I I UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
AGRADECIMIENTOS
Gracias Pap, eres una mquina.
No poda empezar mis agradecimientos de otra manera. Sin ti, este proyecto no sera lo que es. Me has echado una, dos y hasta tres manos y ninguna de ellas al cuello. Has sabido pegarme empujoncitos durante el curso y de verdad que muchas gracias.
Irascible; mi familia domina el significado de esta palabra. Del latn irascibilis, dcese de una persona propensa a la ira. No todo el ao he estado igual, tambin recuerdo haberme sentido alterable, atrabiliario, basilisco, cascarrabias, furibundo, iracundo, malhumorado. Gracias por haberme aguantado este ao tan largo. Muchas gracias mam y Beatriz, sois nicas.
Qu decir de lo simplemente perfecto? Siiii, me refiero a ti, Teresa. GRACIAS. Eres una persona excelente. Me alegro muchsimo de haberte encontrado. Ten muy claro que si he sacado esto adelante ha sido por tu apoyo y tu paciencia, sobre todo esta ltima. Vamos a poder con todo, estoy seguro. Gracias por tu confianza y por todo lo que me das a diario. Sigue hacindome sentir tan especial.
MS
Gracias Parrusete. Sois la caa chicos, que esto dure de por vida. Pase lo que pase siempre juntos.
Gracias a mi grupo de fumadores de ICAI. Espero seguir en contacto con vosotros, sois parte de mi historia universitaria.
Finalmente me gustara agradecer a mi director, Jose Luis Gahete, por la oportunidad que me ha brindado de poder profundizar en esta materia. He aprendido muchsimo durante el desarrollo de este documento. Gracias por asignarme este proyecto.
II II UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIN.
ROUTER ANALYZER
Autor: Jorge Prez Calleja Director: Jose Luis Gahete Diaz Entidad Colaboradora: Universidad Pontificia Comillas
RESUMEN DEL PROYECTO El objetivo de este proyecto es desarrollar un estudio sobre Border Gateway Protocol. Se analizaran los episodios ms relevantes en fallos de configuracin en los ltimos aos, al igual que una investigacin en detalle de los ataques conocidos. Una vez planteadas las vulnerabilidades del protocolo se ha desarrollado una aplicacin para minimizar situaciones de riesgo y se han elaborado unas plantillas gua de seguridad en routers Cisco IOS e IOS XR.
Palabras clave: Internet, Border Gateway Protocol, whois Domain Tools, Internet Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.
Introduccin. La seguridad informtica es un activo intangible y debe ser entendida como un proceso. Esta se debe implantar en toda organizacin como un ciclo iterativo que incluye una serie de actividades como la valoracin de riesgos, la prevencin, y la deteccin y respuesta ante incidentes de seguridad. Toda empresa, ya sea lder, o seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro para transmitir la informacin.
III III UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
1.1 Transmisin de datos El medio de transmisin que se va analizar en este documento es Internet. Cualquier peticin de enviar un email o consulta de una pgina web implica la transmisin de paquetes de datos desde el punto de origen al de destino.
Internet es un mundo vivo donde aparecen constantes cambios. Pueden aparecer sistemas nuevos o sistemas que cesan su actividad. Estas eventualidades deben estar reflejadas en tablas de encaminamiento. Border Gateway Protocol, de ahora en adelante, BGP, es el encargado de gestionar estas variaciones continuas por lo que los fallo en la configuracin de aquel, podan dejar reas geogrficas enteras sin acceso a Internet.
1.2 Antecedentes Histricos A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo derivados de fallos en BGP. En este documento se han recogido los episodios ms relevantes del siglo XXI [1]. Estos incidentes proceden, en su mayora, de fallos de configuracin.
En la actualidad, existen propuestas formales que hacen BGP seguro y fiable pero su compleja implantacin las convierte en poco plausibles. Por un lado se ha planteado Secure Origin BGP cuyo objetivo es verificar el origen de cada mensaje utilizando certificados. Por otro lado, se ha considerado incluir la autentificacin, integridad y autorizaciones en los mensajes BGP, cuya proposicin se denomina Secure BGP.
Objetivos del proyecto. El objetivo de este proyecto es concienciar y advertir a las entidades de la necesidad de una mejora en sistemas de transmisin cuyo fin ser asegurar la confidencialidad, accesibilidad e integridad de los datos.
El desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debera ser un objetivo primordial para todas
IV IV UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
las organizaciones. Actualmente, estas no han sabido ver una mejora inmediata que pueda repercutir en sus clientes y, probablemente, hasta que no se reciban varios ataques al protocolo BGP no se considerar la necesidad de asegurar sus sistemas.
La intencin de este documento es demostrar que siguiendo unos pasos sencillos se pueda configurar el protocolo de manera eficiente. No obstante, aun habiendo explicado los diferentes comandos y opciones recomendadas, se aconseja hacer un estudio previo de las necesidades especficas de cada conexin as como comprender las diferentes opciones para implementar la configuracin ms correcta, ms valida y la adecuada a cada situacin.
Router Analyzer. Asimismo se ha desarrollado una aplicacin para facilitar la configuracin del router y reducir la posibilidad de acoger ataques al sistema. Para la creacin de dicha herramienta se han utilizado materiales de dominio pblico tales como whois Domain Tools [2], y la tabla de direcciones IP denunciadas de Internet Storm Center [3].
Router Analyzer es la herramienta diseada para acotar al mximo el margen de error a la hora de configurar un enlace, y reducir la posibilidad de acoger ataques al sistema. En el Anexo A de este proyecto se ha desarrollado un manual de usuario para su correcto uso. En dicho apndice, se han agrupado diferentes capturas de pantalla con el fin de facilitar la comprensin del mismo.
V V UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
Plantillas de seguridad. Para el desarrollo de estas plantillas de configuracin y seguridad se ha realizado una labor de documentacin y se han consultado publicaciones al efecto como el National Institute of Standards and Technologies [1] (US NIST), organismo dependiente del departamento de comercio de los Estados Unidos. A su vez, se han consultado pginas web de monitorizado, anlisis y recomendaciones sobre BGP como BGPmon [4]. Conocida organizacin no lucrativa de apoyo a los tcnicos y operadores de red en Internet. Por ltimo, cabe mencionar a Packet Clearing House [5], Instituto de investigacin sin nimo de lucro sobre las comunicaciones en internet.
En esta investigacin sobre BGP, las organizaciones previamente nombradas hacen una constante referencia a las plantillas de seguridad de BGP desarrolladas y publicadas por Team Cymru Community Services [6]. Esta es una compaa estadounidense localizada en el estado de Illinois, especializada en la investigacin sobre la seguridad de internet. Team Cymru es tambin conocida por su dedicacin y ayuda a organizaciones para identificar y erradicar problemas en sus redes. El equipo de Team Cymru ha desarrollado diversas plantillas de seguridad, y en este proyecto se han seleccionado aquellas pertenecientes a routers Cisco.
VI VI UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
Conclusiones. El objetivo de este proyecto no ha sido exclusivamente didctico. Cabe resaltar mi motivacin personal en este mbito de la informtica as como todos los conocimientos adquiridos durante el desarrollo del proyecto.
Para finalizar este sumario del proyecto de fin de carrera, me gustara plasmar la satisfaccin que ha supuesto haber tenido la oportunidad de profundizar en esta cuestin, y a su vez instar al lector, y en ltima instancia a interesados en redes y/o seguridad informtica, a que participen en mi proyecto mediante su lectura, y posterior revisin o crtica.
Bibliografa.
[1] National Institute of Standards and Technology, http://www.nist.gov/index.html [2] Whois DomainTools, http://whois.domaintools.com/ [3] Institute e Internet Storm Centre, http://www.sans.org [4] BGP monitoring and analyzer, http://www.bgpmon.net/ [5] Packet Clearing House, http://www.pch.net/home/index.php [5] Team Cymru Community Services, http://www.team-cymru.org/Monitoring/Graphs/
VII VII UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN BGP SECURITY, PROTOCOL ATTACKS AND AND MISS-CONFIGURATION.
ROUTER ANALYZER
Author: Jorge Prez Calleja Director: Jose Luis Gahete Diaz Colaborating Entity: Universidad Pontificia Comillas
ABSTRACT The aim of this project is to develop a study about Border Gateway Protocol. It will include an analysis of the most outstanding miss-configurations episodes occurred in the past years and a research about the more common attacks. Once vulnerabilities are set up, it will introduce an application to minimize risk situations and security templates on Cisco IOS and IOS XR routers.
Key Words: Internet, Border Gateway Protocol, whois Domain Tools, Internet Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.
Introduction. Computer security is an intangible asset and it must be considered as a process. This must be well-established in every organization like an iterative cycle that will include a group of activities as risks assessments, prevention, and detection and response against security incidents. Every firm, no matter if it is sector leader or follower, will need a reliable and secure communications system to transmit data.
VIII VIII UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
1.1 Data transmision The mean of transmission that is going to be analyzed on this document is Internet. Any email sending request or website consultation involves data transmission from an origin to a destination.
Internet can be considered as a living world. There appear constant changes as new systems appearances or systems that resign their activity. These events must be taken into account on routing tables. Border Gateway Protocol, BGP from now on, is in charge of managing these changes. A miss-configuration on BGP would obstruct Internet access.
1.2 Historical Background Along Internets life, there have appeared various high risk situations due to BGP miss-configurations. On this document, most of these incidents have been brought together [1].
Currently, there exist many proposals to make BGP reliable and secure. Their complex establishments make them hard to carry out. On the one hand, there is Secure Origin BGP which aim is to verify the origin of every message using certificates. On the other hand, it has been taken into consideration to include authentication, integrity and authorizations on BGP messages, this proposal is known as Secure BGP.
Objectives. The aim of this document is to make aware and to warn firms about the need of data transmission improvements. This goal will assure data confidentiality, accessibility and integrity.
A system development based on BGP security to cover most of its known vulnerabilities should be paramount importance for firms. This system must balance security, complexity, performance and costs. Nowadays companies do not appreciate an immediate improvement and they will not invest on security until they receive various attacks
IX IX UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
Router Analyzer. The present document contains there an application development to make router configuration easier and it will reduce the chance of receiving attacks. Public material was used to design this tool as whois Domain Tools [2] and Internet Storm Center [3].
Router Analyzer is the designed tool to enclose miss configurations when configuring routers. This project will bring in a handbook for its correct use. It has been attached as Appendix A to make it easier to utilize and to comprehend.
Security Templates. These security templates have been developed based on a documentation task. Several publications have been studied as the one presented from National Institute of Standards and Technologies [1] (US NIST), BGPmon [4], Packet Clearing House [5]. On their publications, they all refer to security templates developed by Team Cymru Community Services [6]. On this document, only Routers Cisco security templates have been taken into account, which are the ones that will be used on Router Analyzer.
X X UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
Conclusions. The elaboration of this project has not been merely didactic. I must stand out my personal motivation on this computer science scope and every knowledge acquired.To conclude this brief, I would like to emphasize my satisfaction obtained by having the chance to study in depth this matter.
Bibliography.
[1] National Institute of Standards and Technology, http://www.nist.gov/index.html [2] Whois DomainTools, http://whois.domaintools.com/ [3] Institute e Internet Storm Centre, http://www.sans.org [4] BGP monitoring and analyzer, http://www.bgpmon.net/ [5] Packet Clearing House, http://www.pch.net/home/index.php [5] Team Cymru Community Services, http://www.team-cymru.org/Monitoring/Graphs/
XI XI UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN NDICE
FIGURAS BIBLIOGRAFIA ACRNIMOS INTRODUCCIN Y MOTIVACIN DEFINICIONES 1.1 Internet 3 1.2 Protocolos de encaminamiento 6 1.3 Border Gateway Protocol 7 1.4 Microsoft Visual Studio 2010 8
BORDER GATEWAY PROTOCOL 2.1 Introduccin 9 2.2 Mensajes y cabecera de BGP 10 2.2.1 Formato KEEPALIVE 11 2.2.2 Formato OPEN 12 2.2.3 Formato UPDATE 13 2.2.4 Formato NOTIFICATION 14 2.3 Sesin BGP 15 2.3.1 Establecimiento de una sesin 15 2.3.2 Estados BGP 18 a) Idle State (Estado Paralizado) b) Connect State (Estado Conectado) c) Active State (Estado Activo) d) OpenSent State (Estado Open Enviado) e) OpenConfirm State (Estado Confirmacin de un Open) f) Established State (Estado Establecido) 4
CONFIGURACIN SIMPLE DE BGP 3.1 Introduccin 30 3.2 Estado de la cuestin 32 3.2.1 Aspecto administrativos 32 3.2.2 Interfaces 34 3.2.3Protocolos de encaminamiento 34 3.2.4 Gestin del trfico 34 3.2.5 Polticas de encaminamiento 35 3.4 Graphical Network Simulator 36 3.4.1 Situacin inicial 36 3.5 Metodologa de configuracin del protocolo 40 3.5.1Configuracin previa de los routers 40 3.5.2 Comprobacin de las tablas de rutas 44 3.5.3 Configuracin del protocolo BGP 47 a) Activacin del protocolo b) Definir vecindad entre los routers (eBGP) c) Configuracin final d) Comprobacin vecinos BGP 3.5.4 Configuracin Interior-BGP 53
XIII XIII UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
ATAQUES EN BGP 4.1 Introduccin 54 4.2 Vulnerabilidades y errores de concepto 55 4.3 Antecedentes Histricos 58 4.3.1 Ao 2012, Australia sin acceso a Internet 59 4.3.2 Ao 2011, Egipto sin acceso a Internet 60 4.3.3 Ao 2011, Siria sin acceso a Internet 64 4.3.4 Ao 2010, Google y servicios asociados redirigidos 67 4.3.5 Ao 2010, un ISP Chino secuestra Internet 69 4.3.6 Ao 2008, Pakistn Telecom bloquea YouTube 70 4.3.7 Ao 2008, Brasil difunde una tabla BGP 74 4.3.8 Ao 2007, La ICANN pone en riesgo un servidor DNS 74 4.3.9 Ao 2004 77 a) ISP en Malasia bloquea Yahoo b) ISP turco bloquea Internet c) Northrop Grumman atacado por spammers 4.4 Ataques al protocolo 78 4.4.1 Ataques DoS o DDoS 79 4.4.2 Secuestro o Hijack 81 4.4.3 Man in the Middle (o Meet in the Middle) 81 4.4.4 Ataques de sesin (TCP) y Replay Attacks 83 4.4.5 Ataque Route Flapping 84 4.4.6 Ataque de Desagregacin de rutas 86 4.4.7 Ataque de Inyeccin de Rutas Maliciosas 87 4.4.8 Ataque de Inyeccin de Rutas no Asignadas 88 4.4.9 Malware Rootkits, IOS, Bios, EEProms 88 4.5 Resumen 89
XIV XIV UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
ANEXO A. MANUAL DE USUARIO-ROUTER ANALYZER 5.1 Introduccin 91 5.1.1 Internet Storm Center 92 5.1.2 Domain Tools 94 5.1.3 Router Analyzer 95 5.2 Anlisis del router 96 5.2.1 Archivo de configuracin 96 5.2.2 Analizar y ver resultado 97 5.2.3 Actuar 99 5.3 Configuracin del router 101 5.3.1 Estado Actual 102 5.3.2 Opciones de configuracin 106 a) Configuracin de enlaces b) Configuracin de un router BGP 5.4 Configuracin Helper 114 5.4.1 Introduccin 114 5.4.2 Pasos 115 a) Configuracin Helper paso 1 b) Configuracin Helper paso 2 c) Configuracin Helper paso 3 d) Configuracin Helper paso 4 e) Configuracin Helper paso 5
ANEXO B. PLANTILLAS DE CONFIGURACIN 6.1 Seguridad BGP Cisco IOS 121 6.2 Seguridad BGP IOS XR 126
XV XV UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN FIGURAS
NMERO NOMBRE FUENTE
FIGURA 1 Modelo de un sistema de comunicacin Elaboracin propia FIGURA 2 Modelo de un sistema de transmisin Elaboracin propia FIGURA 3 Internet, red informtica mundial Elaboracin propia FIGURA 4 La prehistoria de Internet www.noticiasdot.com/publicaciones FIGURA 5 Internet como medio de transmisin Elaboracin propia FIGURA 6 Comunicacin entre routers Elaboracin propia FIGURA 7 Saltos de la informacin Elaboracin propia FIGURA 8 Algoritmo Elaboracin propia FIGURA 9 Microsoft Visual Studio 2010 www.microsoft.com/ FIGURA 10 Formato Cabecera Mensaje BGP Elaboracin propia FIGURA 11 Formato mensaje OPEN Elaboracin propia FIGURA 12 Formato mensaje UPDATE Elaboracin propia FIGURA 13 Formato mensaje NOTIFICATION Elaboracin propia FIGURA 14 Neighbor State http://en.wikipedia.org/wiki/Border_Gateway_Protocol FIGURA 15 Inicio de una sesin BGP GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition FIGURA 16 Filtrado por MD5 Elaboracin propia FIGURA 17 Configuracin MD5 Elaboracin propia FIGURA 18 Configuracin Router-Map Elaboracin propia FIGURA 19 Conexin entre sistemas autnomos Elaboracin propia FIGURA 20 Caractersticas de un router Cisco 3640 Elaboracin propia, con datos de www.cisco.com FIGURA 21 Caso real de configuracin BGP Elaboracin propia FIGURA 22 Simulacin caso real GSN3 Elaboracin propia usando GSN3 FIGURA 23 Estado RC1 Elaboracin propia usando GSN3 FIGURA 24 Estado enlaces Elaboracin propia usando GSN3 FIGURA 25 Enlaces RC1 Elaboracin propia usando GSN3 FIGURA 26 Fichero de configuracin de RC1 Elaboracin propia FIGURA 27 Enlaces R1P1 Elaboracin propia usando GSN3 FIGURA 28 Fichero de configuracin de R1P1 Elaboracin propia FIGURA 29 Enlaces R1P2 Elaboracin propia usando GSN3 FIGURA 30 Enlaces R2P2 Elaboracin propia usando GSN3 FIGURA 31 Fichero de configuracin de P2 Elaboracin propia FIGURA 32 Comando sh ip route Elaboracin propia usando la consola de GSN3 FIGURA 33 Comprobacin de tabla de rutas Elaboracin propia usando la consola de GSN3 FIGURA 34 Clases de direcciones IP http://redesdecomputadores.umh.es/red/ip/default.html FIGURA 35 Vecindad entre routers Elaboracin propia usando GSN3 FIGURA 36 Configuracin vecinos BGP en el fichero Elaboracin propia FIGURA 37 Configuracin RC1 Elaboracin propia FIGURA 38 Comando sh ip bgp neighbors Elaboracin propia usando la consola de GSN3
XVI XVI UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN
NMERO NOMBRE FUENTE
FIGURA 39 Comprobacin de tabla de rutas Elaboracin propia usando la consola de GSN3 FIGURA 40 Neighbor R1P2 Elaboracin propia FIGURA 41 Comprobacin vecindad R1P2 Elaboracin propia usando la consola de GSN3 FIGURA 42 Neighbor R1P1 y R2P2 Elaboracin propia FIGURA 43 Comprobacin vecindad R1P1 y R2P2 Elaboracin propia usando la consola de GSN3 FIGURA 44 Configuracin Interior-BGP Elaboracin propia usando GSN3 FIGURA 45 Comandos configuracin Interior-BGP Elaboracin propia FIGURA 46 Mejor camino basado en rutas recibidas Elaboracin propia FIGURA 47 AS1221 Telstra Pty Ltd www.BGPmon.com FIGURA 48 Eguito redes afectadas I Elaboracin propia FIGURA 49 Eguito redes afectadas II Elaboracin propia FIGURA 50 Egipto redes afectadas III Elaboracin propia FIGURA 51 Egipto grfico redes afectadas/tiempo Elaboracin propia FIGURA 52 Siria redes afectadas/SA Elaboracin propia FIGURA 53 Siria prefijo 1 de Junio, 2011 Elaboracin propia FIGURA 54 Siria prefijo 3 de Junio, 2011 Elaboracin propia FIGURA 55 Pakistan Telecom bloquea Youtube Elaboracin propia FIGURA 56 Estado Youtube 24 de Febrero BGPlay FIGURA 57 Estado Youtube 18.50 BGPlay FIGURA 58 Estado Youtube 21.25 BGPlay FIGURA 59 Mensaje alerta BGPMon www.BGPmon.com FIGURA 60 Root-Servers www.emezeta.com/ FIGURA 61 Comando nslookup Elaboracin Propia FIGURA 62 Root-Servers falsos ICANN FIGURA 63 Secuestro de sesin https://www.owasp.org/index.php/Session_hijacking_attack FIGURA 64 Conexin MITM https://www.owasp.org/index.php/Man-in-the-middle_attack FIGURA 65 Sincronizacin al inicio de una sesin http://es.kioskea.net/ FIGURA 66 Route Flapping Penalizacin/tiempo http://web.eecs.umich.edu/
XVII XVII UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN ACRNIMOS
Ack Acknowledgement ACL Access Control List ASN Autonomous System Number BGP Border Gateway Protocol DNS Domain Name System DoS Denial of Service eBGP Exterior BGP EGP Exterior Gateway Protocol EIGRP Enhanced Interior Gateway Routing Protocol GNS-3 Graphic Network Simulator iBGP Interior BGP ICANN Internet Corporation for Assigned Names and Numbers ID Identifier IGP Interior Gateway Protocol IGRP Interior Gateway Routing Protocol IOS Internetwork Operating System IP Internet Protocol ISC Internet Systems Consortium IS-IS Intermediate System To Intermediate System ISP Internet Service Provider MD5 Message-Digest Algorithm 5 MiT Man in the Middle OSPF Open Shortest Path First RFC Request For Change RID Router ID RIP Routing Information Protocol s-BGP Secure BGP so-BGP Secure Origin BGP Syn Synchronization TCP Transmission Control Protocol TLD Top-level domain WWW World Wide Web
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 1
INTRODUCCIN Y MOTIVACIN
La seguridad informtica es un activo intangible y debe ser entendida como un proceso. Esta se debe implantar en toda organizacin como un ciclo iterativo que incluye una serie de actividades como la valoracin de riesgos, prevencin, y deteccin y respuesta ante incidentes de seguridad. Toda empresa, ya sea lder, o seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro.
