Il Ruolo del RPKI nella Sicurezza di Internet
RPKI rafforza il routing di Internet verificando l'autenticità dei dati.
― 7 leggere min
Indice
- Adozione e Stato Attuale di RPKI
- Sfide con RPKI
- BGP: La Spina Dorsale di Internet
- Sviluppo di RPKI
- Importanza Politica
- Raccomandazioni per il Miglioramento
- L'Importanza di RPKI
- Problemi Attuali nella Sicurezza di BGP
- Attacchi Comuni
- Il Viaggio Verso la Maturità di RPKI
- Comprendere i Livelli di Maturità
- La Necessità di Sforzi Continui
- Garantire Sicurezza e Stabilità
- Una Chiamata alla Collaborazione
- Il Futuro di RPKI
- Conclusione
- Fonte originale
- Link di riferimento
L'Infrastruttura di Chiavi Pubbliche per le Risorse (RPKI) è un sistema creato per rendere il Routing su Internet più sicuro. In parole semplici, aggiunge un livello di Sicurezza al modo in cui i Dati viaggiano su Internet. RPKI aiuta a confermare che le parti coinvolte nell'invio e nella ricezione di dati siano davvero chi dicono di essere. Questo avviene usando una sorta di firma digitale, nello specifico un tipo chiamato Autorizzazioni d'Origine dei Percorsi (ROA).
Adozione e Stato Attuale di RPKI
Ad oggi, più della metà di tutte le risorse di Internet è protetta da RPKI. Questo significa che RPKI è già una parte importante di come funziona il traffico su Internet. Tuttavia, anche se RPKI sta diventando sempre più popolare, ci sono ancora molti problemi da risolvere. Il governo degli Stati Uniti ha notato la necessità di RPKI per mantenere sicuro Internet, ma ha anche evidenziato alcune sfide che ne ostacolano l'uso completo.
Sfide con RPKI
Nonostante l'uso crescente di RPKI, ci sono ancora problemi significativi da affrontare. La tecnologia non è forte come dovrebbe essere. I sistemi RPKI attuali mancano di resilienza, il che significa che non sono robusti contro vari tipi di attacchi. Ci sono anche molti bug software e incoerenze nel modo in cui RPKI è implementato. Questo porta a preoccupazioni su quanto RPKI sia davvero sicuro.
Un problema importante è che molte organizzazioni non hanno abbastanza esperienza nell'uso di RPKI in situazioni reali. La maggior parte delle implementazioni funziona ancora in "modalità di test", che è più sicura per Internet ma non offre una sicurezza completa. Quando RPKI fallisce o quando non riesce a recuperare le informazioni necessarie, i dati possono comunque essere accettati, il che può portare ad attacchi.
BGP: La Spina Dorsale di Internet
Per capire il ruolo di RPKI, è importante conoscere il BGP, o Protocollo di Gateway di Confine. BGP è il metodo principale usato per scambiare informazioni di routing su Internet. Tuttavia, BGP è intrinsecamente insicuro, il che ha portato a molti attacchi. RPKI è stato creato per aggiungere sicurezza a BGP permettendo ai router di verificare che i dati ricevuti siano legittimi.
Sviluppo di RPKI
RPKI è iniziato come un progetto sperimentale e si è lentamente spostato verso un uso pratico. Gli sforzi iniziali sono stati fatti principalmente da istituzioni accademiche e piccoli gruppi di ingegneri. Negli anni, ha cominciato a guadagnare terreno, soprattutto dopo che grandi aziende hanno iniziato ad adottare la tecnologia.
Negli ultimi anni, organizzazioni conosciute hanno anche iniziato a spingere per l'adozione di RPKI. Questo include iniziative che chiedono miglioramenti nella sicurezza del routing. Tuttavia, nonostante queste spinte, molti sistemi rimangono in fase sperimentale e non raggiungono il punto in cui possono utilizzare efficacemente le tecnologie RPKI in un ambiente reale.
