Seguridad en BGP

ESCUELA TCNICA SUPERIOR DE INGENIERA (ICAI)
INGENIERO TCNICO EN INFORMTICA DE GESTIN

SEGURIDAD EN BGP, ATAQUES AL
PROTOCOLO Y FALLOS DE
CONFIGURACIN
Autor: J orge Prez Calleja
Director: J ose Luis Gahete Diaz

Madrid
Mayo 2012

Proyecto realizado por el alumno/a:

Jorge Prez Calleja

Fdo: Fecha: / / .

Autorizada la entrega del proyecto cuya informacin no es de carcter confidencial

EL DIRECTOR DEL PROYECTO

Jose Luis Gahete Diaz

Fdo: Fecha: / / .

V B DEL COORDINADOR DE PROYECTOS

Israel Alonso Martnez

Fdo: Fecha: / / .

___________________________________________________________________________________________

I I
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TCNICA SUPERIOR DE INGENIERA

AGRADECIMIENTOS

Gracias Pap, eres una mquina.

No poda empezar mis agradecimientos de otra manera. Sin ti, este
proyecto no sera lo que es. Me has echado una, dos y hasta tres manos
y ninguna de ellas al cuello. Has sabido pegarme empujoncitos durante el
curso y de verdad que muchas gracias.

Irascible; mi familia domina el significado de esta palabra. Del latn
irascibilis, dcese de una persona propensa a la ira. No todo el ao he
estado igual, tambin recuerdo haberme sentido alterable, atrabiliario,
basilisco, cascarrabias, furibundo, iracundo, malhumorado. Gracias por
haberme aguantado este ao tan largo. Muchas gracias mam y Beatriz,
sois nicas.

Qu decir de lo simplemente perfecto? Siiii, me refiero a ti, Teresa.
GRACIAS. Eres una persona excelente. Me alegro muchsimo de haberte
encontrado. Ten muy claro que si he sacado esto adelante ha sido por tu
apoyo y tu paciencia, sobre todo esta ltima. Vamos a poder con todo,
estoy seguro. Gracias por tu confianza y por todo lo que me das a diario.
Sigue hacindome sentir tan especial.

MS

Gracias Parrusete. Sois la caa chicos, que esto dure de por vida. Pase lo
que pase siempre juntos.

Gracias a mi grupo de fumadores de ICAI. Espero seguir en contacto con
vosotros, sois parte de mi historia universitaria.

Finalmente me gustara agradecer a mi director, Jose Luis Gahete, por la
oportunidad que me ha brindado de poder profundizar en esta materia. He
aprendido muchsimo durante el desarrollo de este documento. Gracias
por asignarme este proyecto.

___________________________________________________________________________________________

II II
SEGURIDAD EN BGP,
ATAQUES AL PROTOCOLO Y
FALLOS DE CONFIGURACIN.

ROUTER ANALYZER

Autor: Jorge Prez Calleja
Director: Jose Luis Gahete Diaz
Entidad Colaboradora: Universidad Pontificia Comillas

RESUMEN DEL PROYECTO
El objetivo de este proyecto es desarrollar un estudio sobre Border Gateway Protocol.
Se analizaran los episodios ms relevantes en fallos de configuracin en los ltimos
aos, al igual que una investigacin en detalle de los ataques conocidos. Una vez
planteadas las vulnerabilidades del protocolo se ha desarrollado una aplicacin para
minimizar situaciones de riesgo y se han elaborado unas plantillas gua de seguridad
en routers Cisco IOS e IOS XR.

Palabras clave: Internet, Border Gateway Protocol, whois Domain Tools,
Internet Storm Center, Secure Origin BGP, Secure BGP, National Institute of
Standards and Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.

Introduccin.
La seguridad informtica es un activo intangible y debe ser entendida como un
proceso. Esta se debe implantar en toda organizacin como un ciclo iterativo que
incluye una serie de actividades como la valoracin de riesgos, la prevencin, y la
deteccin y respuesta ante incidentes de seguridad. Toda empresa, ya sea lder, o
seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro para
transmitir la informacin.

___________________________________________________________________________________________

III III

1.1 Transmisin de datos
El medio de transmisin que se va analizar en este documento es Internet.
Cualquier peticin de enviar un email o consulta de una pgina web implica la
transmisin de paquetes de datos desde el punto de origen al de destino.

Internet es un mundo vivo donde aparecen constantes cambios. Pueden aparecer
sistemas nuevos o sistemas que cesan su actividad. Estas eventualidades deben
estar reflejadas en tablas de encaminamiento. Border Gateway Protocol, de
ahora en adelante, BGP, es el encargado de gestionar estas variaciones
continuas por lo que los fallo en la configuracin de aquel, podan dejar reas
geogrficas enteras sin acceso a Internet.

1.2 Antecedentes Histricos
A lo largo de la historia de Internet, se han producido diferentes situaciones de
alto riesgo derivados de fallos en BGP. En este documento se han recogido los
episodios ms relevantes del siglo XXI [1]. Estos incidentes proceden, en su
mayora, de fallos de configuracin.

En la actualidad, existen propuestas formales que hacen BGP seguro y fiable
pero su compleja implantacin las convierte en poco plausibles. Por un lado se
ha planteado Secure Origin BGP cuyo objetivo es verificar el origen de cada
mensaje utilizando certificados. Por otro lado, se ha considerado incluir la
autentificacin, integridad y autorizaciones en los mensajes BGP, cuya
proposicin se denomina Secure BGP.

Objetivos del proyecto.
El objetivo de este proyecto es concienciar y advertir a las entidades de la
necesidad de una mejora en sistemas de transmisin cuyo fin ser asegurar la
confidencialidad, accesibilidad e integridad de los datos.

El desarrollo de un sistema en seguridad BGP que cubra las principales
vulnerabilidades conocidas, y que equilibre el grado de seguridad y factores de
complejidad, rendimiento y costes, debera ser un objetivo primordial para todas

___________________________________________________________________________________________

IV IV

las organizaciones. Actualmente, estas no han sabido ver una mejora inmediata
que pueda repercutir en sus clientes y, probablemente, hasta que no se reciban
varios ataques al protocolo BGP no se considerar la necesidad de asegurar sus
sistemas.

La intencin de este documento es demostrar que siguiendo unos pasos sencillos
se pueda configurar el protocolo de manera eficiente. No obstante, aun habiendo
explicado los diferentes comandos y opciones recomendadas, se aconseja hacer
un estudio previo de las necesidades especficas de cada conexin as como
comprender las diferentes opciones para implementar la configuracin ms
correcta, ms valida y la adecuada a cada situacin.

Router Analyzer.
Asimismo se ha desarrollado una aplicacin para facilitar la configuracin del
router y reducir la posibilidad de acoger ataques al sistema. Para la creacin de
dicha herramienta se han utilizado materiales de dominio pblico tales como
whois Domain Tools [2], y la tabla de direcciones IP denunciadas de Internet
Storm Center [3].

Router Analyzer es la herramienta diseada para acotar al mximo el margen
de error a la hora de configurar un enlace, y reducir la posibilidad de acoger
ataques al sistema. En el Anexo A de este proyecto se ha desarrollado un
manual de usuario para su correcto uso. En dicho apndice, se han agrupado
diferentes capturas de pantalla con el fin de facilitar la comprensin del mismo.

___________________________________________________________________________________________

V V

Plantillas de seguridad.
Para el desarrollo de estas plantillas de configuracin y seguridad se ha
realizado una labor de documentacin y se han consultado publicaciones al
efecto como el National Institute of Standards and Technologies [1] (US
NIST), organismo dependiente del departamento de comercio de los Estados
Unidos. A su vez, se han consultado pginas web de monitorizado, anlisis y
recomendaciones sobre BGP como BGPmon [4]. Conocida organizacin no
lucrativa de apoyo a los tcnicos y operadores de red en Internet. Por ltimo,
cabe mencionar a Packet Clearing House [5], Instituto de investigacin sin
nimo de lucro sobre las comunicaciones en internet.

En esta investigacin sobre BGP, las organizaciones previamente nombradas
hacen una constante referencia a las plantillas de seguridad de BGP
desarrolladas y publicadas por Team Cymru Community Services [6]. Esta es
una compaa estadounidense localizada en el estado de Illinois, especializada
en la investigacin sobre la seguridad de internet. Team Cymru es tambin
conocida por su dedicacin y ayuda a organizaciones para identificar y erradicar
problemas en sus redes. El equipo de Team Cymru ha desarrollado diversas
plantillas de seguridad, y en este proyecto se han seleccionado aquellas
pertenecientes a routers Cisco.

___________________________________________________________________________________________

VI VI

Conclusiones.
El objetivo de este proyecto no ha sido exclusivamente didctico. Cabe resaltar
mi motivacin personal en este mbito de la informtica as como todos los
conocimientos adquiridos durante el desarrollo del proyecto.

Para finalizar este sumario del proyecto de fin de carrera, me gustara plasmar la
satisfaccin que ha supuesto haber tenido la oportunidad de profundizar en esta
cuestin, y a su vez instar al lector, y en ltima instancia a interesados en redes
y/o seguridad informtica, a que participen en mi proyecto mediante su lectura,
y posterior revisin o crtica.

Bibliografa.

[1] National Institute of Standards and Technology, http://www.nist.gov/index.html
[2] Whois DomainTools, http://whois.domaintools.com/
[3] Institute e Internet Storm Centre, http://www.sans.org
[4] BGP monitoring and analyzer, http://www.bgpmon.net/
[5] Packet Clearing House, http://www.pch.net/home/index.php
[5] Team Cymru Community Services, http://www.team-cymru.org/Monitoring/Graphs/

___________________________________________________________________________________________

VII VII
BGP SECURITY,
PROTOCOL ATTACKS AND
AND MISS-CONFIGURATION.

ROUTER ANALYZER

Author: Jorge Prez Calleja
Director: Jose Luis Gahete Diaz
Colaborating Entity: Universidad Pontificia Comillas

ABSTRACT
The aim of this project is to develop a study about Border Gateway Protocol. It will
include an analysis of the most outstanding miss-configurations episodes occurred in
the past years and a research about the more common attacks. Once vulnerabilities are
set up, it will introduce an application to minimize risk situations and security
templates on Cisco IOS and IOS XR routers.

Key Words: Internet, Border Gateway Protocol, whois Domain Tools, Internet
Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and
Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.

Introduction.
Computer security is an intangible asset and it must be considered as a process. This
must be well-established in every organization like an iterative cycle that will include
a group of activities as risks assessments, prevention, and detection and response
against security incidents. Every firm, no matter if it is sector leader or follower, will
need a reliable and secure communications system to transmit data.

___________________________________________________________________________________________

VIII VIII

1.1 Data transmision
The mean of transmission that is going to be analyzed on this document is
Internet. Any email sending request or website consultation involves data
transmission from an origin to a destination.

Internet can be considered as a living world. There appear constant changes as
new systems appearances or systems that resign their activity. These events
must be taken into account on routing tables. Border Gateway Protocol, BGP
from now on, is in charge of managing these changes. A miss-configuration on
BGP would obstruct Internet access.

1.2 Historical Background
Along Internets life, there have appeared various high risk situations due to
BGP miss-configurations. On this document, most of these incidents have been
brought together [1].

Currently, there exist many proposals to make BGP reliable and secure. Their
complex establishments make them hard to carry out. On the one hand, there is
Secure Origin BGP which aim is to verify the origin of every message using
certificates. On the other hand, it has been taken into consideration to include
authentication, integrity and authorizations on BGP messages, this proposal is
known as Secure BGP.

Objectives.
The aim of this document is to make aware and to warn firms about the need of
data transmission improvements. This goal will assure data confidentiality,
accessibility and integrity.

A system development based on BGP security to cover most of its known
vulnerabilities should be paramount importance for firms. This system must
balance security, complexity, performance and costs. Nowadays companies do
not appreciate an immediate improvement and they will not invest on security
until they receive various attacks

___________________________________________________________________________________________

IX IX

Router Analyzer.
The present document contains there an application development to make router
configuration easier and it will reduce the chance of receiving attacks. Public
material was used to design this tool as whois Domain Tools [2] and Internet
Storm Center [3].

Router Analyzer is the designed tool to enclose miss configurations when
configuring routers. This project will bring in a handbook for its correct use. It
has been attached as Appendix A to make it easier to utilize and to comprehend.

Security Templates.
These security templates have been developed based on a documentation task.
Several publications have been studied as the one presented from National
Institute of Standards and Technologies [1] (US NIST), BGPmon [4], Packet
Clearing House [5]. On their publications, they all refer to security templates
developed by Team Cymru Community Services [6]. On this document, only
Routers Cisco security templates have been taken into account, which are the
ones that will be used on Router Analyzer.

___________________________________________________________________________________________

X X

Conclusions.
The elaboration of this project has not been merely didactic. I must stand out my
personal motivation on this computer science scope and every knowledge
acquired.To conclude this brief, I would like to emphasize my satisfaction
obtained by having the chance to study in depth this matter.

Bibliography.


___________________________________________________________________________________________

XI XI
NDICE

FIGURAS
BIBLIOGRAFIA
ACRNIMOS
INTRODUCCIN Y MOTIVACIN
DEFINICIONES
1.1 Internet 3
1.2 Protocolos de encaminamiento 6
1.3 Border Gateway Protocol 7
1.4 Microsoft Visual Studio 2010 8

BORDER GATEWAY PROTOCOL
2.1 Introduccin 9
2.2 Mensajes y cabecera de BGP 10
2.2.1 Formato KEEPALIVE 11
2.2.2 Formato OPEN 12
2.2.3 Formato UPDATE 13
2.2.4 Formato NOTIFICATION 14
2.3 Sesin BGP 15
2.3.1 Establecimiento de una sesin 15
2.3.2 Estados BGP 18
a) Idle State (Estado Paralizado)
b) Connect State (Estado Conectado)
c) Active State (Estado Activo)
d) OpenSent State (Estado Open Enviado)
e) OpenConfirm State (Estado Confirmacin de un Open)
f) Established State (Estado Establecido)
4

___________________________________________________________________________________________

XII XII

2.4 Reglas de filtrado 22
2.4.1 Configuracin MD5 24
2.4.2 Filtrado Router-Map 25
2.4.3 Filtrado Filter-List 26
2.5 BGP-4 26
2.6 Seguridad en BGP 28
2.7 Resumen 29

CONFIGURACIN SIMPLE DE BGP
3.1 Introduccin 30
3.2 Estado de la cuestin 32
3.2.1 Aspecto administrativos 32
3.2.2 Interfaces 34
3.2.3Protocolos de encaminamiento 34
3.2.4 Gestin del trfico 34
3.2.5 Polticas de encaminamiento 35
3.4 Graphical Network Simulator 36
3.4.1 Situacin inicial 36
3.5 Metodologa de configuracin del protocolo 40
3.5.1Configuracin previa de los routers 40
3.5.2 Comprobacin de las tablas de rutas 44
3.5.3 Configuracin del protocolo BGP 47
a) Activacin del protocolo
b) Definir vecindad entre los routers (eBGP)
c) Configuracin final
d) Comprobacin vecinos BGP
3.5.4 Configuracin Interior-BGP 53

___________________________________________________________________________________________

XIII XIII

ATAQUES EN BGP
4.1 Introduccin 54
4.2 Vulnerabilidades y errores de concepto 55
4.3 Antecedentes Histricos 58
4.3.1 Ao 2012, Australia sin acceso a Internet 59
4.3.2 Ao 2011, Egipto sin acceso a Internet 60
4.3.3 Ao 2011, Siria sin acceso a Internet 64
4.3.4 Ao 2010, Google y servicios asociados redirigidos 67
4.3.5 Ao 2010, un ISP Chino secuestra Internet 69
4.3.6 Ao 2008, Pakistn Telecom bloquea YouTube 70
4.3.7 Ao 2008, Brasil difunde una tabla BGP 74
4.3.8 Ao 2007, La ICANN pone en riesgo un servidor DNS 74
4.3.9 Ao 2004 77
a) ISP en Malasia bloquea Yahoo
b) ISP turco bloquea Internet
c) Northrop Grumman atacado por spammers
4.4 Ataques al protocolo 78
4.4.1 Ataques DoS o DDoS 79
4.4.2 Secuestro o Hijack 81
4.4.3 Man in the Middle (o Meet in the Middle) 81
4.4.4 Ataques de sesin (TCP) y Replay Attacks 83
4.4.5 Ataque Route Flapping 84
4.4.6 Ataque de Desagregacin de rutas 86
4.4.7 Ataque de Inyeccin de Rutas Maliciosas 87
4.4.8 Ataque de Inyeccin de Rutas no Asignadas 88
4.4.9 Malware Rootkits, IOS, Bios, EEProms 88
4.5 Resumen 89

___________________________________________________________________________________________

XIV XIV

ANEXO A. MANUAL DE USUARIO-ROUTER ANALYZER
5.1 Introduccin 91
5.1.1 Internet Storm Center 92
5.1.2 Domain Tools 94
5.1.3 Router Analyzer 95
5.2 Anlisis del router 96
5.2.1 Archivo de configuracin 96
5.2.2 Analizar y ver resultado 97
5.2.3 Actuar 99
5.3 Configuracin del router 101
5.3.1 Estado Actual 102
5.3.2 Opciones de configuracin 106
a) Configuracin de enlaces
b) Configuracin de un router BGP
5.4 Configuracin Helper 114
5.4.1 Introduccin 114
5.4.2 Pasos 115
a) Configuracin Helper paso 1
b) Configuracin Helper paso 2
c) Configuracin Helper paso 3
d) Configuracin Helper paso 4
e) Configuracin Helper paso 5

ANEXO B. PLANTILLAS DE CONFIGURACIN
6.1 Seguridad BGP Cisco IOS 121
6.2 Seguridad BGP IOS XR 126

___________________________________________________________________________________________

XV XV
FIGURAS

NMERO NOMBRE FUENTE

FIGURA 1 Modelo de un sistema de comunicacin Elaboracin propia
FIGURA 2 Modelo de un sistema de transmisin Elaboracin propia
FIGURA 3 Internet, red informtica mundial Elaboracin propia
FIGURA 4 La prehistoria de Internet www.noticiasdot.com/publicaciones
FIGURA 5 Internet como medio de transmisin Elaboracin propia
FIGURA 6 Comunicacin entre routers Elaboracin propia
FIGURA 7 Saltos de la informacin Elaboracin propia
FIGURA 8 Algoritmo Elaboracin propia
FIGURA 9 Microsoft Visual Studio 2010 www.microsoft.com/
FIGURA 10 Formato Cabecera Mensaje BGP Elaboracin propia
FIGURA 11 Formato mensaje OPEN Elaboracin propia
FIGURA 12 Formato mensaje UPDATE Elaboracin propia
FIGURA 13 Formato mensaje NOTIFICATION Elaboracin propia
FIGURA 14 Neighbor State http://en.wikipedia.org/wiki/Border_Gateway_Protocol
FIGURA 15 Inicio de una sesin BGP GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition
FIGURA 16 Filtrado por MD5 Elaboracin propia
FIGURA 17 Configuracin MD5 Elaboracin propia
FIGURA 18 Configuracin Router-Map Elaboracin propia
FIGURA 19 Conexin entre sistemas autnomos Elaboracin propia
FIGURA 20 Caractersticas de un router Cisco 3640 Elaboracin propia, con datos de www.cisco.com
FIGURA 21 Caso real de configuracin BGP Elaboracin propia
FIGURA 22 Simulacin caso real GSN3 Elaboracin propia usando GSN3
FIGURA 23 Estado RC1 Elaboracin propia usando GSN3
FIGURA 24 Estado enlaces Elaboracin propia usando GSN3
FIGURA 25 Enlaces RC1 Elaboracin propia usando GSN3
FIGURA 26 Fichero de configuracin de RC1 Elaboracin propia
FIGURA 27 Enlaces R1P1 Elaboracin propia usando GSN3
FIGURA 28 Fichero de configuracin de R1P1 Elaboracin propia
FIGURA 31 Fichero de configuracin de P2 Elaboracin propia
FIGURA 32 Comando sh ip route Elaboracin propia usando la consola de GSN3
FIGURA 33 Comprobacin de tabla de rutas Elaboracin propia usando la consola de GSN3
FIGURA 34 Clases de direcciones IP http://redesdecomputadores.umh.es/red/ip/default.html
FIGURA 35 Vecindad entre routers Elaboracin propia usando GSN3
FIGURA 36 Configuracin vecinos BGP en el fichero Elaboracin propia
FIGURA 37 Configuracin RC1 Elaboracin propia
FIGURA 38 Comando sh ip bgp neighbors Elaboracin propia usando la consola de GSN3