Se entiende por sistema de comunicacin los componentes o subsistemas interrelacionados para la transferencia de informacin. Toda comunicacin se inicia con la elaboracin y emisin de un mensaje por un canal a uno o ms sujetos (Ver figura 1).
FIGURA 1: Modelo de un sistema de comunicacin
FUENTE: Elaboracin propia
La fuente es quien posee la informacin que en un momento dado se quiere transmitir. Este sujeto no tiene la capacidad de transmitir el mensaje directamente, necesita de un transmisor. Este transmisor es el que se va a encargar de adaptarlo a la naturaleza del medio. Una vez el mensaje ha atravesado el medio, el mensaje ser recibido por un receptor, con funcionalidad inversa a la del transmisor, que presentar la informacin al sujeto destino. El momento crtico en toda comunicacin yace en el sistema de transmisin (Ver figura 2). Es en este instante, en la transmisin de la informacin, es ms vulnerable a ser capturada, modificada y/o eliminada. Por estos motivos, se debe estructurar de manera segura y eficiente como se va a enviar la informacin y de quien y cuando se va a recibir informacin.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 2
FIGURA 2: Modelo de un sistema de transmisin
FUENTE: Elaboracin propia
Las principales premisas que deben destacar en toda infraestructura de seguridad han de estar basadas en tres garantas bsicas:
Confidencialidad: garanta de mantener la debida privacidad de los datos de la entidad y/o de los elementos del sistema. Accesibilidad: los sistemas deben prestar servicio para el cual fueron diseados. Integridad: garanta de que los datos no han sido manipulados o alterados
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 3
DEFINICIONES
1.1 Internet.
El diccionario de la Real Acadmica de la Lengua en su vigsima segunda edicin aporta la siguiente definicin: Red informtica mundial, descentralizada, formada por la conexin directa entre computadoras u ordenadores mediante un protocolo especial de comunicacin.
FIGURA 3: Internet, red informtica mundial
FUENTE: Elaboracin propia
Son varias las definiciones que se pueden encontrar de Internet, he aqu otra descripcin que proporciona una visin ms detallada del concepto:
Una red mundial formada por millones de ordenadores de todo tipo y plataforma, conectados entre s por diversos medios y equipos de comunicacin, cuya funcin principal es la de localizar, seleccionar, e intercambiar informacin desde el lugar en donde se encuentra hasta aquella donde haya sido solicitada o enviada.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 4
La primera concepcin de una red de ordenadores interconectados usando conmutacin de paquetes para la transmisin de datos surgi en un programa de investigacin de ordenadores promovido por DARPA en Octubre de 1962. Este concepto de red de ordenadores fue evolucionando hasta la elaboracin de ARPANET en 1966 y publicado en 1967, inicialmente para fines militares. Tras una larga evolucin de 30 aos de cambios lleg la Word Wide Web, el servicio ms distinguido ofrecido en Internet. La WWW permite la consulta remota de archivos de hipertexto. Desde 1967 (ARPANET) hasta la actualidad, Internet se ha ido modificando hasta conseguir ser una red de comunicacin global. (Ver figura 4)
FIGURA 4: La prehistoria de Internet
FUENTE: www.noticiasdot.com/publicaciones
1962 1968 ARPANET 1980 cierra ARPANET 1981 BITNET-NSFNet 1982 EUNET 1984 Nace DNS 1990 Espaa se conecta 1991 Protocolo WWW 1995 Los principales servicios online ofrecen conexin a Internet 1993 Nace Internic 1994 Yahoo 2,6 4,4 6,9 9,4 16 34 0 10 20 30 40 1990 1991 1992 1993 1994 1995 Evolucin de usuarios 90/95
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 5
El avance del siglo es una asociacin voluntaria entre ordenadores de un extremo al otro del globo. Un diseo basado en la confianza cooperativa entre diferentes entidades (como por ejemplo, DNS y TCP). Internet es un conjunto de asunciones errneas y peligrosas debido a la existencia de delincuentes informticos, tambin conocidos como hackers. Se entiende por hacker a aquel usuario de ordenadores con las facultades cognitivas necesarias para acceder a un sistema informtico ajeno y obtener informacin privilegiada.
En el caso que se plantea en este documento Internet es el medio por el cual se va a trasmitir la informacin de un extremo a otro. (Ver figura 5)
FIGURA 5: Internet como medio de transmisin
FUENTE: Elaboracin propia
Se van a considerar tanto al transmisor como al receptor dos routers conectados por Internet y tendrn diferentes maneras de comunicarse que se vern ms adelante. (Ver figura 6)
FIGURA 6: Comunicacin entre routers
FUENTE: Elaboracin propia
Un sistema de comunicaciones debe ser seguro y fiable. En la actualidad, Internet, no posee una entidad de gobierno centralizado, una administracin unitaria que tenga control absoluto en la red. Internet es una mercanca intangible, no tiene dueo. Es difcil otorgar plenos derechos a una organizacin sobre un objeto tan ambiguo y uniforme como Internet.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 6
La informacin fluye de un extremo a otro por un canal poco seguro basado en protocolos de encaminamiento inestables y variables. Un protocolo de encaminamiento es un conjunto de normas utilizadas por un transmisor cuando se comunica con el receptor con el objetivo de compartir cierta informacin. Cuando se enva informacin por la red, no se es consciente de todos los saltos que esta realiza para llegar a destinatario (Ver figura 7). Hay numerosos atributos de seleccin de enlaces que se vern ms adelante.
FIGURA 7: Saltos de la informacin
FUENTE: Elaboracin propia
1.2 Protocolos de encaminamiento
El trmino protocolo, procede del latn protocollum, cuyo significado refiere a la primera hoja de un manifiesto en la cual se establecen unas instrucciones fijas. Este trmino aplicado a un sistema de transmisin como Internet, es la aplicacin de unos pasos fijos, continuos, estructurados y finitos que permiten llegar a un punto final desde un estado inicial. Un protocolo es un algoritmo estructurado para hacer posible una buena comunicacin. Se puede hablar de algoritmo ya que estas instrucciones fijas son las que, de una manera abstracta, hacen posible el encaminamiento.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 7
Todo host que maneja un datagrama seguira el siguiente ciclo iterativo (algoritmo):
FIGURA 8: Algoritmo
FUENTE: Elaboracin propia
1.3 Border Gateway Protocol
Border Gateway Protocol es un protocolo de enrutamiento que sirve como pasarela externa entre dominios (Interdomain Routing Protocol) que en su da fue diseado sin seguridad integrada. A lo largo del tiempo se han propuestos protocolos alternativos sin que a da de hoy ninguno haya sido ampliamente implementado. Al ser BGP el protocolo que sirve como gua y traza de las rutas de Internet, una adecuada configuracin del mismo es crtica. Los errores en BGP pueden resultar en desastres que puedan aislar o dejar sin servicio de Internet amplias zonas. Las incidencias pueden ser tanto locales como en redes remotas, y se considera absolutamente necesario el profundizar en las consecuencias de las decisiones relativas a la configuracin e implementar algunas acciones para incrementar la seguridad y defensa del protocolo BGP.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 8
1.4 Microsoft Visual Studio 2010
En este proyecto se presentar una aplicacin de anlisis de routers. Dicha aplicacin se ha programado con el editor de Microsoft, Microsoft Visual Studio 2010. Esta herramienta es un entorno de desarrollo integrado y sirve para el desarrollo de aplicaciones sharepoint, la Web, Windows y Windows Phone.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 9
BORDER GATEWAY PROTOCOL
2.1 Introduccin
La primera versin [25] de este protocolo apareci en 1989 para sustituir a EGP. Posteriormente en 1990 apareci la segunda versin en la RFC 1163. Un ao ms tarde, en 1991, la tercera versin de BGP, recogida en la RFC 1267 y finalmente lleg BGP-4 que proporciona soporte para CIDR (RFC 1771 y RFC 4271). La funcin principal de BGP es intercambiar la informacin rutas de redes con otros sistemas BGP.
BGP tiene dos extensiones dependiendo del tipo de enlace que se est haciendo, interno o externo. La versin externa de este protocolo se denomina eBGP, la cual conecta las fronteras de los sistemas autnomos. Un sistema autnomo es un conjunto de redes dentro de una misma organizacin controlado por una misma entidad. En cambio, la modalidad interna del protocolo, iBGP, sirve para enlazar routers dentro de un mismo sistema autnomo. El uso de BGP requiere de una sincronizacin, ya que antes de inyectar BGP en la infraestructura de la red, las diferentes rutas deben ser conocidas por el Internal Gateway Protocol, de ahora en adelante, IGP, como su nombre indica, es un protocolo de pasarela interna. Este hace referencia a los protocolos usados dentro de la organizacin. Existen diversos tipos de IGPs, los cuales son:
Sistema intermediario a sistema intermediario. (IS-IS) Protocolo de informacin de encaminamiento. (RIP) Protocolos de enrutamiento de pasarela interno. (IGRP) Open shortest path first (OSPF).
BGP utiliza TCP versin 4 como protocolo de transporte. TCP agrupa los requisitos de transporte de BGP y funciona en todo los routers y hosts comerciales que utilizan TCP/IP. BGP utiliza el puerto 179 de TCP para establecer sus conexiones. Cuando la conexin empieza, un enlace BGP intercambia copias completas de su tabla de rutas. Una vez la conexin se ha establecido, el enlace BGP solo intercambiar con otros enlaces los cambios que le sean notificados, lo que convierte a este protocolo en ms eficiente en trminos de eficiencia.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 10
BGP tiene un nmero significante de ventajas sobre otros protocolos de encaminamiento externo, como por ejemplo:
Puede operar con redes que tienen topologas cerradas. Anuncia todos los sistemas autnomos durante la trayectoria. Debido a la segunda ventaja, un nodo que recibe ms de un camino posible, puede elegir sin margen de error, el mejor camino.
2.2 Mensajes y cabecera de BGP
Para facilitar el encaminamiento en Internet, fue dividida en sistemas autnomos. Esto acarrea la imposibilidad de encontrar el camino ms corto para cada enlace ya que cada SA utiliza su propio protocolo IGP [3] con sus propias polticas de seguridad, por lo que una vez aplicada una serie de restricciones, BGP utiliza un algoritmo para encaminar similar al vector distancia, llamado path- vector. Para facilitar la correcta eleccin de rutas, es crucial proteger los mensajes de actualizacin (UPDATES).
Existen 4 tipos de mensajes en BGP:
OPEN: Es el primer mensaje enviado al iniciar una sesin BGP. KEEPALIVE: Mensaje de confirmacin tras un OPEN. NOTIFICATION: Mensaje para finalizar una sesin BGP UPDATE: Mensaje para intercambiar informaciones de encaminamiento.
Toda cabecera [4] BGP tiene 4 campos (Figura 10):
El campo marker est al principio de todo mensaje BGP y sirve para autentificacin y sincronizacin (inicialmente todo a 1s). El campo longitud es la longitud total del mensaje BGP incluida la cabecera. El campo tipo es un valor numrico que oscila entre 1 y 4 dependiendo del tipo de mensaje (OPEN, UPDATE, NOTIFICATION, KEEPALIVE) El campo mensaje contiene campos especficos para cada tipo de mensaje para OPEN, UPDATE y NOTIFICATION.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 11
FIGURA 10: Formato Cabecera Mensaje BGP
Mensaje
FUENTE: Elaboracin propia
2.2.1 Formato KEEPALIVE
Los mensajes KEEPALIVE [2] se intercambian entre un router y su par para que el Hold-Timer no expire. Hay un tiempo mximo razonable entre mensajes KEEPALIVE y este sera un tercio del intervalo del Hold-Timer . Los mensajes KEEPALIVE no se deben enviar con mayor frecuencia que uno por segundo. La decisin del intervalo entre cada KEEPALIVE se debe ajustar como una dependencia total del Hold-Timer. Si por ejemplo, el Hold-Timer es 0, no se deberan enviar KEEPALIVE peridicamente.
Mensaje
Marker (16 Bytes) 0 8 16 24 32 Longitud (2 Bytes) Tipo (1 Byte)
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 12
2.2.2 Formato OPEN
Cuando se establece una sesin BGP, el primer mensaje que se enva es un OPEN [2] (ver Figura 11). Si el receptor acepta el OPEN, se intercambiarn mensajes del tipo UPDATE, KEEPALIVE, y NOTIFICATION.
FIGURA 11: Formato mensaje OPEN
Version = 4
Autonomous System
Hold-TIme
BGP Identifier
Parameter Length
Operational Parameter
Marker
Length
BGP Type = 1 Open
Data
FUENTE: Elaboracin propia
La cabecera de un mensaje OPEN contiene los siguientes campos: Version: Un octeto del tipo entero que especifica la versin del protocolo que se est usando (4 en la actualidad). Autonomous System: Dos octetos del tipo entero que indican el nmero de sistema autnomo del emisor. Hold-Time: Dos octetos del tipo entero que indican los segundos que propone el emisor para este valor. Es el tiempo de espera establecido entre un router y su par. BGP Identifier: Cuatro octetos del tipo entero que indican el identificador BGP del emisor. Un emisor BGP puede establecer este valor como una direccin IP asignada a ese emisor BGP. Parameter Length: Un octeto del tipo entero que indica la longitud total del Optional Parameters. Optional Parameters: Este campo puede contener una lista de parmetros opcionales, los cuales se cifran de tal manera: <Parameter Type, Parameter Length, Parameter Value>
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 13
2.2.3 Formato UPDATE
Los mensajes UPDATE [2] (ver Figura 12) se usan para intercambiar informacin de rutas entre pares BGP. La informacin en un paquete UPDATE se puede usar para construir un grafo describiendo las relaciones entre varios sistemas autnomos.