Importanza Politica
Anche il panorama politico attorno a RPKI sta cambiando. Gli Stati Uniti sono stati uno dei primi paesi a riconoscere i rischi per la sicurezza associati al routing su Internet e a riconoscere che RPKI potrebbe svolgere un ruolo chiave nella sicurezza di BGP. Nel 2024, il governo degli Stati Uniti ha pubblicato una roadmap per promuovere l'uso di RPKI in tutte le reti.
Raccomandazioni per il Miglioramento
Perché RPKI diventi una tecnologia forte e ampiamente adottata, devono essere fatti alcuni passi:
Raccogliere Esperienza Reale: Le reti dovrebbero operare RPKI in modalità di validazione rigorosa per raccogliere esperienza reale. Questo aiuterà le organizzazioni a comprendere meglio la tecnologia e affrontare eventuali problemi che sorgono.
Affinare gli Standard: Gli standard RPKI dovrebbero essere chiariti per evitare requisiti contrastanti. Questo aiuterà sviluppatori e operatori a implementare RPKI in modo più efficace.
Sviluppare Strumenti: Sono necessari più strumenti automatici per gestire RPKI. Questo aiuterà sviluppatori software e operatori di rete a mantenere i loro sistemi aggiornati e sicuri.
Aggiornare le Linee Guida: Le linee guida esistenti dovrebbero essere aggiornate per riflettere le attuali minacce a RPKI. Questo richiederebbe di tenere in considerazione anche la possibilità di attacchi malevoli.
Concentrarsi sulla Gestione delle Patch: È cruciale che le organizzazioni mantengano aggiornato il loro software RPKI. Molti sistemi stanno ancora eseguendo versioni obsolete vulnerabili agli attacchi.
L'Importanza di RPKI
Nonostante le sfide, RPKI rappresenta un passo significativo verso la sicurezza del routing su Internet. Anche se nessuna tecnologia è perfetta, RPKI ha il potenziale per fare una grande differenza nella prevenzione degli attacchi di routing. La sua capacità di verificare la legittimità delle risorse di Internet significa che più organizzazioni possono fidarsi dei dati che ricevono e ridurre il rischio di attacchi.
Problemi Attuali nella Sicurezza di BGP
BGP non è progettato per essere un protocollo sicuro, e questo ha portato a molte vulnerabilità. Ad esempio, gli attaccanti possono dirottare gli annunci BGP, permettendo loro di reindirizzare il traffico e intercettare dati. RPKI mira a risolvere questo problema permettendo alle reti di convalidare l'origine degli annunci di routing.
Attacchi Comuni
Alcuni attacchi comuni a BGP includono:
Dirottamento dell'Origine: Gli attaccanti possono falsificare l'origine degli annunci BGP per reindirizzare il traffico.
Dirottamento del Percorso: Invece di fingere di possedere un prefisso, un attaccante può falsamente affermare di far parte del percorso verso l'origine legittima.
Fughe di Percorso: Le fughe di percorso si verificano quando le organizzazioni condividono traffico con altre reti in modi che vanno contro le pratiche commerciali consolidate.
Il Viaggio Verso la Maturità di RPKI
Il cammino verso la maturità di RPKI non è senza ostacoli. La roadmap della Casa Bianca ha identificato RPKI come una tecnologia critica, ma ha anche riconosciuto che la tecnologia ha ancora molta strada da fare. Le implementazioni attuali non sono completamente pronte per un uso diffuso, poiché molte presentano incoerenze e vulnerabilità.
Comprendere i Livelli di Maturità
Per valutare la prontezza di RPKI, possiamo usare i Livelli di Prontezza Tecnologica (TRL). Questa scala va dal concetto iniziale fino al dispiegamento su larga scala. RPKI è attualmente tra la fase di dimostrazione e l'uso pratico, indicando che ha ancora bisogno di miglioramenti prima di poter soddisfare le aspettative stabilite dai principali stakeholder.
La Necessità di Sforzi Continui
RPKI deve evolversi continuamente. Anche se sono stati fatti progressi significativi nello sviluppo della tecnologia, il viaggio è tutt'altro che finito. Le sfide che rimangono richiedono collaborazione tra governi, imprese e istituzioni di ricerca per garantire che RPKI diventi una parte affidabile dell'infrastruttura di Internet.