___________________________________________________________________________________________

XVI XVI

NMERO NOMBRE FUENTE

FIGURA 39 Comprobacin de tabla de rutas Elaboracin propia usando la consola de GSN3
FIGURA 40 Neighbor R1P2 Elaboracin propia
FIGURA 41 Comprobacin vecindad R1P2 Elaboracin propia usando la consola de GSN3
FIGURA 42 Neighbor R1P1 y R2P2 Elaboracin propia
FIGURA 43 Comprobacin vecindad R1P1 y R2P2 Elaboracin propia usando la consola de GSN3
FIGURA 44 Configuracin Interior-BGP Elaboracin propia usando GSN3
FIGURA 45 Comandos configuracin Interior-BGP Elaboracin propia
FIGURA 46 Mejor camino basado en rutas recibidas Elaboracin propia
FIGURA 47 AS1221 Telstra Pty Ltd www.BGPmon.com
FIGURA 48 Eguito redes afectadas I Elaboracin propia
FIGURA 49 Eguito redes afectadas II Elaboracin propia
FIGURA 50 Egipto redes afectadas III Elaboracin propia
FIGURA 51 Egipto grfico redes afectadas/tiempo Elaboracin propia
FIGURA 52 Siria redes afectadas/SA Elaboracin propia
FIGURA 53 Siria prefijo 1 de Junio, 2011 Elaboracin propia
FIGURA 54 Siria prefijo 3 de Junio, 2011 Elaboracin propia
FIGURA 55 Pakistan Telecom bloquea Youtube Elaboracin propia
FIGURA 56 Estado Youtube 24 de Febrero BGPlay
FIGURA 57 Estado Youtube 18.50 BGPlay
FIGURA 58 Estado Youtube 21.25 BGPlay
FIGURA 59 Mensaje alerta BGPMon www.BGPmon.com
FIGURA 60 Root-Servers www.emezeta.com/
FIGURA 61 Comando nslookup Elaboracin Propia
FIGURA 62 Root-Servers falsos ICANN
FIGURA 63 Secuestro de sesin https://www.owasp.org/index.php/Session_hijacking_attack
FIGURA 64 Conexin MITM https://www.owasp.org/index.php/Man-in-the-middle_attack
FIGURA 65 Sincronizacin al inicio de una sesin http://es.kioskea.net/
FIGURA 66 Route Flapping Penalizacin/tiempo http://web.eecs.umich.edu/

___________________________________________________________________________________________

XVII XVII
ACRNIMOS

Ack Acknowledgement
ACL Access Control List
ASN Autonomous System Number
BGP Border Gateway Protocol
DNS Domain Name System
DoS Denial of Service
eBGP Exterior BGP
EGP Exterior Gateway Protocol
EIGRP Enhanced Interior Gateway Routing Protocol
GNS-3 Graphic Network Simulator
iBGP Interior BGP
ICANN Internet Corporation for Assigned Names and Numbers
ID Identifier
IGP Interior Gateway Protocol
IGRP Interior Gateway Routing Protocol
IOS Internetwork Operating System
IP Internet Protocol
ISC Internet Systems Consortium
IS-IS Intermediate System To Intermediate System
ISP Internet Service Provider
MD5 Message-Digest Algorithm 5
MiT Man in the Middle
OSPF Open Shortest Path First
RFC Request For Change
RID Router ID
RIP Routing Information Protocol
s-BGP Secure BGP
so-BGP Secure Origin BGP
Syn Synchronization
TCP Transmission Control Protocol
TLD Top-level domain
WWW World Wide Web

___________________________________________________________________________________________

1

INTRODUCCIN Y MOTIVACIN

La seguridad informtica es un activo intangible y debe ser entendida como un proceso. Esta se
debe implantar en toda organizacin como un ciclo iterativo que incluye una serie de actividades
como la valoracin de riesgos, prevencin, y deteccin y respuesta ante incidentes de
seguridad. Toda empresa, ya sea lder, o seguidor en el sector, necesita de un sistema de
comunicaciones fiable y seguro.

Se entiende por sistema de comunicacin los componentes o subsistemas interrelacionados para la
transferencia de informacin. Toda comunicacin se inicia con la elaboracin y emisin de un
mensaje por un canal a uno o ms sujetos (Ver figura 1).

FIGURA 1: Modelo de un sistema de comunicacin

FUENTE: Elaboracin propia

La fuente es quien posee la informacin que en un momento dado se quiere transmitir. Este
sujeto no tiene la capacidad de transmitir el mensaje directamente, necesita de un transmisor. Este
transmisor es el que se va a encargar de adaptarlo a la naturaleza del medio. Una vez el mensaje
ha atravesado el medio, el mensaje ser recibido por un receptor, con funcionalidad inversa a la
del transmisor, que presentar la informacin al sujeto destino. El momento crtico en toda
comunicacin yace en el sistema de transmisin (Ver figura 2). Es en este instante, en la
transmisin de la informacin, es ms vulnerable a ser capturada, modificada y/o eliminada. Por
estos motivos, se debe estructurar de manera segura y eficiente como se va a enviar la informacin
y de quien y cuando se va a recibir informacin.

FUENTE TRANSMISIN MEDIO DESTINO RECEPTOR

___________________________________________________________________________________________

2

FIGURA 2: Modelo de un sistema de transmisin


Las principales premisas que deben destacar en toda infraestructura de seguridad han de estar
basadas en tres garantas bsicas:

Confidencialidad: garanta de mantener la debida privacidad de los datos de la entidad y/o
de los elementos del sistema.
Accesibilidad: los sistemas deben prestar servicio para el cual fueron diseados.
Integridad: garanta de que los datos no han sido manipulados o alterados

FUENTE TRANSMISIN MEDIO DESTINO RECEPTOR

___________________________________________________________________________________________

3

DEFINICIONES

1.1 Internet.

El diccionario de la Real Acadmica de la Lengua en su vigsima segunda edicin aporta la
siguiente definicin:
Red informtica mundial, descentralizada, formada por la conexin directa entre
computadoras u ordenadores mediante un protocolo especial de comunicacin.

FIGURA 3: Internet, red informtica mundial


Son varias las definiciones que se pueden encontrar de Internet, he aqu otra descripcin que
proporciona una visin ms detallada del concepto:

(Fuente: http://www.americanelearning.com/e-learning-cursos/internet/modulo01/u1l1.htm)

Una red mundial formada por millones de ordenadores de todo tipo y plataforma,
conectados entre s por diversos medios y equipos de comunicacin, cuya funcin
principal es la de localizar, seleccionar, e intercambiar informacin desde el lugar en
donde se encuentra hasta aquella donde haya sido solicitada o enviada.

___________________________________________________________________________________________

4

La primera concepcin de una red de ordenadores interconectados usando conmutacin de
paquetes para la transmisin de datos surgi en un programa de investigacin de ordenadores
promovido por DARPA en Octubre de 1962. Este concepto de red de ordenadores fue
evolucionando hasta la elaboracin de ARPANET en 1966 y publicado en 1967, inicialmente
para fines militares. Tras una larga evolucin de 30 aos de cambios lleg la Word Wide Web,
el servicio ms distinguido ofrecido en Internet. La WWW permite la consulta remota de archivos
de hipertexto. Desde 1967 (ARPANET) hasta la actualidad, Internet se ha ido modificando hasta
conseguir ser una red de comunicacin global. (Ver figura 4)

FIGURA 4: La prehistoria de Internet

FUENTE: www.noticiasdot.com/publicaciones

1962
1968
ARPANET
1980 cierra
ARPANET
1981
BITNET-NSFNet
1982
EUNET
1984
Nace DNS
1990
Espaa se conecta
1991
Protocolo WWW
1995
Los principales servicios online ofrecen conexin a Internet
1993
Nace Internic
1994
Yahoo
2,6
4,4
6,9
9,4
16
34
0
10
20
30
40
1990 1991 1992 1993 1994 1995
Evolucin de usuarios 90/95

___________________________________________________________________________________________

5

El avance del siglo es una asociacin voluntaria entre ordenadores de un extremo al otro del
globo. Un diseo basado en la confianza cooperativa entre diferentes entidades (como por
ejemplo, DNS y TCP). Internet es un conjunto de asunciones errneas y peligrosas debido a la
existencia de delincuentes informticos, tambin conocidos como hackers. Se entiende por
hacker a aquel usuario de ordenadores con las facultades cognitivas necesarias para acceder a un
sistema informtico ajeno y obtener informacin privilegiada.

En el caso que se plantea en este documento Internet es el medio por el cual se va a trasmitir la
informacin de un extremo a otro. (Ver figura 5)

FIGURA 5: Internet como medio de transmisin


Se van a considerar tanto al transmisor como al receptor dos routers conectados por Internet y
tendrn diferentes maneras de comunicarse que se vern ms adelante. (Ver figura 6)

FIGURA 6: Comunicacin entre routers


Un sistema de comunicaciones debe ser seguro y fiable. En la actualidad, Internet, no posee una
entidad de gobierno centralizado, una administracin unitaria que tenga control absoluto en la red.
Internet es una mercanca intangible, no tiene dueo. Es difcil otorgar plenos derechos a una
organizacin sobre un objeto tan ambiguo y uniforme como Internet.

INTERNET
TRANSMISIN MEDIO RECEPTOR
INTERNET

___________________________________________________________________________________________

6

La informacin fluye de un extremo a otro por un canal poco seguro basado en protocolos de
encaminamiento inestables y variables. Un protocolo de encaminamiento es un conjunto de
normas utilizadas por un transmisor cuando se comunica con el receptor con el objetivo de
compartir cierta informacin. Cuando se enva informacin por la red, no se es consciente de todos
los saltos que esta realiza para llegar a destinatario (Ver figura 7). Hay numerosos atributos de
seleccin de enlaces que se vern ms adelante.

FIGURA 7: Saltos de la informacin


1.2 Protocolos de encaminamiento

El trmino protocolo, procede del latn protocollum, cuyo significado refiere a la primera hoja
de un manifiesto en la cual se establecen unas instrucciones fijas. Este trmino aplicado a un
sistema de transmisin como Internet, es la aplicacin de unos pasos fijos, continuos,
estructurados y finitos que permiten llegar a un punto final desde un estado inicial. Un protocolo
es un algoritmo estructurado para hacer posible una buena comunicacin. Se puede hablar de
algoritmo ya que estas instrucciones fijas son las que, de una manera abstracta, hacen posible el
encaminamiento.

___________________________________________________________________________________________

7

Todo host que maneja un datagrama seguira el siguiente ciclo iterativo (algoritmo):

FIGURA 8: Algoritmo


1.3 Border Gateway Protocol

Border Gateway Protocol es un protocolo de enrutamiento que sirve como pasarela externa entre
dominios (Interdomain Routing Protocol) que en su da fue diseado sin seguridad integrada. A lo
largo del tiempo se han propuestos protocolos alternativos sin que a da de hoy ninguno haya sido
ampliamente implementado. Al ser BGP el protocolo que sirve como gua y traza de las rutas de
Internet, una adecuada configuracin del mismo es crtica. Los errores en BGP pueden resultar en
desastres que puedan aislar o dejar sin servicio de Internet amplias zonas. Las incidencias pueden
ser tanto locales como en redes remotas, y se considera absolutamente necesario el profundizar en
las consecuencias de las decisiones relativas a la configuracin e implementar algunas acciones
para incrementar la seguridad y defensa del protocolo BGP.

___________________________________________________________________________________________

8

1.4 Microsoft Visual Studio 2010

En este proyecto se presentar una aplicacin de anlisis de routers. Dicha aplicacin se ha
programado con el editor de Microsoft, Microsoft Visual Studio 2010. Esta herramienta es un
entorno de desarrollo integrado y sirve para el desarrollo de aplicaciones sharepoint, la Web,
Windows y Windows Phone.

FIGURA 9: Microsoft Visual Studio 2010

FUENTE: Microsoft

___________________________________________________________________________________________

9

BORDER GATEWAY PROTOCOL

2.1 Introduccin

La primera versin [25] de este protocolo apareci en 1989 para sustituir a EGP. Posteriormente en
1990 apareci la segunda versin en la RFC 1163. Un ao ms tarde, en 1991, la tercera versin
de BGP, recogida en la RFC 1267 y finalmente lleg BGP-4 que proporciona soporte para CIDR
(RFC 1771 y RFC 4271). La funcin principal de BGP es intercambiar la informacin rutas de
redes con otros sistemas BGP.

BGP tiene dos extensiones dependiendo del tipo de enlace que se est haciendo, interno o
externo. La versin externa de este protocolo se denomina eBGP, la cual conecta las fronteras de
los sistemas autnomos. Un sistema autnomo es un conjunto de redes dentro de una misma
organizacin controlado por una misma entidad. En cambio, la modalidad interna del protocolo,
iBGP, sirve para enlazar routers dentro de un mismo sistema autnomo. El uso de BGP requiere
de una sincronizacin, ya que antes de inyectar BGP en la infraestructura de la red, las diferentes
rutas deben ser conocidas por el Internal Gateway Protocol, de ahora en adelante, IGP, como su
nombre indica, es un protocolo de pasarela interna. Este hace referencia a los protocolos usados
dentro de la organizacin. Existen diversos tipos de IGPs, los cuales son:

Sistema intermediario a sistema intermediario. (IS-IS)
Protocolo de informacin de encaminamiento. (RIP)
Protocolos de enrutamiento de pasarela interno. (IGRP)
Open shortest path first (OSPF).

BGP utiliza TCP versin 4 como protocolo de transporte. TCP agrupa los requisitos de transporte
de BGP y funciona en todo los routers y hosts comerciales que utilizan TCP/IP. BGP utiliza el
puerto 179 de TCP para establecer sus conexiones. Cuando la conexin empieza, un enlace BGP
intercambia copias completas de su tabla de rutas. Una vez la conexin se ha establecido, el enlace
BGP solo intercambiar con otros enlaces los cambios que le sean notificados, lo que convierte a
este protocolo en ms eficiente en trminos de eficiencia.

___________________________________________________________________________________________

10

BGP tiene un nmero significante de ventajas sobre otros protocolos de encaminamiento externo,
como por ejemplo:

Puede operar con redes que tienen topologas cerradas.
Anuncia todos los sistemas autnomos durante la trayectoria.
Debido a la segunda ventaja, un nodo que recibe ms de un camino posible, puede elegir
sin margen de error, el mejor camino.

2.2 Mensajes y cabecera de BGP

Para facilitar el encaminamiento en Internet, fue dividida en sistemas autnomos. Esto acarrea la
imposibilidad de encontrar el camino ms corto para cada enlace ya que cada SA utiliza su propio
protocolo IGP [3] con sus propias polticas de seguridad, por lo que una vez aplicada una serie de
restricciones, BGP utiliza un algoritmo para encaminar similar al vector distancia, llamado path-
vector. Para facilitar la correcta eleccin de rutas, es crucial proteger los mensajes de actualizacin
(UPDATES).

Existen 4 tipos de mensajes en BGP:

OPEN: Es el primer mensaje enviado al iniciar una sesin BGP.
KEEPALIVE: Mensaje de confirmacin tras un OPEN.
NOTIFICATION: Mensaje para finalizar una sesin BGP
UPDATE: Mensaje para intercambiar informaciones de encaminamiento.

Toda cabecera [4] BGP tiene 4 campos (Figura 10):

El campo marker est al principio de todo mensaje BGP y sirve para autentificacin y
sincronizacin (inicialmente todo a 1s).
El campo longitud es la longitud total del mensaje BGP incluida la cabecera.
El campo tipo es un valor numrico que oscila entre 1 y 4 dependiendo del tipo de mensaje
(OPEN, UPDATE, NOTIFICATION, KEEPALIVE)
El campo mensaje contiene campos especficos para cada tipo de mensaje para OPEN,
UPDATE y NOTIFICATION.

___________________________________________________________________________________________

11

FIGURA 10: Formato Cabecera Mensaje BGP

Mensaje


2.2.1 Formato KEEPALIVE

Los mensajes KEEPALIVE [2] se intercambian entre un router y su par para que el Hold-Timer
no expire. Hay un tiempo mximo razonable entre mensajes KEEPALIVE y este sera un tercio
del intervalo del Hold-Timer . Los mensajes KEEPALIVE no se deben enviar con mayor
frecuencia que uno por segundo. La decisin del intervalo entre cada KEEPALIVE se debe ajustar
como una dependencia total del Hold-Timer. Si por ejemplo, el Hold-Timer es 0, no se deberan
enviar KEEPALIVE peridicamente.

Mensaje

Marker (16 Bytes)
0 8 16 24
32
Longitud (2 Bytes)
Tipo (1 Byte)

___________________________________________________________________________________________

12

2.2.2 Formato OPEN

Cuando se establece una sesin BGP, el primer mensaje que se enva es un OPEN [2] (ver Figura
11). Si el receptor acepta el OPEN, se intercambiarn mensajes del tipo UPDATE,
KEEPALIVE, y NOTIFICATION.

FIGURA 11: Formato mensaje OPEN

Version = 4

Autonomous
System

Hold-TIme

BGP Identifier

Parameter
Length

Operational
Parameter

Marker

Length

BGP Type = 1 Open

Data


La cabecera de un mensaje OPEN contiene los siguientes campos:
Version: Un octeto del tipo entero que especifica la versin del protocolo que se est
usando (4 en la actualidad).
Autonomous System: Dos octetos del tipo entero que indican el nmero de sistema
autnomo del emisor.
Hold-Time: Dos octetos del tipo entero que indican los segundos que propone el emisor
para este valor. Es el tiempo de espera establecido entre un router y su par.
BGP Identifier: Cuatro octetos del tipo entero que indican el identificador BGP del emisor.
Un emisor BGP puede establecer este valor como una direccin IP asignada a ese emisor
BGP.
Parameter Length: Un octeto del tipo entero que indica la longitud total del Optional
Parameters.
Optional Parameters: Este campo puede contener una lista de parmetros opcionales, los
cuales se cifran de tal manera:
<Parameter Type, Parameter Length, Parameter Value>

___________________________________________________________________________________________

13

2.2.3 Formato UPDATE

Los mensajes UPDATE [2] (ver Figura 12) se usan para intercambiar informacin de rutas entre
pares BGP. La informacin en un paquete UPDATE se puede usar para construir un grafo
describiendo las relaciones entre varios sistemas autnomos.

FIGURA 12: Formato mensaje UPDATE


La cabecera de un mensaje UPDATE contiene los siguientes campos:
Unfeasible Routes Length: Dos octetos del tipo entero indica la longitud del campo
withdrawn routes. Un 0 en este campo signifia que se est quitando ninguna ruta.
Withdrawn Routes: Este campo es variable y contiene una lista de todos los prefijos cuyas
direcciones IP se estn quitando por el servidor.
<length, prefix>
Length: Este campo contiene la longitud en bits de los prefijos. Un 0
indica un prefijo que vale para todas las direcciones IP.
Prefix: Este contiene los prefijos de las direcciones.

