MANRS: Fortaleciendo la seguridad del enrutamiento global desde los IXP

Susana Chaves

El protocolo BGP, piedra angular del enrutamiento global de Internet, fue diseñado en un contexto de confianza entre operadores. Sin embargo, en la actualidad, esta confianza se ha convertido en su principal debilidad. Sin mecanismos integrados de validación o autenticación, BGP es susceptible a errores de configuración o ataques maliciosos que pueden propagar rutas inválidas, secuestrar tráfico (BGP hijacks) o causar fugas de rutas (route leaks) que afectan la estabilidad de múltiples redes. 

Frente a esta realidad, MANRS (Mutually Agreed Norms for Routing Security) surge como una iniciativa impulsada por la Internet Society para promover acciones concretas que mejoren la seguridad y resiliencia del enrutamiento global. Su enfoque práctico y colaborativo ha permitido que cientos de operadores, IXPs, CDNs y proveedores de nube adopten estas buenas prácticas y se conviertan en actores responsables en la comunidad técnica. 

¿Qué es MANRS? 

MANRS no es un estándar, ni un software, ni un protocolo. Es un conjunto de normas técnicas mínimas que las redes deberían cumplir para evitar que los errores locales se conviertan en problemas globales. Al ser una iniciativa de base voluntaria pero respaldada por evidencia técnica y comunidad operativa, MANRS se posiciona como una respuesta pragmática a los desafíos de seguridad del enrutamiento. 

¿Por qué es necesario? 

Casos como el incidente de 2018, donde una pequeña red en Nigeria secuestró rutas de Amazon y redirigió tráfico hacia una plataforma de criptomonedas fraudulenta, muestran cómo un error en un solo ASN puede afectar a millones de usuarios en todo el mundo. Y lo peor: el protocolo en sí no tiene forma de evitarlo. 

Las cuatro acciones clave para operadores de Red 

Para los ISPs, operadores de redes empresariales y académicas, MANRS define cuatro acciones básicas: 

  1. Filtrado de rutas (Prefix Filtering): Solo aceptar y anunciar rutas válidas y autorizadas. Esto incluye validar que los prefijos y ASN estén correctamente registrados en IRR o RPKI. 
  2. Prevención de IP spoofing (Anti-spoofing): Impedir que paquetes salgan de la red con direcciones IP de origen falsificadas. Puede lograrse implementando técnicas como uRPF (Unicast Reverse Path Forwarding). 
  3. Coordinación y datos públicos: Mantener actualizada la información técnica en PeeringDB y bases IRR para que otras redes puedan aplicar políticas de filtrado y contacto más efectivas. 
  4. Validación de rutas globales: Promover el uso de validación de origen mediante RPKI (Resource Public Key Infrastructure) y filtros de prefijos basados en ROAs válidos. 

Estas medidas, si bien técnicas, son relativamente fáciles de implementar para redes medianas o grandes con un mínimo de compromiso operativo. 

MANRS en los IXPs: Seguridad desde el corazón de la interconexión 

Los Puntos de Intercambio de Tráfico (IXPs) tienen un rol estratégico en la promoción de MANRS. Al concentrar múltiples ASN y habilitar la conectividad directa entre redes, los IXPs pueden amplificar el impacto positivo de estas buenas prácticas. 

Acciones recomendadas para IXPs: 

  • Filtrado de prefijos y ASNs inválidos en el route-server, utilizando IRR y RPKI. 
  • Revisión de la configuración BGP de los participantes, promoviendo el uso de max-prefix, políticas de import/export claras y revisión de ROAs. 
  • Publicación de contactos técnicos y políticas de enrutamiento en PeeringDB. 
  • Educación y monitoreo proactivo, alertando a los miembros sobre anomalías o configuraciones incorrectas. 

Caso CRIX: compromiso con la seguridad del enrutamiento 

En el CRIX (IXP de Costa Rica), hemos asumido un compromiso activo con las mejores prácticas de seguridad enrutamiento, alineadas con los principios de MANRS: 

  • Utilizamos BIRD como route-server, con validación RPKI en tiempo real. 
  • Integramos sistemas de monitoreo como Zabbix para vigilar las sesiones BGP y alertar sobre inconsistencias. 
  • Requerimos que los nuevos miembros cuenten con ROAs válidos y registros actualizados en PeeringDB. 
  • Participamos en foros técnicos regionales como LACNOG y LAC-IX para compartir aprendizajes y fortalecer la comunidad. 

Este enfoque no solo reduce el riesgo de incidentes locales, sino que mejora la calidad del peering regional y fortalece la reputación de Costa Rica como hub de interconexión responsable. 

Beneficios reales de MANRS 

Adoptar MANRS no solo es una buena práctica ética. Tiene beneficios tangibles

  • Mayor confiabilidad de la red ante posibles ataques o errores. 
  • Reputación técnica sólida al demostrar compromiso con la estabilidad global. 
  • Acceso al MANRS Observatory, una plataforma que permite medir el cumplimiento de prácticas de enrutamiento seguro. 
  • Mejor relación con CDNs y redes críticas, que priorizan peers con buenas prácticas. 

Desafíos y oportunidades 

La adopción de MANRS en América Latina aún enfrenta retos como la baja implementación de RPKI o el desconocimiento técnico en algunos sectores. Sin embargo, esta brecha representa una oportunidad para que los IXPs y NICs nacionales lideren el cambio, capacitando a sus miembros, ofreciendo herramientas y visibilizando los riesgos de no actuar. 

La colaboración con redes regionales, la automatización de validaciones y el uso de software libre hacen que la adopción de MANRS sea más viable que nunca. 

MANRS es un compromiso con el futuro de Internet 

La seguridad del enrutamiento no puede dejarse al azar. Al adoptar MANRS, operadores e IXPs no solo protegen su propia red, sino que contribuyen activamente a una Internet más estable, resiliente y confiable. 

En un mundo donde cada ASN puede afectar al resto, la seguridad es una responsabilidad compartida

,
Skip to content