Post on 16-Mar-2020
Manifesto para Ruteo Seguro en Internet: Caso de un Operador de Red de México Juan Antonio Herrera Carmen Denis
LACNIC 31 Mayo 2018
Estado de Recursos de Internet Universidades de México
• EstadoactualdelasTecnologíasdelaInformaciónyComunicacionesenlasInstitucionesdeEducaciónSuperiorenMéxicoEstudio2018
http://publicaciones.anuies.mx/libros/240/estado-actual-de-las-tecnologias-de-la-informacion-y-comunicaciones
Desarrollo de Internet en la UADY Iniciativa Mayo2017 Septiembre2018RecursosdeInternet
ASN:22122IPv4*:148.209.0.0/16
IPv6✅2801:c4:19::/48
MiembroLACNIC 🚫 ✅ProbeRIPEAtlas 🚫 ✅MANRS 🚫 ✅IXPYucatán 🚫 ⏳
Mutually Agreed Norms for Routing Security Organización:UniversidadAutónomadeYucatánPaís:México
RIR:LACNIC
RecursosdeInternet
ASN22122,148.209.0.0/16,2801:c4:19::/48
Proceso• Ejecucióndeautoevaluación• Implementacióndelasmedidasqueseannecesarias(filtrosBGP,Whois,IRR,RPKI,etc.)paraelenrutamientoseguro.
https://www.manrs.org/bcop/https://www.manrs.org/tutorials
MANRS Actions https://www.manrs.org/join/ 1.FilteringPreventpropagationofincorrectroutinginformation
2.Anti-spoofingPreventtrafficwithspoofedsourceIPaddresses
3.CoordinationFacilitateglobaloperationalcommunicationandcoordinationbetweennetworkoperators
4.GlobalValidationFacilitatevalidationofroutinginformationonaglobalscale
1. Filtering • CheckthattheASNdoesnotannouncebogons
• UseCIDRReporthttps://www.cidr-report.org/as2.0/
• CheckthattheASNwasnotimplicatedinrecentincidentshttps://bgpstream.com/
2. Anti-spoofing • CheckthatASNdoesnotshowupinCAIDAspooferdatabasehttps://spoofer.caida.org/provider.php?asn=[ASN]
• AplicacióndebuenasprácticasenconfiguraciónderuteoUADY(desdeiniciosde2000).
• BCP38(RFC2827)
SetuvocontactodeMANRS,serequiriópruebacomplementaria:>RunSpoofertestfromtwoofyourinfrastructurenetworksegments(notbehindaNAT)(http://spoofer.caida.org/)andsharetheresults.
3. Coordination
Checkthatcontactsareinthewhois• whois-hwhois.lacnic.netprefix• https://rdap-web.lacnic.net/autnum/22122
4. Global Validation • CheckthatroutinginformationisregisteredinanIRRorhasROA
• http://localcert.ripe.net:8088/bgp-preview
• https://milacnic.lacnic.net/lacnic/rpki/state
• http://tools.labs.lacnic.net/announcement/set
RPKI and ROAs
• http://tools.labs.lacnic.net/announcement/set
• http://localcert.ripe.net:8088/bgp-preview
Hallazgos: retroalimentación contacto MANRS >IdrawyourattentionthatoneoftheROAsinvalidatestheannouncementfor148.209.231.0/24(http://localcert.ripe.net:8088/bgp-preview).
Hallazgos: retroalimentación contacto MANRS PrefijosregistradosenunIRRhttps://stat.ripe.net/widget/as-routing-consistency#w.resource=22122)
MANRS: Operadores de Red de Universidades ConelapoyodelaAsociaciónNacionaldeUniversidadeseInstitucionesdeEducaciónSuperior(ANUIES)yencoordinaciónconsusaliadosymiembrosNICMéxico,RedClara,CUDI,LACNIC,LACNOG,seestallevandountaller“NormasMutuamenteAcordadasparaelEnrutamientoSeguroenInternet:MANRS”.Eltallerconstade5sesionesvirtuales:
Sesión1:Jueves25deabril–IntroducciónaMANRSSesión2:Jueves23demayo–MANRS:Acción1–FiltradoSesión3:Jueves13dejunio–MANRS:Acción2–Anti-SpoofingSesión4:Jueves11dejulio–MANRS:Acción3–CoordinaciónSesión5:Jueves22deagosto–MANRS:Acción4–ValidaciónGlobal
Laconclusiónseráconunasesiónpresencialenelmarcodeloseventos:EncuentroTICAL2019,2–4deseptiembrede2019enCancún,México.EncuentroANUIES-TIC2019,2deoctubrede2019enlaUANL,NuevoLeón,México.
