[25/04/2018] Esparcir una información de ruteo errónea a los vecinos en Internet no solo son malos modales, podría ser malo para el negocio.
Ese, al menos, es el mensaje de que la Internet Society (ISOC) quiere difundir, pidiendo a los puntos de intercambio de Internet (IXP, por sus siglas en inglés) que ayuden a eliminar las amenazas más comunes para el sistema de enrutamiento de Internet.
Si lo hacen, entonces son buenas noticias para sus miembros, los ISP que se interconectan allí, y para los clientes de esos ISP, que se beneficiarán de un acceso a Internet más seguro y robusto.
En el 2016, ISOC invitó a los operadores de red a unirse a su Iniciativa MANRS (Mutually Agreed Norms for Routing Security), y más de 50 ya lo han hecho.
Ahora está pidiendo a los IXP que también se registren, en un intento de reducir las aproximadamente 14 mil caídas de ruteo o incidencias de secuestro, filtraciones, spoofing y grandes ataques de denegación de servicio (DoS, por sus siglas en inglés) que ocasionaron robos de datos, pérdidas de ingresos y daños a la reputación a los negocios conectados a Internet el año pasado.
Tres cosas contribuyen con la inseguridad en el ruteo que MANRS busca evitar, afirmó Andrei Robachevsky, technology program manager de ISOC. Son el secuestro del prefijo o ruta, filtración de la ruta y spoofing de la dirección IP. El último de ellos es el que hace posible muchos ataques de DDoS de amplificación o reflexión.
Los IXP son un eslabón clave de la cadena, porque los servidores de ruteo que ellos operan puedan propagar los errores de ruteo entre los ISP en una región, afectando rápidamente a muchos usuarios de Internet, tanto consumidores como empresas.
El filtrado de los anuncios de los clientes se está haciendo cada vez más común en los IXP, pero las relaciones entre pares en su mayoría no son filtradas.
"Esto es principalmente un problema de escalabilidad”, afirmó Robachevsky. "Al mismo tiempo, los errores al anunciar prefijos incorrectos a un par son amplificados por el número de pares que los aceptan directamente, especialmente si se usa un Route Server y puede causar caídas significativas”.
Si un IXP implementa el filtrado, se ahorra las caídas en el ruteo para el IXP y sus miembros, convirtiendo a los Route Servers de herramientas de escalabilidad a amplificadores de seguridad, afirmó.
Para participar en el programa MANRS IXP, un IXP debe comprometerse a facilitar la prevención de la propagación de información incorrecta de ruteo, promover las MANRS entre sus miembros, e implementar una de las siguientes tres acciones: Proteger la plataforma de pares, facilitar la comunicación operativa global entre los operadores de red, o proporcionar herramientas de monitoreo y depuración a sus miembros.
El programa se está abriendo con 10 participantes: DE-CIX, en Fráncfort, Alemania; MSK-IX, en Rusia; Netnod, en Suecia; TorIX (Toronto Internet Exchange Community); CABASE, en Argentina; INEX (Internet Neutral Exchange Association, en Dublín); CRIX, en Costa Rica; RINEX (Rwanda Internet Exchange); YYCIX, en Calgary, Canadá; y Asteroid International, que opera un IXP en Ámsterdam.
PeeringDB.com reconoce que hay alrededor de 614 IXP en todo el mundo, por lo que las MANRS aún tienen camino por recorrer para cubrirlos a todos -pero con DE-CIX, MSK-IX y Netnod, ya ha registrado a algunos de los más grandes del mundo.
El lanzamiento del programa IXP es una mejora bienvenida para la Iniciativa MANRS. ISOC ha tenido que revisar sus ambiciones a la baja con respecto al soporte por parte de los operadores de red, y ahora espera registrar a 100 operadores para finales del 2018. El otoño [septentrional] pasado, apuntaba a 150 para esa fecha.
La motivación para los operadores es diferente a la de los IXP: La seguridad de su red depende de las acciones de los demás, por lo que, si implementan las medidas de MANRS, están contribuyendo a la seguridad de los demás, pero no se benefician directamente.
Peter Sayer, IDG News Service