Total Path Attribute Length: Este atributo son dos octetos del tipo entero contiene la
longitude total de los octetos del atributo del Path Attributes.
Path Attribute: Un campo variable cuya presencia es necesaria en todos los UPDATE. Este
campo contiene los siguientes tres elementos:
<attribute type, attribute length, attribute value>

Unfeasible
Routes
Length

Witdrawn Routes

Total Path
Attribute Length

Patht Attributes
Network Layer
Reachability
Information

Marker

Length

BGP Type = 1 Open

Data

___________________________________________________________________________________________

14

2.2.4 Formato NOTIFICATION

Un mensaje de NOTIFICATION [2] (ver Figura 13) se enva cuando se ha detectado un error o
una condicin anmala. La sesin BGP se cerrar inmediatamente una vez se haya enviado este
mensaje.

FIGURA 13: Formato mensaje NOTIFICATION


La cabecera de un mensaje NOTIFICATION contiene los siguientes campos:
Error Code: Este octeto del tipo entero indica el tipo de NOTIFICATION. Los error code
que existen son los siguientes:
1. Error en la cabecera
2. Error en el OPEN
3. Error en el UPDATE
4. Tiempo de espera terminado
5. Error en la mquina final
6. Terminar
Error Sub-Code: Este octeto del tipo entero provee informacin ms especfica sobre la
naturaleza del error. Cada error tendr uno o ms Error Sub-Code asociados.
Data: Este octeto variable se usa para especificar la razn de la NOTIFICATION. La
informacin en este campo depende del Error Code y del Error Sub-Code.

Error Code

Error Sub-Code

Error Data

Marker

Length

BGP Type = 1 Open

Data

___________________________________________________________________________________________

15

2.3 Sesin BGP

2.3.1 Establecimiento de una sesin

La caracterstica primordial de este protocolo es la configuracin entre peers (vecinos). Para que
una comunicacin BGP sea llevada cabo, dos routers deben establecer su vecindad. Para que
dos routers sean vecinos necesitan enviarse la siguiente informacin:

Nmero de versin BGP
Nmero de AS
Router ID (RID) de BGP

Dos vecinos BGP pueden establecer dos tipos de peering, iBGP y eBGP. Dentro de un mismo
SA, dos routers vecinos establecen un peering iBGP. Este tipo de BGP tambin puede ser usado
en los sistemas autnomos de trnsito. Los SA de trnsito reenvan el trfico desde un SA a otro.
Una buena configuracin de iBGP evita bucles de routing ya que un router iBGP no retransmite
la informacin en otros vecinos iBGP. Entre diferentes SA, dos vecinos BGP estableceran un
peering eBGP, estos vecinos deben tener una subred comn. Los routers eBGP no tienen por qu
estar conectados fsicamente, sino que pueden estar conectados saltando varias redes (eBGP
Multihomed).

Un enlace BGP pasa por diferentes estados conocidos como, neighbor states. Estos estados se
trasmiten a lo largo de una sesin/comunicacin BGP, mediante la interactuacin de los enlaces
que participan en la sesin. Estos se generan automticamente siguiendo un bucle, (Ver figura 14),
los cuales se enumeran a continuacin para su posterior anlisis:

IDLE: El vecino no responde.
ACTIVE: Esperando conexin.
CONNECT: Sesin TCP establecida.
OPEN SENT: Mensaje OPEN enviado.
OPEN CONFIRM: Respuesta recibida.
ESTABLISHED: Adyacencia establecida.

___________________________________________________________________________________________

16

FIGURA 14: Neighbor state

FUENTE: http://en.wikipedia.org/wiki/Border_Gateway_Protocol

Dos sistemas que estn conectados (ver figura 15) entre s, intercambian un mensaje de inicio de
sesin y confirma los parmetros de conexin. La primera trama de informacin que correr en el
establecimiento de sesin ser toda la informacin de rutas de BGP. Si surge algn cambio, se
enviaran solo el cambio, es decir, BGP no necesita de actualizaciones peridicas de sus tablas de
rutas. Los mensajes KEEPALIVE se envan para saber si la conexin sigue activa. Los mensajes
de notificacin son respuestas a posibles errores o condiciones especiales. Si durante la conexin
se detecta un error, se enva un mensaje de notificacin y se cierra la conexin.

En el interior de un sistema autnomo, los protocolos de encaminamiento interno se encargan de
proveer a los routers internos de las tablas de rutas. En cambio, las tablas de rutas externas, dentro
de un sistema autnomo, se propagan teniendo todos los routers del sistema conectados va BGP.
Las polticas de seguridad establecern que router se usar como entrada/salida del sistema. Antes
de activar BGP dentro del sistema, es importante que todos los routers internos tengan la
informacin de trnsito actualizada.

Las conexiones entre enlaces BGP pertenecientes a diferentes sistemas autnomos se conocen
como enlaces externos. Las conexiones BGP entre enlaces BGP dentro del mismo sistema
autnomo se conocen como enlaces internos. Igualmente, un enlace dentro del mismo sistema
autnomo se denominar vecino interno, y entre diferentes sistemas autnomos, se denominaran
vecino externo.

___________________________________________________________________________________________

17

FIGURA 15: Inicio de una sesin BGP

FUENTE: GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition
(McGraw-Hill technical expert series). 1998

Established

Established

Listen

Syn Sent
Ack

TCP TCP BGP

BGP

Idle
Connect

Idle
Connect

Open
Request

Open
Request

Initializing

Initializing

Syn Ack

Syn

Open

Opened

Established

Established

Opened

Open Sent

Open

Open Sent

KeepAlive

KeepAlive

Open Confirm

Open Confirm

Update

Update

___________________________________________________________________________________________

18

Los pasos enumerados a continuacin con los que BGP utiliza para activar una sesin entre dos
routers:

1. Dos routers que quieran intercambiar informacin BGP, establecen una conexin a nivel
de transporte TCP. Una conexin de transporte se establece para que BGP pueda crear una
comunicacin fiable con su par.

2. Una vez se ha establecido la conexin a nivel de transporte, el par de routers intercambian
mensajes para abrir y confirmar los parmetros de la sesin BGP. Estos parmetros
incluyen el nmero de la versin BGP que se est utilizando, el nmero del sistema
autnomo, los valores de timeout de los mensajes del protocolo, y la informacin de
autenticacin.

3. Una vez la sesin BGP est abierta, inicialmente los routers intercambian las tablas de
rutas con su par. La informacin de cada ruta incluye una lista de los sistemas autnomos
que tendran que atravesar para llegar al destino.

4. Terminado el intercambio de informacin, las actualizaciones se envan cuando haya algn
cambio en las tablas de rutas. Para enviar estos cambios, se necesita un servicio a nivel de
transporte. Esta es la razn por la que BGP necesita trabajar sobre TCP.

5. Los mensajes KEEPALIVE para saber el estado de la conexin.

6. Si ocurre algn error, se enva un mensaje de NOTIFICATION, y la conexin se cierra.

2.3.2 Estados BGP

Como ya se ha anunciado previamente, un enlace BGP pasa por diferentes estados durante una
sesin BGP, tambin conocido como neighbor states [2]. Cabe mencionar que todo enlace BGP
inicialmente se encuentra en el Idle State. A continuacin se explicar con mayor detenimiento los
estados por los que pasa un enlace durante la sesin.

___________________________________________________________________________________________

19

a) Idle State (Estado Paralizado)
En este estado, BGP desecha todas las conexiones BGP entrantes. En un principio, todas las
comunicaciones empiezan por el I dle State, posteriormente se inicia la conexin en la capa de
transporte y si esta se realiza con xito, cambiara su estado a Connect.
Si un vecino BGP detecta un error, cierra la conexin y cambia su estado a Idle. Para volver a
cambiar su estado se debera iniciar otra vez la conexin. Este proceso no se debe automatizar
nunca. El valor del temporizador para iniciar una sesin son 60 segundos. Para cada denegacin
consecutiva se doblar el valor del temporizador. Cualquier evento recibido durante este estado se
ignora.

b) Connect State (Estado Conectado)
En este estado, BGP est esperando a que termine la conexin en la capa de transporte. Si esta
conexin termina satisfactoriamente borra el temporizador del ConnectRetry, completa la
inicializacin, manda un OPEN a su par, y cambia su estado a OpenSent.
Si la conexin en la capa de transporte falla, el emisor reinicia el ConnectRetry, sigue a la espera
de una conexin y cambia su estado a Active State. Mientras el enlace este en Active State,
cualquier evento de inicio ser ignorado.

c) Active State (Estado Activo)
En esta estado, BGP est intentando que el enlace inicie una conexin en la capa de transporte. Si
esto ocurre, borrara el temporizador del ConnectRetry, enviara un OPEN a su par, establecera su
Hold-Timer (tiempo de espera) a un valor muy grande y cambiara su estado a OpenSent.
Si expira el tiempo del ConnectRetry, se reiniciara, e iniciara una sesin en la capa de transporte
con otro vecino, continuara a la espera de una conexin y en tal caso cambiara su estado a
Connect.
Si el sistema local detecta que un vecino remoto est intentando establecer una conexin BGP, y la
direccin IP del mismo no se conoce, reiniciara el ConnectRetry, rechazara el intento de
conexin, seguira a la espera de una conexin que podra iniciarse por un enlace BGP remoto, y
seguira en Active State.

___________________________________________________________________________________________

20

d) OpenSent State (Estado Open Enviado)
Durante este estado, BGP est a la espera de un mensaje del tipo OPEN de su par. Cuando se
recibe, se analizan los campos y si detecta algn error, el sistema local enviara una
NOTIFICATION al enlace y cambiara a I dle State.
Si no se detecta ningn error en el mensaje, BGP enviara un KEEPALIVE e inicia un
temporizador Keepalive. El tiempo de espera, que inicialmente se estableci con un valor muy
grande, se reemplazara con un tiempo de espera acordado.
Si se recibe un mensaje de desconexin en la capa de transporte, el sistema local cerrara la
conexin BGP, reiniciara el temporizador del ConnectRetry, se pondra a la espera de otra
conexin, y cambiaria su estado a Active State.
Si el tiempo de espera acordado se termina, el sistema local enviara una NOTIFICATION con
el cdigo de error 4 (Hold Timer Expired) y se cambiara a I dle State.
Ante cualquier otro evento, el sistema local enviara una NOTIFICATION con el cdigo de error
5 (Finite State Machine Error) y se cambiara a I dle State.
Cuando un sistema BGP cambiar su estado de OpenSent State a I dle State, cierra la conexin
BGP (y en la capa de transporte) y desecha todas la informacin asociada a esa conexin.

e) OpenConfirm State (Estado Confirmacin de un Open)
Durante este estado, BGP est a la espera de un mensaje KEEPALIVE o de NOTIFICATION.
Si el sistema local recibe un KEEPALIVE, cambiara su estado a Established.
Si el tiempo de espera expira antes de que se reciba algn KEEPALIVE, el sistema local enviara
una NOTIFICATION con el cdigo de error 4 (Hold Timer Expired) y se cambiara a Idle State.
Si el sistema local recibe una NOTIFICATION, cambiara su estado Idle State. Si el tiempo del
KeepAlive expira, el sistema local enviara un KEEPALIVE y reiniciara el temporizador del
KeepAlive.
Si se recibe una notificacin de desconexin en la capa de transporte, el sistema local cambiara su
estado a I dle State.
Cualquier inicio de sesin sera desechado durante este estado. En respuesta a cualquier otro
evento, el sistema local enviara una NOTIFICATION, con el cdigo de error 5 (Finite State
Machine Error) y se cambiara a I dle State.

___________________________________________________________________________________________

21

Si BGP cambia su estado de OpenConfirm State a I dle State, BGP cerrara la conexin BGP,
incluida en la capa de transporte y desechara toda la informacin de la conexin

f) Established State (Estado Establecido)
En el Established State, BGP puede intercambiar mensajes del tipo UPDATE, NOTIFICATION
y KEEPALIVE con su par.
Si el sistema local recibe un UPDATE o un KEEPALIVE, este reiniciara el Hold-Timer si el
Hold-Timer acordado fuese mayor que 0.
Si el sistema local recibe un NOTIFICATION, este cambiara su estado a I dle State. Si el sistema
local recibe un UPDATE, y en este se detecta un error, el sistema local enviara un mensaje de
NOTIFICATION con el cdigo de error 4 (Hold Timer Expired) y cambiara su estado a I dle
State.
Si el tiempo del KeepAlive se agota, el sistema local enviara un KEEPALIVE y reiniciara dicho
temporizador.
Siempre que el sistema local enviar un KEEPALIVE o un UPDATE, este reinicia el tiempo del
KeepAlive, siempre y cuando el valor del Hold-Timer acordado sea distinto de 0.
Los eventos de inicio de sesin durante este estado se ignoran.
En respuesta a cualquier otro evento, el sistema local enviara una NOTIFICATION con el
cdigo de error 5 (Finite State Machine Error) y cambiara su estado I dle State.
Siempre que BGP cambia su estado de Established State a I dle State, se cierra la conexin BGP,
capa de transporte incluida, y desecha toda la informacin relacionada con esa conexin y elimina
todas las rutas recibidas durante la misma.

___________________________________________________________________________________________

22

2.4 Reglas de filtrado

Los errores en BGP ms comunes son fallos de configuracin. Un buen administrador de red
puede establecer filtros de red en sus tablas de rutas BGP. Existen diferentes tipos de filtros BGP,
se realizar un estudio detallado de cada filtro BGP. A nivel conceptual se presenta lo siguiente:

Communities de BGP: un atributo global voluntario y transitivo entre 1y 4.294.967.200
(tipos: internet, no-export, no-advertise, local-as)
BGP prefix lists: filtran envos y entradas de rutas que se envan o se reciben de otros
vecinos.
BGP distribute lists: filtran las listas de rutas que se reciben o se emiten.
Filtros de BGP as path: filtrado por sistema autnomo, tiene operadores de comparacin
para establecer los filtros. ( .; ^; $; _, *). Un ejemplo de filtrado BGP as path sera el
siguiente:

Se quiere filtrar todo el trfico que venga de cualquier sistema autnomo que
comience por 458:
^458_

En la actualidad solo existen 2 maneras de configurar un trfico BGP seguro y fiable. Por un lado,
un administrador de red, configurando adecuadamente los filtros tanto de entrada como de salida,
descartara los prefijos reservados recibidos. Asimismo, tratndose de una organizacin final,
evitara ser transitada, modelando el correcto control de acceso para obviar informacin no
autorizada (spoofing). Por otro lado, promovera el uso de contraseas al establecimiento de una
sesin pero este genera demasiados problemas y lo convierte poco prctico. sta opcin abre un
nuevo abanico de problemas, como son:

Distribucin de contraseas: si las claves son interceptadas, no sirven.
Tiempo establecido para cambiar contraseas: los administradores de red de los enlaces
perifricos deben saber cada cuanto tiempo cambiar las claves y hacerlo en el instante
exacto.

___________________________________________________________________________________________

23

Como se aprecia, el establecimiento de claves, genera inconvenientes operacionales. Aun as, una
clave utilizada nicamente al inicio de una transmisin BGP no impide que esta pueda ser
interceptada y que uno de los dos extremos sea suplantado.

2.4.1 Configuracin de MD5

Message-Digest Algorithm 5 (Algoritmo de Resumen del Mensaje 5) es un algoritmo de
encriptacin de 128 bits. Se entiende por encriptacin:

(Fuente: http://www.alegsa.com.ar/Dic/encriptacion.php)

La encriptacin es el proceso para volver ilegible
informacin considerada importante. La informacin una
vez encriptada slo puede leerse aplicndole una clave.

Configurar MD5 en BGP es bastante sencillo. Un administrador de red que establezca un
algoritmo de encriptacin como MD5 entre dos routers se asegurar que cada segmento enviado
en una sesin TCP estar verificado previamente. El inconveniente de usar MD5 es que ambos
routers tendrn que tener la misma contrasea, sino, la conexin nunca se llevar a cabo. Vase el
siguiente ejemplo:

Ejemplo de configuracin de MD5

En este ejemplo se va a configurar MD5 entre dos routers del mismo sistema autnomo. Datos de
inters:

Vase Figura 16
Contrasea MD5: EjemploMD5

___________________________________________________________________________________________

24
FIGURA 16: Filtrado por MD5


Las 3 lneas a tener en cuenta en las configuraciones de los dos routers estn marcadas a
continuacin (Vase figura 17). En estas 3 lneas se est haciendo lo siguiente:

neighbor x.x.x.x password contrasea: configuracin IBGP usando la direccin de
Loopback.
neighbor x.x.x.x update-source Loopback: Invocar a MD5 en una session TCP con
un vecino BGP.
ip route x.x.x.x 255.255.255.255 y.y.y.y: Establecer ruta esttica para saber que se
puede llegar a ella.

FIGURA 17: Configuracin MD5

AS 150
192.168.1.1 /24 192.168.1.2 /24
R2
R1
Loopback1: 10.10.10.10/ 32

Loopback2: 20.20.20.20/ 32

___________________________________________________________________________________________

25

2.4.2 Filtrar usando Router-Map

Las instrucciones del Route-Map son un conjunto de listas de comandos y set asociados para
filtrar el trfico BGP entrante/saliente. Los comandos ms importantes a la hora de configurar este
tipo de filtro son los siguientes:

Match: especifica el criterio de verificacin.
Set: especifica las acciones.

Siguiendo con el ejemplo anterior, la configuracin Route-Map de R2 sera la siguiente:

FIGURA 18 Configuracin Router-Map


___________________________________________________________________________________________

26

2.4.3 Filtrar usando Filter-List

Filter-List provee diferentes tipos de filtro. En el ejemplo que se ha ido elaborando a lo largo de
este apartado, supngase, que se quieren filtrar todas las rutas que venga del exterior. Es decir, en
el router 2 se quieren filtrar todas las rutas que no sean locales, la sintaxis sera la siguiente:

ip as-path access-list 10 permit ^$

Imagine que el router 2 est conectado a un proveedor de servicio. Este pertenece al sistema
autnomo 200. En el router 1, se quiere desechar todas las rutas que no provengan de este SA. La
sintaxis en este caso es la siguiente:

ip as-path access-list 10 permit ^200$

2.5 BGP-4

La versin actual de BGP, BGP-4, est definida en la RFC 1771. BGP-4 es un protocolo de
encaminamiento entre sistemas autnomos. Un sistema autnomo es un conjunto de redes dentro
de una misma organizacin, como por ejemplo, una red universitaria. Este conjunto de redes
tienen definida una nica poltica de encaminamiento. Los sistemas autnomos tienen un
identificador de 16 bits (de 0 a 65536) pero al igual que en direcciones IP, este rango es terico ya
que del 64512 al 65535 se encuentran reservados para uso privado (Ver figura 16).

BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantacin de prefijos,
sistemas autnomos o routers, pueden realizarse con mucha facilidad. Tambin es crucial la buena
configuracin de BGP, ya que un error en su configuracin puede emblandecer la seguridad de la
organizacin. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un
fallo de configuracin se mantengan local y no se propaguen por todo Internet.

___________________________________________________________________________________________

27

FIGURA 19: Conexin entre sistemas autnomos


BGP-4 tiene conocidas vulnerabilidades muy difciles de solventar, si bien estas deficiencias
deben ser estudiadas en detalle. Dos puntos clave deben ser tomados en referencia a los riesgos del
protocolo:

Cualquiera que se conecte a internet, sin las medidas de proteccin apropiadas est
expuesto a determinados riesgos en los parmetros obtenidos para enrutamiento que
pueden derivar en una denegacin de servicio (DoS), secuestro de sesin, o intercepcin de
las transacciones realizadas.

Un riesgo aadido, es que hoy en da no todos los tcnicos desempeando misiones en
infraestructura de red disponen de una capacidad tcnica y de conocimientos para
cuantificar y analizar todos los riesgos, lo cual implcitamente es determinante en el modo
de analizarlos y remediarlos. As mismo debemos aadir a las amenazas externas y sus
ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan
sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuracin
realizados por los tcnicos y administradores de la red.