FIGURA 12: Formato mensaje UPDATE
FUENTE: Elaboracin propia
La cabecera de un mensaje UPDATE contiene los siguientes campos: Unfeasible Routes Length: Dos octetos del tipo entero indica la longitud del campo withdrawn routes. Un 0 en este campo signifia que se est quitando ninguna ruta. Withdrawn Routes: Este campo es variable y contiene una lista de todos los prefijos cuyas direcciones IP se estn quitando por el servidor. <length, prefix> Length: Este campo contiene la longitud en bits de los prefijos. Un 0 indica un prefijo que vale para todas las direcciones IP. Prefix: Este contiene los prefijos de las direcciones.
Total Path Attribute Length: Este atributo son dos octetos del tipo entero contiene la longitude total de los octetos del atributo del Path Attributes. Path Attribute: Un campo variable cuya presencia es necesaria en todos los UPDATE. Este campo contiene los siguientes tres elementos: <attribute type, attribute length, attribute value>
Unfeasible Routes Length
Witdrawn Routes
Total Path Attribute Length
Patht Attributes Network Layer Reachability Information
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 14
2.2.4 Formato NOTIFICATION
Un mensaje de NOTIFICATION [2] (ver Figura 13) se enva cuando se ha detectado un error o una condicin anmala. La sesin BGP se cerrar inmediatamente una vez se haya enviado este mensaje.
FIGURA 13: Formato mensaje NOTIFICATION
FUENTE: Elaboracin propia
La cabecera de un mensaje NOTIFICATION contiene los siguientes campos: Error Code: Este octeto del tipo entero indica el tipo de NOTIFICATION. Los error code que existen son los siguientes: 1. Error en la cabecera 2. Error en el OPEN 3. Error en el UPDATE 4. Tiempo de espera terminado 5. Error en la mquina final 6. Terminar Error Sub-Code: Este octeto del tipo entero provee informacin ms especfica sobre la naturaleza del error. Cada error tendr uno o ms Error Sub-Code asociados. Data: Este octeto variable se usa para especificar la razn de la NOTIFICATION. La informacin en este campo depende del Error Code y del Error Sub-Code.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 15
2.3 Sesin BGP
2.3.1 Establecimiento de una sesin
La caracterstica primordial de este protocolo es la configuracin entre peers (vecinos). Para que una comunicacin BGP sea llevada cabo, dos routers deben establecer su vecindad. Para que dos routers sean vecinos necesitan enviarse la siguiente informacin:
Nmero de versin BGP Nmero de AS Router ID (RID) de BGP
Dos vecinos BGP pueden establecer dos tipos de peering, iBGP y eBGP. Dentro de un mismo SA, dos routers vecinos establecen un peering iBGP. Este tipo de BGP tambin puede ser usado en los sistemas autnomos de trnsito. Los SA de trnsito reenvan el trfico desde un SA a otro. Una buena configuracin de iBGP evita bucles de routing ya que un router iBGP no retransmite la informacin en otros vecinos iBGP. Entre diferentes SA, dos vecinos BGP estableceran un peering eBGP, estos vecinos deben tener una subred comn. Los routers eBGP no tienen por qu estar conectados fsicamente, sino que pueden estar conectados saltando varias redes (eBGP Multihomed).
Un enlace BGP pasa por diferentes estados conocidos como, neighbor states. Estos estados se trasmiten a lo largo de una sesin/comunicacin BGP, mediante la interactuacin de los enlaces que participan en la sesin. Estos se generan automticamente siguiendo un bucle, (Ver figura 14), los cuales se enumeran a continuacin para su posterior anlisis:
IDLE: El vecino no responde. ACTIVE: Esperando conexin. CONNECT: Sesin TCP establecida. OPEN SENT: Mensaje OPEN enviado. OPEN CONFIRM: Respuesta recibida. ESTABLISHED: Adyacencia establecida.
Dos sistemas que estn conectados (ver figura 15) entre s, intercambian un mensaje de inicio de sesin y confirma los parmetros de conexin. La primera trama de informacin que correr en el establecimiento de sesin ser toda la informacin de rutas de BGP. Si surge algn cambio, se enviaran solo el cambio, es decir, BGP no necesita de actualizaciones peridicas de sus tablas de rutas. Los mensajes KEEPALIVE se envan para saber si la conexin sigue activa. Los mensajes de notificacin son respuestas a posibles errores o condiciones especiales. Si durante la conexin se detecta un error, se enva un mensaje de notificacin y se cierra la conexin.
En el interior de un sistema autnomo, los protocolos de encaminamiento interno se encargan de proveer a los routers internos de las tablas de rutas. En cambio, las tablas de rutas externas, dentro de un sistema autnomo, se propagan teniendo todos los routers del sistema conectados va BGP. Las polticas de seguridad establecern que router se usar como entrada/salida del sistema. Antes de activar BGP dentro del sistema, es importante que todos los routers internos tengan la informacin de trnsito actualizada.
Las conexiones entre enlaces BGP pertenecientes a diferentes sistemas autnomos se conocen como enlaces externos. Las conexiones BGP entre enlaces BGP dentro del mismo sistema autnomo se conocen como enlaces internos. Igualmente, un enlace dentro del mismo sistema autnomo se denominar vecino interno, y entre diferentes sistemas autnomos, se denominaran vecino externo.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 18
Los pasos enumerados a continuacin con los que BGP utiliza para activar una sesin entre dos routers:
1. Dos routers que quieran intercambiar informacin BGP, establecen una conexin a nivel de transporte TCP. Una conexin de transporte se establece para que BGP pueda crear una comunicacin fiable con su par.
2. Una vez se ha establecido la conexin a nivel de transporte, el par de routers intercambian mensajes para abrir y confirmar los parmetros de la sesin BGP. Estos parmetros incluyen el nmero de la versin BGP que se est utilizando, el nmero del sistema autnomo, los valores de timeout de los mensajes del protocolo, y la informacin de autenticacin.
3. Una vez la sesin BGP est abierta, inicialmente los routers intercambian las tablas de rutas con su par. La informacin de cada ruta incluye una lista de los sistemas autnomos que tendran que atravesar para llegar al destino.
4. Terminado el intercambio de informacin, las actualizaciones se envan cuando haya algn cambio en las tablas de rutas. Para enviar estos cambios, se necesita un servicio a nivel de transporte. Esta es la razn por la que BGP necesita trabajar sobre TCP.
5. Los mensajes KEEPALIVE para saber el estado de la conexin.
6. Si ocurre algn error, se enva un mensaje de NOTIFICATION, y la conexin se cierra.
2.3.2 Estados BGP
Como ya se ha anunciado previamente, un enlace BGP pasa por diferentes estados durante una sesin BGP, tambin conocido como neighbor states [2]. Cabe mencionar que todo enlace BGP inicialmente se encuentra en el Idle State. A continuacin se explicar con mayor detenimiento los estados por los que pasa un enlace durante la sesin.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 19
a) Idle State (Estado Paralizado) En este estado, BGP desecha todas las conexiones BGP entrantes. En un principio, todas las comunicaciones empiezan por el I dle State, posteriormente se inicia la conexin en la capa de transporte y si esta se realiza con xito, cambiara su estado a Connect. Si un vecino BGP detecta un error, cierra la conexin y cambia su estado a Idle. Para volver a cambiar su estado se debera iniciar otra vez la conexin. Este proceso no se debe automatizar nunca. El valor del temporizador para iniciar una sesin son 60 segundos. Para cada denegacin consecutiva se doblar el valor del temporizador. Cualquier evento recibido durante este estado se ignora.
b) Connect State (Estado Conectado) En este estado, BGP est esperando a que termine la conexin en la capa de transporte. Si esta conexin termina satisfactoriamente borra el temporizador del ConnectRetry, completa la inicializacin, manda un OPEN a su par, y cambia su estado a OpenSent. Si la conexin en la capa de transporte falla, el emisor reinicia el ConnectRetry, sigue a la espera de una conexin y cambia su estado a Active State. Mientras el enlace este en Active State, cualquier evento de inicio ser ignorado.
c) Active State (Estado Activo) En esta estado, BGP est intentando que el enlace inicie una conexin en la capa de transporte. Si esto ocurre, borrara el temporizador del ConnectRetry, enviara un OPEN a su par, establecera su Hold-Timer (tiempo de espera) a un valor muy grande y cambiara su estado a OpenSent. Si expira el tiempo del ConnectRetry, se reiniciara, e iniciara una sesin en la capa de transporte con otro vecino, continuara a la espera de una conexin y en tal caso cambiara su estado a Connect. Si el sistema local detecta que un vecino remoto est intentando establecer una conexin BGP, y la direccin IP del mismo no se conoce, reiniciara el ConnectRetry, rechazara el intento de conexin, seguira a la espera de una conexin que podra iniciarse por un enlace BGP remoto, y seguira en Active State.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 20
d) OpenSent State (Estado Open Enviado) Durante este estado, BGP est a la espera de un mensaje del tipo OPEN de su par. Cuando se recibe, se analizan los campos y si detecta algn error, el sistema local enviara una NOTIFICATION al enlace y cambiara a I dle State. Si no se detecta ningn error en el mensaje, BGP enviara un KEEPALIVE e inicia un temporizador Keepalive. El tiempo de espera, que inicialmente se estableci con un valor muy grande, se reemplazara con un tiempo de espera acordado. Si se recibe un mensaje de desconexin en la capa de transporte, el sistema local cerrara la conexin BGP, reiniciara el temporizador del ConnectRetry, se pondra a la espera de otra conexin, y cambiaria su estado a Active State. Si el tiempo de espera acordado se termina, el sistema local enviara una NOTIFICATION con el cdigo de error 4 (Hold Timer Expired) y se cambiara a I dle State. Ante cualquier otro evento, el sistema local enviara una NOTIFICATION con el cdigo de error 5 (Finite State Machine Error) y se cambiara a I dle State. Cuando un sistema BGP cambiar su estado de OpenSent State a I dle State, cierra la conexin BGP (y en la capa de transporte) y desecha todas la informacin asociada a esa conexin.
e) OpenConfirm State (Estado Confirmacin de un Open) Durante este estado, BGP est a la espera de un mensaje KEEPALIVE o de NOTIFICATION. Si el sistema local recibe un KEEPALIVE, cambiara su estado a Established. Si el tiempo de espera expira antes de que se reciba algn KEEPALIVE, el sistema local enviara una NOTIFICATION con el cdigo de error 4 (Hold Timer Expired) y se cambiara a Idle State. Si el sistema local recibe una NOTIFICATION, cambiara su estado Idle State. Si el tiempo del KeepAlive expira, el sistema local enviara un KEEPALIVE y reiniciara el temporizador del KeepAlive. Si se recibe una notificacin de desconexin en la capa de transporte, el sistema local cambiara su estado a I dle State. Cualquier inicio de sesin sera desechado durante este estado. En respuesta a cualquier otro evento, el sistema local enviara una NOTIFICATION, con el cdigo de error 5 (Finite State Machine Error) y se cambiara a I dle State.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 21
Si BGP cambia su estado de OpenConfirm State a I dle State, BGP cerrara la conexin BGP, incluida en la capa de transporte y desechara toda la informacin de la conexin
f) Established State (Estado Establecido) En el Established State, BGP puede intercambiar mensajes del tipo UPDATE, NOTIFICATION y KEEPALIVE con su par. Si el sistema local recibe un UPDATE o un KEEPALIVE, este reiniciara el Hold-Timer si el Hold-Timer acordado fuese mayor que 0. Si el sistema local recibe un NOTIFICATION, este cambiara su estado a I dle State. Si el sistema local recibe un UPDATE, y en este se detecta un error, el sistema local enviara un mensaje de NOTIFICATION con el cdigo de error 4 (Hold Timer Expired) y cambiara su estado a I dle State. Si el tiempo del KeepAlive se agota, el sistema local enviara un KEEPALIVE y reiniciara dicho temporizador. Siempre que el sistema local enviar un KEEPALIVE o un UPDATE, este reinicia el tiempo del KeepAlive, siempre y cuando el valor del Hold-Timer acordado sea distinto de 0. Los eventos de inicio de sesin durante este estado se ignoran. En respuesta a cualquier otro evento, el sistema local enviara una NOTIFICATION con el cdigo de error 5 (Finite State Machine Error) y cambiara su estado I dle State. Siempre que BGP cambia su estado de Established State a I dle State, se cierra la conexin BGP, capa de transporte incluida, y desecha toda la informacin relacionada con esa conexin y elimina todas las rutas recibidas durante la misma.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 22
2.4 Reglas de filtrado
Los errores en BGP ms comunes son fallos de configuracin. Un buen administrador de red puede establecer filtros de red en sus tablas de rutas BGP. Existen diferentes tipos de filtros BGP, se realizar un estudio detallado de cada filtro BGP. A nivel conceptual se presenta lo siguiente:
Communities de BGP: un atributo global voluntario y transitivo entre 1y 4.294.967.200 (tipos: internet, no-export, no-advertise, local-as) BGP prefix lists: filtran envos y entradas de rutas que se envan o se reciben de otros vecinos. BGP distribute lists: filtran las listas de rutas que se reciben o se emiten. Filtros de BGP as path: filtrado por sistema autnomo, tiene operadores de comparacin para establecer los filtros. ( .; ^; $; _, *). Un ejemplo de filtrado BGP as path sera el siguiente:
Se quiere filtrar todo el trfico que venga de cualquier sistema autnomo que comience por 458: ^458_
En la actualidad solo existen 2 maneras de configurar un trfico BGP seguro y fiable. Por un lado, un administrador de red, configurando adecuadamente los filtros tanto de entrada como de salida, descartara los prefijos reservados recibidos. Asimismo, tratndose de una organizacin final, evitara ser transitada, modelando el correcto control de acceso para obviar informacin no autorizada (spoofing). Por otro lado, promovera el uso de contraseas al establecimiento de una sesin pero este genera demasiados problemas y lo convierte poco prctico. sta opcin abre un nuevo abanico de problemas, como son:
Distribucin de contraseas: si las claves son interceptadas, no sirven. Tiempo establecido para cambiar contraseas: los administradores de red de los enlaces perifricos deben saber cada cuanto tiempo cambiar las claves y hacerlo en el instante exacto.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 23
Como se aprecia, el establecimiento de claves, genera inconvenientes operacionales. Aun as, una clave utilizada nicamente al inicio de una transmisin BGP no impide que esta pueda ser interceptada y que uno de los dos extremos sea suplantado.
2.4.1 Configuracin de MD5
Message-Digest Algorithm 5 (Algoritmo de Resumen del Mensaje 5) es un algoritmo de encriptacin de 128 bits. Se entiende por encriptacin:
La encriptacin es el proceso para volver ilegible informacin considerada importante. La informacin una vez encriptada slo puede leerse aplicndole una clave.
Configurar MD5 en BGP es bastante sencillo. Un administrador de red que establezca un algoritmo de encriptacin como MD5 entre dos routers se asegurar que cada segmento enviado en una sesin TCP estar verificado previamente. El inconveniente de usar MD5 es que ambos routers tendrn que tener la misma contrasea, sino, la conexin nunca se llevar a cabo. Vase el siguiente ejemplo:
Ejemplo de configuracin de MD5
En este ejemplo se va a configurar MD5 entre dos routers del mismo sistema autnomo. Datos de inters:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 24 FIGURA 16: Filtrado por MD5
FUENTE: Elaboracin propia
Las 3 lneas a tener en cuenta en las configuraciones de los dos routers estn marcadas a continuacin (Vase figura 17). En estas 3 lneas se est haciendo lo siguiente:
neighbor x.x.x.x password contrasea: configuracin IBGP usando la direccin de Loopback. neighbor x.x.x.x update-source Loopback: Invocar a MD5 en una session TCP con un vecino BGP. ip route x.x.x.x 255.255.255.255 y.y.y.y: Establecer ruta esttica para saber que se puede llegar a ella.
FIGURA 17: Configuracin MD5
FUENTE: Elaboracin propia AS 150 192.168.1.1 /24 192.168.1.2 /24 R2 R1 Loopback1: 10.10.10.10/ 32
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 25
2.4.2 Filtrar usando Router-Map
Las instrucciones del Route-Map son un conjunto de listas de comandos y set asociados para filtrar el trfico BGP entrante/saliente. Los comandos ms importantes a la hora de configurar este tipo de filtro son los siguientes:
Match: especifica el criterio de verificacin. Set: especifica las acciones.
Siguiendo con el ejemplo anterior, la configuracin Route-Map de R2 sera la siguiente:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 26
2.4.3 Filtrar usando Filter-List
Filter-List provee diferentes tipos de filtro. En el ejemplo que se ha ido elaborando a lo largo de este apartado, supngase, que se quieren filtrar todas las rutas que venga del exterior. Es decir, en el router 2 se quieren filtrar todas las rutas que no sean locales, la sintaxis sera la siguiente:
ip as-path access-list 10 permit ^$
Imagine que el router 2 est conectado a un proveedor de servicio. Este pertenece al sistema autnomo 200. En el router 1, se quiere desechar todas las rutas que no provengan de este SA. La sintaxis en este caso es la siguiente:
ip as-path access-list 10 permit ^200$
2.5 BGP-4
La versin actual de BGP, BGP-4, est definida en la RFC 1771. BGP-4 es un protocolo de encaminamiento entre sistemas autnomos. Un sistema autnomo es un conjunto de redes dentro de una misma organizacin, como por ejemplo, una red universitaria. Este conjunto de redes tienen definida una nica poltica de encaminamiento. Los sistemas autnomos tienen un identificador de 16 bits (de 0 a 65536) pero al igual que en direcciones IP, este rango es terico ya que del 64512 al 65535 se encuentran reservados para uso privado (Ver figura 16).
BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantacin de prefijos, sistemas autnomos o routers, pueden realizarse con mucha facilidad. Tambin es crucial la buena configuracin de BGP, ya que un error en su configuracin puede emblandecer la seguridad de la organizacin. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un fallo de configuracin se mantengan local y no se propaguen por todo Internet.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 27
FIGURA 19: Conexin entre sistemas autnomos
FUENTE: Elaboracin propia
BGP-4 tiene conocidas vulnerabilidades muy difciles de solventar, si bien estas deficiencias deben ser estudiadas en detalle. Dos puntos clave deben ser tomados en referencia a los riesgos del protocolo:
Cualquiera que se conecte a internet, sin las medidas de proteccin apropiadas est expuesto a determinados riesgos en los parmetros obtenidos para enrutamiento que pueden derivar en una denegacin de servicio (DoS), secuestro de sesin, o intercepcin de las transacciones realizadas.