Estado de Recursos de Internet Universidades de México
EstadoactualdelasTecnologíasdelaInformaciónyComunicacionesenlasInstitucionesdeEducaciónSuperiorenMéxicoEstudio2018.
http://publicaciones.anuies.mx/libros/240/estado-actual-de-las-tecnologias-de-la-informacion-y-comunicaciones
Análisis de Indicadores: Encuesta ANUIES-TIC 2018 ¿Quémecanismosutilizaparaprotegerlainfraestructuraylossistemasdeinformación?• Pruebasdepenetración(Pentest)• Sistemasparacorrelacióndeeventos
• Filtradodecontenidoweb• MobileDeviceManagement/MAM• DLP• UTM• Autenticaciónconmecanismosbiométricos
• Cifradodearchivos• Controldeacceso(passwords)• Buenasprácticasparadesarrollodesoftware
• Httpsparasitiosweb• Firmaelectrónica/pki• Seguridadperimetral(fw,ngfw,ips,ids)
• Análisisdevulnerabilidades• GatewayAnti-spam• SoftwareAntimalware• Otros
24http://estudio-tic.anuies.mx/Estudio_ANUIES_TIC_2018.pdf
Indicadores: Mecanismos para proteger la infraestructura y los sistemas de información
http://estudio-tic.anuies.mx/Estudio_ANUIES_TIC_2018.pdf
Reactivos para la encuesta ANUIES-TIC 2019: Seguridad en el Ruteo
SuUniversidadaplicaalgunodelossiguientesmecanismosparalaseguridadenelruteoBGP?
• FiltradoBGP:Prefix-list,AS-PATH• PrefijosdefinidosenelRFC1918• Anti-spoofingBCP38(RFC2827)• Buenasprácticasparalaconfiguracióndelplanodecontroldelruteadorperimetral-RFC6192
• Informacióndecontactoactualizadaanivelmundialenbasesdedatosdeenrutamientocomunes:Whois
• RecursosdeInternetCertificado:RPKI(ResourcePublicKeyInfraestructure)
• ROAs(RouteOriginationAuthorizations)• RegistroenunIRR(InternetRoutingRegistry
Indique qué tipo de incidentes de enrutamiento se han presentado en los últimos 12 meses:
• Route Hijacking (secuestro de rutas • Route Leak (fuga de rutas) • IP Address Spoofing (Falsificación de
direccionamiento ip)
Incluisión en la pregunta 5.9 "Indique cuáles son las necesidades de sus administradores en cuanto a TI y seguridad":
• Seguridad de Ruteadores • Configuración BGP/RPKI
Enfrentemos en conjunto …
• Losoperadoresderedtienenlaresponsabilidaddegarantizarunainfraestructuradeenrutamientosegurayrobustaanivelmundial.
• Laseguridaddelareddependedeunainfraestructuradeenrutamientoqueeliminealosmalosactores:configuracioneserróneasyaccidentalesquepuedancausarestragosenInternet.
• Cuantosmásoperadoresderedtrabajenjuntos,menosincidenteshabráymenosdañopodránhacer.
• MostrarliderazgotécnicoydiferenciarsedelosISPscomerciales.• PromoverelcumplimientodeMANRSaclientesyproveedorescentradosenlaseguridad.
• Paraayudararesolverlosproblemasdelaredglobal.LasRedesNacionalesdeEducacióneInvestigación(RNEI)sonamenudolosprimerosenadoptarnuevosdesarrollos.
• Liderarconelejemploymejorarlaseguridaddeenrutamientoparatodos.
¿Porqué MANRS? Redes de Educación e Investigación