R
1
R
2
R
3
R
4
R
5
R
6
AS: 33123
AS: 00079
AS: 60203
Enlaces interno
Enlaces externos
Router BGP

___________________________________________________________________________________________

28

2.6 Seguridad en BGP

Cada vez hay un mayor nmero de gestiones y dependencias a nivel de usuario realizadas en
Internet. Un fallo en BGP sera fatal para la comunicacin en la World Wide Web (www). El
desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y
que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debera ser un
objetivo primordial para todas las organizaciones. Estas no ven una mejora inmediata que pueda
repercutir en sus clientes y probablemente hasta que no se reciban varios ataques al protocolo BGP
no se considerar la necesidad de asegurar sus sistemas.

Existen propuestas formales para hacer BGP seguro tales como:

TCP/MD5 [RFC 2385]: Es una extensin a TCP que incluye firma MD5.
soBGP (Secure Origin BGP): Verifica el origen de cada mensaje, utiliza certificados y un
nuevo tipo de mensaje.
S-BGP I (Secure BGP): Propuesta para incluir autentificacin, integridad y autorizaciones
en los mensajes BGP.

Entre las alternativas ms satisfactorias presentadas para dotar de seguridad a BGP, cabe destacar
Secure BGP (S-BGP) desarrollado por BBN Technologies y promovido por la National Security
Agency (NSA) y por la Defense Advanced Research Projects Agency (DARPA). El objetivo de S-
BGP es el de garantizar la autenticidad, integridad y autorizaciones a los mensajes BGP. Secure
BGP se basa en 3 elementos:

Certificados digitales: 2 Public Key Infrastructure (PKIs) para autentificar los prefijos IP y
sistemas autnomos.
Attestations: de direcciones y de rutas
IPSec: aportar autenticidad e integridad entre pares de routers.

La implantacin de S-BGP requiere de grandes inversiones para la actualizacin software como de
hardware. Los routers no solo haran funcin re-lee, sino que tambin deberan tener mayor
memoria para almacenar certificados digitales y mayor capacidad de proceso para realizar
funciones criptogrficas.

___________________________________________________________________________________________

29

Considerable obstculo para la implantacin de S-BGP, es la colaboracin de las entidades de
registro para hacerse cargo de las necesidades bsicas de usar PKIs, tales como:

Emisin de los certificados
Renovacin de los certificados
Mantenimiento y publicacin de listas de revocacin

En seguridad BGP se han estudiado diferentes propuestas, la excesiva complejidad de estas
soluciones las convierte en poco prcticas. Invertir en seguridad es determinante para satisfacer un
grado de seguridad necesario. An no cubriendo todas las vulnerabilidades conocidas, una
propuesta que cubra las principales con un menor coste sera puesta en marcha de inmediato.

2.7 Resumen

El administrador de una organizacin puede solucionar parcialmente los ataques intencionados
hacia su sistema autnomo. Estas opciones de seguridad eliminan en parte las posibles agresiones
pero se necesitan soluciones globales de seguridad en BGP. Los fallos de configuracin son ms
comunes que los ataques al protocolo BGP. Estos errores deben ser estudiados en las polticas de
seguridad.

Una correcta documentacin de la infraestructura de red ayudar a corregir y localizar posibles
fallos de configuracin. En el siguiente apartado se va a realizar una configuracin completa de un
caso real BGP recogiendo toda la informacin necesaria para limitar el rango de error y facilitar el
correcto mantenimiento de la red.

___________________________________________________________________________________________

30

CONFIGURACIN SIMPLE DE BGP

3.1 Introduccin

El nmero de fallos de configuracin [1] potenciales que un administrador de red puede introducir
a una interconexin de redes es ilimitado. A la hora de configurar un router, los Internetwork
Operating System, de ahora en adelante IOS, de Cisco, envan numerosos avisos durante el
proceso para evitar que estos fallos echen abajo toda una infraestructura de red.

Cuando se vaya a realizar una configuracin de una red, toda la documentacin debe estar
recogida en un mismo documento. Esto facilitara el mantenimiento y su correcta configuracin. El
documento se podra dividir en los siguientes puntos:

Administrativos: nombre de los routers, contraseas, servicios y nombres de usuarios.
Interfaces: ancho de banda, mtrica, autenticacin y encapsulacin.
Protocolos de encaminamiento: IGRP, EIGRP, OSPF, RIP y BGP.
Gestin del trfico: listas de control de accesos. (ACLs)
Polticas de encaminamiento: mapa de las rutas.

Las tres secciones que pueden ayudar a entender o localizar un fallo de configuracin sern
el/(los) protocolo(s) que se est usando, la gestin del trfico, o la lista de control de accesos.
Siempre que se vaya a hacer un cambio en la configuracin de la red, este deber estar recogido en
el documento que contenga toda la instalacin y/o configuracin previa.

Una vez se tiene documentada toda la informacin que se ha calificado como necesaria para una
correcta poltica de seguridad, es necesario saber como la red/organizacin se va a comunicar con
el exterior. Internamente se puede estar usando cualquier IGP (como OSPF) e incluso
interconectar varios IGPs (como IGRP o RIP), el problema de estos protocolos es que sus orgenes
no fueron diseados para soportar un nmero elevado de rutas. Es necesario usar otro protocolo
para transportar todas las rutas que son el resultado de interconectar todos los dominios que
forman Internet. Estos protocolos son conocidos Exterior Gateway Protocols (EGP). El protocolo
ms popular de esta rama de los protocolos de encaminamiento es BGP.

___________________________________________________________________________________________

31

El encaminamiento en BGP no es un protocolo basado en buscar el camino ms corto entre una
fuente y un destino. Cuando un router BGP tiene ms de un camino por el que puede enviar un
paquete, el proceso de encaminamiento se convierte, en cierta manera, muy complejo. La eleccin
de la ruta requiere de un anlisis y comparacin de hasta 12 parmetros. En cualquier otro
protocolo interno de encaminamiento (IGP), el proceso de encaminar queda reducido a un simple
numero, este nmero puede ser una funcin de otras muchas variables dependiendo del protocolo
que se est usando. En BGP esto cambia, el llegar a un destino establecido, puede estar
determinado por muchos atributos, tales como:

AS_path
Preferencias locales
Origen
Peso
Comunidad

Para entender las diferentes problemticas que pueden surgir a la hora de configurar un router en
BGP, supngase que se plantea el siguiente caso (Ver figura X). En este escenario se tiene un
cliente, denominado C1, y dos proveedores de enlaces P1 y P2.

Para configurar la presente situacin se van a usar una serie de comandos preestablecidos e
identificados en el protocolo BGP. Este proceso de configuracin se activa y se procesa e un
router Cisco mediante el siguiente comando:

Router bgp as_number

Donde el as_number es el nmero del sistema autnomo al que el router que se quiere configurar
pertenece. Los sistemas autnomos BGP son los bloques que constituyen toda la infraestructura
de internet, son colecciones de routers y redes con polticas de encaminamiento que son guiadas
por consideraciones econmicas, polticas y de seguridad. La activacin de un proceso BGP en un
router requiere de un nmero de sistema autnomo (ASN), este nmero que se usara para activar
el proceso BGP identifica unvocamente el sistema autnomo al que el router pertenece.

___________________________________________________________________________________________

32

3.2 Estado de la cuestin

Supngase que el cliente C1 se dedica a la compra/venta de productos por Internet. C1 tiene
multitud de clientes y para poder darles servicio debe ser capaz de admitir cientos de accesos
diarios a su pgina web. Debido a esto, decide ser multihomed, lo que significa que C1 usar ms
de un proveedor de servicio para poder ofrecer tales servicios. Teniendo varios niveles de
multihoming, C1 se asegura que si uno de sus proveedores deja de prestar servicio, el acceso a su
pgina web est garantizado. En la figura se puede ver que a C1 se puede llegar desde el
proveedor P1 y desde el proveedor P2, adems P1 y P2 estn conectados entre s por lo que a C1
se puede acceder va P1-P2 o desde P2-P1.

Para realizar una correcta configuracin del caso que se ha planteado en este proyecto, se va a
recaudar toda la informacin necesaria ya explicada en el punto anterior. Considrese el
administrador de red del Cliente. Segn los puntos que se han comentado en el apartado anterior,
se debera implementar un modelo de configuracin optimizado y lo ms preciso posible.

3.2.1 Aspecto administrativos

El cliente necesita dar servicio a centenares de visitas diarias, por lo que ha decidido ser
multihomed. Los routers que ha decidido implantar en su infraestructura de red son dos routers
Cisco 3640 (las caractersticas de dichos routers se pueden ver ms abajo). Ambos routers estn
conectados mediante un switch por Fast Ethernet. Solo uno de ellos (RC1) servir de enlace con el
exterior. Se va a establecer MD5 entre los dos routers para asegurar la seguridad de la conexin, la
contrasea que se va a usar es PassPFC.

A continuacin se han dividido los aspectos administrativos en dos bloques:

a) Caractersticas routers 3640
b) Resumen

___________________________________________________________________________________________

33

a. Caractersticas routers 3640

FIGURA 20: Caractersticas de un router Cisco 3640

FUENTE: Elaboracin propia, con datos de www.cisco.com

b. Resumen

Routers:
Dos routers Cisco 3640
RC1
RauxC1
Conexin entre routers: Fast Ethernet
Contrasea MD5: PassPFC

___________________________________________________________________________________________

34

3.2.2 Interfaces

El router RC1 tendr tres interfaces externos, 2 al proveedor 2 y uno al proveedor 1. En cambio,
solo tendr un enlace interno para comunicarse con RauxC1, este enlace ser mediante un switch.

a. Interfaces RC1
S0/0: 040.040.040.001 /30 PROVEEDOR 2 (R1P2)
S0/1: 010.010.100.001 /30 PROVEEDOR 1 (R1P1)
S0/2: 100.040.100.001 /30 PROVEEDOR 2 (R2P2)
Fe0/0: 192.168.001.001 /24 ENLACE A SWITCH
Loopback0: 192.168.000.001 /24 LAN DEL CLIENTE

b. Interfaces RauxC1
Fe0/0: 192.168.001.002 /24 ENLACE A SWITCH
Loopback0: 192.168.000.002 /24 LAN DEL CLIENTE

3.2.3Protocolos de encaminamiento

El router RC1 se va a comunicar con los dos proveedores va BGP. Se configurar su router para
que establezca una sesin eBGP con P1 y P2. Por ltimo, el router RC1 usar Routing Information
Protocol para conectarse con el switch, y RauxC1, idem.

3.2.4 Gestin del trfico

El enlace principal que va a dar servicio a RC1 ser el router denominado R1P2 (s0/0), por esta
razn se le dar ms peso a esta salida del router. A los otros dos enlaces externos se les atribuir
el mismo peso, el router elegir por orden en la ejecucin.

Ejemplo
ip as-path access-list 10 permit ^200$

___________________________________________________________________________________________

35

3.2.5 Polticas de encaminamiento

El grfico que se muestra a continuacin sera el equivalente al caso que se ha planteado en
apartados anteriores.

FIGURA 21: Caso real de configuracin BGP


S3

___________________________________________________________________________________________

36

3.4 Graphical Network Simulator

3.4.1 Situacin inicial

A continuacin, se va configurar el caso planteado (ver figura 22) previamente con el simulador
Graphical Network Simulator (GSN-3). El simulador GSN-3 permite crear y disear complejas
topologas de red para su posterior estudio y configuracin. Se trata de un simulador tan preciso y
completo que es usado por ingenieros y administradores de red para realizar pruebas unitarias en
sus redes.

En el anexo B de este documento se encuentran las plantillas de configuracin de routers Cisco
sobre las cuales se han fundamentado las siguientes actuaciones desarrolladas en este epgrafe.

En el caso que se ha planteado en este apartado, y al no disponer de los medios suficientes para
realizar una configuracin al nivel de este proyecto, se van a estudiar los pasos enumerados en el
apartado anterior. El estado inicial de la tipologa de red estudiada sera el siguiente:

FIGURA 22: Simulacin caso real GSN3

FUENTE: Elaboracin propia usando GSN3

___________________________________________________________________________________________

37

Esta tipologa consta de 6 routers Cisco 3640. Los sistemas autnomos 64901 y 64662 son
proveedores de servicios de internet (ISP) y se simular como el cliente 1 configura el router de tal
manera para obtener el servicio de los dos proveedores, el router RauxC1 del cliente ha sido
aadido a la topologa para poder dar un ejemplo de iBGP.

El router del cliente ser multihomed, es decir, se podr acceder al router RC1 (ver figura 23) por
tres diferentes enlaces, dos de ellos por el AS 64901 y el restante por el AS 64662. Teniendo tres
posibles enlaces, se podr configurar BGP para decidir en todo momento que AS se quiere
atravesar. Esto se debe a BGP AS path attribute. En una configuracin predeterminada de BGP el
router del cliente elegir el enlace por el nmero de saltos.

FIGURA 23: Estado RC1


___________________________________________________________________________________________

38

En resumen, inicialmente los routers, tanto de los dos ISP como del cliente estaran conectados de
la siguiente manera:

FIGURA 24: Estado enlaces


___________________________________________________________________________________________

39

La configuracin de los routers se va a dividir en 5 pasos que sern analizados para comprender
las posibles problemticas que pueden surgir cuando a un administrador se le plantee una situacin
parecida. Se recuerda que no hay una metodologa propia a la hora de configurar BGP, por lo que
la subdivisin de esta actividad se ha realizado para una mayor facilidad de comprensin y posible
solucin ante los fallos de configuracin que se vern ms adelante. Los 5 pasos principales que se
han detectado en esta situacin serian los siguientes:

1. Configuracin previa a la activacin del protocolo BGP de cada uno de los enlaces de los
routers.

2. Comprobacin de las tablas de rutas de cada uno de los routers.

3. Configuracin del protocolo BGP
Activacin del protocolo
Definir vecindad entre los routers (eBGP)
Definir que rutas sern inyectadas en BGP.

4. Establecer vecindad de los routers pertenecientes al mismo SA (iBGP)

___________________________________________________________________________________________

40

3.5 Metodologa de configuracin del protocolo

3.5.1Configuracin previa de los routers

Los proveedores de servicio son proveedores de trnsito, por lo que tendrn millones de clientes
como RC1 y ellos forman la estructura de Internet. La nica politica que tienen estos proveedores
de servicio es la de dejar pasar todo el trfico que necesita pasar por sus sistemas. La
configuracin que se presta a continuacin, es previa a la activacin del protocolo BGP e incluso a
la declaracin de vecindad entre los enlaces. Las siguientes configuraciones establecen que
direcciones IPs van a ser utilizadas por los routers.

El primer router que se va a configurar, es el router del cliente (RC1). La siguiente figura muestra
que direcciones IP han sido asignadas para cada tipo de enlace:

FIGURA 25: Enlaces RC1


___________________________________________________________________________________________

41

Con la asignacin de direcciones de la figura anterior, la configuracin es la siguiente:

FIGURA 26: Fichero de configuracin de RC1


El siguiente router que se va a configurar, es el router del proveedor 1. Este va a tener dos
conexiones eBGP (ver Figura 27), una para prestar servicio al cliente y la otra conexin sera un
enlace contratado entre los dos ISPs.

FIGURA 27: Enlaces R1P1


___________________________________________________________________________________________

42

Con la asignacin de direcciones de la figura anterior, la configuracin es la siguiente:

FIGURA 28: Fichero de configuracin de R1P1


El siguiente router que se va a configurar, es el router 1 del proveedor 2. Este va a tener dos
conexiones eBGP (ver Figura 29), una para prestar servicio al cliente y la otra conexin ser un
enlace contratado entre los dos ISPs.



___________________________________________________________________________________________

43



Con la asignacin de direcciones de la figura anterior, las configuraciones de los dos
routers del proveedor 2 seran las siguientes:

FIGURA 31: Fichero de configuracin de P2


___________________________________________________________________________________________

44

3.5.2 Comprobacin de las tablas de rutas

En el siguiente apartado se va a comprobar que la configuracin del router cliente ha sido
realizada correctamente [5]. Para saber si el router ha reconocido los enlaces que se le han
configurado en el fichero, se va a abrir el simulador de redes (GSN3) y a continuacin se abre la
consola. En dicha consola, se escribe el siguiente comando (Ver figura 32):

RC1# sh ip route

FIGURA 32: Comando sh ip route

FUENTE: Elaboracin propia usando la consola de GSN3

El resultado a la ejecucin de este comando sera el siguiente:

FIGURA 33: Comprobacin de tabla de rutas


___________________________________________________________________________________________

45

El resultado puede parecer errneo [8], fijndose en cada enlace, se aprecia que de cada enlace que
se ha configurado en el router nacen dos subredes. En principio, esto puede parecer un fallo de
configuracin, pues la razn de esto sera la siguiente:

La explicacin de este resultado es por como Cisco IOS clasifica las rutas de las tablas de rutas.
Bsicamente hay dos tipos de rutas:

Rutas nivel 1
Rutas nivel 2

A su vez las rutas de nivel 1 se subdividen en:

Rutas finales de nivel 1
Rutas padre de nivel 1

Para poder seguir explicando este concepto de Cisco, se debe explicar previamente el concepto
de clases (Ver figura 34):

Valor mnimo que puede tener una direccin IP: 0.0.0.0
Valor mnimo que puede tener una direccin IP: 255.255.255.255

FIGURA 34: Clases de direcciones IP

FUENTE: http://redesdecomputadores.umh.es/red/ip/default.html

___________________________________________________________________________________________

46

Se entiende por rutas de nivel 1 a aquellas rutas que tienen una salida en su interfaz o siguiente
salto y una mscara de subred por debajo o igual que la clase por defecto:
Por ejemplo:
192.168.1.0/24
172.16.1.0/16
192.168.0.0/16

Supngase el siguiente caso:

RC1(config)#interface loo
RC1(config)#interface loopback 1
RC1(config-if)#ip address 192.168.2.1 255.255.255.0
RC1(config-if)#exit
RC1(config)#do show ip route

output ommited

Gateway of last resort is not set

C 192.168.2.0/24 is directly connected, Loopback1

La ruta se ha sido aadida y ninguna ruta adicional se ha creado por defecto. Esto confirma lo que
se explicaba previamente acerca de las rutas finales de nivel 1.

Las rutas de nivel 2 son aquellas rutas que tienen una mscara mayor que la que le correspondera
por su clase. Vase el siguiente ejemplo:

R1(config-if)#exit
R1(config)#int lo3
R1(config-if)#ip address 192.168.3.1 255.255.255.128
R1(config-if)#do show ip route

output ommited

Gateway of last resort is not set

192.168.3.0/25 is subnetted, 1 subnets
C 192.168.3.0 is directly connected, Loopback3

___________________________________________________________________________________________

47

Esta red es de tipo nivel 2 ya que la mscara de la subred es mayor que la de su propia clase por
defecto, fjese que una segunda ruta fue creada al aadir una ruta de nivel dos.

192.168.3.0/25 is subnetted, 1 subnets
C 192.168.3.0 is directly connected, Loopback3

Este tipo de red es una red de tipo 1 padre. Una ruta padre de nivel 1 no tiene siguiente salto o
salida de la interfaz. Estas se crean automticamente cuando se aade una ruta de nivel 2.

3.5.3 Configuracin del protocolo BGP

A continuacin, se va configurar el protocolo BGP. Llegados a este punto, hay que realizar tres
pasos clave simultneamente. Estos tres pasos son los siguientes:

Activacin del protocolo
Definir vecindad entre los routers (eBGP)
Definir que rutas sern inyectadas en BGP.