Un riesgo aadido, es que hoy en da no todos los tcnicos desempeando misiones en infraestructura de red disponen de una capacidad tcnica y de conocimientos para cuantificar y analizar todos los riesgos, lo cual implcitamente es determinante en el modo de analizarlos y remediarlos. As mismo debemos aadir a las amenazas externas y sus ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuracin realizados por los tcnicos y administradores de la red.
R 1 R 2 R 3 R 4 R 5 R 6 AS: 33123 AS: 00079 AS: 60203 Enlaces interno Enlaces externos Router BGP
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 28
2.6 Seguridad en BGP
Cada vez hay un mayor nmero de gestiones y dependencias a nivel de usuario realizadas en Internet. Un fallo en BGP sera fatal para la comunicacin en la World Wide Web (www). El desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debera ser un objetivo primordial para todas las organizaciones. Estas no ven una mejora inmediata que pueda repercutir en sus clientes y probablemente hasta que no se reciban varios ataques al protocolo BGP no se considerar la necesidad de asegurar sus sistemas.
Existen propuestas formales para hacer BGP seguro tales como:
TCP/MD5 [RFC 2385]: Es una extensin a TCP que incluye firma MD5. soBGP (Secure Origin BGP): Verifica el origen de cada mensaje, utiliza certificados y un nuevo tipo de mensaje. S-BGP I (Secure BGP): Propuesta para incluir autentificacin, integridad y autorizaciones en los mensajes BGP.
Entre las alternativas ms satisfactorias presentadas para dotar de seguridad a BGP, cabe destacar Secure BGP (S-BGP) desarrollado por BBN Technologies y promovido por la National Security Agency (NSA) y por la Defense Advanced Research Projects Agency (DARPA). El objetivo de S- BGP es el de garantizar la autenticidad, integridad y autorizaciones a los mensajes BGP. Secure BGP se basa en 3 elementos:
Certificados digitales: 2 Public Key Infrastructure (PKIs) para autentificar los prefijos IP y sistemas autnomos. Attestations: de direcciones y de rutas IPSec: aportar autenticidad e integridad entre pares de routers.
La implantacin de S-BGP requiere de grandes inversiones para la actualizacin software como de hardware. Los routers no solo haran funcin re-lee, sino que tambin deberan tener mayor memoria para almacenar certificados digitales y mayor capacidad de proceso para realizar funciones criptogrficas.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 29
Considerable obstculo para la implantacin de S-BGP, es la colaboracin de las entidades de registro para hacerse cargo de las necesidades bsicas de usar PKIs, tales como:
Emisin de los certificados Renovacin de los certificados Mantenimiento y publicacin de listas de revocacin
En seguridad BGP se han estudiado diferentes propuestas, la excesiva complejidad de estas soluciones las convierte en poco prcticas. Invertir en seguridad es determinante para satisfacer un grado de seguridad necesario. An no cubriendo todas las vulnerabilidades conocidas, una propuesta que cubra las principales con un menor coste sera puesta en marcha de inmediato.
2.7 Resumen
El administrador de una organizacin puede solucionar parcialmente los ataques intencionados hacia su sistema autnomo. Estas opciones de seguridad eliminan en parte las posibles agresiones pero se necesitan soluciones globales de seguridad en BGP. Los fallos de configuracin son ms comunes que los ataques al protocolo BGP. Estos errores deben ser estudiados en las polticas de seguridad.
Una correcta documentacin de la infraestructura de red ayudar a corregir y localizar posibles fallos de configuracin. En el siguiente apartado se va a realizar una configuracin completa de un caso real BGP recogiendo toda la informacin necesaria para limitar el rango de error y facilitar el correcto mantenimiento de la red.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 30
CONFIGURACIN SIMPLE DE BGP
3.1 Introduccin
El nmero de fallos de configuracin [1] potenciales que un administrador de red puede introducir a una interconexin de redes es ilimitado. A la hora de configurar un router, los Internetwork Operating System, de ahora en adelante IOS, de Cisco, envan numerosos avisos durante el proceso para evitar que estos fallos echen abajo toda una infraestructura de red.
Cuando se vaya a realizar una configuracin de una red, toda la documentacin debe estar recogida en un mismo documento. Esto facilitara el mantenimiento y su correcta configuracin. El documento se podra dividir en los siguientes puntos:
Administrativos: nombre de los routers, contraseas, servicios y nombres de usuarios. Interfaces: ancho de banda, mtrica, autenticacin y encapsulacin. Protocolos de encaminamiento: IGRP, EIGRP, OSPF, RIP y BGP. Gestin del trfico: listas de control de accesos. (ACLs) Polticas de encaminamiento: mapa de las rutas.
Las tres secciones que pueden ayudar a entender o localizar un fallo de configuracin sern el/(los) protocolo(s) que se est usando, la gestin del trfico, o la lista de control de accesos. Siempre que se vaya a hacer un cambio en la configuracin de la red, este deber estar recogido en el documento que contenga toda la instalacin y/o configuracin previa.
Una vez se tiene documentada toda la informacin que se ha calificado como necesaria para una correcta poltica de seguridad, es necesario saber como la red/organizacin se va a comunicar con el exterior. Internamente se puede estar usando cualquier IGP (como OSPF) e incluso interconectar varios IGPs (como IGRP o RIP), el problema de estos protocolos es que sus orgenes no fueron diseados para soportar un nmero elevado de rutas. Es necesario usar otro protocolo para transportar todas las rutas que son el resultado de interconectar todos los dominios que forman Internet. Estos protocolos son conocidos Exterior Gateway Protocols (EGP). El protocolo ms popular de esta rama de los protocolos de encaminamiento es BGP.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 31
El encaminamiento en BGP no es un protocolo basado en buscar el camino ms corto entre una fuente y un destino. Cuando un router BGP tiene ms de un camino por el que puede enviar un paquete, el proceso de encaminamiento se convierte, en cierta manera, muy complejo. La eleccin de la ruta requiere de un anlisis y comparacin de hasta 12 parmetros. En cualquier otro protocolo interno de encaminamiento (IGP), el proceso de encaminar queda reducido a un simple numero, este nmero puede ser una funcin de otras muchas variables dependiendo del protocolo que se est usando. En BGP esto cambia, el llegar a un destino establecido, puede estar determinado por muchos atributos, tales como:
AS_path Preferencias locales Origen Peso Comunidad
Para entender las diferentes problemticas que pueden surgir a la hora de configurar un router en BGP, supngase que se plantea el siguiente caso (Ver figura X). En este escenario se tiene un cliente, denominado C1, y dos proveedores de enlaces P1 y P2.
Para configurar la presente situacin se van a usar una serie de comandos preestablecidos e identificados en el protocolo BGP. Este proceso de configuracin se activa y se procesa e un router Cisco mediante el siguiente comando:
Router bgp as_number
Donde el as_number es el nmero del sistema autnomo al que el router que se quiere configurar pertenece. Los sistemas autnomos BGP son los bloques que constituyen toda la infraestructura de internet, son colecciones de routers y redes con polticas de encaminamiento que son guiadas por consideraciones econmicas, polticas y de seguridad. La activacin de un proceso BGP en un router requiere de un nmero de sistema autnomo (ASN), este nmero que se usara para activar el proceso BGP identifica unvocamente el sistema autnomo al que el router pertenece.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 32
3.2 Estado de la cuestin
Supngase que el cliente C1 se dedica a la compra/venta de productos por Internet. C1 tiene multitud de clientes y para poder darles servicio debe ser capaz de admitir cientos de accesos diarios a su pgina web. Debido a esto, decide ser multihomed, lo que significa que C1 usar ms de un proveedor de servicio para poder ofrecer tales servicios. Teniendo varios niveles de multihoming, C1 se asegura que si uno de sus proveedores deja de prestar servicio, el acceso a su pgina web est garantizado. En la figura se puede ver que a C1 se puede llegar desde el proveedor P1 y desde el proveedor P2, adems P1 y P2 estn conectados entre s por lo que a C1 se puede acceder va P1-P2 o desde P2-P1.
Para realizar una correcta configuracin del caso que se ha planteado en este proyecto, se va a recaudar toda la informacin necesaria ya explicada en el punto anterior. Considrese el administrador de red del Cliente. Segn los puntos que se han comentado en el apartado anterior, se debera implementar un modelo de configuracin optimizado y lo ms preciso posible.
3.2.1 Aspecto administrativos
El cliente necesita dar servicio a centenares de visitas diarias, por lo que ha decidido ser multihomed. Los routers que ha decidido implantar en su infraestructura de red son dos routers Cisco 3640 (las caractersticas de dichos routers se pueden ver ms abajo). Ambos routers estn conectados mediante un switch por Fast Ethernet. Solo uno de ellos (RC1) servir de enlace con el exterior. Se va a establecer MD5 entre los dos routers para asegurar la seguridad de la conexin, la contrasea que se va a usar es PassPFC.
A continuacin se han dividido los aspectos administrativos en dos bloques:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 34
3.2.2 Interfaces
El router RC1 tendr tres interfaces externos, 2 al proveedor 2 y uno al proveedor 1. En cambio, solo tendr un enlace interno para comunicarse con RauxC1, este enlace ser mediante un switch.
a. Interfaces RC1 S0/0: 040.040.040.001 /30 PROVEEDOR 2 (R1P2) S0/1: 010.010.100.001 /30 PROVEEDOR 1 (R1P1) S0/2: 100.040.100.001 /30 PROVEEDOR 2 (R2P2) Fe0/0: 192.168.001.001 /24 ENLACE A SWITCH Loopback0: 192.168.000.001 /24 LAN DEL CLIENTE
b. Interfaces RauxC1 Fe0/0: 192.168.001.002 /24 ENLACE A SWITCH Loopback0: 192.168.000.002 /24 LAN DEL CLIENTE
3.2.3Protocolos de encaminamiento
El router RC1 se va a comunicar con los dos proveedores va BGP. Se configurar su router para que establezca una sesin eBGP con P1 y P2. Por ltimo, el router RC1 usar Routing Information Protocol para conectarse con el switch, y RauxC1, idem.
3.2.4 Gestin del trfico
El enlace principal que va a dar servicio a RC1 ser el router denominado R1P2 (s0/0), por esta razn se le dar ms peso a esta salida del router. A los otros dos enlaces externos se les atribuir el mismo peso, el router elegir por orden en la ejecucin.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 36
3.4 Graphical Network Simulator
3.4.1 Situacin inicial
A continuacin, se va configurar el caso planteado (ver figura 22) previamente con el simulador Graphical Network Simulator (GSN-3). El simulador GSN-3 permite crear y disear complejas topologas de red para su posterior estudio y configuracin. Se trata de un simulador tan preciso y completo que es usado por ingenieros y administradores de red para realizar pruebas unitarias en sus redes.
En el anexo B de este documento se encuentran las plantillas de configuracin de routers Cisco sobre las cuales se han fundamentado las siguientes actuaciones desarrolladas en este epgrafe.
En el caso que se ha planteado en este apartado, y al no disponer de los medios suficientes para realizar una configuracin al nivel de este proyecto, se van a estudiar los pasos enumerados en el apartado anterior. El estado inicial de la tipologa de red estudiada sera el siguiente:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 37
Esta tipologa consta de 6 routers Cisco 3640. Los sistemas autnomos 64901 y 64662 son proveedores de servicios de internet (ISP) y se simular como el cliente 1 configura el router de tal manera para obtener el servicio de los dos proveedores, el router RauxC1 del cliente ha sido aadido a la topologa para poder dar un ejemplo de iBGP.
El router del cliente ser multihomed, es decir, se podr acceder al router RC1 (ver figura 23) por tres diferentes enlaces, dos de ellos por el AS 64901 y el restante por el AS 64662. Teniendo tres posibles enlaces, se podr configurar BGP para decidir en todo momento que AS se quiere atravesar. Esto se debe a BGP AS path attribute. En una configuracin predeterminada de BGP el router del cliente elegir el enlace por el nmero de saltos.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 39
La configuracin de los routers se va a dividir en 5 pasos que sern analizados para comprender las posibles problemticas que pueden surgir cuando a un administrador se le plantee una situacin parecida. Se recuerda que no hay una metodologa propia a la hora de configurar BGP, por lo que la subdivisin de esta actividad se ha realizado para una mayor facilidad de comprensin y posible solucin ante los fallos de configuracin que se vern ms adelante. Los 5 pasos principales que se han detectado en esta situacin serian los siguientes:
1. Configuracin previa a la activacin del protocolo BGP de cada uno de los enlaces de los routers.
2. Comprobacin de las tablas de rutas de cada uno de los routers.
3. Configuracin del protocolo BGP Activacin del protocolo Definir vecindad entre los routers (eBGP) Definir que rutas sern inyectadas en BGP.
4. Establecer vecindad de los routers pertenecientes al mismo SA (iBGP)
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 40
3.5 Metodologa de configuracin del protocolo
3.5.1Configuracin previa de los routers
Los proveedores de servicio son proveedores de trnsito, por lo que tendrn millones de clientes como RC1 y ellos forman la estructura de Internet. La nica politica que tienen estos proveedores de servicio es la de dejar pasar todo el trfico que necesita pasar por sus sistemas. La configuracin que se presta a continuacin, es previa a la activacin del protocolo BGP e incluso a la declaracin de vecindad entre los enlaces. Las siguientes configuraciones establecen que direcciones IPs van a ser utilizadas por los routers.
El primer router que se va a configurar, es el router del cliente (RC1). La siguiente figura muestra que direcciones IP han sido asignadas para cada tipo de enlace:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 41
Con la asignacin de direcciones de la figura anterior, la configuracin es la siguiente:
FIGURA 26: Fichero de configuracin de RC1
FUENTE: Elaboracin propia
El siguiente router que se va a configurar, es el router del proveedor 1. Este va a tener dos conexiones eBGP (ver Figura 27), una para prestar servicio al cliente y la otra conexin sera un enlace contratado entre los dos ISPs.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 42
Con la asignacin de direcciones de la figura anterior, la configuracin es la siguiente:
FIGURA 28: Fichero de configuracin de R1P1
FUENTE: Elaboracin propia
El siguiente router que se va a configurar, es el router 1 del proveedor 2. Este va a tener dos conexiones eBGP (ver Figura 29), una para prestar servicio al cliente y la otra conexin ser un enlace contratado entre los dos ISPs.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 44
3.5.2 Comprobacin de las tablas de rutas
En el siguiente apartado se va a comprobar que la configuracin del router cliente ha sido realizada correctamente [5]. Para saber si el router ha reconocido los enlaces que se le han configurado en el fichero, se va a abrir el simulador de redes (GSN3) y a continuacin se abre la consola. En dicha consola, se escribe el siguiente comando (Ver figura 32):
RC1# sh ip route
FIGURA 32: Comando sh ip route
FUENTE: Elaboracin propia usando la consola de GSN3
El resultado a la ejecucin de este comando sera el siguiente:
FIGURA 33: Comprobacin de tabla de rutas
FUENTE: Elaboracin propia usando la consola de GSN3
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 45
El resultado puede parecer errneo [8], fijndose en cada enlace, se aprecia que de cada enlace que se ha configurado en el router nacen dos subredes. En principio, esto puede parecer un fallo de configuracin, pues la razn de esto sera la siguiente:
La explicacin de este resultado es por como Cisco IOS clasifica las rutas de las tablas de rutas. Bsicamente hay dos tipos de rutas:
Rutas nivel 1 Rutas nivel 2
A su vez las rutas de nivel 1 se subdividen en:
Rutas finales de nivel 1 Rutas padre de nivel 1
Para poder seguir explicando este concepto de Cisco, se debe explicar previamente el concepto de clases (Ver figura 34):
Valor mnimo que puede tener una direccin IP: 0.0.0.0 Valor mnimo que puede tener una direccin IP: 255.255.255.255
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 46
Se entiende por rutas de nivel 1 a aquellas rutas que tienen una salida en su interfaz o siguiente salto y una mscara de subred por debajo o igual que la clase por defecto: Por ejemplo: 192.168.1.0/24 172.16.1.0/16 192.168.0.0/16
Supngase el siguiente caso:
RC1(config)#interface loo RC1(config)#interface loopback 1 RC1(config-if)#ip address 192.168.2.1 255.255.255.0 RC1(config-if)#exit RC1(config)#do show ip route
output ommited
Gateway of last resort is not set
C 192.168.2.0/24 is directly connected, Loopback1
La ruta se ha sido aadida y ninguna ruta adicional se ha creado por defecto. Esto confirma lo que se explicaba previamente acerca de las rutas finales de nivel 1.
Las rutas de nivel 2 son aquellas rutas que tienen una mscara mayor que la que le correspondera por su clase. Vase el siguiente ejemplo:
R1(config-if)#exit R1(config)#int lo3 R1(config-if)#ip address 192.168.3.1 255.255.255.128 R1(config-if)#do show ip route
output ommited
Gateway of last resort is not set
192.168.3.0/25 is subnetted, 1 subnets C 192.168.3.0 is directly connected, Loopback3
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 47
Esta red es de tipo nivel 2 ya que la mscara de la subred es mayor que la de su propia clase por defecto, fjese que una segunda ruta fue creada al aadir una ruta de nivel dos.
192.168.3.0/25 is subnetted, 1 subnets C 192.168.3.0 is directly connected, Loopback3
Este tipo de red es una red de tipo 1 padre. Una ruta padre de nivel 1 no tiene siguiente salto o salida de la interfaz. Estas se crean automticamente cuando se aade una ruta de nivel 2.
3.5.3 Configuracin del protocolo BGP
A continuacin, se va configurar el protocolo BGP. Llegados a este punto, hay que realizar tres pasos clave simultneamente. Estos tres pasos son los siguientes:
Activacin del protocolo Definir vecindad entre los routers (eBGP) Definir que rutas sern inyectadas en BGP.
