RPKI y ROA: Asegurando sus Rutas IPv4
Todo lo que necesita saber sobre la Infraestructura de Clave Pública de Recursos (RPKI) y la Autorización de Origen de Ruta (ROA) — desde conceptos hasta implementación práctica.
¿Qué es RPKI?
La Infraestructura de Clave Pública de Recursos (RPKI) es un marco criptográfico diseñado para asegurar la infraestructura de enrutamiento de Internet. Proporciona una forma de verificar que el titular de un bloque de direcciones IP ha autorizado a un Sistema Autónomo (AS) específico a originar rutas para ese prefijo.
Sin RPKI, BGP — el protocolo que enruta el tráfico a través de Internet — opera en gran medida basado en la confianza. Cualquier AS puede anunciar cualquier prefijo IP, redirigiendo potencialmente el tráfico a través de redes no autorizadas. RPKI añade una capa de verificación criptográfica para prevenir tales secuestros.
RPKI fue desarrollado por la IETF y es gestionado por los cinco Registros Regionales de Internet (RIR): RIPE NCC, ARIN, APNIC, LACNIC y AFRINIC. Cada RIR opera como una Autoridad de Certificación (CA) dentro del marco RPKI.
¿Qué es ROA?
Una Autorización de Origen de Ruta (ROA) es un objeto firmado digitalmente dentro del marco RPKI. Especifica qué número AS está autorizado a anunciar un prefijo IP particular y la longitud máxima del prefijo que se puede anunciar.
Por ejemplo, un ROA podría establecer: "AS64500 está autorizado a anunciar 192.0.2.0/24 con una longitud máxima de /24." Esto significa que solo AS64500 puede originar legítimamente este prefijo, y no puede anunciarse como prefijos más específicos como /25.
Los ROAs son creados por el titular de la dirección IP a través del portal de su RIR y se almacenan en el repositorio RPKI del RIR. Los operadores de red luego utilizan validadores RPKI para verificar los anuncios BGP entrantes contra los ROAs publicados.
Cómo Funciona RPKI
RPKI opera a través de una cadena de confianza anclada en los RIR. Cuando recibe una asignación o transferencia de direcciones IP, el RIR emite un certificado de recursos que vincula su organización con esos recursos IP. Luego puede crear objetos ROA bajo este certificado.
Los operadores de red ejecutan validadores RPKI (como Routinator, FORT o rpki-client) que descargan y verifican todos los ROAs de los repositorios de los RIR. Estos validadores alimentan los resultados de validación a los routers mediante el protocolo RPKI-to-Router (RTR).
Cuando llega un anuncio de ruta BGP, el router lo verifica contra los datos de validación RPKI. Las rutas se clasifican como Valid (coincide con un ROA), Invalid (conflicto con un ROA) o NotFound (no existe ROA). Los operadores pueden entonces configurar políticas — comúnmente aceptando rutas Valid, rechazando Invalid y permitiendo rutas NotFound.
Valid
El anuncio BGP coincide con un ROA publicado — AS y longitud de prefijo correctos. La ruta se acepta.
Invalid
El anuncio entra en conflicto con un ROA — AS incorrecto o excede la longitud máxima del prefijo. La ruta debe ser rechazada.
NotFound
No existe ROA para este prefijo. La ruta se acepta por defecto pero carece de verificación criptográfica.
Unknown
El validador no puede determinar el estado, típicamente debido a problemas de conectividad con los repositorios RPKI.
Creación de Registros ROA
Crear registros ROA es sencillo y se puede hacer a través del portal de miembros de su RIR. El proceso varía ligeramente entre los RIR pero sigue los mismos pasos generales.
Para RIPE NCC, inicie sesión en el Portal LIR, navegue a la sección "RPKI", seleccione el prefijo que desea proteger, especifique el número AS autorizado y la longitud máxima del prefijo, y publique el ROA. RIPE también ofrece una función "RPKI con un clic" que crea automáticamente ROAs basados en objetos de ruta existentes.
Para ARIN, use el portal ARIN Online para acceder a la sección RPKI. Puede crear ROAs para sus recursos y gestionar sus certificados RPKI. ARIN ofrece opciones de RPKI tanto alojado como delegado.
Para APNIC, el portal MyAPNIC incluye herramientas de gestión RPKI. Puede crear ROAs para sus recursos IP y monitorear su estado a través del panel de control.
RIPE NCC
Portal LIR → RPKI → Crear ROA. Soporta creación de ROA con un clic desde objetos de ruta existentes. Publicación instantánea.