Garantire Sicurezza e Stabilità
Molte delle vulnerabilità esistenti oggi possono essere ricondotte alla complessità delle specifiche RPKI. Regole contrastanti e linee guida vaghe spesso portano a configurazioni errate che possono essere sfruttate dagli attaccanti. Per contrastare queste vulnerabilità, è fondamentale affinare gli standard e garantire che ci sia una documentazione adeguata disponibile per gli utenti.
Una Chiamata alla Collaborazione
L'evoluzione di RPKI dovrebbe coinvolgere la collaborazione tra stakeholder di vari settori. Unendosi, questi gruppi possono condividere conoscenze, risorse e strumenti, il che renderebbe RPKI più affidabile e facile da implementare. Questo lavoro di squadra è essenziale per superare le sfide che hanno ostacolato l'adozione diffusa di RPKI.
Il Futuro di RPKI
In sintesi, RPKI offre una strada promettente per garantire la sicurezza del routing su Internet. Tuttavia, la sua attuale implementazione non è priva di difetti. Superare queste sfide richiederà uno sforzo collettivo per affinare la tecnologia e garantire un corretto dispiegamento nelle reti.
Conclusione
RPKI è uno strumento vitale per migliorare la sicurezza del routing su Internet. Anche se non è ancora completamente maturo, rappresenta un progresso significativo nel ridurre le vulnerabilità in BGP. Affrontando le sfide che rimangono, possiamo fare di RPKI uno strumento standard per garantire il traffico su Internet. La spinta da parte del governo e dei leader del settore può aiutare a guidare questo cambiamento. Con lavoro di squadra e focus, RPKI può davvero diventare una parte affidabile della sicurezza di Internet.
Titolo: RPKI: Not Perfect But Good Enough
Estratto: The Resource Public Key Infrastructure (RPKI) protocol was standardized to add cryptographic security to Internet routing. With over 50% of Internet resources protected with RPKI today, the protocol already impacts significant parts of Internet traffic. In addition to its growing adoption, there is also increasing political interest in RPKI. The White House indicated in its Roadmap to Enhance Internet Routing Security, on 4 September 2024, that RPKI is a mature and readily available technology for securing inter-domain routing. The Roadmap attributes the main obstacles towards wide adoption of RPKI to a lack of understanding, lack of prioritization, and administrative barriers. This work presents the first comprehensive study of the maturity of RPKI as a viable production-grade technology. We find that current RPKI implementations still lack production-grade resilience and are plagued by software vulnerabilities, inconsistent specifications, and operational challenges, raising significant security concerns. The deployments lack experience with full-fledged strict RPKI-validation in production environments and operate in fail-open test mode. We provide recommendations to improve RPKI resilience and guide stakeholders in securing their deployments against emerging threats. The numerous issues we have discovered with the current RPKI specifications and implementations inevitably lead to the question: Is RPKI sufficiently stable to align with the expectations outlined in the White House roadmap? Certainly, it is not perfect, but is it good enough? The answer, as we will explore, varies depending on one's viewpoint.
Autori: Haya Schulmann, Niklas Vogel, Michael Waidner
Ultimo aggiornamento: 2024-09-22 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2409.14518
Fonte PDF: https://arxiv.org/pdf/2409.14518
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://blog.cloudflare.com/cloudflare-1111-incident-on-june-27-2024/
- https://www.zdnet.com/article/internet-experiment-goes-wrong-takes-down-a-bunch-of-linux-routers/
- https://labs.ripe.net/author/nathalie_nathalie/lifecycle-of-the-ripe-ncc-rpki-validator/
- https://archive.nanog.org/sites/default/files/04-Murphy-StLouis.pdf
- https://blog.cloudflare.com/rpki-details/
- https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Cybersecurity-Strategy-2023.pdf
- https://labs.ripe.net/author/niklas-vogel/crashing-the-party-vulnerabilities-in-rpki-relying-party-software/
- https://rpki-monitor.antd.nist.gov/