Electrónica, telecomunicaciones e informática

Compartir

Proyecto FRIDA “Seguridad BGP en la infraestructura de RENATA”

El proyecto consiste en la implementación de validación de origen en las rutas de BGP en el backbone de RENATA que da servicio de interconexión al Sistema Nacional de Ciencia, Tecnología e Innovación (SNCTI) en Colombia y con el mundo. El enfoque será en los grandes puntos de intercambio en el nodo de Bogotá que facilita la conectividad con la RedCLARA, y en Barranquilla donde se provee conectividad a internet. Inicialmente se incluiría la participación de aproximadamente 50% de las instituciones conectadas a RENATA. Estoy interesado (a) en recibir más información acerca del Proyecto

Desde el punto de vista técnico, la implementación de la infraestructura de clave pública para recursos de internet (RPKI) se extenderá a todas las entidades participantes usando el modelo hosteado por LACNIC para la creación de aseveraciones criptográficas (llamadas ROA). El proyecto cubrirá tanto direcciones IPv4 como IPv6.

El proyecto fue seleccionado entre los 551 proyectos de 23 países de América Latina y el Caribe que participaron en las categorías Premios FRIDA, Subvenciones FRIDA y Escalamientos FRIDA.

Los Premios FRIDA buscan reconocer iniciativas y prácticas innovadoras en América Latina y el Caribe que desde el ámbito de las TIC hayan hecho una contribución concreta y con demostrado impacto al desarrollo social y económico de la región.

Objetivo

Sensibilizar y entrenar a los directores de TI en la implementación del Border Gateway Protocol (BGP) en las instituciones conectadas a RENATA.

¿Por qué es importante?

La problemática del secuestro de rutas en Internet es un tema que se ha estado tratando en círculos operativos y de investigación por varios años. La solución propuesta para al menos validar el origen de las rutas ha tenido todavía poca aceptación a nivel mundial mientras que en la región latinoamericana observamos implementaciones aceptables. A pesar de que la región es líder en creación de certificados para la validación de rutas, no son usados en despliegues que afecten directamente el su procesamiento, con un par de excepciones importantes, ambos en puntos de intercambio: NAP.ec y NAP.cr.

El proyecto propuesto es el primero en el mundo en considerar la implementación de validación de origen a nivel de una red con cobertura nacional (no en un solo punto, como en el caso del despliegue en puntos de intercambio). El alcance entonces es más amplio en todos los sentidos: geográficamente, en cuanto a enrutadores y otros sistemas utilizados, el número de rutas, el número de instituciones, el número de material criptográfico que debe ser generado, etc.

Esta escala conlleva complejidad a nivel operativo y logístico como nunca se ha visto en un proyecto de este tipo. RENATA se convierte en pionera mundial en seguridad del sistema de enrutamiento.

Componente tecnológico

La tecnología que se usará está centrada en extensiones a BGP para la validación de origen de rutas. El sistema consiste de varias partes, una infraestructura de clave pública para recursos de Internet (RPKI), utilidad de sincronización global (rsync) y protocolos locales para la validación local en nodos de enrutamiento en la red.

La necesidad entonces es de propagar información que pueda ser verificada independientemente de los paquetes de BGP. Está información consiste en aseveraciones criptográficas (ROAs) sobre el sistema autónomo autorizado a originar rutas de bloques específicos de IPv4/IPv6. El RPKI propaga los ROAs globalmente de manera que cualquier sistema autónomo puede verificar que el origen de una ruta de BGP está autorizado por las autoridades encargadas del manejo y asignación de direcciones; en América Latina esa entidad es LACNIC.

Una vez recibida la información criptográfica se procede a la determinación de los pares de número de sistema; El sistema que va a ser usado consiste entonces de información global criptográficamente verificada por grupos regionales que permiten la validación distribuida. En nuestro caso la aplicación será local en Colombia y se trabajará con Redes Académicas Regionales.

Ventajas

En el camino hacia la universidad del futuro, RENATA embarca en este proyecto, único a nivel mundial para aumentar el liderazgo de la región en materia de seguridad de BGP. Mediante la implementación de ésta tecnología que se realiza por primera vez a una red académica, RENATA busca dar un importante paso hacia el aseguramiento de la infraestructura crítica de internet y las redes académicas, además de tener la posibilidad de intercambiar el tráfico local de la Red sin necesidad de invertir en costosos enlaces internacionales y nutrir a la comunidad académica e investigativa del país de resultados y experiencias de valor en la adopción de nuevas prácticas.

