Asociación de Objetos IRT a Rangos IP Anunciados por RedIRIS

Índice

• Introducción
• ¿Qué es un objeto IRT?
• Importancia de asociar objetos IRT
• Política de RedIRIS sobre objetos IRT
• Exigencias y cumplimiento
• Anexo: Consulta y documentación de objetos IRT

Introducción

Como Red Académica y de Investigación Nacional (NREN), RedIRIS desempeña un papel fundamental en garantizar no solo la conectividad y operatividad de la red, sino también su seguridad y capacidad de respuesta ante incidentes. En este contexto, se establece una política obligatoria que requiere que todo rango IP enrutado a través de RedIRIS tenga asociado un objeto IRT (Incident Response Team) debidamente definido en la base de datos de RIPE.

Esta medida tiene como objetivo fortalecer la capacidad de respuesta ante incidentes de ciberseguridad, garantizar una comunicación eficaz entre equipos de respuesta, y cumplir con buenas prácticas internacionales.

¿Qué es un objeto IRT?

Un objeto IRT (Incident Response Team) en la base de datos de RIPE permite documentar los puntos de contacto de seguridad asociados a un rango IP. Este objeto proporciona información sobre cómo contactar al equipo de seguridad (CSIRT, CERT o SOC) de la organización que gestiona ese espacio de direcciones.

El objeto IRT puede incluir:

• Correos de contacto de abuso y seguridad (abuse-mailbox)
• Teléfonos o correos electrónicos de contacto de emergencia
• Métodos de autenticación y acceso
• Notas u observaciones sobre el equipo de respuesta
• Información de la clave PGP que se puede utilizar para el contacto.

Importancia de asociar objetos IRT

La presencia de un objeto IRT vinculado a cada rango IP permite:

• Respuesta rápida y efectiva ante incidentes de seguridad
• Identificación clara del responsable del rango IP
• Mejor colaboración entre organizaciones académicas y operadoras
• Cumplimiento de buenas prácticas recomendadas por RIPE y otros organismos

Política de RedIRIS sobre objetos IRT

Todo rango IP anunciado por RedIRIS deberá tener asignado un objeto IRT válido en la base de datos de RIPE, este objeto IRT puede ser el objeto IRT de RedIRIS, el de la red regional que da servicio o el propio de la institición .

1. Rangos IP gestionados por RedIRIS como LIR

Todos los rangos IP asignados directamente a RedIRIS como LIR tendrán por defecto asociado un objeto IRT general, que actuará como último punto de contacto. Este objeto no incluye contacto de seguridad específico, pero garantiza un canal institucional disponible.

Adicionalmente en todos aquellos rangos no asignados a instituciones afiliadas se asignara el objeto IRT de RedIRIS específico.

2. Rangos IP gestionados por RedIRIS y asignados a una institción conectadas

Por defecto estas institiciones tendrán enlazado el objeto IRT especifico de RedIRIS, salvo que la institucición solite y gestione su propio objeto IRT y quiera enlazarlo.

3. Rangos IP propiedad de instituciones conectadas a RedIRIS

Para las instituciones con rangos IP propios (solicitados a RIPE pero enrutados por RedIRIS), se establecen dos opciones:

• Definir su propio objeto IRT, si cuentan con CSIRT/CERT/SOC institucional
• Utilizar el objeto IRT específico de RedIRIS como CSIRT de contacto

4. Rangos IP de instituciones afiliadas y no enrutados por RedIRIS

Para las instituciones con rangos IP ajenos al enrutamiento de RedIRIS y que tengan ese rango asignado en RIPE podrán solicitar que el objeto IRT especifico de RedIRIS este asociado a estos rangos para la gestión de notificaciones .

En todos los casos, el objeto IRT debe estar asociado al rango mediante el atributo mnt-irt en la base de datos de RIPE.

Exigencias y cumplimiento

RedIRIS revisará que todos los rangos IP enrutados tengan un objeto IRT asignado. Las instituciones serán notificadas para que en coordinación con RedIRIS se defina el objeto IRT correspondiente.

Anexo: Consulta y documentación de objetos IRT

¿Cómo consultar el objeto IRT de un rango IP?

Puedes usar la herramienta WHOIS de RIPE:

whois -h whois.ripe.net <RANGO_IP>

O utilizar el buscador web:

https://apps.db.ripe.net/db-web-ui/query

Busca el atributo mnt-irt en la salida:

mnt-irt: IRT-EJEMPLO

Después puedes consultar ese objeto directamente:

whois -h whois.ripe.net IRT-EJEMPLO

Contenido típico de un objeto IRT

• irt: nombre del objeto
• address, phone, e-mail: contacto básico
• abuse-mailbox: correo para reportes de abuso
• auth: autenticación (PGP, MD5, etc.)
• mnt-by, mnt-irt: mantenedores autorizados

Objetos IRT en uso en RedIRIS

IRT-IRISCERT

Información de contacto para el servicio IRISCERT a las institiciones afiliadas

IRT-IRIS-CERT

Objeto IRT : Objeto IRT que hace referencia al troncal de RedIRIS y a RedIRIS como centro , este objeto esta "gestionado" por Trusted intrudocer por ahora

IRT-IRIS

Objeto IRT "antiguo" de la gestión de notificaciones de seguridad por INTECO/INCIBE, por ahora se mantiene aunque desaparecerá cuando se asuma por completo el servicio

Documentación oficial

• RIPE Database Reference Manual
• Información sobre abuse-c
• Cómo crear un objeto IRT

Esta política refuerza la gestión responsable de recursos IP y la capacidad de RedIRIS y sus instituciones afiliadas para afrontar incidentes de ciberseguridad. RedIRIS fomentará la implementación de objetos IRT, brindando asistencia y seguimiento para que todos los rangos IP cuenten con un punto de contacto de seguridad claro y accesible.