El objetivo de esta configuracin es la de permitir que el router del cliente pueda establecer
vecindad con los routers de los proveedores.

a. Activacin del protocolo
La activacin del protocolo se va a llevar a cabo con un comando en el propio fichero de
configuracin. El comando que activara el protocolo es el siguiente:

router bgp [Nmero de sistema autnomo]
Donde el nmero del sistema autnomo es el propio nmero del cliente, es decir, aquel sistema
autnomo al que pertenece el RC1.

router bgp 64512

___________________________________________________________________________________________

48

El router del cliente propaga la direccin de loopback0 192.168.000.001, por lo que:

network 192.168.000.000

b. Definir vecindad entre los routers (eBGP)
Como ya se vio anteriormente (Ver figura 35), el router RC1 tendr 4 enlaces. Tres de los cuales
son enlaces externos, y el restante interno. Para definir un vecino externo en BGP se usa el
siguiente comando:

neighbor [Direccin IP] remote-as [Nmero de sistema autnomo]
Donde el nmero del sistema autnomo es el nmero del sistema autnomo del proveedor, y la
direccin IP es la direccin del router destino (proveedor)

FIGURA 35: Vecindad entre routers


c. Configuracin final
A continuacin se aade a lo ya configurado hasta ahora la configuracin del protocolo BGP. Este
ltimo fragmento de cdigo sera el siguiente:

FIGURA 36: Configuracin vecinos BGP en el fichero


___________________________________________________________________________________________

49

Configuracin total del router en este momento

FIGURA 37: Configuracin RC1


___________________________________________________________________________________________

50

d. Comprobacin vecinos BGP
En este ltimo paso, se va a ver el estado de la conexin BGP [7]. Llegados a este punto, los
routers deben tener conexin entre ellos. Para ver el estado de la configuracin se introducir el
siguiente comando:

RC1# sh ip bgp neighbors

FIGURA 38: comando sh ip bgp neighbors


El resultado a la ejecucin de este comando sera el siguiente:

FIGURA 39: Comprobacin de tabla de rutas


___________________________________________________________________________________________

51

Esta conexin BGP corresponde a la que viene a continuacin (RC1-R1P2):

FIGURA 40: Neighbor R1P2


Todo administrador que haya llegado a este punto configurando un router cisco, debera fijarse en
tres cosas para saber si est realizando la configuracin correctamente. Estos tres puntos se
muestran infra:

FIGURA 41: Comprobacin vecindad R1P2


Lo ms importante llegados a este punto es tener:
BGP state = Established
BGP neighbor is 40.40.40.2 (la direccin IP del router vecino)
Router ID 202.168.0.1

___________________________________________________________________________________________

52

La siguiente conexin corresponde al cliente - proveedor 1 (RC1-R1P1) al cliente-proveedor2
(RC1-R2P2):

FIGURA 42: Neighbor R1P1 y R2P2


A continuacin se verifica que el protocolo BGP est correctamente configurado con los enlaces
del proveedor 1 y del proveedor 2.

FIGURA 43: Comprobacin vecindad R1P1 y R2P2


RC1-R1P1 RC1-R2P2
RC1-R1P1
RC1-R2P2

___________________________________________________________________________________________

53

3.5.4 Configuracin Interior-BGP

En este apartado de configuracin se va a configurar el router del cliente para que se comunique
con el router auxiliar que se definici en su infraestructura de red. Interior-BGP se define de la
siguiente manera:

neighbor [Direccin IP] remote-as [Nmero de sistema autnomo]
Donde el nmero del sistema autnomo es el nmero del sistema autnomo al que
pertenece el cliente

FIGURA 44: Configuracin Interior-BGP


FIGURA 45: Comandos configuracin Interior-BGP

LoopBack0
192.168.0.1 /24
LoopBack0
192.168.0.2 /24
Fa0/0
192.168.1.1 /24
Fa0/0
192.168.1.2 /24

___________________________________________________________________________________________

54

ATAQUES EN BGP

4.1 Introduccin

En este apartado, se va a realizar un anlisis de los posibles ataques centrados en BGP. Se van a
estudiar posibles ataques, presentando su lgica y el impacto que tendran en un sistema
distribuido con routers BGP. Ser importante saber el comportamiento de quienes realizan estos
ataques locales y la identificacin y evaluacin de posibles nuevos escenarios BGP.

BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantacin de prefijos,
sistemas autnomos o routers, pueden realizarse con mucha facilidad. Tambin es crucial la buena
configuracin de BGP, ya que un error en su configuracin puede emblandecer la seguridad de la
organizacin. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un
fallo de configuracin se mantenga local y no se propaguen por todo Internet.

BGP funciona sobre TCP por lo que es sensible a sus ataques (SYN Flooding, TCP RST/FIN/FIN-
ACK, TCP SYN ACK, TCP ACK, RST falsos). Se pueden quedar redes inaccesibles o redirigidas
a un suplantador. Al no haber control temporal en los mensajes BGP, estos pueden ser capturados,
eliminados, modificados o reenviados. Un router puede suplantar a otro e inyectar informacin
invlida a sus vecinos. La informacin en los mensajes BGP no se encripta ya que los routers no
tienen capacidad de proceso suficiente para realizar funciones bsicas de encriptacin, es decir, la
informacin de encaminamiento es difundida en texto claro.

Los ataques conocidos de BGP se pueden enumerar en una amplia clasificacin. Esta clasificacin
es la siguiente:

Establecer una sesin BGP no autorizada con un extremo.
Originar un cambio no autorizado en las tablas de rutas de un extremo.
Cambiar el enlace predeterminado de un prefijo.
Llevar a cabo un ataque conocido como negacin/degradacin de servicio (DoS) en un
proceso BGP.
Inyectar segmentos TCP con el bit de RST activado.

___________________________________________________________________________________________

55

4.2 Vulnerabilidades y errores de concepto

El diseo de BGP asume que redes operando autnomamente son fiables y aqu lamentablemente
no es as, ya que siempre habr quien se encargue de hacer ver la realidad. BGP se utiliza para el
intercambio de informacin de enrutamiento de cmo alcanzar un destino a travs de de un
protocolo vectorial de ruta. Cada Router anuncia el mejor camino a un destino a sus routers
vecinos y en turnos cada router determina el mejor camino basado en las rutas recibidas (ver
figura 34). Igualmente, anuncia solo los prefijos que origina y solo la mejor ruta a sus vecinos. En
la prctica se puede decir que los sistemas autnomos tasados de maliciosos pueden secuestrar
prefijos de otros sistemas autnomos., Agregar falsos prefijos, Spoofing (es decir utilizar la IP o el
nombre falso de un router autentico), Alterar o incluso falsificar rutas, agregar o desagregar
prefijos no autorizados, etc.

FIGURA 46: Mejor camino basado en rutas recibidas


___________________________________________________________________________________________

56

En cuanto a la infraestructura lgica se refiere, si los routers no puede dirigir y realizar
apropiadamente un enrutamiento del trafico, Internet presentar una falta de conectividad que
puede afectar tanto localmente a nuestra infraestructura como globalmente en nuestra capacidad
de comunicarnos con otros nodos, aparte de otras consideraciones esto puede se provocado, por
ejemplo, errores de configuracin o de implementacin de seguridad.

Ejemplo: secuestro de sesin, ataques, etc..

Uno de los puntos vitales es la implementacin de la Defensa contra ataque de hombre en medio
(Man-in-The-Middle Attacks )

La forma como est organizada la conectividad externa se basa en que cada organizacin confa
su conectividad a Internet al protocolo BGP4, no hay otro modo y BGP4 Tiene conocidas
vulnerabilidades muy difciles si no imposibles de solventar, si bien estas amenazas deben ser
monitorizadas con suma atencin.

Dos puntos clave que deben ser tomados como referencia en los riesgos del protocolo BGP son:

Cualquiera que se conecte a Internet, sin las medidas de proteccin apropiadas est
expuesto a determinados riesgos en los parmetros obtenidos para enrutamiento que
pueden derivar en una denegacin de servicio, secuestro de sesin, o intercepcin de las
transacciones realizadas.

Un riesgo aadido es que hoy en da no todos los tcnicos desempeando misiones en
infraestructura de red disponen de una capacidad tcnica y de conocimientos para
cuantificar y analizar todos los riesgos, lo cual implcitamente es determinante en el modo
de analizarlos y remediarlos. As mismo debemos aadir a las amenazas externas y sus
ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan
sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuracin
realizados por los tcnicos y administradores de la red.

___________________________________________________________________________________________

57

Puntos bsicos a definir para enrutamiento y de sus amenazas inherentes son:

Actualizaciones de los enrutamientos
Atributos de las rutas
Prefijos
ASN,s
Vulnerabilidades e historia de ataques tpicos a BGP

A lo largo del tiempo, se han propuesto una serie de soluciones de seguridad, para que la debida
integridad de las rutas se mantenga. Igualmente, la implementacin de estas soluciones de
seguridad implica la utilizacin de tcnicas y mecanismos criptogrficos para realizar una
autenticacin de las rutas y/o los prefijos recibidos, es decir se debe verificar que el origen de
quien dice ser este validado y que la informacin no haya sido alterada durante su trnsito por la
red.

En un estudio inicial se podra pensar que si el plano de datos han sido verificados y la
autenticacin de la ruta ha sido as mismo obtenida, la seguridad est garantizada pero no es as,
en este estudio de vulnerabilidades se va a ver que se est bastante lejos de garantizar una solucin
global al protocolo BGP. En la actualidad, incluso con enlaces autenticados y verificacin de
reenvo de datos, BGP sigue siendo vulnerable a la presencia de sistemas autnomos falsos o
maliciosos, y sigue siendo vulnerable a ataques a su sistema operativo por medio de malware
diseado para modelos y marcas de routers especficos.

A modo de ejemplo en el mundo de sistemas operativos existe un mayor nmero de malware para
productos Microsoft que para otros sistemas operativos ms minoritarios como MAC o Unix. Esto
quiere decir que en el mercado del Hacking hay un mayor nmero de productos malware contra
routers CISCO y sus IOS (sistema operativo) que otros modelos de routers ms minoritarios.

___________________________________________________________________________________________

58

Otro punto que se debe considerar en este estudio, son aquellos ataques que van dirigidos a
producir una denegacin de servicio, es decir, sobrecargar un router con tantas peticiones de
conexin o conexiones incompletas que hacen reaccionar al router con una sobrecarga de trabajo
que lo deja fuera de servicio. A continuacin, se presenta un estudio ms pormenorizado realizado
en este proyecto de los diferentes ataques y sus soluciones, teniendo en cuenta que las soluciones
propuestas siempre sern parciales.

4.3 Antecedentes Histricos

En esta seccin se van a tratar los Incidentes de BGP desde un pasado reciente hasta nuestros
das. Sus vulnerabilidades y los errores de configuracin estn plenamente vigentes por tanto
pueden ayudar a entender y eliminar vulnerabilidades tanto en los sistemas autnomos como en
los routers de infraestructura. As mismo, debe hacer hincapi en aquellas vulnerabilidades de
BGP que van ligadas muchas veces a las de los DNS (Domain Name Systems) y aunque estas
queden fuera del anlisis de este proyecto, el proveer de ms seguridad a las infraestructuras de
Internet pasa por solucionar las vulnerabilidades de ambos servicios.

Para entender las vulnerabilidades de BGP se debe hacer un estudio de los mayores incidentes a
travs de la historia en los que se ha visto envuelto el principal protocolo de encaminamiento de
Internet. Se empezar analizando aquellos incidentes voluntarios (ataques reales) con la intencin
de manipular algn tipo de sistema de enrutamiento, y aquellos que fueron configuraciones
errneas con nefastas consecuencias.

Dejando a un lado las implicaciones legales, cabe evidenciar que el resultado puede producir
grandes daos operacionales y por tanto, a efectos de consecuencias sobre Internet, un fallo de
configuracin puede tener similares caractersticas a un ataque malintencionado al interrumpir
trfico legtimo incluso a nivel mundial.

___________________________________________________________________________________________

59

4.3.1 Ao 2012, Australia sin acceso a Internet

El da 27 de Febrero de 2012 aproximadamente durante unos 30 minutos, muchos australianos se
encontraron sin acceso a Internet [16]. Muchos de ellos tenan contrato directo o indirecto con
Telstra Network, la cual en ese momento se quedo aislada a la red de Internet. Telstra es uno de
los mayores proveedores de Internet de Australia, normalmente origina aproximadamente 500
prefijos Ipv4 y 3 prefijos Ipv6. Telstra tambin es proveedor de trnsito para muchos ISPs, como
por ejemplo, (AS38285) Dodo un ISP Australiano y (AS10235) National Australia Bank.
Este hecho, como estudiante de Ingeniera Tcnica en Informtica y escritor de este proyecto, me
lleva a plantear al lector la siguiente pregunta:

Como un proveedor as puede irse abajo, cuando seguramente dispone
de ingentes cantidades de hardware y conexiones mltiples dentro y fuera
del pas?

La causa fue un error de routing que hizo que todo el trfico eligiera como Best Route al
Proveedor de Servicio de Internet Dodo (el cual era un cliente de Telstra Network). Difundir rutas
en BGP accidentalmente es desafortunadamente tan fcil que hay que configurarlo siempre
definiendo filtros que prevengan que esto suceda. En este caso, Dodo debera haber establecido
filtros para asegurar que ellos solo anunciasen sus prefijos y Telstra debera haber tenido esos
filtros tambin para prevenir secuestros (hijacks) y para proteger su propia infraestructura, lo cual
es aun ms importante. En este suceso se ve que los filtros no estaban implementados lo cual
permiti que sucediera esta difusin de rutas y sus inherentes consecuencias. Sin embargo, esto
solo no debera haber echado abajo todas las conexiones internacionales de Telstra. Lo que pas
seguramente es que Telstra asumi todas las rutas aprendidas de Dodo (todas las 400.000) como
rutas del cliente y las certifico anunciadas a todos sus peers y proveedores de bucle (upstream).

A continuacin se puede ver las terribles consecuencias que tuvo este fallo de configuracin [17]
para el servicio de Telstra.

___________________________________________________________________________________________

60

FIGURA 47: AS1221 Telstra Pty Ltd

FUENTE: www.BGPmon.com

4.3.2 Ao 2011, Egipto sin acceso a Internet

Durante las protestas de Egipto y por rdenes gubernamentales, en un principio las redes sociales
(Facebook, Twitter, etc) fueron bloqueadas [16]. Un paso ms adelante en la intencin del
gobierno de controlar las comunicaciones de internet fue el bloquear el enrutamiento de Internet
de los proveedores de servicio. Un 88% por ciento de las redes estaban fuera de servicio. Vase a
continuacin las siguientes figuras:

FIGURA 48: Egipto redes afectadas I


Das del
Incidente
Num. de
prefijos
Num. de
ASN de
origen
27-Enero 2903 52
28-Enero 327 26
Desaparacen 2576 26

___________________________________________________________________________________________

61

La siguiente tabla muestra los 10 principales proveedores de Internet en Egipto. Se ella puede ver
que la mayora de los Sistemas Autnomos (AS) no muestran ningn anuncio o nmero
significativamente menor.

FIGURA 49: Egipto redes afectadas II

Prefijos el
28 de Enero
Prefijos al
inicio de la
semana AS de Origen Nombre del proveedor
20 775 8452 TE-AS TE-AS
0 774 24863 LINKdotNET-AS
113 676 36992 ETISALAT-MISR
0 217 24835 RAYA Telecom Egypt
0 102 5536 Internet-Egypt
85 83 20928 Noor Data Networks
0 41 36935 Vodafone-EG
23 36 15475 Nile Online
14 28 8524 eg-auc
0 25 6127 IDSC

Nota: cabe mencionar que el nico proveedor sin impacto fue AS20928 (Noor Data
Networks)

Lista de proveedores que continuaron anunciando redes (basado en datos de routeviews):

FIGURA 50: Egipto redes afectadas III
Red Nombre Numero de rutas
AS36992 Etisalat-Misr 104
AS20928 Noor Data Networks 83
AS24835 RAYA Telecom Egypt 38
AS15475 Nile Online 23
AS8524 AUCEGYPT 14
AS2561 Egyptian Universities Network (EUN) 14
AS8452 TE-AS TE-AS 12

___________________________________________________________________________________________

62

a. Los inicios del incidente
Observando Internet en Egipto se pudo tener una idea aproximada en el momento de inicio del
incidente.
27 de Enero a las 22:28 UTC: La pagina web egypt.gov.eg est fuera de servicio la IP:
81.21.104.0/24 fue bloqueada.
27 de Enero a las 22:28 UTC: La pgina web www.ahram.org.eg peridico Egipcio. La
IP: 196.219.246.0/24, se convierte en inaccesible al misma hora exacta.

b. 28 de Enero, 17.48 PM
En este momento solo 239 redes Egipcias son accesibles, esto significa que el 91% de las rutas
egipcias estn bloqueadas. Noor Networks permanece como el nico proveedor que parece no
verse afectado por esta disrupcin. Vodafone confirma en su pgina web que han recibido
instrucciones de apagar sus servicios en ciertas partes del pas.

http://www.vodafone.com/content/index/press.html

A continuacin, todos los operadores mviles en Egipto reciben instrucciones para clausurar sus
servicios en determinadas reas. La legislacin Egipcia permite a las autoridades ordenar el cierre
de servicios de comunicaciones y las compaas proveedoras estn obligadas a cumplirlo.

c. 28 de Enero, 18.36 PM
Los servicios mviles han sido restaurados. La pgina web de Vodafone publica este mensaje:

Vodafone restored voice services to our customers in Egypt this morning, as soon as
we were able. We would like to make it clear that the authorities in Egypt have the
technical capability to close our network, and if they had done so it would have taken
much longer to restore services to our customers. It has been clear to us that there
were no legal or practical options open to Vodafone, or any of the mobile operators in
Egypt, but to comply with the demands of the authorities.
Moreover, our other priority is the safety of our employees and any actions we take in
Egypt will be judged in light of their continuing wellbeing.

___________________________________________________________________________________________

63

Hasta este momento, no se aprecian cambios en la conectividad de Internet en Egipto. Sim
embargo, Internet lleva corta en Egipto 36 horas. La semana laboral en Egipto se inicia maana
(29 de Enero) se espera una restauracin de los servicios.

d. 29 de Enero, 21.00 PM
Existe a disposicin del lector una lista de las rutas/prefijos que siguen siendo enrutadas. En esta
lista se ven 243 redes.

http://bgpmon.net/egypt-routes-jan29-2011.txt.

Nota: Estos datos son extrados de routeviews data (rib.20110129.1800). Cabe destacara que aun siendo anunciada una ruta no significa
necesariamente que sea accesible.

El formato de la lista es:

| Nmero AS | Prefijo| Descripcin del prefijo |

Estos son algunos ejemplos de las rutas que en ese momento continan anunciadas:

Rutas de: AT-Financial Holding
Biblioteca de Alejandra (http://www.bibalex.org/)
Rutas del Banco Central de Egipto
Rutas del Egyptian National Scientific & Technical Information

e. 31 de Enero, 23.30 PM
Hoy hasta trece sistemas autnomos pertenecientes al proveedor de servicio de Internet han
desaparecido, afectando incluso a Noor Data Networks. Esta red desaparece el 31 de Enero de
2011 a las 20.54 PM. En paralelo ms rutas desaparecen y a las 22.00 solo 12 sistemas autnomos
y 134 rutas permanecen accesibles. Lo cual significa que solo el 5% de las rutas egipcias prestan
servicio.

La lista de los que permanecen puede ser consultada aqu:

http://www.bgpmon.net/egypt-routes-jan31-2011.txt

___________________________________________________________________________________________

64

En la siguiente grfica se puede ver la situacin de las redes en Egipto el 31 de Enero a las 23.00:

FIGURA 51: Egipto grfico redes afectadas/tiempo


4.3.3 Ao 2011, Siria sin acceso a Internet

En 2011, el caso que se plantea en Siria [16] tiene muchos parecidos con lo sucedido en Egipto.
Igualmente se realizar un estudio temporal de los incidentes.

a. 3 de Junio
Internet en Siria est controlado por The Syrian Telecommunications Establishment, esta se
encarga de enrutar sus redes desde AS29256 a AS 29386. A su vez, existen otras dos compaas
proveedoras de servicio tales como Tata Communications (AS 6453), la cual enruta 6 prefijos
sirios y la Red Siria de Educacin Superior(AS 39154).

