Manifesto para Ruteo Seguro en Internet: Caso de un Operador de Red de México Juan Antonio Herrera Carmen Denis

LACNIC 31 Mayo 2018

Estado de Recursos de Internet Universidades de México

•  EstadoactualdelasTecnologíasdelaInformaciónyComunicacionesenlasInstitucionesdeEducaciónSuperiorenMéxicoEstudio2018

http://publicaciones.anuies.mx/libros/240/estado-actual-de-las-tecnologias-de-la-informacion-y-comunicaciones

Desarrollo de Internet en la UADY Iniciativa Mayo2017 Septiembre2018RecursosdeInternet

ASN:22122IPv4*:148.209.0.0/16

IPv6✅2801:c4:19::/48

MiembroLACNIC 🚫 ✅ProbeRIPEAtlas 🚫 ✅MANRS 🚫 ✅IXPYucatán 🚫 ⏳

Colaboración y participación en comunidades y proyectos

Mutually Agreed Norms for Routing Security Organización:UniversidadAutónomadeYucatánPaís:México

RIR:LACNIC

RecursosdeInternet

ASN22122,148.209.0.0/16,2801:c4:19::/48

Proceso•  Ejecucióndeautoevaluación•  Implementacióndelasmedidasqueseannecesarias(filtrosBGP,Whois,IRR,RPKI,etc.)paraelenrutamientoseguro.

https://www.manrs.org/bcop/https://www.manrs.org/tutorials

MANRS Actions https://www.manrs.org/join/ 1.FilteringPreventpropagationofincorrectroutinginformation

2.Anti-spoofingPreventtrafficwithspoofedsourceIPaddresses

3.CoordinationFacilitateglobaloperationalcommunicationandcoordinationbetweennetworkoperators

4.GlobalValidationFacilitatevalidationofroutinginformationonaglobalscale

1. Filtering • CheckthattheASNdoesnotannouncebogons

•  UseCIDRReporthttps://www.cidr-report.org/as2.0/

• CheckthattheASNwasnotimplicatedinrecentincidentshttps://bgpstream.com/

2. Anti-spoofing •  CheckthatASNdoesnotshowupinCAIDAspooferdatabasehttps://spoofer.caida.org/provider.php?asn=[ASN]

•  AplicacióndebuenasprácticasenconfiguraciónderuteoUADY(desdeiniciosde2000).

•  BCP38(RFC2827)

SetuvocontactodeMANRS,serequiriópruebacomplementaria:>RunSpoofertestfromtwoofyourinfrastructurenetworksegments(notbehindaNAT)(http://spoofer.caida.org/)andsharetheresults.

3. Coordination

Checkthatcontactsareinthewhois• whois-hwhois.lacnic.netprefix• https://rdap-web.lacnic.net/autnum/22122

4. Global Validation • CheckthatroutinginformationisregisteredinanIRRorhasROA

• http://localcert.ripe.net:8088/bgp-preview

• https://milacnic.lacnic.net/lacnic/rpki/state

• http://tools.labs.lacnic.net/announcement/set

RPKI and ROAs

http://www.lacnic.net/980/1/lacnic/certificacion-de-recursos-rpki

RPKI and ROAs

• http://tools.labs.lacnic.net/announcement/set

• http://localcert.ripe.net:8088/bgp-preview

Hallazgos: retroalimentación contacto MANRS >IdrawyourattentionthatoneoftheROAsinvalidatestheannouncementfor148.209.231.0/24(http://localcert.ripe.net:8088/bgp-preview).

Hallazgos: retroalimentación contacto MANRS PrefijosregistradosenunIRRhttps://stat.ripe.net/widget/as-routing-consistency#w.resource=22122)

https://stat.ripe.net/widget/whois#w.resource=148.209.123.0%2F24

IRR – Internet Routing Registry

https://www.manrs.org/participants/

https://www.manrs.org/isps/participants/entry/483/

NormasMutuamenteAcordadasparaelEnrutamientoSeguroenInternet:

OperadoresdeReddeUniversidades

MANRS: Operadores de Red de Universidades ConelapoyodelaAsociaciónNacionaldeUniversidadeseInstitucionesdeEducaciónSuperior(ANUIES)yencoordinaciónconsusaliadosymiembrosNICMéxico,RedClara,CUDI,LACNIC,LACNOG,seestallevandountaller“NormasMutuamenteAcordadasparaelEnrutamientoSeguroenInternet:MANRS”.Eltallerconstade5sesionesvirtuales:

