BCP-38

• ¿Qué es?

La descripción de la “mejor práctica” de la industria consistente en verificar la dirección de origen

de los paquetes que tratan de salir de una red.

• ¿Por qué es necesaria?

– Elimina el primer paso para un DDoS.

– Elimina el anonimato del atacante.

*Es simple de implementar en los equipos existentes.

• Requiere revisar la configuración

de los ruteadores de borde.

• En el largo plazo mejorará el

ambiente en Internet.

• Requiere la colaboración de todos.

BCP38 no evita que se generen ataques de DoS, cuando se originan desde redes validas, ni impide
que se reciban estos ataques desde la interfaz pública.

Un ejemplo de implementación de BCP38 en una gran red direccionada por DHCP

¿Qué es BCP38?

El documento BCP38 corresponde al estándar RFC2827: Filtrado de redes en ingreso: derrotando

los ataques de denegación de servicio que utilizan direcciones IP de origen falsificadas (Network
Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing, en el
inglés original). Es decir, es un documento que explica estos ataques, y recomienda a los operadores de
redes las mejores formas de evitarlos.

Los ataques de Denegación de Servicio (DoS), y sus primos aún peores de Denegación de Servicio
Distribuido (DDoS), siempre han sido difíciles de manejar. Y si a eso le sumamos que los paquetes que
componen el ataque podrían tener su origen falsificado, no solo se hace más dificil detener el ataque,
sino también se hace imposible deternimar desde dónde viene.

BCP 84 recomienda que los proveedores de conectividad de conectividad IP filtren paquetes

que se introducen en sus redes desde clientes "de más abajo", y que descarten cualquier
paquete que tenga una dirección de origen que no esté asignada a aquel cliente.

BCP 38 se ha convertido en una herramienta fundamental para ayudar a mitigar los

ataques DDoS. Implementarlo significa que sus dispositivos no participarán en
ataques que emplean suplantación de direcciones de origen. Tenga en cuenta que
BCP 38 no protege contra inundaciones que se originan en direcciones IP de origen
válidas.
Se insta encarecidamente a todos los proveedores de conectividad de Internet, que
operan o no un AS (Sistemas Autónomos), a implementar mecanismos de filtrado de
ingreso de acuerdo con BCP 38 y RFC 3704 para prohibir a los atacantes el uso de
direcciones de origen falsificadas.

BCP 38 , RFC 2827 , está diseñado para limitar el impacto de la

distribución
ataques de denegación de servicio, al negar tráfico con direcciones
falsificadas
acceso a la red y para ayudar a garantizar que el tráfico sea
rastreable
a su red de origen correcta. Como efecto secundario de proteger el
Internet contra tales ataques, la red implementando la solución
también se protege de este y otros ataques, como los falsificados
acceso de gestión a los equipos de red. Hay casos cuando esto
puede crear problemas, por ejemplo, con multihoming. Este documento
describe
los mecanismos operacionales de filtrado de ingreso actuales, examina
problemas genéricos relacionados con el filtrado de ingreso, y
profundiza en el
efectos en multihoming en particular.

Este documento está dirigido a ISP y operadores de redes de borde que 1)

harían
desea obtener más información sobre los métodos de filtrado de ingreso
en general, o 2) son
 ya está usando el filtrado de ingreso en cierto grado pero a quién le
gustaría
expandir su uso y querer evitar las trampas de filtrado de ingreso en
los escenarios multihomed / asimétricos.

Diferentes formas de implementar filtros de ingreso

Esta sección sirve como introducción a diferentes operaciones

técnicas utilizadas para implementar el filtrado de ingreso al momento
de escribir esto
memorándum. Los mecanismos se describen y analizan en términos
generales,
y los problemas específicos de multihoming se describen en la Sección
4 .

Hay al menos cinco formas en que uno puede implementar el RFC 2827 ,
con diferentes
impactos. Estos incluyen (los nombres están en uso relativamente
común):

o listas de acceso de entrada

o Reenvío de ruta inversa estricto

o Reenvío de ruta de acceso de ruta de acceso factible

o Reenvío de ruta inversa suelta

o Reenvío de ruta inversa suelta ignorando las rutas predeterminadas

Otros mecanismos también son posibles, y de hecho, hay una serie de

técnicas que podrían beneficiarse de un mayor estudio, especificación,
implementación y / o implementación; ver la Sección 6 . Sin embargo,
estos son
fuera del ámbito.

2.1 . Listas de acceso de entrada

Una lista de acceso de entrada es un filtro que verifica la dirección

de origen de
cada mensaje recibido en una interfaz de red contra una lista de
prefijos aceptables, descartando cualquier paquete que no coincida con
el
filtrar. Si bien esto de ninguna manera es la única manera de
implementar un
filtro de entrada, es el propuesto por RFC 2827 [ 1 ], y en algunos
siente el más determinista.

Sin embargo, las listas de acceso de entrada normalmente se mantienen

manualmente; para
 ejemplo, olvidando tener la lista actualizada en los ISP si el
conjunto
de los cambios de prefijos (por ejemplo, como resultado de
multihoming) puede llevar a
descartando los paquetes si no pasan el filtro de ingreso.

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Manteniéndolo simple, BCP38 es un conjunto de recomendaciones recopiladas por

IETF que describe un conjunto de medidas que un proveedor de servicios de Internet
podría implementar para evitar que las personas envíen paquetes de red con una
dirección de remitente falsificada.
El problema aquí es si los paquetes que comprenden el ataque han falsificado las
direcciones IP de origen, no solo será más difícil detener el ataque sino que también
será imposible determinar de dónde viene realmente.
Con BCP38 configurado, los enrutadores podrían verificar la validez de una dirección
IP. A un cliente se le asignará la dirección IP / subred por parte del Proveedor de
servicios de Internet (ISP). Por lo tanto, podrán verificar la validez de los paquetes
entrantes de ese cliente en particular, verificando si esto se originó a partir de la
dirección / subred IP que han proporcionado. Si no coincide con la dirección / subred IP
provista, entonces se debe descartar el tráfico. Esto ayudará a evitar la falsificación de
la dirección IP desde un rango de subred externo del cliente o ISP.
Por ejemplo, si un ISP tiene 3 clientes, uno en 11.1.xx, otro en 11.2.xx y en 11.3.xx Si
el ISP tiene BCP38 implementado en sus enrutadores de clientes, solo los paquetes
que se originen en la subred proporcionada por el cliente podrán atravesar. Si los
paquetes entrantes no provienen de sus subredes designadas, entonces el tráfico debe
abandonarse. Los clientes que podrían ser parte de una botnet sin su conocimiento se
pueden guardar usando esto ya que los atacantes no pudieron falsificar la dirección IP
fuera del rango provisto.
https://securitycommunity.tcs.com/infosecsoapbox/articles/2016/01/11/bcp-38-final-call-isps

http://www.cudi.edu.mx/otono_2013/presentaciones/NIC_01.pdf

////////////////////////////////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////////////////////////////////
///////////////////////////////////////////////////////////////////////////////////////////////////////

https://caminosdigitales.es/instalar-pfsense-en-virtualbox/

////////////////////////////////////////////////////////////////////////////////////////////////////////
/////

https://www.securityartwork.es/2010/04/15/introduccion-a-la-esteganografia-i/

carrera 7d 84-83
primera etapa