El objetivo de esta configuracin es la de permitir que el router del cliente pueda establecer vecindad con los routers de los proveedores.
a. Activacin del protocolo La activacin del protocolo se va a llevar a cabo con un comando en el propio fichero de configuracin. El comando que activara el protocolo es el siguiente:
router bgp [Nmero de sistema autnomo] Donde el nmero del sistema autnomo es el propio nmero del cliente, es decir, aquel sistema autnomo al que pertenece el RC1.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 48
El router del cliente propaga la direccin de loopback0 192.168.000.001, por lo que:
network 192.168.000.000
b. Definir vecindad entre los routers (eBGP) Como ya se vio anteriormente (Ver figura 35), el router RC1 tendr 4 enlaces. Tres de los cuales son enlaces externos, y el restante interno. Para definir un vecino externo en BGP se usa el siguiente comando:
neighbor [Direccin IP] remote-as [Nmero de sistema autnomo] Donde el nmero del sistema autnomo es el nmero del sistema autnomo del proveedor, y la direccin IP es la direccin del router destino (proveedor)
FIGURA 35: Vecindad entre routers
FUENTE: Elaboracin propia usando GSN3
c. Configuracin final A continuacin se aade a lo ya configurado hasta ahora la configuracin del protocolo BGP. Este ltimo fragmento de cdigo sera el siguiente:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 50
d. Comprobacin vecinos BGP En este ltimo paso, se va a ver el estado de la conexin BGP [7]. Llegados a este punto, los routers deben tener conexin entre ellos. Para ver el estado de la configuracin se introducir el siguiente comando:
RC1# sh ip bgp neighbors
FIGURA 38: comando sh ip bgp neighbors
FUENTE: Elaboracin propia usando la consola de GSN3
El resultado a la ejecucin de este comando sera el siguiente:
FIGURA 39: Comprobacin de tabla de rutas
FUENTE: Elaboracin propia usando la consola de GSN3
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 51
Esta conexin BGP corresponde a la que viene a continuacin (RC1-R1P2):
FIGURA 40: Neighbor R1P2
FUENTE: Elaboracin propia usando la consola de GSN3
Todo administrador que haya llegado a este punto configurando un router cisco, debera fijarse en tres cosas para saber si est realizando la configuracin correctamente. Estos tres puntos se muestran infra:
FIGURA 41: Comprobacin vecindad R1P2
FUENTE: Elaboracin propia usando la consola de GSN3
Lo ms importante llegados a este punto es tener: BGP state = Established BGP neighbor is 40.40.40.2 (la direccin IP del router vecino) Router ID 202.168.0.1
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 53
3.5.4 Configuracin Interior-BGP
En este apartado de configuracin se va a configurar el router del cliente para que se comunique con el router auxiliar que se definici en su infraestructura de red. Interior-BGP se define de la siguiente manera:
neighbor [Direccin IP] remote-as [Nmero de sistema autnomo] Donde el nmero del sistema autnomo es el nmero del sistema autnomo al que pertenece el cliente
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 54
ATAQUES EN BGP
4.1 Introduccin
En este apartado, se va a realizar un anlisis de los posibles ataques centrados en BGP. Se van a estudiar posibles ataques, presentando su lgica y el impacto que tendran en un sistema distribuido con routers BGP. Ser importante saber el comportamiento de quienes realizan estos ataques locales y la identificacin y evaluacin de posibles nuevos escenarios BGP.
BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantacin de prefijos, sistemas autnomos o routers, pueden realizarse con mucha facilidad. Tambin es crucial la buena configuracin de BGP, ya que un error en su configuracin puede emblandecer la seguridad de la organizacin. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un fallo de configuracin se mantenga local y no se propaguen por todo Internet.
BGP funciona sobre TCP por lo que es sensible a sus ataques (SYN Flooding, TCP RST/FIN/FIN- ACK, TCP SYN ACK, TCP ACK, RST falsos). Se pueden quedar redes inaccesibles o redirigidas a un suplantador. Al no haber control temporal en los mensajes BGP, estos pueden ser capturados, eliminados, modificados o reenviados. Un router puede suplantar a otro e inyectar informacin invlida a sus vecinos. La informacin en los mensajes BGP no se encripta ya que los routers no tienen capacidad de proceso suficiente para realizar funciones bsicas de encriptacin, es decir, la informacin de encaminamiento es difundida en texto claro.
Los ataques conocidos de BGP se pueden enumerar en una amplia clasificacin. Esta clasificacin es la siguiente:
Establecer una sesin BGP no autorizada con un extremo. Originar un cambio no autorizado en las tablas de rutas de un extremo. Cambiar el enlace predeterminado de un prefijo. Llevar a cabo un ataque conocido como negacin/degradacin de servicio (DoS) en un proceso BGP. Inyectar segmentos TCP con el bit de RST activado.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 55
4.2 Vulnerabilidades y errores de concepto
El diseo de BGP asume que redes operando autnomamente son fiables y aqu lamentablemente no es as, ya que siempre habr quien se encargue de hacer ver la realidad. BGP se utiliza para el intercambio de informacin de enrutamiento de cmo alcanzar un destino a travs de de un protocolo vectorial de ruta. Cada Router anuncia el mejor camino a un destino a sus routers vecinos y en turnos cada router determina el mejor camino basado en las rutas recibidas (ver figura 34). Igualmente, anuncia solo los prefijos que origina y solo la mejor ruta a sus vecinos. En la prctica se puede decir que los sistemas autnomos tasados de maliciosos pueden secuestrar prefijos de otros sistemas autnomos., Agregar falsos prefijos, Spoofing (es decir utilizar la IP o el nombre falso de un router autentico), Alterar o incluso falsificar rutas, agregar o desagregar prefijos no autorizados, etc.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 56
En cuanto a la infraestructura lgica se refiere, si los routers no puede dirigir y realizar apropiadamente un enrutamiento del trafico, Internet presentar una falta de conectividad que puede afectar tanto localmente a nuestra infraestructura como globalmente en nuestra capacidad de comunicarnos con otros nodos, aparte de otras consideraciones esto puede se provocado, por ejemplo, errores de configuracin o de implementacin de seguridad.
Ejemplo: secuestro de sesin, ataques, etc..
Uno de los puntos vitales es la implementacin de la Defensa contra ataque de hombre en medio (Man-in-The-Middle Attacks )
La forma como est organizada la conectividad externa se basa en que cada organizacin confa su conectividad a Internet al protocolo BGP4, no hay otro modo y BGP4 Tiene conocidas vulnerabilidades muy difciles si no imposibles de solventar, si bien estas amenazas deben ser monitorizadas con suma atencin.
Dos puntos clave que deben ser tomados como referencia en los riesgos del protocolo BGP son:
Cualquiera que se conecte a Internet, sin las medidas de proteccin apropiadas est expuesto a determinados riesgos en los parmetros obtenidos para enrutamiento que pueden derivar en una denegacin de servicio, secuestro de sesin, o intercepcin de las transacciones realizadas.
Un riesgo aadido es que hoy en da no todos los tcnicos desempeando misiones en infraestructura de red disponen de una capacidad tcnica y de conocimientos para cuantificar y analizar todos los riesgos, lo cual implcitamente es determinante en el modo de analizarlos y remediarlos. As mismo debemos aadir a las amenazas externas y sus ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuracin realizados por los tcnicos y administradores de la red.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 57
Puntos bsicos a definir para enrutamiento y de sus amenazas inherentes son:
Actualizaciones de los enrutamientos Atributos de las rutas Prefijos ASN,s Vulnerabilidades e historia de ataques tpicos a BGP
A lo largo del tiempo, se han propuesto una serie de soluciones de seguridad, para que la debida integridad de las rutas se mantenga. Igualmente, la implementacin de estas soluciones de seguridad implica la utilizacin de tcnicas y mecanismos criptogrficos para realizar una autenticacin de las rutas y/o los prefijos recibidos, es decir se debe verificar que el origen de quien dice ser este validado y que la informacin no haya sido alterada durante su trnsito por la red.
En un estudio inicial se podra pensar que si el plano de datos han sido verificados y la autenticacin de la ruta ha sido as mismo obtenida, la seguridad est garantizada pero no es as, en este estudio de vulnerabilidades se va a ver que se est bastante lejos de garantizar una solucin global al protocolo BGP. En la actualidad, incluso con enlaces autenticados y verificacin de reenvo de datos, BGP sigue siendo vulnerable a la presencia de sistemas autnomos falsos o maliciosos, y sigue siendo vulnerable a ataques a su sistema operativo por medio de malware diseado para modelos y marcas de routers especficos.
A modo de ejemplo en el mundo de sistemas operativos existe un mayor nmero de malware para productos Microsoft que para otros sistemas operativos ms minoritarios como MAC o Unix. Esto quiere decir que en el mercado del Hacking hay un mayor nmero de productos malware contra routers CISCO y sus IOS (sistema operativo) que otros modelos de routers ms minoritarios.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 58
Otro punto que se debe considerar en este estudio, son aquellos ataques que van dirigidos a producir una denegacin de servicio, es decir, sobrecargar un router con tantas peticiones de conexin o conexiones incompletas que hacen reaccionar al router con una sobrecarga de trabajo que lo deja fuera de servicio. A continuacin, se presenta un estudio ms pormenorizado realizado en este proyecto de los diferentes ataques y sus soluciones, teniendo en cuenta que las soluciones propuestas siempre sern parciales.
4.3 Antecedentes Histricos
En esta seccin se van a tratar los Incidentes de BGP desde un pasado reciente hasta nuestros das. Sus vulnerabilidades y los errores de configuracin estn plenamente vigentes por tanto pueden ayudar a entender y eliminar vulnerabilidades tanto en los sistemas autnomos como en los routers de infraestructura. As mismo, debe hacer hincapi en aquellas vulnerabilidades de BGP que van ligadas muchas veces a las de los DNS (Domain Name Systems) y aunque estas queden fuera del anlisis de este proyecto, el proveer de ms seguridad a las infraestructuras de Internet pasa por solucionar las vulnerabilidades de ambos servicios.
Para entender las vulnerabilidades de BGP se debe hacer un estudio de los mayores incidentes a travs de la historia en los que se ha visto envuelto el principal protocolo de encaminamiento de Internet. Se empezar analizando aquellos incidentes voluntarios (ataques reales) con la intencin de manipular algn tipo de sistema de enrutamiento, y aquellos que fueron configuraciones errneas con nefastas consecuencias.
Dejando a un lado las implicaciones legales, cabe evidenciar que el resultado puede producir grandes daos operacionales y por tanto, a efectos de consecuencias sobre Internet, un fallo de configuracin puede tener similares caractersticas a un ataque malintencionado al interrumpir trfico legtimo incluso a nivel mundial.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 59
4.3.1 Ao 2012, Australia sin acceso a Internet
El da 27 de Febrero de 2012 aproximadamente durante unos 30 minutos, muchos australianos se encontraron sin acceso a Internet [16]. Muchos de ellos tenan contrato directo o indirecto con Telstra Network, la cual en ese momento se quedo aislada a la red de Internet. Telstra es uno de los mayores proveedores de Internet de Australia, normalmente origina aproximadamente 500 prefijos Ipv4 y 3 prefijos Ipv6. Telstra tambin es proveedor de trnsito para muchos ISPs, como por ejemplo, (AS38285) Dodo un ISP Australiano y (AS10235) National Australia Bank. Este hecho, como estudiante de Ingeniera Tcnica en Informtica y escritor de este proyecto, me lleva a plantear al lector la siguiente pregunta:
Como un proveedor as puede irse abajo, cuando seguramente dispone de ingentes cantidades de hardware y conexiones mltiples dentro y fuera del pas?
La causa fue un error de routing que hizo que todo el trfico eligiera como Best Route al Proveedor de Servicio de Internet Dodo (el cual era un cliente de Telstra Network). Difundir rutas en BGP accidentalmente es desafortunadamente tan fcil que hay que configurarlo siempre definiendo filtros que prevengan que esto suceda. En este caso, Dodo debera haber establecido filtros para asegurar que ellos solo anunciasen sus prefijos y Telstra debera haber tenido esos filtros tambin para prevenir secuestros (hijacks) y para proteger su propia infraestructura, lo cual es aun ms importante. En este suceso se ve que los filtros no estaban implementados lo cual permiti que sucediera esta difusin de rutas y sus inherentes consecuencias. Sin embargo, esto solo no debera haber echado abajo todas las conexiones internacionales de Telstra. Lo que pas seguramente es que Telstra asumi todas las rutas aprendidas de Dodo (todas las 400.000) como rutas del cliente y las certifico anunciadas a todos sus peers y proveedores de bucle (upstream).
A continuacin se puede ver las terribles consecuencias que tuvo este fallo de configuracin [17] para el servicio de Telstra.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 60
FIGURA 47: AS1221 Telstra Pty Ltd
FUENTE: www.BGPmon.com
4.3.2 Ao 2011, Egipto sin acceso a Internet
Durante las protestas de Egipto y por rdenes gubernamentales, en un principio las redes sociales (Facebook, Twitter, etc) fueron bloqueadas [16]. Un paso ms adelante en la intencin del gobierno de controlar las comunicaciones de internet fue el bloquear el enrutamiento de Internet de los proveedores de servicio. Un 88% por ciento de las redes estaban fuera de servicio. Vase a continuacin las siguientes figuras:
FIGURA 48: Egipto redes afectadas I
FUENTE: Elaboracin propia
Das del Incidente Num. de prefijos Num. de ASN de origen 27-Enero 2903 52 28-Enero 327 26 Desaparacen 2576 26
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 61
La siguiente tabla muestra los 10 principales proveedores de Internet en Egipto. Se ella puede ver que la mayora de los Sistemas Autnomos (AS) no muestran ningn anuncio o nmero significativamente menor.
FIGURA 49: Egipto redes afectadas II
Prefijos el 28 de Enero Prefijos al inicio de la semana AS de Origen Nombre del proveedor 20 775 8452 TE-AS TE-AS 0 774 24863 LINKdotNET-AS 113 676 36992 ETISALAT-MISR 0 217 24835 RAYA Telecom Egypt 0 102 5536 Internet-Egypt 85 83 20928 Noor Data Networks 0 41 36935 Vodafone-EG 23 36 15475 Nile Online 14 28 8524 eg-auc 0 25 6127 IDSC FUENTE: Elaboracin propia
Nota: cabe mencionar que el nico proveedor sin impacto fue AS20928 (Noor Data Networks)
Lista de proveedores que continuaron anunciando redes (basado en datos de routeviews):
FIGURA 50: Egipto redes afectadas III Red Nombre Numero de rutas AS36992 Etisalat-Misr 104 AS20928 Noor Data Networks 83 AS24835 RAYA Telecom Egypt 38 AS15475 Nile Online 23 AS8524 AUCEGYPT 14 AS2561 Egyptian Universities Network (EUN) 14 AS8452 TE-AS TE-AS 12 FUENTE: Elaboracin propia
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 62
a. Los inicios del incidente Observando Internet en Egipto se pudo tener una idea aproximada en el momento de inicio del incidente. 27 de Enero a las 22:28 UTC: La pagina web egypt.gov.eg est fuera de servicio la IP: 81.21.104.0/24 fue bloqueada. 27 de Enero a las 22:28 UTC: La pgina web www.ahram.org.eg peridico Egipcio. La IP: 196.219.246.0/24, se convierte en inaccesible al misma hora exacta.
b. 28 de Enero, 17.48 PM En este momento solo 239 redes Egipcias son accesibles, esto significa que el 91% de las rutas egipcias estn bloqueadas. Noor Networks permanece como el nico proveedor que parece no verse afectado por esta disrupcin. Vodafone confirma en su pgina web que han recibido instrucciones de apagar sus servicios en ciertas partes del pas.
http://www.vodafone.com/content/index/press.html
A continuacin, todos los operadores mviles en Egipto reciben instrucciones para clausurar sus servicios en determinadas reas. La legislacin Egipcia permite a las autoridades ordenar el cierre de servicios de comunicaciones y las compaas proveedoras estn obligadas a cumplirlo.
c. 28 de Enero, 18.36 PM Los servicios mviles han sido restaurados. La pgina web de Vodafone publica este mensaje:
Vodafone restored voice services to our customers in Egypt this morning, as soon as we were able. We would like to make it clear that the authorities in Egypt have the technical capability to close our network, and if they had done so it would have taken much longer to restore services to our customers. It has been clear to us that there were no legal or practical options open to Vodafone, or any of the mobile operators in Egypt, but to comply with the demands of the authorities. Moreover, our other priority is the safety of our employees and any actions we take in Egypt will be judged in light of their continuing wellbeing.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 63
Hasta este momento, no se aprecian cambios en la conectividad de Internet en Egipto. Sim embargo, Internet lleva corta en Egipto 36 horas. La semana laboral en Egipto se inicia maana (29 de Enero) se espera una restauracin de los servicios.
d. 29 de Enero, 21.00 PM Existe a disposicin del lector una lista de las rutas/prefijos que siguen siendo enrutadas. En esta lista se ven 243 redes.
http://bgpmon.net/egypt-routes-jan29-2011.txt.
Nota: Estos datos son extrados de routeviews data (rib.20110129.1800). Cabe destacara que aun siendo anunciada una ruta no significa necesariamente que sea accesible.
El formato de la lista es:
| Nmero AS | Prefijo| Descripcin del prefijo |
Estos son algunos ejemplos de las rutas que en ese momento continan anunciadas:
Rutas de: AT-Financial Holding Biblioteca de Alejandra (http://www.bibalex.org/) Rutas del Banco Central de Egipto Rutas del Egyptian National Scientific & Technical Information
e. 31 de Enero, 23.30 PM Hoy hasta trece sistemas autnomos pertenecientes al proveedor de servicio de Internet han desaparecido, afectando incluso a Noor Data Networks. Esta red desaparece el 31 de Enero de 2011 a las 20.54 PM. En paralelo ms rutas desaparecen y a las 22.00 solo 12 sistemas autnomos y 134 rutas permanecen accesibles. Lo cual significa que solo el 5% de las rutas egipcias prestan servicio.