El 3 de Junio de 2011, el gobierno de Siria cierra todas las conexiones a Internet. Solo 19 de los
normalmente 56 prefijos Sirios son enrutados. Interesante que los prefijos que no son ya enrutados
tienen origen en AS29256 y AS29386, The Syrian Telecommunications Establishment. Los 6
prefijos pertenecientes a Tata communication asi como los de Syrian Higher Education no han
sido afectados.La tabla posterior muestra cuantos prefijos se enrutan en situacin normal y como
ha cambiado en las ltimas horas.

___________________________________________________________________________________________

65

FIGURA 52: Siria redes afectadas/sistemas autnomos


b. Comparacin del 1 de Junio con el 3 de Junio
En este apartado se va a ver la distribucin de prefijos por sistema autnomo. El gobierno de sirio
cerr todas las conexiones el 3 de Junio, se ver como estaba la situacin anteriormente (el 1 de
Junio, ver figura X) y una vez cerradas las conexiones (3 de Junio, ver figura 53).

FIGURA 53: Siria prefijo 1 de Junio, 2011


___________________________________________________________________________________________

66

Situacin el 1 de Junio:
AS 29256: (STE-AS) se tiene constancia de que Syrian Telecommunications
Establishment enruta hasta 44 prefijos conocidos.
AS 29386: (STE-AS2) pertenece tambin a Syrian Telecommunications
Establishment y enruta hasta 30 prefijos.
AS 6453: Este sistema autnomo corresponde a TATA Communications y enruta 6
prefijos.
AS 39154: Este sistema autnomo depende de la organizacin Syrian Higher
Education Network AS Number y se le conoce solo 1 prefijo.

FIGURA 54: Siria prefijo 3 de Junio, 2011


Situacin el 3 de Junio:
AS 29256: (STE-AS) 9 prefijos.
AS 29386: (STE-AS2) 3 prefijos.
AS 6453: 6 prefijos.
AS 39154: 1 prefijo.

___________________________________________________________________________________________

67

Conclusiones
Es realmente llamativo la diferencia en distribucin de prefijos entre estas dos fecha. Se insta
al lector a que preste atencin a las dos grficas y establezca su propia opinin. Como
redactor de este PFC, es de gran agrado poder mostrar esto a los lectores y en ltima
instancia a interesados en redes y/o seguridad informtica.

c. Actualizacin del 4 de Junio 2011
El da 4 de Junio, aproximadamente, a las 8.00 PM todas las redes sirias pertenecientes a
Syrian Telecommunications Establishment vuelven a la normalidad. Algunos de estos
prefijos regresaron a la normalidad antes de dicha hora.

4.3.4 Ao 2010, Google y servicios asociados redirigidos

El 23 de agosto del 2010, Google [14] y otros servicios asociados fueron redirigos a Rumania y
Austria. Lo que pas en trminos de funcionalidad es que durante 7 minutos el prefijo 8.8.8.0/24
fue secuestrado (este prefijo sirve a algunos Open DNS de Google). La mayora de las redes
afectadas recibieron el anuncio de actualizaciones desde el AS 6939. Esta es la segunda vez en el
mismo mes (30 das naturales aproximadamente) que Google es atacado accidentalmente o por un
secuestro de direcciones (hijack). En Julio de 2010 un proveedor de servicios de Internet
localizado en Austria (AS42473), Anexia, anunci un prefijo con una mscara de subred mayor de
la que le corresponda, es decir:

El prefijo AS 42473 anunci el prefijo 74.125.127.0/24 y el que deba
anunciar era el 74.12.126.0/23.

Este ltimo prefijo (el 74.12.126.0/23) aloja la mayora de los servicios pblicos de Google. Este
hecho fue identificado posteriormente como un error de configuracin y fue rpidamente
corregido por los ingenieros de red del AS42473. Ms detalles se pueden ver en la figura que se
expone a continuacin.

___________________________________________________________________________________________

68

___________________________________________________________________________________________

69

4.3.5 Ao 2010, un ISP Chino secuestra Internet

El 8 de Abril de 2010 se empezaron a recibir alertas sobre un secuestro BGP [24] localizados en el
AS 23724. Este sistema autnomo es uno de los centros de datos operados por China Telecom, el
cual es el mayor ISP de China originando hasta 40 prefijos. Sin embargo, ese da
aproximadamente durante 15 minutos se originaron alrededor de 37000 prefijos de tipo nico que
no tenan asignados. Esto es lo que normalmente se denomina como secuestro de prefijos (prefix
hijack).

Afortunadamente, aunque se haba difundido una tabla completa, solo un 10% se propag fuera de
las redes chinas, afectado a organizaciones muy conocidas, entre otras:

Amazon
Geocities
CNN
Rapidshare
Dell

Tambin se vieron afectadas pginas web muy populares chinas, como por ejemplo:

www.joy.cn
www.pconline.com.cn
www.huanqiu.com
www.tianya.cn
www.chinaz.com

Este incidente fue detectado a nivel global por conexiones en Holanda, Reino Unido, Rusia, Italia,
Suecia, Estados Unidos, Japn y Brasil. Segn BGPMon, un 28% de las sondas en el mundo
detectaron este evento, lo cual implica un gran nmero de redes afectadas. Probablemente, ms de
51 peers detectaron el prefijo, pero no lo eligieron como mejor ruta (best path) seguramente
debido a la longitud del ASpath u otras polticas de configuracin. Debido al gran nmero de
prefijos implicados detectados en un intervalo tan corto de tiempo, posiblemente, la causa que
mejor se ajusta a este acontecimiento sea un fallo de configuracin.

___________________________________________________________________________________________

70

4.3.6 Ao 2008, Pakistn Telecom bloquea YouTube

El 24 de Febrero de 2008 el gobierno de Pakistn intent bloquear el acceso a la pgina web de
videos Youtube. La finalidad de tal imposicin es censurar cualesquiera videos que pudieran
perjudicar sus intereses. Pakistn Telecom intent filtrar el acceso a Youtube, sin embargo, envi
informacin errnea de enrutamiento por medio de BGP un ISP en Hong Kong (PCCW). Este
proveedor difundi falsa informacin de enrutamiento a travs de Internet. En consecuencia dejo
inaccesible la pgina de Youtube al resto del mundo durante dos horas. Finalmente, consiguieron
arreglarlo restaurando las rutas originales y replicndolas a nivel mundial. Vase las siguientes
imgenes sacadas de BGPlay, herramienta diseada y escrita por Computer Networks Research
Group at Roma Tre University.

FIGURA 55: Pakistan Telecom bloquea Youtube


SOY
208.65.153.0/24
SOY
208.65.152.0/22

___________________________________________________________________________________________

71

a. Antes del domingo (24 de Febrero del 2008)
El sistema autnomo 36561 (www.youtube.com) anuncia la direccin IP 208.65.152.0/22.

FIGURA 56: Estado Youtube 24 de Febrero

FUENTE: BGPlay

___________________________________________________________________________________________

72

b. Domingo a las 18.50
El sistema autnomo 17557 (Pakistn Telecom) lleva anunciando la ruta 208.65.153.0/24 los
ltimos 5 minutos. Los vecinos RIS por todo el mundo reciben el cambio en sus rutas y el
trfico de Youtube empieza a ser redirigido a Pakistan.

FIGURA 57: Estado Youtube 18.50

FUENTE: BGPlay

___________________________________________________________________________________________

73

c. Domingo a las 21.25
El sistema autnomo 36561 (www.youtube.com) lleva anunciando la ruta 208.65.153.0/24 desde
las 20.07. El anuncio errneo del sistema autnomo 17557 (Pakistn Telecom) ha sido desechado,
y ahora los vecinos RIS solo tienen rutas al sistema autnomo 36561.

FIGURA 58: Estado Youtube 21.25

FUENTE:http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study

___________________________________________________________________________________________

74

4.3.7 Ao 2008, Brasil difunde una tabla BGP

En Noviembre del 2008, Companhia de Telecomunicaes do Brasil (CTBC ISP de Brasil)
transfiri por error una tabla completa de rutas. Esta accin podra haber tenido como resultado
un secuestro accidental de las rutas de otros ISP o routers, afortunadamente, el servicio BGPMon
(organismo voluntario de monitorizado de BGP) descubri el problemas enviando alertas a travs
de Internet, lo cual hizo que el impacto fuera minimizado y afectara a solo un pocos routers. A
continuacin, se puede observar un ejemplo de las alertas que BGPMon [16] enva cuando detecta
un percance en Internet.

FIGURA 59: Mensaje alerta BGPMon

====================================================================
Possible Prefix Hijack (Code: 10)
====================================================================
Your prefix: 203.190.56.0/21:
Prefix Description: www.infoseek.co.jp
Update time: 2010-04-08 16:09 (UTC)
Detected by #peers: 4
Detected prefix: 203.190.56.0/21
Announced by: AS23724 (CHINANET-IDC-BJ-AP IDC, China Telecommunications Corporation)
Upstream AS: AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street)
ASpath: 8331 9002 9002 4134 23724 23724
Alert details: http://bgpmon.net/alerts.php?details&alert_id=6617721
Mark as false alert: http://bgpmon.net/fp.php?aid=6617721

FUENTE: www.BGPMon.com

4.3.8 Ao 2007, La ICANN pone en riesgo un servidor DNS

La Internet Corporation for Assigned Names and Numbers (ICANN) [15], en Noviembre de 2007,
inici trabajos de actualizacin de uno de sus Domain Name System (DNS) root-servers L
(199.7.83.42), el cual es propiedad de ICANN y, en consecuencia, tambin sometido a su control
y manejo. Este servidor se trata de un servidor distribuido, y como se puede ver en la siguiente
figura, se encuentra entre Miami y Los ngeles (Estados Unidos). Los ingenieros de la ICANN no
detectaron varios root-servers L no autorizados operando en Internet hasta 6 meses ms tarde de
las actualizaciones.

___________________________________________________________________________________________

75

FIGURA 60: Root-Servers

FUENTE: http://www.emezeta.com/articulos/rootservers-los-servidores-raiz-del-mundo#axzz1tZV8ywxr

En Mayo del 2008, ICANN consigui tener todos los root-servers L falsos deshabilitados y fuera
de servicio. En la actualidad, existen 13 DNS root-servers, cuyos propsitos es asignar direcciones
de texto entendibles para los usuarios de Internet basadas en direcciones IP usadas entre
ordenadores y routers (ver figura 61).

La estructura de todo root-server es jerrquica, y acta como traductor entre direcciones IP y
nombres de dominio.

FIGURA 61: Comando nslookup

FUENTE: Elaboracin Propia

___________________________________________________________________________________________

76

a. Resumen
A los root-servers DNS se les ha asignado una letra entre A y M.
El root-server L pertenece, maneja y controla la ICANN.
Desde el 1997 hasta el 2007 la direccin IP era 198.32.64.12 y estaba registrada a nombre
de Bill Manning (ep.net)
En noviembre del 2007 cambian la direccin IP a 199.7.83.43. Este prefijo se asign a la
ICANN.
Durante 6 meses la ICANN decide seguir utilizando sus root-servers L, tanto el antiguo
como el nuevo.
Aparecen root-servers DNS no autorizados (falsos):
Diciembre 2007 Community DNS (England)
Marzo 2008 EP.NET (US Bill Manning)
Abril 2008 Diyixian (Hong Kong)

b. Acciones tomadas
El 16 de Mayo de 2008, la ICANN decide definitivamente apagar su servidor L antiguo y el 16
de Mayo todos los servidores falsos (o no autorizados) L. La vigente legalidad y la ICANN
presionan a sus propietarios a apagar los root-servers que van detectando a lo largo del tiempo
(Ver figura 62).

c. Conclusiones
Acciones que podran haberse realizado con un servidor DNS root-server no autorizado o falso
aunque no existen evidencias de que esto se hiciera o no:
1. Redirigir rutas con intencin de censurar contenidos.
2. Registrar o monitorizar todos los accesos y bsquedas.
3. Dar NS (negacin de servicio) actualizados para todos los TLDs.
4. Realizar recursin por defecto.
5. Dar actualizaciones personalizadas de la lista de todos los servidores DNS root.
6. Poner (time to leave) TTL=0

___________________________________________________________________________________________

77

FIGURA 62: Root-Servers falsos

FUENTE: ICANN

4.3.9 Ao 2004

En el ao 2004 se registraron diferentes [14] incidentes en las tablas de rutas de Internet:
ISP en Malasia bloquea Yahoo
ISP turco bloquea Internet.
Northrop Grumman atacado por spammers

a. ISP en Malasia bloquea Yahoo
En Mayo del 2004, el prefijo de Yahoo en el Data Center de Santa Clara (US-CA) fue secuestrado
por DataOne, un ISP en Malasia. Expertos en seguridad informtica lo determinaron como
malicioso y fueron secuestrados dos de los tres prefijos asignados. Se verific que DataOne haba
intentado bloquear premeditadamente el trfico desde Yahoo en origen.

b. ISP turco bloquea Internet.
El 24 de Diciembre del 2004, el proveedor de servicio TTNet envi una tabla completa de rutas de
Internet va BGP. Como consecuencia a desvi todo o la mayora del trfico mundial a travs de
Turquia a lo largo de la toda la maana. TTNet la haba marcado como BestPath (mejor ruta) en su
tabla de rutas. En el foro Renesys, segn expertos en BGP:

___________________________________________________________________________________________

78

El caso produjo que todo el trfico desde sitios Microsoft, Yahoo, Amazon, Fox, News CNN
hacia TTNet. Las consecuencias fueron menores de las que podran haber sido al ser un da
(vspera de navidad) en el que el trafico relativo a negocios y organismos oficiales es
notoriamente ms reducido.

c. Northrop Grumman atacado por spammers
En Mayo del 2004, Northrop Grumman un contratista dedicado principalmente a contratos de ente
militar y defensa detecto que un bloque de direcciones IP no utilizadas haban sido secuestradas en
el tablas de enrutamiento de sus propios routers y anunciadas como legitimas. El siguiente paso
fue el envi masivo de spam (emails no deseados). Al ser IPs inicialmente detectadas como
propias era ms difcil efectuar un filtrado de spam,tardaron dos meses detectar el origen del
incidente y reclamar las direcciones IP como propias as como conseguir que los anuncios de
enrutamiento falsos fueran bloqueados a travs de internet, En este tiempo, Northrop Grumman's
y sus direcciones IP fueron incluidas en listas de spammers (black list),lo cual les produjo
sustanciales considerables daos econmicos as como los provocados contra su reputacin como
empresa lder mundial en su campo.

4.4 Ataques al protocolo

Partiendo de la premisa de que en Internet no existe una poltica imperativa que verifique que cada
sistema autnomo es quien dice ser, que no verifica la integracin de la informacin y que las
relaciones entre sistemas autnomos estn basadas en la confianza. El protocolo de comunicacin
entre sistemas autnomos y routers est basado en TCP/IP y por tanto hereda todas sus
vulnerabilidades. Igualmente se debe pensar que los comunes errores de configuracin de los
administradores y tcnicos son un valor aadido a las vulnerabilidades.

Secuestro o Hijack (MiT)
MiT (man in the middle) o su variante Meet in the Middle.
Replay Attacks
DoS o DDoS
Malware
Rootkits,Bios,EEProms,etc

___________________________________________________________________________________________

79

4.4.1 Ataques DoS o DDoS (denegacin de servicio)

Al igual que los ordenadores, los router tambin tienen un lmite para procesar y almacenar la
informacin. Alcanzar el lmite de uno o ambos de estos recursos finitos tendr como resultado
dejar fuera de servicio al router, tambin conocido como Denial of Service.

Uno de los ataques ms comunes con este objetivo es el llamado SYN Flood. En esta variante del
DoS, se inician un gran nmero de sesiones TCP/IP utilizando el paquete SYN (sincronizacin),
sin continuar con la secuencia de sincronizacin. Esto provoca que el sistema reserve recursos
para esta sincronizacin, sin la recepcin de estas conexiones.

La segunda modalidad de DoS, es atacar directamente al protocolo BGP. En este caso, se intenta
echar abajo la ejecucin del protocolo. Se puede decir que estos ataques DoS contra el protocolo
BGP son de fcil y rpida ejecucin. Se realiza enviando paquetes dirigidos al puerto 179, los
cuales son enviados al proceso BGP, ya que normalmente, este reside en un procesador ms
lento o de menor capacidad.

Una tercera variante de DoS (Denial of service) contra BGP, se caracteriza por la recepcin de
datos falsos de enrutamiento pudiendo afectar:

Los sistemas de fin de ruta intentando transmitir datos a travs de la red.
La infraestructura de red en s misma.

Cierta informacin falsa puede representar un ataque DoS al protocolo BGP en s mismo, a modo
de ejemplo: advertir un numero excesivamente grande de mas rutas especificas puede causar que
el trafico BGP y la dimensin de las tablas de enrutamiento colapse el trafico o el sistema.

Se puede afirmar que potencialmente el mayor riesgo para BGP es cuando un router es
bombardeado con ms paquetes de los que puede manejar, este tipo de ataque se denomina DDoS.
El ataque generalmente envuelve un gran nmero de ordenadores comprometidos con malware, de
todas formas, existen diferentes formas por las cuales se puede realizar un DDoS; tales como:

___________________________________________________________________________________________

80

Insuficiencia (Starvation): Un nodo recibe menos paquetes de los que debera por que el
trfico es desviado a nodos que no pueden gestionar ese trfico.
Agujero negro (Blackhole): El trfico es enviado a routers que descartan todos o parte de
los paquetes.
Retardo (Delay): El trfico es enviado a rutas menos ptimas (suboptimnal paths)
Bucle (Looping): Los paquetes entran en un bucle (loop path), lo cual implica que el
trfico nunca llega a su destino.
Particin de red (Network partition): Una porcin de la red parece separada del resto de
la red debido a informacin de rutas malformada.
Agitacin (Churn): Cambios muy rpidos en el reenvo de paquetes altera la entrega de
paquetes, y posiblemente afecte al control de congestin de red.
Inestabilidad: La convergencia a un estado de sencillo el reenvio global no se realiza.
Sobrecarga de Red (Network overload): La red comienza a transportar un nmero
excesivo de mensajes BGP, sobrecargando el procesador de control del router y
reduciendo el ancho de banda asignado para el trfico de datos.
Sobrecarga de los recursos del router en los ciclos de almacenaje o procesado por un
excesivo nmero de mensajes BGP.
Acceso no autorizado: puede suceder cuando se mantienen las contraseas por defecto y
las community strings utilizadas para control de acceso a SNMP (Simple Network
Management Protocol) no se hayan cambiado o sean obtenidas por ingeniera social,
mtodos de clculo o criptogrfico. Asimismo la explotacin de errores de software o
vulnerabilidades pueden permitir accesos no autorizados.
Captura de datos de BGP por medio de sniffers y otras herramientas: puede realizarse en
cualquier lugar del recorrido entre routers, teniendo en cuenta que los mensajes BGP no
estn encriptados o que BGP podra ser utilizado para permitir una captura de datos.
Mtodos de manipulacin de paquetes: incluye insertar direcciones IP falsas para
acceder a los sistemas, inyectar datos falsos a las tablas de rutas o re enrutar paquetes de
datos con propsitos de meterlos en agujeros negros, monitorizar el trafico, etc.

___________________________________________________________________________________________

81

4.4.2 Secuestro o Hijack

Se pueden distinguir tres tipos de secuestro de la direccin IP [18]. En las dos primeras todo el
trfico asignado al espacio de direcciones es redirigido al atacante.

