BGP Security: Protegendo o Protocolo de Roteamento da Internet
Por que o BGP é Crítico e Vulnerável
BGP (Border Gateway Protocol) é o protocolo que conecta sistemas autônomos (ASNs) na internet. Sem autenticação forte em sua concepção original, é vulnerável a route hijacking (anúncio não autorizado de prefixos alheios) e route leaks (propagação errônea de rotas). Incidentes históricos incluem o sequestro de prefixos da Amazon em 2018 para roubar criptomoedas e o blackholing de tráfego da Cloudflare por um erro de configuração do BGP em 2019. Qualquer organização com ASN próprio deve implementar BGP security.
📊 BGP Hijacking em Números — 2025
RPKI: A Solução para BGP Hijacking
RPKI (Resource Public Key Infrastructure) é um framework criptográfico que valida a legitimidade dos anúncios BGP. Um ROA (Route Origin Authorization) é um certificado assinado que declara quais ASNs têm autoridade para anunciar determinados prefixos. Roteadores com RPKI validation rejeitam anúncios “Invalid” automaticamente. Os cinco RIRs (ARIN, RIPE, APNIC, LACNIC, AfriNIC) operam as CAs de RPKI. A implementação é gratuita e protege tanto sua organização quanto o ecossistema da internet.
ROA (Route Origin Auth)
Crie ROAs no portal do seu RIR especificando seus prefixos e o ASN autorizado a anunciá-los.
RPKI Validation
Configure seus roteadores para validar anúncios BGP usando um validador RPKI (Routinator, FORT, OctoRPKI).
Route Filtering
Implemente prefix-lists e AS-path filters para aceitar apenas rotas esperadas de cada peer/upstream.
MANRS
Mutually Agreed Norms for Routing Security — framework com 4 ações essenciais para operadores de rede.
BGP Monitoring
Ferramentas como BGPmon e RIPE RIS detectam mudanças suspeitas nos seus prefixos em tempo real.
MD5/TCP-AO
Autentique sessões BGP com MD5 ou o mais moderno TCP-AO para prevenir reset de sessões por terceiros.
⚠️ Boas Práticas Essenciais de BGP Security
Internet Routing Registry (RIPE DB, ARIN, etc.) deve conter seus route objects atualizados para facilitar filtragem por peers.
Bloqueie anúncios de prefixos privados (RFC1918), loopback e não alocados que nunca devem aparecer no BGP global.
Filtre comunidades BGP recebidas de clientes — elas podem ser usadas para manipular políticas de roteamento inadvertidamente.
Configure alertas para quando seus prefixos forem anunciados por ASNs não autorizados — sinal claro de hijacking.
A internet é construída sobre confiança entre operadores. RPKI e MANRS transformam essa confiança em verificação criptográfica.
— iSecPlus Network Team, 2026
Implementando RPKI em seu ASN
O processo envolve: criar ROAs no portal do seu RIR para todos os seus prefixos; instalar um validador RPKI local (Routinator da NLnet Labs é o mais popular); configurar seus roteadores de borda para usar o validador via RPKI-to-Router (RTR) protocol; e definir política de origem inválida (Drop ou Reject). A LACNIC tem portal simplificado para redes brasileiras. O impacto é imediato: prefixos sequestrados por outros ASNs serão marcados como “Invalid” e descartados pelos peers que fazem validação.