ARIN
ARIN Online → RPKI → Crear ROA. Ofrece RPKI tanto alojado como delegado. Publicación en minutos.
APNIC
MyAPNIC → RPKI → Crear ROA. Panel de control integrado para monitorear el estado y la cobertura de ROA.
LACNIC / AFRINIC
Creación de ROA similar basada en portal. Consulte la documentación del RIR respectivo para pasos y características específicas.
Validación RPKI
La validación RPKI es realizada por software dedicado llamado validadores. Estas herramientas descargan el conjunto completo de datos RPKI de los cinco repositorios RIR, verifican las firmas criptográficas y construyen una caché validada de Autorizaciones de Origen de Ruta.
Los validadores de código abierto populares incluyen Routinator (de NLnet Labs), FORT Validator, rpki-client (de OpenBSD) y OctoRPKI (de Cloudflare). Estos validadores sirven datos validados a los routers mediante el protocolo RTR.
Los principales operadores de red y proveedores de nube — incluyendo Cloudflare, Google, Amazon AWS y Microsoft Azure — han desplegado la validación RPKI y rechazan rutas Invalid. A medida que la adopción crece, tener registros ROA adecuados se vuelve cada vez más importante para asegurar que sus prefijos sean alcanzables globalmente.
Por Qué RPKI Importa en las Transferencias IPv4
Cuando compra o arrienda direcciones IPv4, configurar RPKI y registros ROA es una de las primeras cosas que debe hacer. Sin registros ROA, sus prefijos recién adquiridos carecen de validación criptográfica de origen, haciéndolos más susceptibles al secuestro accidental o intencional.
Además, a medida que más redes adoptan el filtrado de rutas basado en RPKI, los prefijos sin registros ROA válidos pueden experimentar una accesibilidad reducida. Algunas redes ya prefieren o requieren rutas RPKI-válidas, y esta tendencia se está acelerando.
En IPv4Center.com, asistimos a nuestros clientes con la configuración de RPKI después de cada transferencia IPv4. Ya sea que esté comprando o arrendando espacio IPv4, nuestro equipo le ayuda a crear los registros ROA apropiados y a verificar que sus prefijos estén debidamente protegidos.
Protección de Rutas
Los registros ROA previenen que partes no autorizadas secuestren sus prefijos IPv4 mediante BGP, protegiendo su tráfico y reputación.
Alcanzabilidad Global
A medida que la adopción de RPKI crece, los registros ROA válidos aseguran que sus prefijos permanezcan accesibles en todas las redes principales a nivel mundial.
Cumplimiento
Muchos clientes empresariales y redes gubernamentales requieren rutas RPKI-válidas. Los registros ROA ayudan a cumplir estos requisitos de conformidad.
Preparación para Transferencia
Después de una transferencia IPv4, crear registros ROA es esencial antes de anunciar el prefijo. IPv4Center.com ayuda con este proceso.
Preguntas Frecuentes
Preguntas comunes sobre RPKI y ROA para titulares de direcciones IPv4.
Sin registros ROA, su prefijo tiene un estado RPKI "NotFound". Aunque la mayoría de las redes aún aceptan rutas NotFound, su prefijo no está protegido contra el secuestro BGP. A medida que aumenta la adopción de RPKI, algunas redes pueden despriorizar o filtrar rutas NotFound.
Los registros ROA típicamente se propagan dentro de 15–30 minutos después de su creación. Los validadores RPKI actualizan sus cachés periódicamente (generalmente cada 10–20 minutos), por lo que la visibilidad global se logra rápidamente.
Esto depende del acuerdo de arrendamiento. En la mayoría de los casos, el titular de la IP (arrendador) crea el ROA en su nombre, autorizando su número AS. En IPv4Center.com, gestionamos la creación de ROA para todos los prefijos arrendados como parte de nuestro servicio.
RPKI asegura el enrutamiento BGP validando qué AS puede originar un prefijo IP. DNSSEC asegura DNS garantizando que las respuestas DNS no han sido manipuladas. Protegen diferentes capas de la infraestructura de Internet pero ambos utilizan firmas criptográficas.
RPKI con ROA previene el secuestro de origen (AS no autorizado anunciando su prefijo). Sin embargo, no previene ataques de manipulación de ruta. BGPsec, una extensión de RPKI, aborda la seguridad de ruta pero tiene un despliegue limitado.
RPKI no es obligatorio por ningún RIR, pero su adopción es fuertemente alentada. Grandes redes como Cloudflare, Google y AWS ya rechazan rutas RPKI-inválidas. La industria se mueve hacia un despliegue universal de RPKI para un Internet más seguro.