Utilizacin de un direccin IP del rango asignado a la victima pero que aunque asignada no
est utilizando, este ataque en principio no tiene en si unos efectos ms de reputacin que
realmente de dao al trfico legitimo en Internet.
Secuestro de una direccin IP en uso, esta modalidad tiene un obvio dao operacional,
todo el trfico es desviado al atacante pudiendo dejar a la victima sin conexiones externas
y por tanto fuera de Internet.
Por ltimo, existe una variante de secuestro en el que el atacante se dedica a ver todo el
trfico.

FIGURA 63: Secuestro de sesin

FUENTE: https://www.owasp.org/index.php/Session_hijacking_attack

4.4.3 Man in the Middle (o Meet in the Middle)

La realidad presente es que no hay vulnerabilidades, no hay errores en el protocolo, tampoco hay
en estos ataques problemas de software (software bugs). El origen del problema surge de la gran
necesidad de interconectividad necesaria a da de hoy para mantener el trfico en Internet.

___________________________________________________________________________________________

82

Este problema surge como ya se ha comentado en que la arquitectura y diseo de BGP est
basada en la confianza. A modo de ejemplo cuando un email es enviado desde un usuario en
Europa a otro usuario en Asia, las redes para cada usuario se comunican siempre con y a travs de
routers BGP indicando cual es la ruta ms eficiente para que los datos alcancen el buzn de
destino, claro que BGP asume siempre que cuando un router informa de cul es la mejor ruta nos
est diciendo la verdad, este abuso de confianza puede ser utilizada para aquellos que quieren
capturar nuestros datos engaando a los routers para que les enven el trafico con fines maliciosos.

FIGURA 64: Conexin MITM

FUENTE: https://www.owasp.org/index.php/Man-in-the-middle_attack

Proceso Completo MITM
Un usuario cuando teclea la URL de una pgina web en su navegador o enva un email, un
servidor DNS la traduce a una direccin IP como destino [20]. El router del ISP del usuario toma
esta peticin y entonces consulta una tabla de rutas BGP para encontrar la mejor ruta al destino
seleccionado, esta tabla es dinmica y se actualiza. Mientras tanto un SA declara el rango o
espacio de direcciones IP, tambin conocidos como prefijos IP, a los que cada uno entrega/enva el
trfico. La tabla de enrutamiento busca la IP destino entre estos prefijos. Si existen dos SA
anunciando la direccin IP deseada, escoge siempre aquella con la direccin mas especfica.

___________________________________________________________________________________________

83

Ejemplo
El SA X en sus tablas anuncia que sirve a un grupo de 120.000 direcciones IP, mientras tanto otro
llamado AS Y, sirve a un subred de 24,000 de estas direcciones. Si la IP de destino est reflejada
en ambos anuncios BGP enviar siempre al ms concentrado (pequeo), es decir, al ms
especifico. Cuando un hacker u elemento hostil quiera interceptar datos enviara un anuncio de un
rango de direcciones IP en la que est contenida la de su objetivo y obviamente ser ms
especfica que las otras que envan otras redes. Este falso anuncio, en cuestin de minutos, ser
propagado por internet, cuya finalidad ser que los datos dirigidos a esas direcciones IP se
dirigiran a la red del atacante.

Este ejemplo recuerda a lo sucedido entre Pakistan Telecom y Youtube, en cuestin de minutos
Youtube se qued inaccesible (ver epgrafe 4.3.6).

4.4.4 Ataques de sesin (TCP) y Replay Attacks

Como ya se ha comentado previamente en este documento, BGP trabaja sobre TCP por lo que
BGP hereda todas sus vulnerabilidades. SYN es un bit de control dentro del segmento TCP, se usa
para poder sincronizar los nmeros de secuencia iniciales al establecer una conexin. Este bit
puede derivar en dos tipos de ataques que afectarn a BGP, ambas variantes se mencionan a
continuacin:
SOY
208.65.153.0/24
SOY
208.65.152.0/22

___________________________________________________________________________________________

84

FIGURA 65: Sincronizacin al inicio de una sesin

FUENTE: http://es.kioskea.net/

a. Ataque TCP SYN
Tambin conocido como SYN flooding, este ataque consiste en enviar un SYN de sesin, y una
secuencia de paquetes BGP para establecer una sesin BGP, haciendo que una sesin legtima
parezca defectuosa y obligar a anularla.

b. TCP SYN ACK:
Un atacante intercepta un SYN antes que el router destino, el cual recibira ACK vaco como
respuesta cuya finalidad resultara en una RST que finalizara la sesin inicial.

4.4.5 Ataque Route Flapping

Route flapping referencia [27] cambios repetitivos en las tablas de rutas BGP. Hay ocasiones en
las que estos cambios se realizan con una frecuencia de varias veces por minuto.

Route flap sucede cuando una ruta es eliminada y entonces re anunciada en un espacio muy breve
de tiempo. Una razn alta de esta secuencia puede causar un problema serio para los routers,
debido a que cada flap produce cambios o eliminaciones de rutas que se propagan a travs de los
sistemas autnomos. Si la velocidad es lo suficientemente rpida, a un nivel por ejemplo de entre
30 a 50 veces por segundo, el router sufre una sobrecarga que puede inducir a una no
convergencia sobre rutas vlidas.
El Impacto potencial para los usuarios es una ralentizacin en la entrega de mensajes, e incluso en
algunos casos la recepcin invlida de algunos paquetes de datos. Route flapping puede derivar en
una denegacin de servicio.

___________________________________________________________________________________________

85

Route flap damping, RFD, es un mtodo para reducir los flaps de rutas por medio de un algoritmo
que ignora al router enviando actualizaciones flapping durante un periodo de tiempo configurable.

Cada vez que sucede un evento categorizado como flapping, los routers peer aaden un valor de
penalizacin al total del router haciendo flapping. La penalizacin se adquiere de una forma
exponencial en el tiempo. Si el flapping de rutas persiste, y excede el total (ver figura 66), las rutas
aprendidas del router flapping sern desechadas y los vecinos propagarn las actualizaciones a
travs de la red. A medida, que el tiempo pasa el valor de la penalizacin pierde valor, en el
momento en el que no se ven ms flaps, se alcanzar el umbral de re utilizacin y desde ese
momento el vecino empezar a aceptar rutas del router que previamente haba tasado de flapping
router.

FIGURA 66: Route Flapping Penalizacin/tiempo

FUENTE: http://web.eecs.umich.edu/~

Mientras que este mecanismo ayuda a reducir la inestabilidad causada por fallos espontneos en la
red, puede ser objeto de mal uso por parte de un atacante. Si un router se puede deshabilitar,
incluso temporalmente, sus sesiones BGP sern perturbadas y los routers vecinos empezarn a
enrutar evitndolo asumiendo que esta fuera de servicio.

___________________________________________________________________________________________

86

Este proceso puede activar cambios a travs de la red, apuntando a un incremento de la carga de
trabajo, y posiblemente causando que el trfico se ralentice dado que los cambios de enrutamiento
sern transmitidos a travs de rutas consideradas menos ptimas. De esta forma un router que de
una forma intermitente sea desconectado al sufrir repetidos ataques puede causar un mal
funcionamiento que podra causar ms interrupciones que si ese router fuera sencillamente
desconectado. Ya que si fuera as, los otros routers encontraran rpidamente caminos bordeando
ese router problemtico. Una repeticin de ataques de sesin peering de BGP (por ejemplo, va
TCP RST o por medio de mensajes de error ICMP spoofed) puede ser utilizado tambin para
causar un flapping de rutas.

Debido al problema descrito previamente e igualmente considerando que en nuestros das se ha
producido un notable incremento de la capacidad en los procesadores de los routers de ltima
generacin, muchos tcnicos de sistemas han decidido obviar esta contramedida. Tambin
definida en algunos manuales tcnicos como contramedida RFD o simplemente RFD. Se debe
hacer un estudio muy detallado analizando todos los pros y los contras de la implementacin de
RFD teniendo en cuenta su utilidad en el caso de que se desee aislar partes de la red para mitigar
los daos de un ataque.

4.4.6 Ataque Routes Desegregation

La desagregacin [23] de rutas se produce cuando un prefijo ms especfico es advertido por
vecinos BGP. Por ejemplo si el prefijo 129.0.0.0/8 y el prefijo 129.0.0.0/16 son ambos
anunciados, los algoritmos de BGP seleccionarn la segunda (para cualquier direccin dentro del
rango 129.0.0.0/16) ya que es ms especfica. En algunos casos, esta accin es normal y una
operacin apropiada debido a los cambios de configuracin, pero puede suceder que sea resultado
de un error o fruto de una actividad maliciosa.

El primer impacto de este evento es una degradacin del servicio que en algunos casos puede ser
ampliamente difundido y producir un gran dao. Dando BGP preferencia a las rutas ms
especificas, si se producen un gran nmero de actualizaciones con miles de nuevas rutas y estas se
difunden rpidamente, causara al router una denegacin de servicio a s mismo y puede provocar
como dao colateral el cierre de los ISPs ms grandes al ser los ms involucrados. Este problema
puede ser resultado de un error de configuracin as como de una actividad maliciosa, cuando un
router falso que simula ser un SA vlido.

___________________________________________________________________________________________

87

Como solucin a este ataque o problema podemos implementar algunas medidas como establecer
un lmite mximo de prefijo (maximum prefix limit), este lmite puede ser pre configurado para
terminar o deshabilitar una sesin y enviar un mensaje de alerta cuando un router vecino transfiera
un nmero excesivo de prefijos predefinidos. Una desagregacin de rutas activara la capacidad de
limitar prefijos, y la sesin con el par sera deshabilitada hasta ser activada manualmente, dando a
los operadores la capacidad de analizar el problema y prevenir su difusin por Internet.

4.4.7 Ataque de Inyeccin de Rutas Maliciosas

BGP existe para difundir la informacin de enrutamiento a travs de internet. Los Routers se
trasmiten informacin entre ellos sobre aquellos prefijos a los que se pueden conectar y de la
eficiencia de cmo llegar a las direcciones IP deseadas dentro de esos prefijos. En situaciones
benignas y cooperativas estas acciones funcionan bien, pero una vez ms, existen intenciones
maliciosas pudiendo empezar a enviar actualizaciones de informacin de enrutamiento incorrecta.

El anuncio de rutas ms especificas, podra desviar el trfico a la mquina del atacante, que podra
observar y grabar los paquetes de datos y analizar la informacin de esa direccin bajo el ataque.
La vctima no tendra ningn control sobre las rutas anunciadas por el atacante, siendo su nica
opcin, contactar con el ISP del delincuente para solicitar una correccin de los datos errneos de
las rutas anunciadas por el agresor. Una vez hecho esto, sera muy difcil demostrar si detrs de
esta redireccin errnea haba intenciones maliciosas o pudiendo alegar un error de configuracin
accidental. De hecho la victima posiblemente no podra ver el anuncio de rutas del atacante, ya
que seguramente habra sido desechada localmente por BGP para prevenir bucles de ruta (looping
routes).

BGP no dispone de un medio de autenticacin para garantizar la identidad de los vecinos, ni
tampoco de un mecanismo de autorizacin para otorgar a un par BGP la potestad de actualizar
rutas a prefijos particulares. Filtros de rutas y la realizacin de autenticacin con MD5
inicialmente soluciona simplemente la autenticacin del enlace BGP.

___________________________________________________________________________________________

88

4.4.8 Ataque de Inyeccin de Rutas no Asignadas

Un variante de inyeccin de rutas maliciosas es la transmisin de rutas de prefijos no asignados,
estos prefijos son direcciones IP especficas que todava no han sido asignadas. Es decir, nadie
debera utilizar estas direcciones, lo cual implica que nadie debera enrutar trfico a esas
direcciones. A su vez, cualquier informacin de rutas para esos prefijos es claramente errnea o
maliciosa, y debe ser desechada.

4.4.9 Malware Rootkits, IOS, Bios, EEProms

A da de hoy no se puede realizar un estudio de seguridad sin contemplar la posibilidad de una
infeccin por malware especficamente diseado para atacar un sistema operativo determinado, un
hardware en concreto, o un protocolo especifico en particular.

La primera consideracin sobre los routers que soportan y/o dan soporte a infraestructuras criticas,
cuya funcin que les da un valor aadido y los hacen especialmente interesantes para lo que se ha
denominado la Ciberguerra.

Una segunda consideracin es que hay una antes y un despus de Stuxnet y Duqu, malware
diseado para atacar procesos industriales. En un principio orientado a centrales nucleares, por ser
muy atractivo por aquellos encargados de desarrollarlo.

Hace relativamente poco, ha sido descubierto un gusano diseado como un rootkit que se auto
replica en IOS, tambin dispone de capacidad de invisibilidad (stealh capabilities), y de un
mecanismo de autodefensa. El diseo es con cdigo auto adaptado a cada modelo de plataforma.
Las capacidades conocidas de este malware son:

Captura de paquetes de red
Conexiones de reverse Shell: con esta funcin evita ser detectado o bloqueado ante la
posibilidad de encontrar sistemas de proteccin de fronteras (BPS).
Capacidad de franquear posibles Intrusion Detection Systems (IDS) o Firewalls en el
camino ya que establece la conexin desde dentro hacia fuera

___________________________________________________________________________________________

89

Dispone de un modulo de spam, y un mini malware httpd server.Este software malicioso
se ejecuta en la memoria flash del router, que dicho sea de paso, contiene los primeros
comandos que utiliza en el proceso de arranque (Boot-Up).

Ante estas ocurrencias un administrador de routers debe prevenir su infraestructura.

Las actualizaciones del IOS son obligatorias pero siguiendo pautas de seguridad, tales como:

Solo instalar actualizaciones de reputadas y contrastadas fuentes.
Estas debern estar firmadas digitalment
La capacidad emular situaciones reales de routers sugiere disponer de un banco de pruebas
virtual lo ms parecido a sistemas en uso, donde analizar cualquier cambio o actualizacin
como fase previa del despliegue en sistemas con alta carga de trabajo.

4.5 Resumen

En este epgrafe del documento se han analizado los fallos de configuracin con mayor
repercusin a nivel mundial del siglo XXI, tambin, se han analizados todos los posibles ataques
conocidos sobre el protocolo en cuestin. Existen multitud de recomendaciones tcnicas al
respecto, pero recientemente han aparecido noticias en la prensa internacional de haberse
descubierto manufacturas de Cisco [8] del tipo router o switches que no son originales. La
gravedad de la noticia es que estos equipos haban sido adquiridos por el departamento de defensa
de los Estados Unidos e incluso el FBI.

Esta noticia no solo es grave por el hecho de que este material no habra pasado los controles de
calidad debidos, y que adems pueden contener dispositivos de activacin remota con capacidades
maliciosas que podran poner en grave riesgo infraestructuras criticas o vitales de los Estados
Unidos, y cabe preguntarse si este material no estar funcionando en infraestructuras de carcter
vital en otros pases u organismos internacionales.

Es difcil, como redactor de este proyecto, sugerir medidas de seguridad para no sufrir un ataque o
para no perjudicar a otras infraestructuras mediante errores de configuracin si a su vez se
descubren productos falsos sobre los cuales se deben implantar dichas normas.

___________________________________________________________________________________________

90
BIBLIOGRAFIA

Las referencias que se han usado en este documento son:

REFERENCIAS BIBLIOGRFICAS

[1] Peter Rybazyk, Cisco Router TroubleShooting Handbook. New York: M & Books, 2000
[2] Rob Payne y Kevin Manweiler, CCIE: Cisco Certified Internetwork Expert Sudy Guide
Routing and Switching [2 edicin].
[3] Giles Roosevelt, All-in-one CCIE Study Guide [1 Edicin]. 1998
[4] Giles Roosevelt, All-in-one CCIE Study Guide [2 Edicin]. 1998
[5] Tim Boyles, Cisco CCNP Certification Library. 2001.
[6] Todd Lammle, CCNA Cisco Certified Network Associate Study Guide. 2011.
[7] William R. Parkhurst, Cisco BGP-4 Command and Configuration Handbook. 2001
[8] Iljitsch van Beijnum, Building Reliable Networks with the Border Gateway Protocol. 2002

REFERENCIAS DIGITALES

[9] CISCO, http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1cbgp.html
[10] CISCO,http://www.cisco.com/en/US/tech/tk365/tk80/tsd_technology_support_sub-protocol_home.html
[11] CISCO, http://docwiki.cisco.com/wiki/Border_Gateway_Protocol
[12] LACNIC, http://lacnic.net/documentos/lacnicxii/presentaciones/08_bgp.pdf
[15] Instituto Nacional de las Tecnologas de la comunicacin, http://cert.inteco.es
[16] BGP monitoring and analyzer, http://bgpmon.net/blog/
[19] Cyber Operations Center Dashboard, http://msisac.cisecurity.org/apps/dashboard/
[21] BGPTables, http://bgpinspect.merit.edu/index.php
[22] Hurricane Electric, http://lg.he.net/

___________________________________________________________________________________________

91

[23] Trac, http://irrtoolset.isc.org/
[24] RIPE Network Coordination Center, http://www.ris.ripe.net/cgi-bin/riswhois.cgi
[25] Saulo Barajas, http://www.saulo.net/pub/inv/BGP-art.htm
[27] Arizona Computer Science, http://www.cs.arizona.edu/~bzhang/paper/05-icdcs-dtimer.pdf

___________________________________________________________________________________________

92
ANEXO A. MANUAL DE USUARIO

ROUTER ANALYZER

___________________________________________________________________________________________

93

ROUTER ANALYZER

6.1 Introduccin

Router analyzer surge con la idea de poder configurar un router de manera fiable y segura. En
apartados anteriores en este documento se ha podido ver la importancia de una buena
configuracin para tener un router robusto ante ataques y funcionalmente correcto. Esta aplicacin
va a analizar en tiempo real los enlaces que tenga el router que se consideran peligrosos. Se va a
establecer un enlace directo entre la configuracin del router y herramientas web para saber en
todo momento que se est haciendo en el dispositivo y tener un interfaz grfico que muestre la
informacin de una manera ms entendible por aquel administrador de red que decida usar la
aplicacin.

Durante el desarrollo de la aplicacin se ha de mencionar que no se ha visto nada como esta
aplicacin en el mercado informtico. No es tarea fcil configurar un router y con Router
Analyzer se ha disminuido el grado dificultad utilizando herramientas de dominio pblico que se
vern ms adelante.

ROUTER ANALYZER

Aplicacin para la configuracin un BGP
analizando en tiempo real direcciones
peligrosas y sistemas autnomos
suplantadores.

___________________________________________________________________________________________

94

6.1.1 Internet Storm Center

Existen diversas pginas que se actualizan diariamente y que muestran pblicamente aquellas
direcciones IP que han sido denunciadas por numerosos ataques. En esta aplicacin se va a usar la
informacin de la siguiente pgina:

http://isc.sans.edu/sources.html

I SC (Internet Storm Center) [13] se cre en 2001 con la aparicin del gusano Lion. ISC es
mundialmente conocida por su labor de deteccin, anlisis y estudios de los diferentes malware
que han ido apareciendo desde la existencia de internet. Lo que viene a continuacin son
comentarios encontrados en algunos foros de seguridad informtica como el de ISC.

Un peligroso gusano, llamado Lion (len), est propagndose por Internet e
infectando los servidores Linux, ha advertido SANS Institute. Entre sus nefastas
peculiaridades, el gusano es capaz de robar claves de acceso, instalar y instalar
y ocultar otras herramientas en sistemas infectados; usar aquellos sistemas
para buscar otros sistemas que pueda atacar.

En la pgina ISC se pueden encontrar diferentes herramientas para defenderse contra algn tipo
de malware. Router analyzer se conectar a la pgina web, y contrastar la informacin del
fichero de configuracin del router con la tabla la cual se actualiza diariamente. La tabla tiene
los siguientes atributos:

Direcciones IP: Direcciones IP origen de los paquetes detectados por sus sensores.
Ataques: Nmero de los diferentes ataques conocidos con esta direccin IP origen.
Informes: Nmero de paquetes conocidos desde esta direccin IP origen.
Localizada por primera vez: Primer informe de un paquete malicioso.
Localizada por ltima vez: ltima denuncia de un paquete malicioso.

