El problema fundamental que ASPA aborda es la vulnerabilidad inherente del Border Gateway Protocol (BGP) a la propagación de información de enrutamiento incorrecta, ya sea por errores de configuración o por acciones maliciosas. Históricamente, BGP, diseñado para la resiliencia y la descentralización, carece de mecanismos intrínsecos para verificar la autenticidad y la autorización de las rutas anunciadas, lo que lleva a incidentes como los 'route leaks' y los 'origin hijacks'.

Mientras que RPKI y ROAs han mitigado los 'origin hijacks' al verificar la autorización de un AS para anunciar un prefijo IP, la validación de la trayectoria completa (AS_PATH) del tráfico ha permanecido como un desafío significativo. ASPA emerge como la solución criptográfica necesaria para cerrar esta brecha, introduciendo un mecanismo para validar la secuencia de AS por los que un paquete transita, basándose en la jerarquía de proveedores declarada. Su relevancia actual se magnifica por la creciente interconexión de la red global y la necesidad crítica de mantener la integridad y disponibilidad del servicio de Internet.

Arquitectura del Sistema

ASPA se integra directamente en la infraestructura de Resource Public Key Infrastructure (RPKI), extendiendo su funcionalidad más allá de la validación de origen. Un objeto ASPA es un registro criptográfico firmado que un Sistema Autónomo (AS) publica en RPKI, declarando explícitamente la lista de sus proveedores upstream autorizados. Estos objetos son distribuidos globalmente a través de los Regional Internet Registries (RIRs) y son accesibles por cualquier red que participe en la validación RPKI.

El proceso de validación de ruta con ASPA se basa en el modelo de enrutamiento 'valley-free', donde el tráfico idealmente asciende por la jerarquía de proveedores, puede cruzar un único enlace de peering, y luego desciende hacia el cliente de destino. Cuando un router recibe una actualización BGP, examina el AS_PATH y realiza una doble verificación: primero, desde el origen de la ruta hacia adelante ('Up-Ramp'), verificando que cada AS en la ruta esté autorizado por el AS anterior como proveedor. Segundo, desde el destino de la actualización BGP hacia atrás ('Down-Ramp'), realizando una verificación similar. Si ambas 'rampas' se encuentran o superponen, la ruta se considera válida. Si hay una desconexión o un 'gap' donde la autorización es inválida o inexistente, la ruta se marca como ASPA Invalid. Esta lógica permite detectar 'route leaks' donde el tráfico intenta ir 'down-and-up' (de cliente a proveedor) de manera no autorizada. La implementación de ASPA requiere actualizaciones en los paquetes de Relying Party (RP), implementaciones de firmantes, software RTR (RPKI-to-Router protocol) y las implementaciones de BGP en los routers para consumir y aplicar estos objetos ASPA.

Proceso de Validación de Ruta BGP con ASPA

  1. 1 AS Anunciante Publica objeto ASPA en RPKI con proveedores autorizados.
  2. 2 RIRs / Repositorios RPKI Almacenan y distribuyen objetos ASPA firmados.
  3. 3 Router Receptor Recibe actualización BGP con AS_PATH.
  4. 4 RPKI Validator Consulta objetos ASPA para AS en el AS_PATH.
  5. 5 Validación Up-Ramp Verifica autorización de proveedores desde el origen hacia adelante.
  6. 6 Validación Down-Ramp Verifica autorización de proveedores desde el destino hacia atrás.
  7. 7 Evaluación de Conexión Compara si Up-Ramp y Down-Ramp se encuentran/solapan.
  8. 8 Decisión de Enrutamiento Ruta marcada como Válida/Inválida ASPA; influye en la selección de ruta BGP.
CapaTecnologíaJustificación
networking BGP (Border Gateway Protocol) Protocolo de enrutamiento inter-dominio fundamental cuya seguridad es mejorada por ASPA. Requiere soporte para RFC9234 BGP roles y atributo OTC para una validación ASPA óptima.
security RPKI (Resource Public Key Infrastructure) Infraestructura de clave pública que almacena y distribuye objetos criptográficos (ROAs, ASPAs) para la seguridad del enrutamiento.
security ASPA (Autonomous System Provider Authorization) Estándar criptográfico que extiende RPKI para validar la trayectoria (AS_PATH) de las rutas BGP. Los objetos ASPA contienen el AS number del AS y una lista de AS numbers de sus proveedores autorizados.

Trade-offs

Ganancias
  • Reducción de Route Leaks
  • Mitigación de Forged-Origin Hijacks
  • Mayor confianza en el AS_PATH
Costes
  • Complejidad operativa para AS
  • Riesgo de dropear tráfico legítimo por configuración errónea de ASPA
  • Tiempo de adopción de la industria

Fundamentos Teóricos

El concepto de enrutamiento 'valley-free' es un principio fundamental en la teoría de enrutamiento inter-dominio, propuesto por Gao y Rexford en su paper 'Stable Internet Routing Without Global Coordination' (1999). Este modelo describe una topología de enrutamiento deseable donde las rutas de tráfico siguen una estructura jerárquica de cliente-proveedor-peer. Un 'route leak' es, en esencia, una desviación de este modelo 'valley-free', donde un AS cliente anuncia rutas a un AS proveedor que no debería transitar, creando un 'valle' en la trayectoria esperada.

ASPA se basa en la aplicación de principios criptográficos para imponer esta estructura teórica en la práctica. La utilización de una Infraestructura de Clave Pública (PKI) para firmar y distribuir autorizaciones (como los objetos ROA y ASPA) tiene sus raíces en la criptografía de clave pública, un campo con fundamentos en trabajos como los de Diffie y Hellman ('New Directions in Cryptography', 1976) y Rivest, Shamir y Adleman ('A Method for Obtaining Digital Signatures and Public-Key Cryptosystems', 1978). La extensión de RPKI para incluir la validación de trayectoria es una evolución directa de estos principios, aplicando la confianza criptográfica a la integridad del AS_PATH en BGP, un protocolo que, en su diseño original, carecía de estos mecanismos de seguridad intrínsecos.