Sesión1:Jueves25deabril–IntroducciónaMANRSSesión2:Jueves23demayo–MANRS:Acción1–FiltradoSesión3:Jueves13dejunio–MANRS:Acción2–Anti-SpoofingSesión4:Jueves11dejulio–MANRS:Acción3–CoordinaciónSesión5:Jueves22deagosto–MANRS:Acción4–ValidaciónGlobal

Laconclusiónseráconunasesiónpresencialenelmarcodeloseventos:EncuentroTICAL2019,2–4deseptiembrede2019enCancún,México.EncuentroANUIES-TIC2019,2deoctubrede2019enlaUANL,NuevoLeón,México.

Estado de Recursos de Internet Universidades de México

EstadoactualdelasTecnologíasdelaInformaciónyComunicacionesenlasInstitucionesdeEducaciónSuperiorenMéxicoEstudio2018.

http://publicaciones.anuies.mx/libros/240/estado-actual-de-las-tecnologias-de-la-informacion-y-comunicaciones

Análisis de Indicadores: Encuesta ANUIES-TIC 2018 ¿Quémecanismosutilizaparaprotegerlainfraestructuraylossistemasdeinformación?•  Pruebasdepenetración(Pentest)•  Sistemasparacorrelacióndeeventos

•  Filtradodecontenidoweb• MobileDeviceManagement/MAM•  DLP•  UTM•  Autenticaciónconmecanismosbiométricos

•  Cifradodearchivos•  Controldeacceso(passwords)•  Buenasprácticasparadesarrollodesoftware

•  Httpsparasitiosweb•  Firmaelectrónica/pki•  Seguridadperimetral(fw,ngfw,ips,ids)

•  Análisisdevulnerabilidades•  GatewayAnti-spam•  SoftwareAntimalware•  Otros

24http://estudio-tic.anuies.mx/Estudio_ANUIES_TIC_2018.pdf

Indicadores: Mecanismos para proteger la infraestructura y los sistemas de información

http://estudio-tic.anuies.mx/Estudio_ANUIES_TIC_2018.pdf

Reactivos para la encuesta ANUIES-TIC 2019: Seguridad en el Ruteo

SuUniversidadaplicaalgunodelossiguientesmecanismosparalaseguridadenelruteoBGP?

•  FiltradoBGP:Prefix-list,AS-PATH•  PrefijosdefinidosenelRFC1918•  Anti-spoofingBCP38(RFC2827)•  Buenasprácticasparalaconfiguracióndelplanodecontroldelruteadorperimetral-RFC6192

•  Informacióndecontactoactualizadaanivelmundialenbasesdedatosdeenrutamientocomunes:Whois

•  RecursosdeInternetCertificado:RPKI(ResourcePublicKeyInfraestructure)

•  ROAs(RouteOriginationAuthorizations)•  RegistroenunIRR(InternetRoutingRegistry

Indique qué tipo de incidentes de enrutamiento se han presentado en los últimos 12 meses:

•  Route Hijacking (secuestro de rutas •  Route Leak (fuga de rutas) •  IP Address Spoofing (Falsificación de

direccionamiento ip)

Incluisión en la pregunta 5.9 "Indique cuáles son las necesidades de sus administradores en cuanto a TI y seguridad":

•  Seguridad de Ruteadores •  Configuración BGP/RPKI

Enfrentemos en conjunto …

•  Losoperadoresderedtienenlaresponsabilidaddegarantizarunainfraestructuradeenrutamientosegurayrobustaanivelmundial.

•  Laseguridaddelareddependedeunainfraestructuradeenrutamientoqueeliminealosmalosactores:configuracioneserróneasyaccidentalesquepuedancausarestragosenInternet.

•  Cuantosmásoperadoresderedtrabajenjuntos,menosincidenteshabráymenosdañopodránhacer.

• MostrarliderazgotécnicoydiferenciarsedelosISPscomerciales.• PromoverelcumplimientodeMANRSaclientesyproveedorescentradosenlaseguridad.

• Paraayudararesolverlosproblemasdelaredglobal.LasRedesNacionalesdeEducacióneInvestigación(RNEI)sonamenudolosprimerosenadoptarnuevosdesarrollos.

•  Liderarconelejemploymejorarlaseguridaddeenrutamientoparatodos.

¿Porqué MANRS? Redes de Educación e Investigación

Gracias