___________________________________________________________________________________________

95

___________________________________________________________________________________________

96

6.1.2 Domain Tools

La seguridad en BGP tiene un objetivo en comn. Saber si un prefijo pertenece a la organizacin a
la que dice pertenecer, si el router que dialoga con los routers vecinos de los ISPs es el que la
organizacin ha instalado y no es un suplantador, si la ruta para conectarse a un servidor de la
organizacin es realmente la correcta y no ha sido modificada, si el trafico ha sido redirigido a un
sistema autnomo comprometido, y dems interrogantes, es la base que guiar el proyecto.

Domain Tools [26] es lder reconocido en el mbito de investigacin y seguimiento de paquetes
en Internet. A la hora de configurar los enlaces del router, la aplicacin pedir la direccin IP y el
sistema autnomo al que el peer dice pertenecer, se conectar a la pgina de domain tolos
(whois.domanintools.com) para sacar toda la informacin posible del router vecino. Si la direccin
IP no perteneciese al sistema autnomo al que dice pertenecer la aplicacin no dejar configurar
ese enlace en el fichero de configuracin del router que se quiere configurar.

En la pgina de Domain Tools se pueden encontrar diferentes herramientas online gratuitas.
Exactamente, la aplicacin usar el apartado whois. Lo que viene a continuacin es literalmente lo
que pone en la pgina web de Domain Tools sobre la herramienta:

In 2006, WHOIS.SC (Whois Source) became DomainTools to reflect our expanded
toolset for domain research beyond WHOIS. In addition to a simple availability check
and registration information, we now offer Domain Name Suggestions, Trademark
Monitoring for Brand Protection, Domains For Sale, DNS Tools and more.

___________________________________________________________________________________________

97

6.1.3 Router Analyzer

Router Analyzer ha sido desarrollada en Microsoft Visual Studio 2010, (Microsoft .NET
Framework 4). La finalidad de esta herramienta es implantar infraestructuras de red lo ms
integras y seguras posible. Router Analyzer es un centro de control de la red que se est
monitorizando, ha sido diseada para poder configurar BGP analizando en tiempo real direcciones
peligrosas y sistemas autnomos suplantadores.

Los fallos de configuracin, la suplantacin de prefijos, los ataques al protocolo y la gestin de
procesos han sido las directrices que han guiado este proyecto, pues esta herramienta abarca la
totalidad de las mismas. La aplicacin se puede resumir en tres grandes puntos:

Anlisis del router: Un estudio de los enlaces del dispositivo examinndolos con la tabla de
direcciones IP peligrosas ya mostrada anteriormente. (Ataques al protocolo y suplantacin
de prefijos)
Configuracin del router: Una composicin de las entradas/salidas del dispositivo en 5
pasos, que acota el margen de error. Una vez finalizada la configuracin, rastrea la
direccin IP a la que se est conectando y avisar al usuario en el caso en el que la
direccin no pertenezca al sistema autnomo que se ha introducido. El usuario podr
habilitar un asistente de configuracin que le notificar en qu punto se encuentra del
proceso y proporcionar las aclaraciones necesarias durante el mismo. (Fallos de
configuracin y suplantacin de prefijos).
Estado actual: Una interfaz que destaca por la facilidad que da al usuario para entender el
estado del dispositivo, proporcionando toda la informacin posible del fichero de
configuracin del router. (Gestin de procesos).

En los apartados de anlisis y configuracin se le proveer al usuario de toda la informacin
recogida en Domain Tools sobre el enlace que se quiera y/o necesite saber como por ejemplo:

La direccin de correo del administrador.
La organizacin a la que pertenece el router.
Informacin geogrfica del ubicacin del router:

___________________________________________________________________________________________

98

6.2 Anlisis del router

Internet es un conjunto de asunciones engaosas y arriesgadas. Los dispositivos establecen una
asociacin voluntaria sin saber realmente con quien se est constituyendo esa vinculacin. Cuando
se vaya a configurar los enlaces de un router, el administrador de la red debera plantearse la
siguiente pregunta:

A quin me estoy conectando? Ser seguro?

Con esta herramienta, esto ya no ser ningn dilema. Una vez se suba a la aplicacin la
configuracin del router, esta buscar qu vecinos se han configurado y se conectar a la pgina de
ISC para saber si el enlace es peligroso.

El anlisis del router cuya interfaz se ver ms adelante se realizar en tres pasos. Es necesario que
el usuario disponga del archivo de configuracin del router. Una vez se ha localizado el archivo,
los pasos para realizar el anlisis de enlaces son los siguientes:

a) Subir el archivo de configuracin del router.
b) Analizar y ver resultados.
c) Actuar.

6.2.1 Archivo de configuracin

El usuario deber subir el fichero de configuracin del router a la aplicacin, un fichero de
configuracin es un archivo de texto con la extensin .cfg.

___________________________________________________________________________________________

99

6.2.2 Analizar y ver resultado

Una vez ha subido el archivo en la herramienta, Router Analyzer le dar la opcin de analizar el
router. La aplicacin se conectara a la pgina de ISC y se bajar la tabla de direcciones IP
peligrosas y comparar los elementos de la tabla con los enlaces que haya detectado en el fichero.

___________________________________________________________________________________________

100

Una vez terminado el anlisis, mostrar los resultados por pantalla. Si la aplicacin detecta algn
enlace daino mostrar un mensaje de advertencia al usuario.

A continuacin mostrar en una pantalla aparte los resultados del anlisis. A modo de ejemplo se
ha analizado un fichero de configuracin y se ha insertado una direccin IP tasada por ISC como
peligrosa, el resultado sera el siguiente:

___________________________________________________________________________________________

101

6.2.3 Actuar

Una de las grandes ventajas de esta herramienta es que dar al usuario toda la informacin
disponible en Internet sobre el enlace que desee en todo momento. La aplicacin se bajar los
datos de la pgina de whois Domain Tools, proporcionar los datos de contacto del administrador
de la otra red. El usuario tendr la opcin de bloquear cualquier red en cualquier momento y si
esta deja de ser peligrosa o el usuario consigue contactar con el administrador de la red, el usuario
podr volver a permitir enlaces del router con dicha direccin. La informacin del enlace que dar
la aplicacin ha sido dividida en tres grupos:

Datos de la organizacin:
Nombre
ID
Direccin
Cdigo Postal
Ciudad
Estado
Pas

Datos de contacto:
Telfono
Direccin de correo
Otro

Informacin General
Rango de la red
Prueba
Nombre de la red
Fecha de actualizacin
Red padre
Fecha de registro

___________________________________________________________________________________________

102

La direccin que se ha puesto a modo de ejemplo, la 221.195.082.146 perteneciente al sistema
autnomo 4837, dara la siguiente informacin:

Datos de la organizacin:

Datos de contacto:

___________________________________________________________________________________________

103

Informacin General

6.3 Configuracin del router

En este tab de la herramienta, aparecen dos botones cada uno con una funcionalidad distinta.

Estado actual: muestra por pantalla informacin relevante que ha detectado en el fichero de
configuracin.
Configurar: permite al usuario configurar un router desde 0 y establecer vecindad y filtros
de acceso.

___________________________________________________________________________________________

104

6.3.1 Estado Actual

Anteriormente en este proyecto se ha hablado de la importancia de mantener todos los aspectos
necesarios de una configuracin de red en un mismo documento. Esto facilitara el mantenimiento
y su correcta configuracin.

Una vez se ha terminado la instalacin es necesario seguir documentando el estado del router?

Ciertamente s. Archivar documentos temporales del estado del router es vital para un buen
sostenimiento de la red.

Router Analyzer dar la opcin al usuario de crear estos archivos. La herramienta pedir al
usuario el fichero de configuracin del router y elaborar una ficha con los datos relevantes del
router.

Los datos que recoger en la ficha son los siguientes:
Descripcin:
o Nmero de enlaces detectados.
o Estado de BGP y enlaces.
o Sistema autnomo al que pertenece.
o Direccin IP del router.
Enlaces:
o Identificador.
o Direccin IP.

___________________________________________________________________________________________

105

Ejemplo

Esta ficha la podr exportar a Word. Al clicar en el botn de EXPORTAR saldr un cuadro de
dilogo y al guardar, la exportacin a Word se guardar por defecto con el nombre del router y la
fecha que se ha realizado.

Una vez se ha guardado la exportacin, el botn de EXPORTAR cambiar a VISUALIZAR y
desde la misma herramienta podr abrir el fichero .doc.

___________________________________________________________________________________________

106

La exportacin la realizar sobre una plantilla que pertenece a las resources del programa. Router
Analyzer abrir Microsoft Word e ir cambiando la informacin del router por unos campos que
como se han programado para que los busque. El cdigo para introducir en Word el nombre del
router es el siguiente:

Introducir la variable host cuando encuentre en la plantilla el campo%%nombreHost%%.

WordApp = CreateObject("Word.Application")
WordDoc = WordApp.Documents.Open(pathFicheroword)
Dim xRange = WordDoc.Range

xRange = WordDoc.Range
xRange.Find.Execute("%%nombreHost%%", , , , , , , , , host, True)

El documento que se abrir viene a continuacin.

___________________________________________________________________________________________

107

___________________________________________________________________________________________

108

6.3.2 Opciones de configuracin

El botn de configuracin abrir al usuario la pantalla que viene a continuacin:

Puede elegir entre dos opciones de configuracin:
Un enlace BGP: en cuyo caso podr permitir o filtrar accesos a enlaces.
Un router BGP: en este caso el usuario tendr la opcin de generar un fichero de
configuracin despus de contestar unas preguntas que le generar la aplicacin.

A esta ventana se le ha habilitado la opcin de ayuda, si el usuario no supiese que contestar y
clicase en el botn de ayuda le saldra lo siguiente:

___________________________________________________________________________________________

109

6.3.2.1 Configuracin de enlaces

a) Introduccin
A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo
derivados de fallos en BGP. En este documento se han recogido los episodios ms relevantes del
siglo XXI. Estos incidentes proceden, en su mayora, de fallos de configuracin. Con esta
herramienta se ha logrado acotar al mximo el margen de maniobra de un administrador a la hora
de configurar un enlace. En 5 sencillos pasos, Router Analyzer, recauda suficiente informacin
para aadir o bloquear un enlace. Esta informacin la guardar en el fichero .cfg. Los 5 pasos son
los siguientes:

Paso 1: Tipo de permiso
Paso 2: Tipo de enlace / tipo de filtro
Paso 3: Mscara de red
Paso 4: Direccin IP
Paso 5: Descripcin del enlace

___________________________________________________________________________________________

110

b) Diagrama de flujo

VERIFICAR
OCTETOS
NO SI
SI NO
CONFIGURACIN
ENLACE
LEER OPCIN 1
OPCION 1= Permitir
TIPO DE PERMISO TIPO DE ENLACE
TIPO DE PERMISO
LEER OPCIN 2 LEER OPCIN 2
TIPO DE
MSCARA
LEER OPCIN 3
OPCION 3= Otra
VERIFICAR
OCTETOS
DIRECCIN IP
LEER IP
1
0
OPCION 2 = Externo o
OPCION 1 = Filtrar
DESCRIPCION SISTEMA
AUTNOMO
LEER SA LEER DESC
FINALIZAR
PROCESO
0 1
SI
NO

___________________________________________________________________________________________

111

___________________________________________________________________________________________

112

c) Pasos de configuracin

Paso1.

El usuario deber facilitar al a aplicacin el tipo de permiso que quiere dar al enlace. Hay dos tipos
de permiso:
Filtrar:
Permitir

En el caso de filtrar, el usuario est denegando el acceso a una ruta. Los tipos de filtro que puede
elegir el usuario se vern en el paso 2. Si el usuario decide permitir un enlace, estar estableciendo
vecindad con otro router, podr ser dentro o fuera de la red, IBGP y EBGP respectivamente.

Paso2.

En el paso 2 habr hasta 4 opciones 2 y 2, dependiendo de la opcin elegida en el paso 1. Si ha
elegido filtrar saldr lo siguiente:
Route Filtering: Filtro basado en direccin de rutas
Path Filtering: Filtro segn SA

En cambio, si en el paso 1 decidi establecer un enlace con otro router, tendr estas dos opciones:
Interno: enlace entre dos routers dentro de la misma organizacin
Externo: enlace enter ds routers pertenecientes a diferentes organizaciones.

Paso 3.

En este caso, independientemente de lo que el usuario haya establecido previamente, es decir, ya
sea un filtro o un permiso, el usuario deber proporcionar a Router Analyzer, la mscara de la
direccin IP del enlace que se est configurando.

El rango de valores que aceptar la aplicacin ser desde 0.0.0.0 a 255.255.255.255, si los valores
introducidos por el usuario no se encuentran en este rango, saldr un mensaje de error y no le
dejar avanzar al siguiente paso.

___________________________________________________________________________________________

113

Paso 4.

En el paso 4 la herramienta pedir al usuario la direccin IP del enlace. En aquellos casos en los
que sea necesario conocer el sistema autnomo al que pertenece el router vecino, la aplicacin
pedir el ASN al usuario. Los casos en los ser necesario son los siguientes:
Enlace externo
Route Filtering
Path Filtering

Paso 5.

Llegados a este punto, la configuracin del enlace se ha prcticamente terminado. El usuario dar
una breve descripcin para facilitar futuras actualizaciones.

Si en el paso 1 el usuario decidi establecer una vecindad, ya sea interna o externa, tambin deber
nombrar el interfaz del enlace. La sintaxis de la descripcin es la siguiente:

Nombre Interfaz Descripcin del enlace
Ejemplo
Serial0 Enlace al proveedor 1

d) Verificar configuracin
Una vez terminados los 5 pasos establecidos para la configuracin de un enlace, Router Analyzer
verificar los datos introducidos. Para un enlace interno, el router comprobar que todos los datos
sean correctos. Para los enlaces externos y filtros esta situacin cambia.

___________________________________________________________________________________________

114

Router Analyzer se conectar a whois Domain Tools para comprobar que la direccin IP
introducida en el paso 4 pertenezca al sistema autnomo proporcionado por el usuario. En caso de
error, saldr el siguiente mensaje por pantalla:

En este caso, Router Analyzer no dejar guardar el enlace y posibilitar solo aquellos campos que
el administrador deba corregir. Podr cambiar la direccin IP o el sistema autnomo y tambin
tendr acceso a toda la informacin sacada de whois Domain Tools que ya se vio en el apartado
3.2 de este anexo.

Si Router Analyzer considera que el enlace est bien configurado y este pertenece a quien dice ser,
dar la opcin de guardar en el enlace y pedir al usuario el fichero de configuracin del router al
que se le quiere agrupar este enlace. Una vez finalizada la configuracin el usuario ser redirigido
a la pantalla de inicio de la aplicacin.

___________________________________________________________________________________________

115

6.3.2.2 Configuracin de un router BGP

Para la configuracin predeterminada de Router Analyzer, el usuario deber responder a 10
preguntas. Una vez contestadas, la herramienta abrir directamente la ventana de configuracin de
enlaces.

Router Analyzer ha sido diseada para facilitar las labores de administradores de red. La semntica
usada para configurar routers BGP puede ser confusa y no todos los responsables de routers
conocern la totalidad de los comandos necesarios para una configuracin robusta.

La imagen mostrada a continuacin son las 10 preguntas que el usuario deber contestar para
llevar a cabo la configuracin predeterminada:

Nota: Cada pregunta y/o comando vienen explicados en el anexo B de este proyecto en las
plantillas de configuracin.

Una vez contestadas las 10 preguntas, el usuario podr guardar el fichero de configuracin (.cfg) y
ser dirigido a la configuracin de enlaces explicada en el epgrafe anterior.

___________________________________________________________________________________________

116

6.4 Configuracin Helper

6.4.1 Introduccin

Al iniciar una configuracin de un router, la aplicacin mostrar una opcin la cual solo ser
visible al principio. Una vez se comience la configuracin habr que dar a borrar para poder
activar dicha opcin. La opcin se denomina Configuracin Helper y se habilita con un
checked tem que pone habilitar ayuda.

Esta opcin es un asistente de configuracin, ayudar a aquellos administradores que lo necesiten.
Como ya se ha mencionado anteriormente en este proyecto, hoy en da no todos los tcnicos
desempeando misiones en infraestructura de red disponen de una capacidad tcnica y de
conocimientos para cuantificar y analizar todos los riesgos, lo cual implcitamente es
determinante en el modo de analizarlos y remediarlos.

Configuracin Helper funciona mientras se est configurando un enlace. Estimado lector, recuerde
los pasos de configuracin (vase supra), los cuales se enumeran brevemente:

Paso 1: Tipo de permiso
1. Filtrar
2. Permitir

Paso 2.1: Tipo de Filtro
2.1.1 Route Filtering
2.1.2 Path Filtering

Paso 2.2: Tipo de Enlace
2.2.1 Interno
2.2.2 Externo

___________________________________________________________________________________________

117

Paso 3: Mscara

Paso 4: Direccin IP (y en cuyos casos sea necesario el sistema autnomo Direccin IP y
Sistema autnomo.
Paso 5: Descripcin y nombre del enlace

a. Configuracin Helper Paso 1

En el primer paso, toda configuracin de un enlace pedir al usuario introducir el tipo de permiso
que quiere darle a tal enlace. Dispondr de dos opciones, filtrar esa red (o bloquear) y permitirla
(establecer vecindad BGP), el asistente de configuracin mostrar un mensaje por pantalla
advirtiendo o informando al usuario de lo que est haciendo.

Filtrar.

Permitir.

___________________________________________________________________________________________

118

b. 6.4.2 Configuracin Helper Paso 2

En el segundo paso, el Configuracin Helper tiene hasta 4 posibles mensajes. Todo depende de la
opcin que haya elegido el usuario en el paso 1.

a. Filtrar
El usuario tendr la opcin de hacer dos tipos de filtro en la configuracin de su router:

Route Filtering

Path Filtering

___________________________________________________________________________________________

119

b. Permitir
Si el usuario elige permitir un enlace, es decir, establecer un peering con otro router, le
aparecern dos nuevas opciones:

Interno

Externo

___________________________________________________________________________________________

120

c. Configuracin Helper Paso 3

El tercer paso, como ya se ha visto anteriormente, es comn para todos, ya sea un filtro de una
direccin o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la
mscara de red, en consecuencia, el Configuracin Helper mostrar el siguiente mensaje:

d. Configuracin Helper Paso 4

El cuarto paso, como ya se ha visto anteriormente, es comn para todos, ya sea un filtro de una
direccin o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la
direccin IP, en consecuencia, el Configuracin Helper mostrar el siguiente mensaje:

___________________________________________________________________________________________

121

e. Configuracin Helper Paso 5

En el quinto paso, la herramienta necesita que se le ponga un nombre al interfaz de conexin
que se quiere configurar. Es opcional adjuntar una descripcin del enlace que la herramienta
escribir en el fichero de configuracin. En este paso el Configuracin Helper muestra el
siguiente mensaje:

___________________________________________________________________________________________

122

ANEXO B. PLANTILLAS

PLANTILLAS DE SEGURIDAD BGP
CISCO IOS E IOS XR

___________________________________________________________________________________________

123

___________________________________________________________________________________________

124

___________________________________________________________________________________________

125

___________________________________________________________________________________________

126

___________________________________________________________________________________________

127

___________________________________________________________________________________________

128

___________________________________________________________________________________________

129

___________________________________________________________________________________________

130

___________________________________________________________________________________________

131

Seguridad en BGP

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Seguridad en BGP

Încărcat de

Drepturi de autor:

Formate disponibile

ESCUELA TCNICA SUPERIOR DE INGENIERA (ICAI)

INGENIERO TCNICO EN INFORMTICA DE GESTIN

S-ar putea să vă placă și