La lista de los que permanecen puede ser consultada aqu:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 64
En la siguiente grfica se puede ver la situacin de las redes en Egipto el 31 de Enero a las 23.00:
FIGURA 51: Egipto grfico redes afectadas/tiempo
FUENTE: Elaboracin propia
4.3.3 Ao 2011, Siria sin acceso a Internet
En 2011, el caso que se plantea en Siria [16] tiene muchos parecidos con lo sucedido en Egipto. Igualmente se realizar un estudio temporal de los incidentes.
a. 3 de Junio Internet en Siria est controlado por The Syrian Telecommunications Establishment, esta se encarga de enrutar sus redes desde AS29256 a AS 29386. A su vez, existen otras dos compaas proveedoras de servicio tales como Tata Communications (AS 6453), la cual enruta 6 prefijos sirios y la Red Siria de Educacin Superior(AS 39154).
El 3 de Junio de 2011, el gobierno de Siria cierra todas las conexiones a Internet. Solo 19 de los normalmente 56 prefijos Sirios son enrutados. Interesante que los prefijos que no son ya enrutados tienen origen en AS29256 y AS29386, The Syrian Telecommunications Establishment. Los 6 prefijos pertenecientes a Tata communication asi como los de Syrian Higher Education no han sido afectados.La tabla posterior muestra cuantos prefijos se enrutan en situacin normal y como ha cambiado en las ltimas horas.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 65
FIGURA 52: Siria redes afectadas/sistemas autnomos
FUENTE: Elaboracin propia
b. Comparacin del 1 de Junio con el 3 de Junio En este apartado se va a ver la distribucin de prefijos por sistema autnomo. El gobierno de sirio cerr todas las conexiones el 3 de Junio, se ver como estaba la situacin anteriormente (el 1 de Junio, ver figura X) y una vez cerradas las conexiones (3 de Junio, ver figura 53).
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 66
Situacin el 1 de Junio: AS 29256: (STE-AS) se tiene constancia de que Syrian Telecommunications Establishment enruta hasta 44 prefijos conocidos. AS 29386: (STE-AS2) pertenece tambin a Syrian Telecommunications Establishment y enruta hasta 30 prefijos. AS 6453: Este sistema autnomo corresponde a TATA Communications y enruta 6 prefijos. AS 39154: Este sistema autnomo depende de la organizacin Syrian Higher Education Network AS Number y se le conoce solo 1 prefijo.
FIGURA 54: Siria prefijo 3 de Junio, 2011
FUENTE: Elaboracin propia
Situacin el 3 de Junio: AS 29256: (STE-AS) 9 prefijos. AS 29386: (STE-AS2) 3 prefijos. AS 6453: 6 prefijos. AS 39154: 1 prefijo.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 67
Conclusiones Es realmente llamativo la diferencia en distribucin de prefijos entre estas dos fecha. Se insta al lector a que preste atencin a las dos grficas y establezca su propia opinin. Como redactor de este PFC, es de gran agrado poder mostrar esto a los lectores y en ltima instancia a interesados en redes y/o seguridad informtica.
c. Actualizacin del 4 de Junio 2011 El da 4 de Junio, aproximadamente, a las 8.00 PM todas las redes sirias pertenecientes a Syrian Telecommunications Establishment vuelven a la normalidad. Algunos de estos prefijos regresaron a la normalidad antes de dicha hora.
4.3.4 Ao 2010, Google y servicios asociados redirigidos
El 23 de agosto del 2010, Google [14] y otros servicios asociados fueron redirigos a Rumania y Austria. Lo que pas en trminos de funcionalidad es que durante 7 minutos el prefijo 8.8.8.0/24 fue secuestrado (este prefijo sirve a algunos Open DNS de Google). La mayora de las redes afectadas recibieron el anuncio de actualizaciones desde el AS 6939. Esta es la segunda vez en el mismo mes (30 das naturales aproximadamente) que Google es atacado accidentalmente o por un secuestro de direcciones (hijack). En Julio de 2010 un proveedor de servicios de Internet localizado en Austria (AS42473), Anexia, anunci un prefijo con una mscara de subred mayor de la que le corresponda, es decir:
El prefijo AS 42473 anunci el prefijo 74.125.127.0/24 y el que deba anunciar era el 74.12.126.0/23.
Este ltimo prefijo (el 74.12.126.0/23) aloja la mayora de los servicios pblicos de Google. Este hecho fue identificado posteriormente como un error de configuracin y fue rpidamente corregido por los ingenieros de red del AS42473. Ms detalles se pueden ver en la figura que se expone a continuacin.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 69
4.3.5 Ao 2010, un ISP Chino secuestra Internet
El 8 de Abril de 2010 se empezaron a recibir alertas sobre un secuestro BGP [24] localizados en el AS 23724. Este sistema autnomo es uno de los centros de datos operados por China Telecom, el cual es el mayor ISP de China originando hasta 40 prefijos. Sin embargo, ese da aproximadamente durante 15 minutos se originaron alrededor de 37000 prefijos de tipo nico que no tenan asignados. Esto es lo que normalmente se denomina como secuestro de prefijos (prefix hijack).
Afortunadamente, aunque se haba difundido una tabla completa, solo un 10% se propag fuera de las redes chinas, afectado a organizaciones muy conocidas, entre otras:
Amazon Geocities CNN Rapidshare Dell
Tambin se vieron afectadas pginas web muy populares chinas, como por ejemplo:
Este incidente fue detectado a nivel global por conexiones en Holanda, Reino Unido, Rusia, Italia, Suecia, Estados Unidos, Japn y Brasil. Segn BGPMon, un 28% de las sondas en el mundo detectaron este evento, lo cual implica un gran nmero de redes afectadas. Probablemente, ms de 51 peers detectaron el prefijo, pero no lo eligieron como mejor ruta (best path) seguramente debido a la longitud del ASpath u otras polticas de configuracin. Debido al gran nmero de prefijos implicados detectados en un intervalo tan corto de tiempo, posiblemente, la causa que mejor se ajusta a este acontecimiento sea un fallo de configuracin.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 70
4.3.6 Ao 2008, Pakistn Telecom bloquea YouTube
El 24 de Febrero de 2008 el gobierno de Pakistn intent bloquear el acceso a la pgina web de videos Youtube. La finalidad de tal imposicin es censurar cualesquiera videos que pudieran perjudicar sus intereses. Pakistn Telecom intent filtrar el acceso a Youtube, sin embargo, envi informacin errnea de enrutamiento por medio de BGP un ISP en Hong Kong (PCCW). Este proveedor difundi falsa informacin de enrutamiento a travs de Internet. En consecuencia dejo inaccesible la pgina de Youtube al resto del mundo durante dos horas. Finalmente, consiguieron arreglarlo restaurando las rutas originales y replicndolas a nivel mundial. Vase las siguientes imgenes sacadas de BGPlay, herramienta diseada y escrita por Computer Networks Research Group at Roma Tre University.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 72
b. Domingo a las 18.50 El sistema autnomo 17557 (Pakistn Telecom) lleva anunciando la ruta 208.65.153.0/24 los ltimos 5 minutos. Los vecinos RIS por todo el mundo reciben el cambio en sus rutas y el trfico de Youtube empieza a ser redirigido a Pakistan.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 73
c. Domingo a las 21.25 El sistema autnomo 36561 (www.youtube.com) lleva anunciando la ruta 208.65.153.0/24 desde las 20.07. El anuncio errneo del sistema autnomo 17557 (Pakistn Telecom) ha sido desechado, y ahora los vecinos RIS solo tienen rutas al sistema autnomo 36561.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 74
4.3.7 Ao 2008, Brasil difunde una tabla BGP
En Noviembre del 2008, Companhia de Telecomunicaes do Brasil (CTBC ISP de Brasil) transfiri por error una tabla completa de rutas. Esta accin podra haber tenido como resultado un secuestro accidental de las rutas de otros ISP o routers, afortunadamente, el servicio BGPMon (organismo voluntario de monitorizado de BGP) descubri el problemas enviando alertas a travs de Internet, lo cual hizo que el impacto fuera minimizado y afectara a solo un pocos routers. A continuacin, se puede observar un ejemplo de las alertas que BGPMon [16] enva cuando detecta un percance en Internet.
FIGURA 59: Mensaje alerta BGPMon
==================================================================== Possible Prefix Hijack (Code: 10) ==================================================================== Your prefix: 203.190.56.0/21: Prefix Description: www.infoseek.co.jp Update time: 2010-04-08 16:09 (UTC) Detected by #peers: 4 Detected prefix: 203.190.56.0/21 Announced by: AS23724 (CHINANET-IDC-BJ-AP IDC, China Telecommunications Corporation) Upstream AS: AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street) ASpath: 8331 9002 9002 4134 23724 23724 Alert details: http://bgpmon.net/alerts.php?details&alert_id=6617721 Mark as false alert: http://bgpmon.net/fp.php?aid=6617721
FUENTE: www.BGPMon.com
4.3.8 Ao 2007, La ICANN pone en riesgo un servidor DNS
La Internet Corporation for Assigned Names and Numbers (ICANN) [15], en Noviembre de 2007, inici trabajos de actualizacin de uno de sus Domain Name System (DNS) root-servers L (199.7.83.42), el cual es propiedad de ICANN y, en consecuencia, tambin sometido a su control y manejo. Este servidor se trata de un servidor distribuido, y como se puede ver en la siguiente figura, se encuentra entre Miami y Los ngeles (Estados Unidos). Los ingenieros de la ICANN no detectaron varios root-servers L no autorizados operando en Internet hasta 6 meses ms tarde de las actualizaciones.
En Mayo del 2008, ICANN consigui tener todos los root-servers L falsos deshabilitados y fuera de servicio. En la actualidad, existen 13 DNS root-servers, cuyos propsitos es asignar direcciones de texto entendibles para los usuarios de Internet basadas en direcciones IP usadas entre ordenadores y routers (ver figura 61).
La estructura de todo root-server es jerrquica, y acta como traductor entre direcciones IP y nombres de dominio.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 76
a. Resumen A los root-servers DNS se les ha asignado una letra entre A y M. El root-server L pertenece, maneja y controla la ICANN. Desde el 1997 hasta el 2007 la direccin IP era 198.32.64.12 y estaba registrada a nombre de Bill Manning (ep.net) En noviembre del 2007 cambian la direccin IP a 199.7.83.43. Este prefijo se asign a la ICANN. Durante 6 meses la ICANN decide seguir utilizando sus root-servers L, tanto el antiguo como el nuevo. Aparecen root-servers DNS no autorizados (falsos): Diciembre 2007 Community DNS (England) Marzo 2008 EP.NET (US Bill Manning) Abril 2008 Diyixian (Hong Kong)
b. Acciones tomadas El 16 de Mayo de 2008, la ICANN decide definitivamente apagar su servidor L antiguo y el 16 de Mayo todos los servidores falsos (o no autorizados) L. La vigente legalidad y la ICANN presionan a sus propietarios a apagar los root-servers que van detectando a lo largo del tiempo (Ver figura 62).
c. Conclusiones Acciones que podran haberse realizado con un servidor DNS root-server no autorizado o falso aunque no existen evidencias de que esto se hiciera o no: 1. Redirigir rutas con intencin de censurar contenidos. 2. Registrar o monitorizar todos los accesos y bsquedas. 3. Dar NS (negacin de servicio) actualizados para todos los TLDs. 4. Realizar recursin por defecto. 5. Dar actualizaciones personalizadas de la lista de todos los servidores DNS root. 6. Poner (time to leave) TTL=0
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 77
FIGURA 62: Root-Servers falsos
FUENTE: ICANN
4.3.9 Ao 2004
En el ao 2004 se registraron diferentes [14] incidentes en las tablas de rutas de Internet: ISP en Malasia bloquea Yahoo ISP turco bloquea Internet. Northrop Grumman atacado por spammers
a. ISP en Malasia bloquea Yahoo En Mayo del 2004, el prefijo de Yahoo en el Data Center de Santa Clara (US-CA) fue secuestrado por DataOne, un ISP en Malasia. Expertos en seguridad informtica lo determinaron como malicioso y fueron secuestrados dos de los tres prefijos asignados. Se verific que DataOne haba intentado bloquear premeditadamente el trfico desde Yahoo en origen.
b. ISP turco bloquea Internet. El 24 de Diciembre del 2004, el proveedor de servicio TTNet envi una tabla completa de rutas de Internet va BGP. Como consecuencia a desvi todo o la mayora del trfico mundial a travs de Turquia a lo largo de la toda la maana. TTNet la haba marcado como BestPath (mejor ruta) en su tabla de rutas. En el foro Renesys, segn expertos en BGP:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 78
El caso produjo que todo el trfico desde sitios Microsoft, Yahoo, Amazon, Fox, News CNN hacia TTNet. Las consecuencias fueron menores de las que podran haber sido al ser un da (vspera de navidad) en el que el trafico relativo a negocios y organismos oficiales es notoriamente ms reducido.
c. Northrop Grumman atacado por spammers En Mayo del 2004, Northrop Grumman un contratista dedicado principalmente a contratos de ente militar y defensa detecto que un bloque de direcciones IP no utilizadas haban sido secuestradas en el tablas de enrutamiento de sus propios routers y anunciadas como legitimas. El siguiente paso fue el envi masivo de spam (emails no deseados). Al ser IPs inicialmente detectadas como propias era ms difcil efectuar un filtrado de spam,tardaron dos meses detectar el origen del incidente y reclamar las direcciones IP como propias as como conseguir que los anuncios de enrutamiento falsos fueran bloqueados a travs de internet, En este tiempo, Northrop Grumman's y sus direcciones IP fueron incluidas en listas de spammers (black list),lo cual les produjo sustanciales considerables daos econmicos as como los provocados contra su reputacin como empresa lder mundial en su campo.
4.4 Ataques al protocolo
Partiendo de la premisa de que en Internet no existe una poltica imperativa que verifique que cada sistema autnomo es quien dice ser, que no verifica la integracin de la informacin y que las relaciones entre sistemas autnomos estn basadas en la confianza. El protocolo de comunicacin entre sistemas autnomos y routers est basado en TCP/IP y por tanto hereda todas sus vulnerabilidades. Igualmente se debe pensar que los comunes errores de configuracin de los administradores y tcnicos son un valor aadido a las vulnerabilidades.
Secuestro o Hijack (MiT) MiT (man in the middle) o su variante Meet in the Middle. Replay Attacks DoS o DDoS Malware Rootkits,Bios,EEProms,etc
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 79
4.4.1 Ataques DoS o DDoS (denegacin de servicio)
Al igual que los ordenadores, los router tambin tienen un lmite para procesar y almacenar la informacin. Alcanzar el lmite de uno o ambos de estos recursos finitos tendr como resultado dejar fuera de servicio al router, tambin conocido como Denial of Service.
Uno de los ataques ms comunes con este objetivo es el llamado SYN Flood. En esta variante del DoS, se inician un gran nmero de sesiones TCP/IP utilizando el paquete SYN (sincronizacin), sin continuar con la secuencia de sincronizacin. Esto provoca que el sistema reserve recursos para esta sincronizacin, sin la recepcin de estas conexiones.
La segunda modalidad de DoS, es atacar directamente al protocolo BGP. En este caso, se intenta echar abajo la ejecucin del protocolo. Se puede decir que estos ataques DoS contra el protocolo BGP son de fcil y rpida ejecucin. Se realiza enviando paquetes dirigidos al puerto 179, los cuales son enviados al proceso BGP, ya que normalmente, este reside en un procesador ms lento o de menor capacidad.
Una tercera variante de DoS (Denial of service) contra BGP, se caracteriza por la recepcin de datos falsos de enrutamiento pudiendo afectar:
Los sistemas de fin de ruta intentando transmitir datos a travs de la red. La infraestructura de red en s misma.
Cierta informacin falsa puede representar un ataque DoS al protocolo BGP en s mismo, a modo de ejemplo: advertir un numero excesivamente grande de mas rutas especificas puede causar que el trafico BGP y la dimensin de las tablas de enrutamiento colapse el trafico o el sistema.
Se puede afirmar que potencialmente el mayor riesgo para BGP es cuando un router es bombardeado con ms paquetes de los que puede manejar, este tipo de ataque se denomina DDoS. El ataque generalmente envuelve un gran nmero de ordenadores comprometidos con malware, de todas formas, existen diferentes formas por las cuales se puede realizar un DDoS; tales como:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 80
Insuficiencia (Starvation): Un nodo recibe menos paquetes de los que debera por que el trfico es desviado a nodos que no pueden gestionar ese trfico. Agujero negro (Blackhole): El trfico es enviado a routers que descartan todos o parte de los paquetes. Retardo (Delay): El trfico es enviado a rutas menos ptimas (suboptimnal paths) Bucle (Looping): Los paquetes entran en un bucle (loop path), lo cual implica que el trfico nunca llega a su destino. Particin de red (Network partition): Una porcin de la red parece separada del resto de la red debido a informacin de rutas malformada. Agitacin (Churn): Cambios muy rpidos en el reenvo de paquetes altera la entrega de paquetes, y posiblemente afecte al control de congestin de red. Inestabilidad: La convergencia a un estado de sencillo el reenvio global no se realiza. Sobrecarga de Red (Network overload): La red comienza a transportar un nmero excesivo de mensajes BGP, sobrecargando el procesador de control del router y reduciendo el ancho de banda asignado para el trfico de datos. Sobrecarga de los recursos del router en los ciclos de almacenaje o procesado por un excesivo nmero de mensajes BGP. Acceso no autorizado: puede suceder cuando se mantienen las contraseas por defecto y las community strings utilizadas para control de acceso a SNMP (Simple Network Management Protocol) no se hayan cambiado o sean obtenidas por ingeniera social, mtodos de clculo o criptogrfico. Asimismo la explotacin de errores de software o vulnerabilidades pueden permitir accesos no autorizados. Captura de datos de BGP por medio de sniffers y otras herramientas: puede realizarse en cualquier lugar del recorrido entre routers, teniendo en cuenta que los mensajes BGP no estn encriptados o que BGP podra ser utilizado para permitir una captura de datos. Mtodos de manipulacin de paquetes: incluye insertar direcciones IP falsas para acceder a los sistemas, inyectar datos falsos a las tablas de rutas o re enrutar paquetes de datos con propsitos de meterlos en agujeros negros, monitorizar el trafico, etc.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 81
4.4.2 Secuestro o Hijack
Se pueden distinguir tres tipos de secuestro de la direccin IP [18]. En las dos primeras todo el trfico asignado al espacio de direcciones es redirigido al atacante.