El proyecto que será de referente para muchos países, se presentará en diferentes medios de LACNIC y FRIDA como también en la reunión The Internet Engineering Task Force (IETF®) que tendrá lugar en el mes de noviembre de 2017 en Singapur.

Actividades establecidas

1. Comunicación y difusión del proyecto.

2. Sensibilización, entrenamiento y firma de recursos.

3. Habilitación de red y configuración.

4. Pruebas, corrección de configuraciones y validación de redes inválidas.

Actividades realizadas

1. Comunicación y difusión del proyecto

El proyecto se publicó en www.renata.edu.co y en www.lacnic.net con el fin de informar a la comunidad académica la existencia del proyecto.

2. Sensibilización, entrenamiento y firma de recursos

Con el fin de sensibilizar y entrenar a los directores de TI en la implementación del “Seguridad Border Gateway Protocol (BGP) en las instituciones conectadas a RENATA se realizaron seminaries virtuales y presenciales:

Primer Seminario Teórico RPKI: 11 de octubre, desde las 9:00 a.m. hasta las 11:00 a.m. Tallerista: Álvaro Retana, ingeniero del grupo de servicios de Cisco. Participantes: 54.

Primer Seminario Práctico RPKI: 13 de octubre a partir de las 11:00 a.m. con slots de tiempo personalizado de 15 minutos. Tallerista: Gerardo Rada, ingerniero de software y desarrollo de LACNIC. Participantes: 10

Segundo Seminario Teórico RPKI: 26 de octubre, desde las 9:00 a.m. hasta las 11:00 a.m. Tallerista: Álvaro Retana, ingeniero del grupo de servicios de Cisco. Participantes: 129

Segundo Seminario Práctico RPKI: 27 y 28 de octubre desde las 9:00 a.m. hasta las 11:00 a.m. con slots de tiempo personalizado de 15 minutos. Tallerista: Gerardo Rada, ingerniero de software y desarrollo de LACNIC. Participantes: 41

Firma de los Recursos Públicos

Luego de participar en los seminarios, los participantes firmarán los recursos públicos, que consiste en los números de sistema autónomos y direccionamiento tanto IPv6 como IPv4, dirigida a las instituciones que anuncian su propio direccionamiento por RENATA, esto con el fin de emitir material criptográfico que permita demostrar digitalmente que la institución posee el derecho de uso de dicho pool de direcciones.

Equipo de trabajo

El proyecto será liderado por el ingeniero Carlos Ramirez Gerente técnico de RENATA y por la ingeniera Erika Vega Coordinadora de Infraestructura y servicios de RENATA y por los ingenieros:

Álvaro Retana

Es ingeniero del grupo de servicios de Cisco donde trabaja en la habilitación estratégica de clientes. Reconocido por su experiencia en protocolos de enrutamiento y diseño y arquitectura de redes; ha sido certificado como CCIE (Cisco Certified Internetworking Expert), CCDE (Cisco Certified Design Expert) y CCAr (Cisco Certified Architect). Ha participado activamente en el IETF donde es el director del área de enrutamiento, y es autor de varios RFCs. También preside el 'IETF_LAC Task Force' de LACNOG con el objetivo de aumentar la participación de personas de la región en el IETF. Ha publicado cuatro libros técnicos y la Oficina de Marcas y Patentes de EE.UU., le ha otorgado más de 45 patentes.

Gerardo Rada

Es ingeniero de sistemas, egresado en 2006 de la Universidad Nacional Experimental de la Fuerza Armada de Venezuela UNEFA, con 8 años de experiencia en el desarrollo de sistemas. Se desempeña actualmente como ingeniero de software y desarrollo de LACNIC, teniendo como principal responsabilidad la gestión y el desarrollo del sistema de certificación de recursos RPKI de esta institución. En 2007 es seleccionado en el Centro Nacional de Innovación Tecnológica (CENIT) como parte del equipo de desarrollo binacional Uruguay-Venezuala en el marco del proyecto generado Ruby para Genexus. En 2008 integra el grupo técnico del proyecto prospección tecnológica del CENIT que deriva en la publicación del Estudio Prospectivo sobre las TIC y las Industrias de Contenidos Digitales en Venezuela.

Contacto

Erika Vega

Télefono: (1) 5301604 Ext. 1028

Móvil: 3167467713

Correo electrónico: erika.vega@renata.edu.co