou o prefixo anunciado é específico demais (excede-se o comprimento máximo). Mas, que acontece com os anúncios não cobertos pelo RPKI? Para esses casos usamos fontes dos Registros de Rotas da Internet ( IRR ) para validar se os anúncios encontrados estão registrados ou não. Se no IRR houver um registro que se corresponda com o anúncio (mesmo ASN de origem e mesmo comprimento de prefixo), será rotulado como IRR-valid. Se houver registros, mas contradizerem essas informações, serão considerados como IRR-invalid. No caso de o prefixo não estar registrado em um IRR, é considerado como IRR-not found. Esses casos não são considerados possíveis sequestros de rotas, mas sim são informados como anomalias.

A unidade considerada para fazer os cálculos é o par Prefixo/AS de origem.

Ampliar Informações

Proteção de Infraestrutura Crítica

Proteção de Infraestrutura Crítica

ampliar informações

Nos últimos 3 meses ocorreram

59

sequestros sobre a infraestrutura crítica

Relatório mensal

No final de cada mês, preparamos um resumo com os dados mais relevantes do mês. É possível se inscrever para receber o relatório mensal em seu e-mail.

Ampliar informações

Relatórios técnicos

Para usuários com perfil técnico, temos alguns relatórios para conhecer mais em detalhe as informações apresentadas.

Ver detalhe

Por prefixo

Na pesquisa por prefixo, é acessada uma lista de sistemas autônomos que anunciaram o prefixo marcado e seu status de validade.

Pesquisa por prefixo

Ver detalhe

Por Sistema Autônomo

Na pesquisa por Sistema Autônomo, pode ser acessada uma lista de prefixos anunciados do sistema autônomo escolhido e sua validade RPKI.

Pesquisar por AS