Utilizacin de un direccin IP del rango asignado a la victima pero que aunque asignada no est utilizando, este ataque en principio no tiene en si unos efectos ms de reputacin que realmente de dao al trfico legitimo en Internet. Secuestro de una direccin IP en uso, esta modalidad tiene un obvio dao operacional, todo el trfico es desviado al atacante pudiendo dejar a la victima sin conexiones externas y por tanto fuera de Internet. Por ltimo, existe una variante de secuestro en el que el atacante se dedica a ver todo el trfico.
La realidad presente es que no hay vulnerabilidades, no hay errores en el protocolo, tampoco hay en estos ataques problemas de software (software bugs). El origen del problema surge de la gran necesidad de interconectividad necesaria a da de hoy para mantener el trfico en Internet.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 82
Este problema surge como ya se ha comentado en que la arquitectura y diseo de BGP est basada en la confianza. A modo de ejemplo cuando un email es enviado desde un usuario en Europa a otro usuario en Asia, las redes para cada usuario se comunican siempre con y a travs de routers BGP indicando cual es la ruta ms eficiente para que los datos alcancen el buzn de destino, claro que BGP asume siempre que cuando un router informa de cul es la mejor ruta nos est diciendo la verdad, este abuso de confianza puede ser utilizada para aquellos que quieren capturar nuestros datos engaando a los routers para que les enven el trafico con fines maliciosos.
Proceso Completo MITM Un usuario cuando teclea la URL de una pgina web en su navegador o enva un email, un servidor DNS la traduce a una direccin IP como destino [20]. El router del ISP del usuario toma esta peticin y entonces consulta una tabla de rutas BGP para encontrar la mejor ruta al destino seleccionado, esta tabla es dinmica y se actualiza. Mientras tanto un SA declara el rango o espacio de direcciones IP, tambin conocidos como prefijos IP, a los que cada uno entrega/enva el trfico. La tabla de enrutamiento busca la IP destino entre estos prefijos. Si existen dos SA anunciando la direccin IP deseada, escoge siempre aquella con la direccin mas especfica.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 83
Ejemplo El SA X en sus tablas anuncia que sirve a un grupo de 120.000 direcciones IP, mientras tanto otro llamado AS Y, sirve a un subred de 24,000 de estas direcciones. Si la IP de destino est reflejada en ambos anuncios BGP enviar siempre al ms concentrado (pequeo), es decir, al ms especifico. Cuando un hacker u elemento hostil quiera interceptar datos enviara un anuncio de un rango de direcciones IP en la que est contenida la de su objetivo y obviamente ser ms especfica que las otras que envan otras redes. Este falso anuncio, en cuestin de minutos, ser propagado por internet, cuya finalidad ser que los datos dirigidos a esas direcciones IP se dirigiran a la red del atacante.
Este ejemplo recuerda a lo sucedido entre Pakistan Telecom y Youtube, en cuestin de minutos Youtube se qued inaccesible (ver epgrafe 4.3.6).
4.4.4 Ataques de sesin (TCP) y Replay Attacks
Como ya se ha comentado previamente en este documento, BGP trabaja sobre TCP por lo que BGP hereda todas sus vulnerabilidades. SYN es un bit de control dentro del segmento TCP, se usa para poder sincronizar los nmeros de secuencia iniciales al establecer una conexin. Este bit puede derivar en dos tipos de ataques que afectarn a BGP, ambas variantes se mencionan a continuacin: SOY 208.65.153.0/24 SOY 208.65.152.0/22
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 84
FIGURA 65: Sincronizacin al inicio de una sesin
FUENTE: http://es.kioskea.net/
a. Ataque TCP SYN Tambin conocido como SYN flooding, este ataque consiste en enviar un SYN de sesin, y una secuencia de paquetes BGP para establecer una sesin BGP, haciendo que una sesin legtima parezca defectuosa y obligar a anularla.
b. TCP SYN ACK: Un atacante intercepta un SYN antes que el router destino, el cual recibira ACK vaco como respuesta cuya finalidad resultara en una RST que finalizara la sesin inicial.
4.4.5 Ataque Route Flapping
Route flapping referencia [27] cambios repetitivos en las tablas de rutas BGP. Hay ocasiones en las que estos cambios se realizan con una frecuencia de varias veces por minuto.
Route flap sucede cuando una ruta es eliminada y entonces re anunciada en un espacio muy breve de tiempo. Una razn alta de esta secuencia puede causar un problema serio para los routers, debido a que cada flap produce cambios o eliminaciones de rutas que se propagan a travs de los sistemas autnomos. Si la velocidad es lo suficientemente rpida, a un nivel por ejemplo de entre 30 a 50 veces por segundo, el router sufre una sobrecarga que puede inducir a una no convergencia sobre rutas vlidas. El Impacto potencial para los usuarios es una ralentizacin en la entrega de mensajes, e incluso en algunos casos la recepcin invlida de algunos paquetes de datos. Route flapping puede derivar en una denegacin de servicio.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 85
Route flap damping, RFD, es un mtodo para reducir los flaps de rutas por medio de un algoritmo que ignora al router enviando actualizaciones flapping durante un periodo de tiempo configurable.
Cada vez que sucede un evento categorizado como flapping, los routers peer aaden un valor de penalizacin al total del router haciendo flapping. La penalizacin se adquiere de una forma exponencial en el tiempo. Si el flapping de rutas persiste, y excede el total (ver figura 66), las rutas aprendidas del router flapping sern desechadas y los vecinos propagarn las actualizaciones a travs de la red. A medida, que el tiempo pasa el valor de la penalizacin pierde valor, en el momento en el que no se ven ms flaps, se alcanzar el umbral de re utilizacin y desde ese momento el vecino empezar a aceptar rutas del router que previamente haba tasado de flapping router.
FIGURA 66: Route Flapping Penalizacin/tiempo
FUENTE: http://web.eecs.umich.edu/~
Mientras que este mecanismo ayuda a reducir la inestabilidad causada por fallos espontneos en la red, puede ser objeto de mal uso por parte de un atacante. Si un router se puede deshabilitar, incluso temporalmente, sus sesiones BGP sern perturbadas y los routers vecinos empezarn a enrutar evitndolo asumiendo que esta fuera de servicio.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 86
Este proceso puede activar cambios a travs de la red, apuntando a un incremento de la carga de trabajo, y posiblemente causando que el trfico se ralentice dado que los cambios de enrutamiento sern transmitidos a travs de rutas consideradas menos ptimas. De esta forma un router que de una forma intermitente sea desconectado al sufrir repetidos ataques puede causar un mal funcionamiento que podra causar ms interrupciones que si ese router fuera sencillamente desconectado. Ya que si fuera as, los otros routers encontraran rpidamente caminos bordeando ese router problemtico. Una repeticin de ataques de sesin peering de BGP (por ejemplo, va TCP RST o por medio de mensajes de error ICMP spoofed) puede ser utilizado tambin para causar un flapping de rutas.
Debido al problema descrito previamente e igualmente considerando que en nuestros das se ha producido un notable incremento de la capacidad en los procesadores de los routers de ltima generacin, muchos tcnicos de sistemas han decidido obviar esta contramedida. Tambin definida en algunos manuales tcnicos como contramedida RFD o simplemente RFD. Se debe hacer un estudio muy detallado analizando todos los pros y los contras de la implementacin de RFD teniendo en cuenta su utilidad en el caso de que se desee aislar partes de la red para mitigar los daos de un ataque.
4.4.6 Ataque Routes Desegregation
La desagregacin [23] de rutas se produce cuando un prefijo ms especfico es advertido por vecinos BGP. Por ejemplo si el prefijo 129.0.0.0/8 y el prefijo 129.0.0.0/16 son ambos anunciados, los algoritmos de BGP seleccionarn la segunda (para cualquier direccin dentro del rango 129.0.0.0/16) ya que es ms especfica. En algunos casos, esta accin es normal y una operacin apropiada debido a los cambios de configuracin, pero puede suceder que sea resultado de un error o fruto de una actividad maliciosa.
El primer impacto de este evento es una degradacin del servicio que en algunos casos puede ser ampliamente difundido y producir un gran dao. Dando BGP preferencia a las rutas ms especificas, si se producen un gran nmero de actualizaciones con miles de nuevas rutas y estas se difunden rpidamente, causara al router una denegacin de servicio a s mismo y puede provocar como dao colateral el cierre de los ISPs ms grandes al ser los ms involucrados. Este problema puede ser resultado de un error de configuracin as como de una actividad maliciosa, cuando un router falso que simula ser un SA vlido.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 87
Como solucin a este ataque o problema podemos implementar algunas medidas como establecer un lmite mximo de prefijo (maximum prefix limit), este lmite puede ser pre configurado para terminar o deshabilitar una sesin y enviar un mensaje de alerta cuando un router vecino transfiera un nmero excesivo de prefijos predefinidos. Una desagregacin de rutas activara la capacidad de limitar prefijos, y la sesin con el par sera deshabilitada hasta ser activada manualmente, dando a los operadores la capacidad de analizar el problema y prevenir su difusin por Internet.
4.4.7 Ataque de Inyeccin de Rutas Maliciosas
BGP existe para difundir la informacin de enrutamiento a travs de internet. Los Routers se trasmiten informacin entre ellos sobre aquellos prefijos a los que se pueden conectar y de la eficiencia de cmo llegar a las direcciones IP deseadas dentro de esos prefijos. En situaciones benignas y cooperativas estas acciones funcionan bien, pero una vez ms, existen intenciones maliciosas pudiendo empezar a enviar actualizaciones de informacin de enrutamiento incorrecta.
El anuncio de rutas ms especificas, podra desviar el trfico a la mquina del atacante, que podra observar y grabar los paquetes de datos y analizar la informacin de esa direccin bajo el ataque. La vctima no tendra ningn control sobre las rutas anunciadas por el atacante, siendo su nica opcin, contactar con el ISP del delincuente para solicitar una correccin de los datos errneos de las rutas anunciadas por el agresor. Una vez hecho esto, sera muy difcil demostrar si detrs de esta redireccin errnea haba intenciones maliciosas o pudiendo alegar un error de configuracin accidental. De hecho la victima posiblemente no podra ver el anuncio de rutas del atacante, ya que seguramente habra sido desechada localmente por BGP para prevenir bucles de ruta (looping routes).
BGP no dispone de un medio de autenticacin para garantizar la identidad de los vecinos, ni tampoco de un mecanismo de autorizacin para otorgar a un par BGP la potestad de actualizar rutas a prefijos particulares. Filtros de rutas y la realizacin de autenticacin con MD5 inicialmente soluciona simplemente la autenticacin del enlace BGP.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 88
4.4.8 Ataque de Inyeccin de Rutas no Asignadas
Un variante de inyeccin de rutas maliciosas es la transmisin de rutas de prefijos no asignados, estos prefijos son direcciones IP especficas que todava no han sido asignadas. Es decir, nadie debera utilizar estas direcciones, lo cual implica que nadie debera enrutar trfico a esas direcciones. A su vez, cualquier informacin de rutas para esos prefijos es claramente errnea o maliciosa, y debe ser desechada.
4.4.9 Malware Rootkits, IOS, Bios, EEProms
A da de hoy no se puede realizar un estudio de seguridad sin contemplar la posibilidad de una infeccin por malware especficamente diseado para atacar un sistema operativo determinado, un hardware en concreto, o un protocolo especifico en particular.
La primera consideracin sobre los routers que soportan y/o dan soporte a infraestructuras criticas, cuya funcin que les da un valor aadido y los hacen especialmente interesantes para lo que se ha denominado la Ciberguerra.
Una segunda consideracin es que hay una antes y un despus de Stuxnet y Duqu, malware diseado para atacar procesos industriales. En un principio orientado a centrales nucleares, por ser muy atractivo por aquellos encargados de desarrollarlo.
Hace relativamente poco, ha sido descubierto un gusano diseado como un rootkit que se auto replica en IOS, tambin dispone de capacidad de invisibilidad (stealh capabilities), y de un mecanismo de autodefensa. El diseo es con cdigo auto adaptado a cada modelo de plataforma. Las capacidades conocidas de este malware son:
Captura de paquetes de red Conexiones de reverse Shell: con esta funcin evita ser detectado o bloqueado ante la posibilidad de encontrar sistemas de proteccin de fronteras (BPS). Capacidad de franquear posibles Intrusion Detection Systems (IDS) o Firewalls en el camino ya que establece la conexin desde dentro hacia fuera
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 89
Dispone de un modulo de spam, y un mini malware httpd server.Este software malicioso se ejecuta en la memoria flash del router, que dicho sea de paso, contiene los primeros comandos que utiliza en el proceso de arranque (Boot-Up).
Ante estas ocurrencias un administrador de routers debe prevenir su infraestructura.
Las actualizaciones del IOS son obligatorias pero siguiendo pautas de seguridad, tales como:
Solo instalar actualizaciones de reputadas y contrastadas fuentes. Estas debern estar firmadas digitalment La capacidad emular situaciones reales de routers sugiere disponer de un banco de pruebas virtual lo ms parecido a sistemas en uso, donde analizar cualquier cambio o actualizacin como fase previa del despliegue en sistemas con alta carga de trabajo.
4.5 Resumen
En este epgrafe del documento se han analizado los fallos de configuracin con mayor repercusin a nivel mundial del siglo XXI, tambin, se han analizados todos los posibles ataques conocidos sobre el protocolo en cuestin. Existen multitud de recomendaciones tcnicas al respecto, pero recientemente han aparecido noticias en la prensa internacional de haberse descubierto manufacturas de Cisco [8] del tipo router o switches que no son originales. La gravedad de la noticia es que estos equipos haban sido adquiridos por el departamento de defensa de los Estados Unidos e incluso el FBI.
Esta noticia no solo es grave por el hecho de que este material no habra pasado los controles de calidad debidos, y que adems pueden contener dispositivos de activacin remota con capacidades maliciosas que podran poner en grave riesgo infraestructuras criticas o vitales de los Estados Unidos, y cabe preguntarse si este material no estar funcionando en infraestructuras de carcter vital en otros pases u organismos internacionales.
Es difcil, como redactor de este proyecto, sugerir medidas de seguridad para no sufrir un ataque o para no perjudicar a otras infraestructuras mediante errores de configuracin si a su vez se descubren productos falsos sobre los cuales se deben implantar dichas normas.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 90 BIBLIOGRAFIA
Las referencias que se han usado en este documento son:
REFERENCIAS BIBLIOGRFICAS
[1] Peter Rybazyk, Cisco Router TroubleShooting Handbook. New York: M & Books, 2000 [2] Rob Payne y Kevin Manweiler, CCIE: Cisco Certified Internetwork Expert Sudy Guide Routing and Switching [2 edicin]. [3] Giles Roosevelt, All-in-one CCIE Study Guide [1 Edicin]. 1998 [4] Giles Roosevelt, All-in-one CCIE Study Guide [2 Edicin]. 1998 [5] Tim Boyles, Cisco CCNP Certification Library. 2001. [6] Todd Lammle, CCNA Cisco Certified Network Associate Study Guide. 2011. [7] William R. Parkhurst, Cisco BGP-4 Command and Configuration Handbook. 2001 [8] Iljitsch van Beijnum, Building Reliable Networks with the Border Gateway Protocol. 2002
REFERENCIAS DIGITALES
[9] CISCO, http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1cbgp.html [10] CISCO,http://www.cisco.com/en/US/tech/tk365/tk80/tsd_technology_support_sub-protocol_home.html [11] CISCO, http://docwiki.cisco.com/wiki/Border_Gateway_Protocol [12] LACNIC, http://lacnic.net/documentos/lacnicxii/presentaciones/08_bgp.pdf [13] Institute e Internet Storm Centre, http://www.sans.org [14] National Institute of Standards and Technology, http://www.nist.gov/index.html [15] Instituto Nacional de las Tecnologas de la comunicacin, http://cert.inteco.es [16] BGP monitoring and analyzer, http://bgpmon.net/blog/ [17] BGP monitoring and analyzer, http://www.bgpmon.net/ [18] Packet Clearing House, http://www.pch.net/home/index.php [19] Cyber Operations Center Dashboard, http://msisac.cisecurity.org/apps/dashboard/ [20] Team Cymru Community Services, http://www.team-cymru.org/Monitoring/Graphs/ [21] BGPTables, http://bgpinspect.merit.edu/index.php [22] Hurricane Electric, http://lg.he.net/
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 93
ROUTER ANALYZER
6.1 Introduccin
Router analyzer surge con la idea de poder configurar un router de manera fiable y segura. En apartados anteriores en este documento se ha podido ver la importancia de una buena configuracin para tener un router robusto ante ataques y funcionalmente correcto. Esta aplicacin va a analizar en tiempo real los enlaces que tenga el router que se consideran peligrosos. Se va a establecer un enlace directo entre la configuracin del router y herramientas web para saber en todo momento que se est haciendo en el dispositivo y tener un interfaz grfico que muestre la informacin de una manera ms entendible por aquel administrador de red que decida usar la aplicacin.
Durante el desarrollo de la aplicacin se ha de mencionar que no se ha visto nada como esta aplicacin en el mercado informtico. No es tarea fcil configurar un router y con Router Analyzer se ha disminuido el grado dificultad utilizando herramientas de dominio pblico que se vern ms adelante.
ROUTER ANALYZER
Aplicacin para la configuracin un BGP analizando en tiempo real direcciones peligrosas y sistemas autnomos suplantadores.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 94
6.1.1 Internet Storm Center
Existen diversas pginas que se actualizan diariamente y que muestran pblicamente aquellas direcciones IP que han sido denunciadas por numerosos ataques. En esta aplicacin se va a usar la informacin de la siguiente pgina:
http://isc.sans.edu/sources.html
I SC (Internet Storm Center) [13] se cre en 2001 con la aparicin del gusano Lion. ISC es mundialmente conocida por su labor de deteccin, anlisis y estudios de los diferentes malware que han ido apareciendo desde la existencia de internet. Lo que viene a continuacin son comentarios encontrados en algunos foros de seguridad informtica como el de ISC.
