Compañía Cloudflare
Muchos operadores siguen expuestos a anuncios de subred BGP con información ficticia sobre la longitud de la ruta, enrutando el tráfico de tránsito a través de proveedores externos. Cada vez más, surgen casos de uso de BGP para ataques, durante los cuales los atacantes, al comprometer la infraestructura de los proveedores, organizan la redirección y la interceptación del tráfico para falsificar sitios específicos organizando un ataque MiTM para reemplazar las respuestas DNS.
La solución al problema es introducir un sistema de autorización para anuncios BGP basado en RPKI (Infraestructura de clave pública de recursos), que permite determinar si un anuncio BGP proviene del propietario de la red o no. Cuando se utiliza RPKI para sistemas autónomos y direcciones IP, se construye una cadena de confianza desde la IANA hasta los registradores regionales (RIR), y luego hasta los proveedores de servicios (LIR) y los usuarios finales, lo que permite a terceros verificar que el funcionamiento del recurso fue realizado por su propietario. Desafortunadamente, a pesar de los problemas, la mayoría de los proveedores aún no utilizan RPKI. El nuevo servicio Cloudflare le permite rastrear a los operadores problemáticos y llamar la atención del público sobre ellos.
Fuente: opennet.ru