Un peligroso gusano, llamado Lion (len), est propagndose por Internet e infectando los servidores Linux, ha advertido SANS Institute. Entre sus nefastas peculiaridades, el gusano es capaz de robar claves de acceso, instalar y instalar y ocultar otras herramientas en sistemas infectados; usar aquellos sistemas para buscar otros sistemas que pueda atacar.
En la pgina ISC se pueden encontrar diferentes herramientas para defenderse contra algn tipo de malware. Router analyzer se conectar a la pgina web, y contrastar la informacin del fichero de configuracin del router con la tabla la cual se actualiza diariamente. La tabla tiene los siguientes atributos:
Direcciones IP: Direcciones IP origen de los paquetes detectados por sus sensores. Ataques: Nmero de los diferentes ataques conocidos con esta direccin IP origen. Informes: Nmero de paquetes conocidos desde esta direccin IP origen. Localizada por primera vez: Primer informe de un paquete malicioso. Localizada por ltima vez: ltima denuncia de un paquete malicioso.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 96
6.1.2 Domain Tools
La seguridad en BGP tiene un objetivo en comn. Saber si un prefijo pertenece a la organizacin a la que dice pertenecer, si el router que dialoga con los routers vecinos de los ISPs es el que la organizacin ha instalado y no es un suplantador, si la ruta para conectarse a un servidor de la organizacin es realmente la correcta y no ha sido modificada, si el trafico ha sido redirigido a un sistema autnomo comprometido, y dems interrogantes, es la base que guiar el proyecto.
Domain Tools [26] es lder reconocido en el mbito de investigacin y seguimiento de paquetes en Internet. A la hora de configurar los enlaces del router, la aplicacin pedir la direccin IP y el sistema autnomo al que el peer dice pertenecer, se conectar a la pgina de domain tolos (whois.domanintools.com) para sacar toda la informacin posible del router vecino. Si la direccin IP no perteneciese al sistema autnomo al que dice pertenecer la aplicacin no dejar configurar ese enlace en el fichero de configuracin del router que se quiere configurar.
En la pgina de Domain Tools se pueden encontrar diferentes herramientas online gratuitas. Exactamente, la aplicacin usar el apartado whois. Lo que viene a continuacin es literalmente lo que pone en la pgina web de Domain Tools sobre la herramienta:
In 2006, WHOIS.SC (Whois Source) became DomainTools to reflect our expanded toolset for domain research beyond WHOIS. In addition to a simple availability check and registration information, we now offer Domain Name Suggestions, Trademark Monitoring for Brand Protection, Domains For Sale, DNS Tools and more.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 97
6.1.3 Router Analyzer
Router Analyzer ha sido desarrollada en Microsoft Visual Studio 2010, (Microsoft .NET Framework 4). La finalidad de esta herramienta es implantar infraestructuras de red lo ms integras y seguras posible. Router Analyzer es un centro de control de la red que se est monitorizando, ha sido diseada para poder configurar BGP analizando en tiempo real direcciones peligrosas y sistemas autnomos suplantadores.
Los fallos de configuracin, la suplantacin de prefijos, los ataques al protocolo y la gestin de procesos han sido las directrices que han guiado este proyecto, pues esta herramienta abarca la totalidad de las mismas. La aplicacin se puede resumir en tres grandes puntos:
Anlisis del router: Un estudio de los enlaces del dispositivo examinndolos con la tabla de direcciones IP peligrosas ya mostrada anteriormente. (Ataques al protocolo y suplantacin de prefijos) Configuracin del router: Una composicin de las entradas/salidas del dispositivo en 5 pasos, que acota el margen de error. Una vez finalizada la configuracin, rastrea la direccin IP a la que se est conectando y avisar al usuario en el caso en el que la direccin no pertenezca al sistema autnomo que se ha introducido. El usuario podr habilitar un asistente de configuracin que le notificar en qu punto se encuentra del proceso y proporcionar las aclaraciones necesarias durante el mismo. (Fallos de configuracin y suplantacin de prefijos). Estado actual: Una interfaz que destaca por la facilidad que da al usuario para entender el estado del dispositivo, proporcionando toda la informacin posible del fichero de configuracin del router. (Gestin de procesos).
En los apartados de anlisis y configuracin se le proveer al usuario de toda la informacin recogida en Domain Tools sobre el enlace que se quiera y/o necesite saber como por ejemplo:
La direccin de correo del administrador. La organizacin a la que pertenece el router. Informacin geogrfica del ubicacin del router:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 98
6.2 Anlisis del router
Internet es un conjunto de asunciones engaosas y arriesgadas. Los dispositivos establecen una asociacin voluntaria sin saber realmente con quien se est constituyendo esa vinculacin. Cuando se vaya a configurar los enlaces de un router, el administrador de la red debera plantearse la siguiente pregunta:
A quin me estoy conectando? Ser seguro?
Con esta herramienta, esto ya no ser ningn dilema. Una vez se suba a la aplicacin la configuracin del router, esta buscar qu vecinos se han configurado y se conectar a la pgina de ISC para saber si el enlace es peligroso.
El anlisis del router cuya interfaz se ver ms adelante se realizar en tres pasos. Es necesario que el usuario disponga del archivo de configuracin del router. Una vez se ha localizado el archivo, los pasos para realizar el anlisis de enlaces son los siguientes:
a) Subir el archivo de configuracin del router. b) Analizar y ver resultados. c) Actuar.
6.2.1 Archivo de configuracin
El usuario deber subir el fichero de configuracin del router a la aplicacin, un fichero de configuracin es un archivo de texto con la extensin .cfg.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 99
6.2.2 Analizar y ver resultado
Una vez ha subido el archivo en la herramienta, Router Analyzer le dar la opcin de analizar el router. La aplicacin se conectara a la pgina de ISC y se bajar la tabla de direcciones IP peligrosas y comparar los elementos de la tabla con los enlaces que haya detectado en el fichero.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 100
Una vez terminado el anlisis, mostrar los resultados por pantalla. Si la aplicacin detecta algn enlace daino mostrar un mensaje de advertencia al usuario.
A continuacin mostrar en una pantalla aparte los resultados del anlisis. A modo de ejemplo se ha analizado un fichero de configuracin y se ha insertado una direccin IP tasada por ISC como peligrosa, el resultado sera el siguiente:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 101
6.2.3 Actuar
Una de las grandes ventajas de esta herramienta es que dar al usuario toda la informacin disponible en Internet sobre el enlace que desee en todo momento. La aplicacin se bajar los datos de la pgina de whois Domain Tools, proporcionar los datos de contacto del administrador de la otra red. El usuario tendr la opcin de bloquear cualquier red en cualquier momento y si esta deja de ser peligrosa o el usuario consigue contactar con el administrador de la red, el usuario podr volver a permitir enlaces del router con dicha direccin. La informacin del enlace que dar la aplicacin ha sido dividida en tres grupos:
Datos de la organizacin: Nombre ID Direccin Cdigo Postal Ciudad Estado Pas
Datos de contacto: Telfono Direccin de correo Otro
Informacin General Rango de la red Prueba Nombre de la red Fecha de actualizacin Red padre Fecha de registro
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 103
Informacin General
6.3 Configuracin del router
En este tab de la herramienta, aparecen dos botones cada uno con una funcionalidad distinta.
Estado actual: muestra por pantalla informacin relevante que ha detectado en el fichero de configuracin. Configurar: permite al usuario configurar un router desde 0 y establecer vecindad y filtros de acceso.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 104
6.3.1 Estado Actual
Anteriormente en este proyecto se ha hablado de la importancia de mantener todos los aspectos necesarios de una configuracin de red en un mismo documento. Esto facilitara el mantenimiento y su correcta configuracin.
Una vez se ha terminado la instalacin es necesario seguir documentando el estado del router?
Ciertamente s. Archivar documentos temporales del estado del router es vital para un buen sostenimiento de la red.
Router Analyzer dar la opcin al usuario de crear estos archivos. La herramienta pedir al usuario el fichero de configuracin del router y elaborar una ficha con los datos relevantes del router.
Los datos que recoger en la ficha son los siguientes: Descripcin: o Nmero de enlaces detectados. o Estado de BGP y enlaces. o Sistema autnomo al que pertenece. o Direccin IP del router. Enlaces: o Identificador. o Direccin IP.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 105
Ejemplo
Esta ficha la podr exportar a Word. Al clicar en el botn de EXPORTAR saldr un cuadro de dilogo y al guardar, la exportacin a Word se guardar por defecto con el nombre del router y la fecha que se ha realizado.
Una vez se ha guardado la exportacin, el botn de EXPORTAR cambiar a VISUALIZAR y desde la misma herramienta podr abrir el fichero .doc.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 106
La exportacin la realizar sobre una plantilla que pertenece a las resources del programa. Router Analyzer abrir Microsoft Word e ir cambiando la informacin del router por unos campos que como se han programado para que los busque. El cdigo para introducir en Word el nombre del router es el siguiente:
Introducir la variable host cuando encuentre en la plantilla el campo%%nombreHost%%.
WordApp = CreateObject("Word.Application") WordDoc = WordApp.Documents.Open(pathFicheroword) Dim xRange = WordDoc.Range
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 108
6.3.2 Opciones de configuracin
El botn de configuracin abrir al usuario la pantalla que viene a continuacin:
Puede elegir entre dos opciones de configuracin: Un enlace BGP: en cuyo caso podr permitir o filtrar accesos a enlaces. Un router BGP: en este caso el usuario tendr la opcin de generar un fichero de configuracin despus de contestar unas preguntas que le generar la aplicacin.
A esta ventana se le ha habilitado la opcin de ayuda, si el usuario no supiese que contestar y clicase en el botn de ayuda le saldra lo siguiente:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 109
6.3.2.1 Configuracin de enlaces
a) Introduccin A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo derivados de fallos en BGP. En este documento se han recogido los episodios ms relevantes del siglo XXI. Estos incidentes proceden, en su mayora, de fallos de configuracin. Con esta herramienta se ha logrado acotar al mximo el margen de maniobra de un administrador a la hora de configurar un enlace. En 5 sencillos pasos, Router Analyzer, recauda suficiente informacin para aadir o bloquear un enlace. Esta informacin la guardar en el fichero .cfg. Los 5 pasos son los siguientes:
Paso 1: Tipo de permiso Paso 2: Tipo de enlace / tipo de filtro Paso 3: Mscara de red Paso 4: Direccin IP Paso 5: Descripcin del enlace
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 110
b) Diagrama de flujo
VERIFICAR OCTETOS NO SI SI NO CONFIGURACIN ENLACE LEER OPCIN 1 OPCION 1= Permitir TIPO DE PERMISO TIPO DE ENLACE TIPO DE PERMISO LEER OPCIN 2 LEER OPCIN 2 TIPO DE MSCARA LEER OPCIN 3 OPCION 3= Otra VERIFICAR OCTETOS DIRECCIN IP LEER IP 1 0 OPCION 2 = Externo o OPCION 1 = Filtrar DESCRIPCION SISTEMA AUTNOMO LEER SA LEER DESC FINALIZAR PROCESO 0 1 SI NO
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 112
c) Pasos de configuracin
Paso1.
El usuario deber facilitar al a aplicacin el tipo de permiso que quiere dar al enlace. Hay dos tipos de permiso: Filtrar: Permitir
En el caso de filtrar, el usuario est denegando el acceso a una ruta. Los tipos de filtro que puede elegir el usuario se vern en el paso 2. Si el usuario decide permitir un enlace, estar estableciendo vecindad con otro router, podr ser dentro o fuera de la red, IBGP y EBGP respectivamente.
Paso2.
En el paso 2 habr hasta 4 opciones 2 y 2, dependiendo de la opcin elegida en el paso 1. Si ha elegido filtrar saldr lo siguiente: Route Filtering: Filtro basado en direccin de rutas Path Filtering: Filtro segn SA
En cambio, si en el paso 1 decidi establecer un enlace con otro router, tendr estas dos opciones: Interno: enlace entre dos routers dentro de la misma organizacin Externo: enlace enter ds routers pertenecientes a diferentes organizaciones.
Paso 3.
En este caso, independientemente de lo que el usuario haya establecido previamente, es decir, ya sea un filtro o un permiso, el usuario deber proporcionar a Router Analyzer, la mscara de la direccin IP del enlace que se est configurando.
El rango de valores que aceptar la aplicacin ser desde 0.0.0.0 a 255.255.255.255, si los valores introducidos por el usuario no se encuentran en este rango, saldr un mensaje de error y no le dejar avanzar al siguiente paso.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 113
Paso 4.
En el paso 4 la herramienta pedir al usuario la direccin IP del enlace. En aquellos casos en los que sea necesario conocer el sistema autnomo al que pertenece el router vecino, la aplicacin pedir el ASN al usuario. Los casos en los ser necesario son los siguientes: Enlace externo Route Filtering Path Filtering
Paso 5.
Llegados a este punto, la configuracin del enlace se ha prcticamente terminado. El usuario dar una breve descripcin para facilitar futuras actualizaciones.
Si en el paso 1 el usuario decidi establecer una vecindad, ya sea interna o externa, tambin deber nombrar el interfaz del enlace. La sintaxis de la descripcin es la siguiente:
Nombre Interfaz Descripcin del enlace Ejemplo Serial0 Enlace al proveedor 1
d) Verificar configuracin Una vez terminados los 5 pasos establecidos para la configuracin de un enlace, Router Analyzer verificar los datos introducidos. Para un enlace interno, el router comprobar que todos los datos sean correctos. Para los enlaces externos y filtros esta situacin cambia.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 114
Router Analyzer se conectar a whois Domain Tools para comprobar que la direccin IP introducida en el paso 4 pertenezca al sistema autnomo proporcionado por el usuario. En caso de error, saldr el siguiente mensaje por pantalla:
En este caso, Router Analyzer no dejar guardar el enlace y posibilitar solo aquellos campos que el administrador deba corregir. Podr cambiar la direccin IP o el sistema autnomo y tambin tendr acceso a toda la informacin sacada de whois Domain Tools que ya se vio en el apartado 3.2 de este anexo.
Si Router Analyzer considera que el enlace est bien configurado y este pertenece a quien dice ser, dar la opcin de guardar en el enlace y pedir al usuario el fichero de configuracin del router al que se le quiere agrupar este enlace. Una vez finalizada la configuracin el usuario ser redirigido a la pantalla de inicio de la aplicacin.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 115
6.3.2.2 Configuracin de un router BGP
Para la configuracin predeterminada de Router Analyzer, el usuario deber responder a 10 preguntas. Una vez contestadas, la herramienta abrir directamente la ventana de configuracin de enlaces.
Router Analyzer ha sido diseada para facilitar las labores de administradores de red. La semntica usada para configurar routers BGP puede ser confusa y no todos los responsables de routers conocern la totalidad de los comandos necesarios para una configuracin robusta.
La imagen mostrada a continuacin son las 10 preguntas que el usuario deber contestar para llevar a cabo la configuracin predeterminada:
Nota: Cada pregunta y/o comando vienen explicados en el anexo B de este proyecto en las plantillas de configuracin.
Una vez contestadas las 10 preguntas, el usuario podr guardar el fichero de configuracin (.cfg) y ser dirigido a la configuracin de enlaces explicada en el epgrafe anterior.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 116
6.4 Configuracin Helper
6.4.1 Introduccin
Al iniciar una configuracin de un router, la aplicacin mostrar una opcin la cual solo ser visible al principio. Una vez se comience la configuracin habr que dar a borrar para poder activar dicha opcin. La opcin se denomina Configuracin Helper y se habilita con un checked tem que pone habilitar ayuda.
Esta opcin es un asistente de configuracin, ayudar a aquellos administradores que lo necesiten. Como ya se ha mencionado anteriormente en este proyecto, hoy en da no todos los tcnicos desempeando misiones en infraestructura de red disponen de una capacidad tcnica y de conocimientos para cuantificar y analizar todos los riesgos, lo cual implcitamente es determinante en el modo de analizarlos y remediarlos.
Configuracin Helper funciona mientras se est configurando un enlace. Estimado lector, recuerde los pasos de configuracin (vase supra), los cuales se enumeran brevemente:
Paso 1: Tipo de permiso 1. Filtrar 2. Permitir
Paso 2.1: Tipo de Filtro 2.1.1 Route Filtering 2.1.2 Path Filtering
Paso 2.2: Tipo de Enlace 2.2.1 Interno 2.2.2 Externo
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 117
Paso 3: Mscara
Paso 4: Direccin IP (y en cuyos casos sea necesario el sistema autnomo Direccin IP y Sistema autnomo. Paso 5: Descripcin y nombre del enlace
a. Configuracin Helper Paso 1
En el primer paso, toda configuracin de un enlace pedir al usuario introducir el tipo de permiso que quiere darle a tal enlace. Dispondr de dos opciones, filtrar esa red (o bloquear) y permitirla (establecer vecindad BGP), el asistente de configuracin mostrar un mensaje por pantalla advirtiendo o informando al usuario de lo que est haciendo.
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 120
c. Configuracin Helper Paso 3
El tercer paso, como ya se ha visto anteriormente, es comn para todos, ya sea un filtro de una direccin o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la mscara de red, en consecuencia, el Configuracin Helper mostrar el siguiente mensaje:
d. Configuracin Helper Paso 4
El cuarto paso, como ya se ha visto anteriormente, es comn para todos, ya sea un filtro de una direccin o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la direccin IP, en consecuencia, el Configuracin Helper mostrar el siguiente mensaje:
UNIVERSIDAD PONTIFICIA COMILLAS ESCUELA TCNICA SUPERIOR DE INGENIERA INGENIERO TCNICO EN INFORMTICA DE GESTIN 121
e. Configuracin Helper Paso 5
En el quinto paso, la herramienta necesita que se le ponga un nombre al interfaz de conexin que se quiere configurar. Es opcional adjuntar una descripcin del enlace que la herramienta escribir en el fichero de configuracin. En este paso el Configuracin Helper muestra el siguiente mensaje: