Documente Academic
Documente Profesional
Documente Cultură
Madrid
Mayo 2012
Proyecto realizado por el alumno/a:
___________________________________________________________________________________________
AGRADECIMIENTOS
MS
Gracias Parrusete. Sois la caña chicos, que esto dure de por vida. Pase lo
que pase siempre juntos.
I
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
SEGURIDAD EN BGP,
ATAQUES AL PROTOCOLO Y
FALLOS DE CONFIGURACIÓN.
ROUTER ANALYZER
Introducción.
La seguridad informática es un activo intangible y debe ser entendida como un
proceso. Esta se debe implantar en toda organización como un ciclo iterativo que
incluye una serie de actividades como la valoración de riesgos, la prevención, y la
detección y respuesta ante incidentes de seguridad. Toda empresa, ya sea líder, o
seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro para
transmitir la información.
II
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
III
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
las organizaciones. Actualmente, estas no han sabido ver una mejora inmediata
que pueda repercutir en sus clientes y, probablemente, hasta que no se reciban
varios ataques al protocolo BGP no se considerará la necesidad de asegurar sus
sistemas.
Router Analyzer.
Asimismo se ha desarrollado una aplicación para facilitar la configuración del
router y reducir la posibilidad de acoger ataques al sistema. Para la creación de
dicha herramienta se han utilizado materiales de dominio público tales como
whois Domain Tools [2], y la tabla de direcciones IP denunciadas de Internet
Storm Center [3].
IV
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Plantillas de seguridad.
Para el desarrollo de estas plantillas de configuración y seguridad se ha
realizado una labor de documentación y se han consultado publicaciones al
efecto como el National Institute of Standards and Technologies [1] (US
NIST), organismo dependiente del departamento de comercio de los Estados
Unidos. A su vez, se han consultado páginas web de monitorizado, análisis y
recomendaciones sobre BGP como BGPmon [4]. Conocida organización no
lucrativa de apoyo a los técnicos y operadores de red en Internet. Por último,
cabe mencionar a Packet Clearing House [5], Instituto de investigación sin
ánimo de lucro sobre las comunicaciones en internet.
V
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Conclusiones.
El objetivo de este proyecto no ha sido exclusivamente didáctico. Cabe resaltar
mi motivación personal en este ámbito de la informática así como todos los
conocimientos adquiridos durante el desarrollo del proyecto.
Para finalizar este sumario del proyecto de fin de carrera, me gustaría plasmar la
satisfacción que ha supuesto haber tenido la oportunidad de profundizar en esta
cuestión, y a su vez instar al lector, y en última instancia a interesados en redes
y/o seguridad informática, a que participen en mi proyecto mediante su lectura,
y posterior revisión o crítica.
Bibliografía.
VI
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
BGP SECURITY,
PROTOCOL ATTACKS AND
AND MISS-CONFIGURATION.
ROUTER ANALYZER
ABSTRACT
The aim of this project is to develop a study about Border Gateway Protocol. It will
include an analysis of the most outstanding miss-configurations episodes occurred in
the past years and a research about the more common attacks. Once vulnerabilities are
set up, it will introduce an application to minimize risk situations and security
templates on Cisco IOS and IOS XR routers.
Key Words: Internet, Border Gateway Protocol, whois Domain Tools, Internet
Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and
Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.
Introduction.
Computer security is an intangible asset and it must be considered as a process. This
must be well-established in every organization like an iterative cycle that will include
a group of activities as risks assessments, prevention, and detection and response
against security incidents. Every firm, no matter if it is sector leader or follower, will
need a reliable and secure communications system to transmit data.
VII
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Currently, there exist many proposals to make BGP reliable and secure. Their
complex establishments make them hard to carry out. On the one hand, there is
Secure Origin BGP which aim is to verify the origin of every message using
certificates. On the other hand, it has been taken into consideration to include
authentication, integrity and authorizations on BGP messages, this proposal is
known as Secure BGP.
Objectives.
The aim of this document is to make aware and to warn firms about the need of
data transmission improvements. This goal will assure data confidentiality,
accessibility and integrity.
VIII
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Router Analyzer.
The present document contains there an application development to make router
configuration easier and it will reduce the chance of receiving attacks. Public
material was used to design this tool as whois Domain Tools [2] and Internet
Storm Center [3].
Security Templates.
These security templates have been developed based on a documentation task.
Several publications have been studied as the one presented from National
Institute of Standards and Technologies [1] (US NIST), BGPmon [4], Packet
Clearing House [5]. On their publications, they all refer to security templates
developed by Team Cymru Community Services [6]. On this document, only
Routers Cisco security templates have been taken into account, which are the
ones that will be used on Router Analyzer.
IX
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Conclusions.
The elaboration of this project has not been merely didactic. I must stand out my
personal motivation on this computer science scope and every knowledge
acquired.To conclude this brief, I would like to emphasize my satisfaction
obtained by having the chance to study in depth this matter.
Bibliography.
X
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
ÍNDICE
FIGURAS
BIBLIOGRAFIA
ACRÓNIMOS
INTRODUCCIÓN Y MOTIVACIÓN
DEFINICIONES
1.1 Internet 3
XI
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
2.5 BGP-4 26
2.7 Resumen 29
3.2.2 Interfaces 34
3.2.3Protocolos de encaminamiento 34
XII
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
ATAQUES EN BGP
4.1 Introducción 54
4.5 Resumen 89
XIII
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
5.2.3 Actuar 99
a) Configuración de enlaces
b) Configuración de un router BGP
XIV
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FIGURAS
NÚMERO NOMBRE FUENTE
XV
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
XVI
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
ACRÓNIMOS
Ack Acknowledgement
ACL Access Control List
ASN Autonomous System Number
BGP Border Gateway Protocol
DNS Domain Name System
DoS Denial of Service
eBGP Exterior BGP
EGP Exterior Gateway Protocol
EIGRP Enhanced Interior Gateway Routing Protocol
GNS-3 Graphic Network Simulator
iBGP Interior BGP
ICANN Internet Corporation for Assigned Names and Numbers
ID Identifier
IGP Interior Gateway Protocol
IGRP Interior Gateway Routing Protocol
IOS Internetwork Operating System
IP Internet Protocol
ISC Internet Systems Consortium
IS-IS Intermediate System To Intermediate System
ISP Internet Service Provider
MD5 Message-Digest Algorithm 5
MiT Man in the Middle
OSPF Open Shortest Path First
RFC Request For Change
RID Router ID
RIP Routing Information Protocol
s-BGP Secure BGP
so-BGP Secure Origin BGP
Syn Synchronization
TCP Transmission Control Protocol
TLD Top-level domain
WWW World Wide Web
XVII
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
INTRODUCCIÓN Y MOTIVACIÓN
La seguridad informática es un activo intangible y debe ser entendida como un proceso. Esta se
debe implantar en toda organización como un ciclo iterativo que incluye una serie de actividades
como la valoración de riesgos, prevención, y detección y respuesta ante incidentes de
seguridad. Toda empresa, ya sea líder, o seguidor en el sector, necesita de un sistema de
comunicaciones fiable y seguro.
La fuente es quien posee la información que en un momento dado se quiere transmitir. Este
sujeto no tiene la capacidad de transmitir el mensaje directamente, necesita de un transmisor. Este
transmisor es el que se va a encargar de adaptarlo a la naturaleza del medio. Una vez el mensaje
ha atravesado el medio, el mensaje será recibido por un receptor, con funcionalidad inversa a la
del transmisor, que presentará la información al sujeto destino. El momento crítico en toda
comunicación yace en el sistema de transmisión (Ver figura 2). Es en este instante, en la
transmisión de la información, es más vulnerable a ser capturada, modificada y/o eliminada. Por
estos motivos, se debe estructurar de manera segura y eficiente como se va a enviar la información
y de quien y cuando se va a recibir información.
1
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Las principales premisas que deben destacar en toda infraestructura de seguridad han de estar
basadas en tres garantías básicas:
2
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
DEFINICIONES
1.1 Internet.
Son varias las definiciones que se pueden encontrar de Internet, he aquí otra descripción que
proporciona una visión más detallada del concepto:
(Fuente: http://www.americanelearning.com/e-learning-cursos/internet/modulo01/u1l1.htm)
“Una red mundial formada por millones de ordenadores de todo tipo y plataforma,
conectados entre sí por diversos medios y equipos de comunicación, cuya función
principal es la de localizar, seleccionar, e intercambiar información desde el lugar en
donde se encuentra hasta aquella donde haya sido solicitada o enviada.”
3
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
1995
Los principales servicios online ofrecen conexión a Internet
1982
EUNET
1981
BITNET-NSFNet
1980 cierra
ARPANET
1968
ARPANET
1962
FUENTE: www.noticiasdot.com/publicaciones
4
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El avance del siglo es una asociación voluntaria entre ordenadores de un extremo al otro del
globo. Un diseño basado en la confianza cooperativa entre diferentes entidades (como por
ejemplo, DNS y TCP). Internet es un conjunto de asunciones erróneas y peligrosas debido a la
existencia de delincuentes informáticos, también conocidos como “hackers”. Se entiende por
“hacker” a aquel usuario de ordenadores con las facultades cognitivas necesarias para acceder a un
sistema informático ajeno y obtener información privilegiada.
En el caso que se plantea en este documento Internet es el medio por el cual se va a trasmitir la
información de un extremo a otro. (Ver figura 5)
INTERNET
TRANSMISIÓN MEDIO RECEPTOR
Se van a considerar tanto al transmisor como al receptor dos routers conectados por Internet y
tendrán diferentes maneras de comunicarse que se verán más adelante. (Ver figura 6)
INTERNET
Un sistema de comunicaciones debe ser seguro y fiable. En la actualidad, Internet, no posee una
entidad de gobierno centralizado, una administración unitaria que tenga control absoluto en la red.
Internet es una mercancía intangible, no tiene dueño. Es difícil otorgar plenos derechos a una
organización sobre un objeto tan ambiguo y uniforme como Internet.
5
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
La información fluye de un extremo a otro por un canal poco seguro basado en protocolos de
encaminamiento inestables y variables. Un protocolo de encaminamiento es un conjunto de
normas utilizadas por un transmisor cuando se comunica con el receptor con el objetivo de
compartir cierta información. Cuando se envía información por la red, no se es consciente de todos
los saltos que esta realiza para llegar a destinatario (Ver figura 7). Hay numerosos atributos de
selección de enlaces que se verán más adelante.
El término protocolo, procede del latín “protocollum”, cuyo significado refiere a la primera hoja
de un manifiesto en la cual se establecen unas instrucciones fijas. Este término aplicado a un
sistema de transmisión como Internet, es la aplicación de unos pasos fijos, continuos,
estructurados y finitos que permiten llegar a un punto final desde un estado inicial. Un protocolo
es un algoritmo estructurado para hacer posible una buena comunicación. Se puede hablar de
algoritmo ya que estas instrucciones fijas son las que, de una manera abstracta, hacen posible el
encaminamiento.
6
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Todo host que maneja un datagrama seguiría el siguiente ciclo iterativo (algoritmo):
FIGURA 8: Algoritmo
Border Gateway Protocol es un protocolo de enrutamiento que sirve como pasarela externa entre
dominios (Interdomain Routing Protocol) que en su día fue diseñado sin seguridad integrada. A lo
largo del tiempo se han propuestos protocolos alternativos sin que a día de hoy ninguno haya sido
ampliamente implementado. Al ser BGP el protocolo que sirve como guía y traza de las rutas de
Internet, una adecuada configuración del mismo es crítica. Los errores en BGP pueden resultar en
desastres que puedan aislar o dejar sin servicio de Internet amplias zonas. Las incidencias pueden
ser tanto locales como en redes remotas, y se considera absolutamente necesario el profundizar en
las consecuencias de las decisiones relativas a la configuración e implementar algunas acciones
para incrementar la seguridad y defensa del protocolo BGP.
7
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: Microsoft
8
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
2.1 Introducción
La primera versión [25] de este protocolo apareció en 1989 para sustituir a EGP. Posteriormente en
1990 apareció la segunda versión en la RFC 1163. Un año más tarde, en 1991, la tercera versión
de BGP, recogida en la RFC 1267 y finalmente llegó BGP-4 que proporciona soporte para CIDR
(RFC 1771 y RFC 4271). La función principal de BGP es intercambiar la información rutas de
redes con otros sistemas BGP.
BGP tiene dos extensiones dependiendo del tipo de enlace que se esté haciendo, interno o
externo. La versión externa de este protocolo se denomina eBGP, la cual conecta las fronteras de
los sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro de una misma
organización controlado por una misma entidad. En cambio, la modalidad interna del protocolo,
iBGP, sirve para enlazar routers dentro de un mismo sistema autónomo. El uso de BGP requiere
de una sincronización, ya que antes de inyectar BGP en la infraestructura de la red, las diferentes
rutas deben ser conocidas por el Internal Gateway Protocol, de ahora en adelante, IGP, como su
nombre indica, es un protocolo de pasarela interna. Este hace referencia a los protocolos usados
dentro de la organización. Existen diversos tipos de IGPs, los cuales son:
BGP utiliza TCP versión 4 como protocolo de transporte. TCP agrupa los requisitos de transporte
de BGP y funciona en todo los routers y hosts comerciales que utilizan TCP/IP. BGP utiliza el
puerto 179 de TCP para establecer sus conexiones. Cuando la conexión empieza, un enlace BGP
intercambia copias completas de su tabla de rutas. Una vez la conexión se ha establecido, el enlace
BGP solo intercambiará con otros enlaces los cambios que le sean notificados, lo que convierte a
este protocolo en más eficiente en términos de eficiencia.
9
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
BGP tiene un número significante de ventajas sobre otros protocolos de encaminamiento externo,
como por ejemplo:
Para facilitar el encaminamiento en Internet, fue dividida en sistemas autónomos. Esto acarrea la
imposibilidad de encontrar el camino más corto para cada enlace ya que cada SA utiliza su propio
protocolo IGP [3] con sus propias políticas de seguridad, por lo que una vez aplicada una serie de
restricciones, BGP utiliza un algoritmo para encaminar similar al vector distancia, llamado path-
vector. Para facilitar la correcta elección de rutas, es crucial proteger los mensajes de actualización
(UPDATES).
El campo “marker” está al principio de todo mensaje BGP y sirve para autentificación y
sincronización (inicialmente todo a 1s).
El campo longitud es la longitud total del mensaje BGP incluida la cabecera.
El campo tipo es un valor numérico que oscila entre 1 y 4 dependiendo del tipo de mensaje
(OPEN, UPDATE, NOTIFICATION, KEEPALIVE)
El campo mensaje contiene campos específicos para cada tipo de mensaje para OPEN,
UPDATE y NOTIFICATION.
10
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
0 8 16 24
32
Mensaje
Mensaje
Los mensajes KEEPALIVE [2] se intercambian entre un router y su par para que el Hold-Timer
no expire. Hay un tiempo máximo razonable entre mensajes KEEPALIVE y este sería un tercio
del intervalo del Hold-Timer . Los mensajes KEEPALIVE no se deben enviar con mayor
frecuencia que uno por segundo. La decisión del intervalo entre cada KEEPALIVE se debe ajustar
como una dependencia total del Hold-Timer. Si por ejemplo, el Hold-Timer es 0, no se deberían
enviar KEEPALIVE periódicamente.
11
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Cuando se establece una sesión BGP, el primer mensaje que se envía es un OPEN [2] (ver Figura
11). Si el receptor acepta el OPEN, se intercambiarán mensajes del tipo UPDATE,
KEEPALIVE, y NOTIFICATION.
12
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Los mensajes UPDATE [2] (ver Figura 12) se usan para intercambiar información de rutas entre
pares BGP. La información en un paquete UPDATE se puede usar para construir un grafo
describiendo las relaciones entre varios sistemas autónomos.
Total Path Attribute Length: Este atributo son dos octetos del tipo entero contiene la
longitude total de los octetos del atributo del Path Attributes.
Path Attribute: Un campo variable cuya presencia es necesaria en todos los UPDATE. Este
campo contiene los siguientes tres elementos:
<attribute type, attribute length, attribute value>
13
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Un mensaje de NOTIFICATION [2] (ver Figura 13) se envía cuando se ha detectado un error o
una condición anómala. La sesión BGP se cerrará inmediatamente una vez se haya enviado este
mensaje.
14
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
La característica primordial de este protocolo es la configuración entre peers (vecinos). Para que
una comunicación BGP sea llevada cabo, dos routers deben establecer su “vecindad”. Para que
dos routers sean vecinos necesitan enviarse la siguiente información:
Dos vecinos BGP pueden establecer dos tipos de “peering”, iBGP y eBGP. Dentro de un mismo
SA, dos routers vecinos establecen un peering iBGP. Este tipo de BGP también puede ser usado
en los sistemas autónomos de tránsito. Los SA de tránsito reenvían el tráfico desde un SA a otro.
Una buena configuración de iBGP evita bucles de routing ya que un router iBGP no retransmite
la información en otros vecinos iBGP. Entre diferentes SA, dos vecinos BGP establecerían un
peering eBGP, estos vecinos deben tener una subred común. Los routers eBGP no tienen por qué
estar conectados físicamente, sino que pueden estar conectados saltando varias redes (eBGP
Multihomed).
Un enlace BGP pasa por diferentes estados conocidos como, neighbor states. Estos estados se
trasmiten a lo largo de una sesión/comunicación BGP, mediante la interactuación de los enlaces
que participan en la sesión. Estos se generan automáticamente siguiendo un bucle, (Ver figura 14),
los cuales se enumeran a continuación para su posterior análisis:
15
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: http://en.wikipedia.org/wiki/Border_Gateway_Protocol
Dos sistemas que estén conectados (ver figura 15) entre sí, intercambian un mensaje de inicio de
sesión y confirma los parámetros de conexión. La primera trama de información que correrá en el
establecimiento de sesión será toda la información de rutas de BGP. Si surge algún cambio, se
enviaran solo el cambio, es decir, BGP no necesita de actualizaciones periódicas de sus tablas de
rutas. Los mensajes KEEPALIVE se envían para saber si la conexión sigue activa. Los mensajes
de notificación son respuestas a posibles errores o condiciones especiales. Si durante la conexión
se detecta un error, se envía un mensaje de notificación y se cierra la conexión.
Las conexiones entre enlaces BGP pertenecientes a diferentes sistemas autónomos se conocen
como enlaces externos. Las conexiones BGP entre enlaces BGP dentro del mismo sistema
autónomo se conocen como enlaces internos. Igualmente, un enlace dentro del mismo sistema
autónomo se denominará vecino interno, y entre diferentes sistemas autónomos, se denominaran
vecino externo.
16
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Listen
Idle Idle
Connect Connect
Open Open
Request Request
Syn Ack
Opened
Opened
Open
Open Sent Open
Update
Update
17
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Los pasos enumerados a continuación con los que BGP utiliza para activar una sesión entre dos
routers:
1. Dos routers que quieran intercambiar información BGP, establecen una conexión a nivel
de transporte TCP. Una conexión de transporte se establece para que BGP pueda crear una
comunicación fiable con su par.
3. Una vez la sesión BGP está abierta, inicialmente los routers intercambian las tablas de
rutas con su par. La información de cada ruta incluye una lista de los sistemas autónomos
que tendrían que atravesar para llegar al destino.
Como ya se ha anunciado previamente, un enlace BGP pasa por diferentes estados durante una
sesión BGP, también conocido como neighbor states [2]. Cabe mencionar que todo enlace BGP
inicialmente se encuentra en el Idle State. A continuación se explicará con mayor detenimiento los
estados por los que pasa un enlace durante la sesión.
18
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
19
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
20
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Si BGP cambia su estado de OpenConfirm State a Idle State, BGP cerraría la conexión BGP,
incluida en la capa de transporte y desecharía toda la información de la conexión
21
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Los errores en BGP más comunes son fallos de configuración. Un buen administrador de red
puede establecer filtros de red en sus tablas de rutas BGP. Existen diferentes tipos de filtros BGP,
se realizará un estudio detallado de cada filtro BGP. A nivel conceptual se presenta lo siguiente:
Se quiere filtrar todo el tráfico que venga de cualquier sistema autónomo que
comience por 458:
^458_
En la actualidad solo existen 2 maneras de configurar un tráfico BGP seguro y fiable. Por un lado,
un administrador de red, configurando adecuadamente los filtros tanto de entrada como de salida,
descartaría los prefijos reservados recibidos. Asimismo, tratándose de una organización final,
evitaría ser transitada, modelando el correcto control de acceso para obviar información no
autorizada (spoofing). Por otro lado, promovería el uso de contraseñas al establecimiento de una
sesión pero este genera demasiados problemas y lo convierte poco práctico. Ésta opción abre un
nuevo abanico de problemas, como son:
22
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Como se aprecia, el establecimiento de claves, genera inconvenientes operacionales. Aun así, una
clave utilizada únicamente al inicio de una transmisión BGP no impide que esta pueda ser
interceptada y que uno de los dos extremos sea suplantado.
(Fuente: http://www.alegsa.com.ar/Dic/encriptacion.php)
En este ejemplo se va a configurar MD5 entre dos routers del mismo sistema autónomo. Datos de
interés:
Véase Figura 16
Contraseña MD5: EjemploMD5
23
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
AS 150
R1 R2
Loopback1: 10.10.10.10/ 32 Loopback2: 20.20.20.20/ 32
Las 3 líneas a tener en cuenta en las configuraciones de los dos routers están marcadas a
continuación (Véase figura 17). En estas 3 líneas se está haciendo lo siguiente:
24
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Las instrucciones del Route-Map son un conjunto de listas de comandos y set asociados para
filtrar el tráfico BGP entrante/saliente. Los comandos más importantes a la hora de configurar este
tipo de filtro son los siguientes:
25
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Filter-List provee diferentes tipos de filtro. En el ejemplo que se ha ido elaborando a lo largo de
este apartado, supóngase, que se quieren filtrar todas las rutas que venga del exterior. Es decir, en
el router 2 se quieren filtrar todas las rutas que no sean locales, la sintaxis sería la siguiente:
Imagine que el router 2 está conectado a un proveedor de servicio. Este pertenece al sistema
autónomo 200. En el router 1, se quiere desechar todas las rutas que no provengan de este SA. La
sintaxis en este caso es la siguiente:
2.5 BGP-4
La versión actual de BGP, BGP-4, está definida en la RFC 1771. BGP-4 es un protocolo de
encaminamiento entre sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro
de una misma organización, como por ejemplo, una red universitaria. Este conjunto de redes
tienen definida una única política de encaminamiento. Los sistemas autónomos tienen un
identificador de 16 bits (de 0 a 65536) pero al igual que en direcciones IP, este rango es teórico ya
que del 64512 al 65535 se encuentran reservados para uso privado (Ver figura 16).
26
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
AS: 33123
AS: 00079
R R
1 6
R
4 R
5
Enlaces interno
R R Enlaces externos
2 3
Router BGP
AS: 60203
BGP-4 tiene conocidas vulnerabilidades muy difíciles de solventar, si bien estas deficiencias
deben ser estudiadas en detalle. Dos puntos clave deben ser tomados en referencia a los riesgos del
protocolo:
Cualquiera que se conecte a internet, sin las medidas de protección apropiadas está
expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que
pueden derivar en una denegación de servicio (DoS), secuestro de sesión, o intercepción de
las transacciones realizadas.
Un riesgo añadido, es que hoy en día no todos los técnicos desempeñando misiones en
infraestructura de red disponen de una capacidad técnica y de conocimientos para
cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo
de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus
ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan
sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración
realizados por los técnicos y administradores de la red.
27
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Cada vez hay un mayor número de gestiones y dependencias a nivel de usuario realizadas en
Internet. Un fallo en BGP sería fatal para la comunicación en la “World Wide Web” (www). El
desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y
que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debería ser un
objetivo primordial para todas las organizaciones. Estas no ven una mejora inmediata que pueda
repercutir en sus clientes y probablemente hasta que no se reciban varios ataques al protocolo BGP
no se considerará la necesidad de asegurar sus sistemas.
TCP/MD5 [RFC 2385]: Es una extensión a TCP que incluye firma MD5.
soBGP (Secure Origin BGP): Verifica el origen de cada mensaje, utiliza certificados y un
nuevo tipo de mensaje.
S-BGP I (Secure BGP): Propuesta para incluir autentificación, integridad y autorizaciones
en los mensajes BGP.
Entre las alternativas más satisfactorias presentadas para dotar de seguridad a BGP, cabe destacar
Secure BGP (S-BGP) desarrollado por BBN Technologies y promovido por la National Security
Agency (NSA) y por la Defense Advanced Research Projects Agency (DARPA). El objetivo de S-
BGP es el de garantizar la autenticidad, integridad y autorizaciones a los mensajes BGP. Secure
BGP se basa en 3 elementos:
Certificados digitales: 2 Public Key Infrastructure (PKIs) para autentificar los prefijos IP y
sistemas autónomos.
Attestations: de direcciones y de rutas
IPSec: aportar autenticidad e integridad entre pares de routers.
28
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
2.7 Resumen
29
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
3.1 Introducción
El número de fallos de configuración [1] potenciales que un administrador de red puede introducir
a una interconexión de redes es ilimitado. A la hora de configurar un router, los Internetwork
Operating System, de ahora en adelante IOS, de Cisco, envían numerosos avisos durante el
proceso para evitar que estos fallos echen abajo toda una infraestructura de red.
Cuando se vaya a realizar una configuración de una red, toda la documentación debe estar
recogida en un mismo documento. Esto facilitara el mantenimiento y su correcta configuración. El
documento se podría dividir en los siguientes puntos:
Las tres secciones que pueden ayudar a entender o localizar un fallo de configuración serán
el/(los) protocolo(s) que se esté usando, la gestión del tráfico, o la lista de control de accesos.
Siempre que se vaya a hacer un cambio en la configuración de la red, este deberá estar recogido en
el documento que contenga toda la instalación y/o configuración previa.
Una vez se tiene documentada toda la información que se ha calificado como necesaria para una
correcta política de seguridad, es necesario saber como la red/organización se va a comunicar con
el exterior. Internamente se puede estar usando cualquier IGP (como OSPF) e incluso
interconectar varios IGPs (como IGRP o RIP), el problema de estos protocolos es que sus orígenes
no fueron diseñados para soportar un número elevado de rutas. Es necesario usar otro protocolo
para transportar todas las rutas que son el resultado de interconectar todos los dominios que
forman Internet. Estos protocolos son conocidos Exterior Gateway Protocols (EGP). El protocolo
más popular de esta rama de los protocolos de encaminamiento es BGP.
30
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El encaminamiento en BGP no es un protocolo basado en buscar el camino más corto entre una
fuente y un destino. Cuando un router BGP tiene más de un camino por el que puede enviar un
paquete, el proceso de encaminamiento se convierte, en cierta manera, muy complejo. La elección
de la ruta requiere de un análisis y comparación de hasta 12 parámetros. En cualquier otro
protocolo interno de encaminamiento (IGP), el proceso de encaminar queda reducido a un simple
numero, este número puede ser una función de otras muchas variables dependiendo del protocolo
que se esté usando. En BGP esto cambia, el llegar a un destino establecido, puede estar
determinado por muchos atributos, tales como:
AS_path
Preferencias locales
Origen
Peso
Comunidad
Para entender las diferentes problemáticas que pueden surgir a la hora de configurar un router en
BGP, supóngase que se plantea el siguiente caso (Ver figura X). En este escenario se tiene un
cliente, denominado C1, y dos proveedores de enlaces P1 y P2.
Para configurar la presente situación se van a usar una serie de comandos preestablecidos e
identificados en el protocolo BGP. Este proceso de configuración se activa y se procesa e un
router Cisco mediante el siguiente comando:
Donde el as_number es el número del sistema autónomo al que el router que se quiere configurar
pertenece. Los sistemas autónomos BGP son los bloques que constituyen toda la infraestructura
de internet, son colecciones de routers y redes con políticas de encaminamiento que son guiadas
por consideraciones económicas, políticas y de seguridad. La activación de un proceso BGP en un
router requiere de un número de sistema autónomo (ASN), este número que se usara para activar
el proceso BGP identifica unívocamente el sistema autónomo al que el router pertenece.
31
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Para realizar una correcta configuración del caso que se ha planteado en este proyecto, se va a
recaudar toda la información necesaria ya explicada en el punto anterior. Considérese el
administrador de red del Cliente. Según los puntos que se han comentado en el apartado anterior,
se debería implementar un modelo de configuración optimizado y lo más preciso posible.
El cliente necesita dar servicio a centenares de visitas diarias, por lo que ha decidido ser
multihomed. Los routers que ha decidido implantar en su infraestructura de red son dos routers
Cisco 3640 (las características de dichos routers se pueden ver más abajo). Ambos routers están
conectados mediante un switch por Fast Ethernet. Solo uno de ellos (RC1) servirá de enlace con el
exterior. Se va a establecer MD5 entre los dos routers para asegurar la seguridad de la conexión, la
contraseña que se va a usar es “PassPFC”.
32
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
b. Resumen
Routers:
Dos routers Cisco 3640
RC1
RauxC1
Conexión entre routers: Fast Ethernet
Contraseña MD5: PassPFC
33
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
3.2.2 Interfaces
El router RC1 tendrá tres interfaces externos, 2 al proveedor 2 y uno al proveedor 1. En cambio,
solo tendrá un enlace interno para comunicarse con RauxC1, este enlace será mediante un switch.
a. Interfaces RC1
S0/0: 040.040.040.001 /30 – PROVEEDOR 2 (R1P2)
S0/1: 010.010.100.001 /30 – PROVEEDOR 1 (R1P1)
S0/2: 100.040.100.001 /30 – PROVEEDOR 2 (R2P2)
Fe0/0: 192.168.001.001 /24 – ENLACE A SWITCH
Loopback0: 192.168.000.001 /24 – LAN DEL CLIENTE
b. Interfaces RauxC1
Fe0/0: 192.168.001.002 /24 – ENLACE A SWITCH
Loopback0: 192.168.000.002 /24 – LAN DEL CLIENTE
3.2.3Protocolos de encaminamiento
El router RC1 se va a comunicar con los dos proveedores vía BGP. Se configurará su router para
que establezca una sesión eBGP con P1 y P2. Por último, el router RC1 usará Routing Information
Protocol para conectarse con el switch, y RauxC1, idem.
El enlace principal que va a dar servicio a RC1 será el router denominado R1P2 (s0/0), por esta
razón se le dará más peso a esta salida del router. A los otros dos enlaces externos se les atribuirá
el mismo peso, el router elegirá por orden en la ejecución.
Ejemplo
ip as-path access-list 10 permit ^200$
34
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
S3
35
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
A continuación, se va configurar el caso planteado (ver figura 22) previamente con el simulador
Graphical Network Simulator (GSN-3). El simulador GSN-3 permite crear y diseñar complejas
topologías de red para su posterior estudio y configuración. Se trata de un simulador tan preciso y
completo que es usado por ingenieros y administradores de red para realizar pruebas unitarias en
sus redes.
En el caso que se ha planteado en este apartado, y al no disponer de los medios suficientes para
realizar una configuración al nivel de este proyecto, se van a estudiar los pasos enumerados en el
apartado anterior. El estado inicial de la tipología de red estudiada sería el siguiente:
36
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Esta tipología consta de 6 routers Cisco 3640. Los sistemas autónomos 64901 y 64662 son
proveedores de servicios de internet (ISP) y se simulará como el cliente 1 configura el router de tal
manera para obtener el servicio de los dos proveedores, el router RauxC1 del cliente ha sido
añadido a la topología para poder dar un ejemplo de iBGP.
El router del cliente será multihomed, es decir, se podrá acceder al router RC1 (ver figura 23) por
tres diferentes enlaces, dos de ellos por el AS 64901 y el restante por el AS 64662. Teniendo tres
posibles enlaces, se podrá configurar BGP para decidir en todo momento que AS se quiere
atravesar. Esto se debe a BGP AS path attribute. En una configuración predeterminada de BGP el
router del cliente elegirá el enlace por el número de saltos.
37
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
En resumen, inicialmente los routers, tanto de los dos ISP como del cliente estarían conectados de
la siguiente manera:
38
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
La configuración de los routers se va a dividir en 5 pasos que serán analizados para comprender
las posibles problemáticas que pueden surgir cuando a un administrador se le plantee una situación
parecida. Se recuerda que no hay una metodología propia a la hora de configurar BGP, por lo que
la subdivisión de esta actividad se ha realizado para una mayor facilidad de comprensión y posible
solución ante los fallos de configuración que se verán más adelante. Los 5 pasos principales que se
han detectado en esta situación serian los siguientes:
1. Configuración previa a la activación del protocolo BGP de cada uno de los enlaces de los
routers.
39
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Los proveedores de servicio son proveedores de tránsito, por lo que tendrán millones de clientes
como RC1 y ellos forman la estructura de Internet. La única politica que tienen estos proveedores
de servicio es la de dejar pasar todo el tráfico que necesita pasar por sus sistemas. La
configuración que se presta a continuación, es previa a la activación del protocolo BGP e incluso a
la declaración de vecindad entre los enlaces. Las siguientes configuraciones establecen que
direcciones IPs van a ser utilizadas por los routers.
El primer router que se va a configurar, es el router del cliente (RC1). La siguiente figura muestra
que direcciones IP han sido asignadas para cada tipo de enlace:
40
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El siguiente router que se va a configurar, es el router del proveedor 1. Este va a tener dos
conexiones eBGP (ver Figura 27), una para prestar servicio al cliente y la otra conexión sera un
enlace contratado entre los dos ISPs.
41
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El siguiente router que se va a configurar, es el router 1 del proveedor 2. Este va a tener dos
conexiones eBGP (ver Figura 29), una para prestar servicio al cliente y la otra conexión será un
enlace contratado entre los dos ISPs.
42
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
43
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
RC1# sh ip route
FIGURA 32: Comando “sh ip route”
44
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El resultado puede parecer erróneo [8], fijándose en cada enlace, se aprecia que de cada enlace que
se ha configurado en el router nacen dos subredes. En principio, esto puede parecer un fallo de
configuración, pues la razón de esto sería la siguiente:
La explicación de este resultado es por como Cisco IOS clasifica las rutas de las tablas de rutas.
Básicamente hay dos tipos de rutas:
Rutas nivel 1
Rutas nivel 2
Para poder seguir explicando este concepto de Cisco, se debe explicar previamente el concepto
de clases (Ver figura 34):
FUENTE: http://redesdecomputadores.umh.es/red/ip/default.html
45
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Se entiende por rutas de nivel 1 a aquellas rutas que tienen una salida en su interfaz o siguiente
salto y una máscara de subred por debajo o igual que la clase por defecto:
Por ejemplo:
192.168.1.0/24
172.16.1.0/16
192.168.0.0/16
RC1(config)#interface loo
RC1(config)#interface loopback 1
RC1(config-if)#ip address 192.168.2.1 255.255.255.0
RC1(config-if)#exit
RC1(config)#do show ip route
output ommited
La ruta se ha sido añadida y ninguna ruta adicional se ha creado por defecto. Esto confirma lo que
se explicaba previamente acerca de las rutas finales de nivel 1.
Las rutas de nivel 2 son aquellas rutas que tienen una máscara mayor que la que le correspondería
por su clase. Véase el siguiente ejemplo:
R1(config-if)#exit
R1(config)#int lo3
R1(config-if)#ip address 192.168.3.1 255.255.255.128
R1(config-if)#do show ip route
output ommited
46
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Esta red es de tipo nivel 2 ya que la máscara de la subred es mayor que la de su propia clase por
defecto, fíjese que una segunda ruta fue creada al añadir una ruta de nivel dos.
Este tipo de red es una red de tipo 1 padre. Una ruta padre de nivel 1 no tiene siguiente salto o
salida de la interfaz. Estas se crean automáticamente cuando se añade una ruta de nivel 2.
A continuación, se va configurar el protocolo BGP. Llegados a este punto, hay que realizar tres
pasos clave simultáneamente. Estos tres pasos son los siguientes:
El objetivo de esta configuración es la de permitir que el router del cliente pueda establecer
vecindad con los routers de los proveedores.
47
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
network 192.168.000.000
c. Configuración final
A continuación se añade a lo ya configurado hasta ahora la configuración del protocolo BGP. Este
último fragmento de código sería el siguiente:
48
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
49
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
50
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Todo administrador que haya llegado a este punto configurando un router cisco, debería fijarse en
tres cosas para saber si está realizando la configuración correctamente. Estos tres puntos se
muestran infra:
51
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
RC1-R1P1 RC1-R2P2
A continuación se verifica que el protocolo BGP esté correctamente configurado con los enlaces
del proveedor 1 y del proveedor 2.
RC1-R1P1
RC1-R2P2
52
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
En este apartado de configuración se va a configurar el router del cliente para que se comunique
con el router auxiliar que se definició en su infraestructura de red. Interior-BGP se define de la
siguiente manera:
LoopBack0
192.168.0.1 /24
Fa0/0
192.168.1.1 /24
LoopBack0
192.168.0.2 /24
Fa0/0
192.168.1.2 /24
53
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
ATAQUES EN BGP
4.1 Introducción
En este apartado, se va a realizar un análisis de los posibles ataques centrados en BGP. Se van a
estudiar posibles ataques, presentando su lógica y el impacto que tendrían en un sistema
distribuido con routers BGP. Será importante saber el comportamiento de quienes realizan estos
ataques locales y la identificación y evaluación de posibles nuevos escenarios BGP.
BGP funciona sobre TCP por lo que es sensible a sus ataques (SYN Flooding, TCP RST/FIN/FIN-
ACK, TCP SYN ACK, TCP ACK, RST falsos). Se pueden quedar redes inaccesibles o redirigidas
a un suplantador. Al no haber control temporal en los mensajes BGP, estos pueden ser capturados,
eliminados, modificados o reenviados. Un router puede suplantar a otro e inyectar información
inválida a sus vecinos. La información en los mensajes BGP no se encripta ya que los routers no
tienen capacidad de proceso suficiente para realizar funciones básicas de encriptación, es decir, la
información de encaminamiento es difundida en texto claro.
Los ataques conocidos de BGP se pueden enumerar en una amplia clasificación. Esta clasificación
es la siguiente:
54
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El diseño de BGP asume que redes operando autónomamente son fiables y aquí lamentablemente
no es así, ya que siempre habrá quien se encargue de hacer ver la realidad. BGP se utiliza para el
intercambio de información de enrutamiento de cómo alcanzar un destino a través de de un
protocolo vectorial de ruta. Cada Router anuncia el mejor camino a un destino a sus routers
vecinos y en turnos cada router determina el mejor camino basado en las rutas recibidas (ver
figura 34). Igualmente, anuncia solo los prefijos que origina y solo la mejor ruta a sus vecinos. En
la práctica se puede decir que los sistemas autónomos tasados de maliciosos pueden secuestrar
prefijos de otros sistemas autónomos., Agregar falsos prefijos, Spoofing (es decir utilizar la IP o el
nombre falso de un router autentico), Alterar o incluso falsificar rutas, agregar o desagregar
prefijos no autorizados, etc.
55
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Uno de los puntos vitales es la implementación de la Defensa contra ataque de hombre en medio
(Man-in-The-Middle Attacks )
La forma como está organizada la conectividad externa se basa en que cada organización confía
su conectividad a Internet al protocolo BGP4, no hay otro modo y BGP4 Tiene conocidas
vulnerabilidades muy difíciles si no imposibles de solventar, si bien estas amenazas deben ser
monitorizadas con suma atención.
Dos puntos clave que deben ser tomados como referencia en los riesgos del protocolo BGP son:
Cualquiera que se conecte a Internet, sin las medidas de protección apropiadas está
expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que
pueden derivar en una denegación de servicio, secuestro de sesión, o intercepción de las
transacciones realizadas.
Un riesgo añadido es que hoy en día no todos los técnicos desempeñando misiones en
infraestructura de red disponen de una capacidad técnica y de conocimientos para
cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo
de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus
ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan
sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración
realizados por los técnicos y administradores de la red.
56
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
A lo largo del tiempo, se han propuesto una serie de soluciones de seguridad, para que la debida
integridad de las rutas se mantenga. Igualmente, la implementación de estas soluciones de
seguridad implica la utilización de técnicas y mecanismos criptográficos para realizar una
autenticación de las rutas y/o los prefijos recibidos, es decir se debe verificar que el origen de
quien dice ser este validado y que la información no haya sido alterada durante su tránsito por la
red.
En un estudio inicial se podría pensar que si el plano de datos han sido verificados y la
autenticación de la ruta ha sido así mismo obtenida, la seguridad está garantizada pero no es así,
en este estudio de vulnerabilidades se va a ver que se está bastante lejos de garantizar una solución
global al protocolo BGP. En la actualidad, incluso con enlaces autenticados y verificación de
reenvío de datos, BGP sigue siendo vulnerable a la presencia de sistemas autónomos falsos o
maliciosos, y sigue siendo vulnerable a ataques a su sistema operativo por medio de malware
diseñado para modelos y marcas de routers específicos.
A modo de ejemplo en el mundo de sistemas operativos existe un mayor número de malware para
productos Microsoft que para otros sistemas operativos más minoritarios como MAC o Unix. Esto
quiere decir que en el mercado del Hacking hay un mayor número de productos malware contra
routers CISCO y sus IOS (sistema operativo) que otros modelos de routers más minoritarios.
57
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Otro punto que se debe considerar en este estudio, son aquellos ataques que van dirigidos a
producir una denegación de servicio, es decir, sobrecargar un router con tantas peticiones de
conexión o conexiones incompletas que hacen reaccionar al router con una sobrecarga de trabajo
que lo deja fuera de servicio. A continuación, se presenta un estudio más pormenorizado realizado
en este proyecto de los diferentes ataques y sus soluciones, teniendo en cuenta que las soluciones
propuestas siempre serán parciales.
En esta sección se van a tratar los Incidentes de BGP desde un pasado reciente hasta nuestros
días. Sus vulnerabilidades y los errores de configuración están plenamente vigentes por tanto
pueden ayudar a entender y eliminar vulnerabilidades tanto en los sistemas autónomos como en
los routers de infraestructura. Así mismo, debe hacer hincapié en aquellas vulnerabilidades de
BGP que van ligadas muchas veces a las de los DNS (Domain Name Systems) y aunque estas
queden fuera del análisis de este proyecto, el proveer de más seguridad a las infraestructuras de
Internet pasa por solucionar las vulnerabilidades de ambos servicios.
Para entender las vulnerabilidades de BGP se debe hacer un estudio de los mayores incidentes a
través de la historia en los que se ha visto envuelto el principal protocolo de encaminamiento de
Internet. Se empezará analizando aquellos incidentes voluntarios (ataques reales) con la intención
de manipular algún tipo de sistema de enrutamiento, y aquellos que fueron configuraciones
erróneas con nefastas consecuencias.
Dejando a un lado las implicaciones legales, cabe evidenciar que el resultado puede producir
grandes daños operacionales y por tanto, a efectos de consecuencias sobre Internet, un fallo de
configuración puede tener similares características a un ataque malintencionado al interrumpir
tráfico legítimo incluso a nivel mundial.
58
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
La causa fue un error de routing que hizo que todo el tráfico eligiera como “Best Route” al
Proveedor de Servicio de Internet Dodo (el cual era un cliente de Telstra Network). Difundir rutas
en BGP accidentalmente es desafortunadamente tan fácil que hay que configurarlo siempre
definiendo filtros que prevengan que esto suceda. En este caso, Dodo debería haber establecido
filtros para asegurar que ellos solo anunciasen sus prefijos y Telstra debería haber tenido esos
filtros también para prevenir secuestros (hijacks) y para proteger su propia infraestructura, lo cual
es aun más importante. En este suceso se ve que los filtros no estaban implementados lo cual
permitió que sucediera esta difusión de rutas y sus inherentes consecuencias. Sin embargo, esto
solo no debería haber echado abajo todas las conexiones internacionales de Telstra. Lo que pasó
seguramente es que Telstra asumió todas las rutas aprendidas de Dodo (todas las 400.000) como
rutas del cliente y las certifico anunciadas a todos sus peers y proveedores de bucle (upstream).
A continuación se puede ver las terribles consecuencias que tuvo este fallo de configuración [17]
para el servicio de Telstra.
59
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: www.BGPmon.com
Durante las protestas de Egipto y por órdenes gubernamentales, en un principio las redes sociales
(Facebook, Twitter, etc) fueron bloqueadas [16]. Un paso más adelante en la intención del
gobierno de controlar las comunicaciones de internet fue el bloquear el enrutamiento de Internet
de los proveedores de servicio. Un 88% por ciento de las redes estaban fuera de servicio. Véase a
continuación las siguientes figuras:
Num. de
Días del Num. de
ASN de
Incidente prefijos
origen
27-Enero 2903 52
28-Enero 327 26
Desaparacen 2576 26
60
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
La siguiente tabla muestra los 10 principales proveedores de Internet en Egipto. Se ella puede ver
que la mayoría de los Sistemas Autónomos (AS) no muestran ningún anuncio o número
significativamente menor.
Prefijos al
Prefijos el inicio de la
28 de Enero semana AS de Origen Nombre del proveedor
20 775 8452 TE-AS TE-AS
0 774 24863 LINKdotNET-AS
113 676 36992 ETISALAT-MISR
0 217 24835 RAYA Telecom – Egypt
0 102 5536 Internet-Egypt
85 83 20928 Noor Data Networks
0 41 36935 Vodafone-EG
23 36 15475 Nile Online
14 28 8524 eg-auc
0 25 6127 IDSC
FUENTE: Elaboración propia
Nota: cabe mencionar que el único proveedor sin impacto fue AS20928 (Noor Data
Networks)
61
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
b. 28 de Enero, 17.48 PM
En este momento solo 239 redes Egipcias son accesibles, esto significa que el 91% de las rutas
egipcias están bloqueadas. Noor Networks permanece como el único proveedor que parece no
verse afectado por esta disrupción. Vodafone confirma en su página web que han recibido
instrucciones de apagar sus servicios en ciertas partes del país.
http://www.vodafone.com/content/index/press.html
A continuación, todos los operadores móviles en Egipto reciben instrucciones para clausurar sus
servicios en determinadas áreas. La legislación Egipcia permite a las autoridades ordenar el cierre
de servicios de comunicaciones y las compañías proveedoras están obligadas a cumplirlo.
c. 28 de Enero, 18.36 PM
Los servicios móviles han sido restaurados. La página web de Vodafone publica este mensaje:
“Vodafone restored voice services to our customers in Egypt this morning, as soon as
we were able. We would like to make it clear that the authorities in Egypt have the
technical capability to close our network, and if they had done so it would have taken
much longer to restore services to our customers. It has been clear to us that there
were no legal or practical options open to Vodafone, or any of the mobile operators in
Egypt, but to comply with the demands of the authorities.
Moreover, our other priority is the safety of our employees and any actions we take in
Egypt will be judged in light of their continuing wellbeing.”
62
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
d. 29 de Enero, 21.00 PM
Existe a disposición del lector una lista de las rutas/prefijos que siguen siendo enrutadas. En esta
lista se ven 243 redes.
http://bgpmon.net/egypt-routes-jan29-2011.txt.
Nota: Estos datos son extraídos de routeviews data (rib.20110129.1800). Cabe destacara que aun siendo anunciada una ruta no significa
necesariamente que sea accesible.
Estos son algunos ejemplos de las rutas que en ese momento continúan anunciadas:
e. 31 de Enero, 23.30 PM
Hoy hasta trece sistemas autónomos pertenecientes al proveedor de servicio de Internet han
desaparecido, afectando incluso a Noor Data Networks. Esta red desaparece el 31 de Enero de
2011 a las 20.54 PM. En paralelo más rutas desaparecen y a las 22.00 solo 12 sistemas autónomos
y 134 rutas permanecen accesibles. Lo cual significa que solo el 5% de las rutas egipcias prestan
servicio.
http://www.bgpmon.net/egypt-routes-jan31-2011.txt
63
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
En la siguiente gráfica se puede ver la situación de las redes en Egipto el 31 de Enero a las 23.00:
En 2011, el caso que se plantea en Siria [16] tiene muchos parecidos con lo sucedido en Egipto.
Igualmente se realizará un estudio temporal de los incidentes.
a. 3 de Junio
Internet en Siria está controlado por “The Syrian Telecommunications Establishment”, esta se
encarga de enrutar sus redes desde AS29256 a AS 29386. A su vez, existen otras dos compañías
proveedoras de servicio tales como “Tata Communications” (AS 6453), la cual enruta 6 prefijos
sirios y la “Red Siria de Educación Superior”(AS 39154).
El 3 de Junio de 2011, el gobierno de Siria cierra todas las conexiones a Internet. Solo 19 de los
normalmente 56 prefijos Sirios son enrutados. Interesante que los prefijos que no son ya enrutados
tienen origen en AS29256 y AS29386, “The Syrian Telecommunications Establishment”. Los 6
prefijos pertenecientes a Tata communication asi como los de Syrian Higher Education no han
sido afectados.La tabla posterior muestra cuantos prefijos se enrutan en situación normal y como
ha cambiado en las últimas horas.
64
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
65
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Situación el 1 de Junio:
AS 29256: (STE-AS) se tiene constancia de que Syrian Telecommunications
Establishment enruta hasta 44 prefijos conocidos.
AS 29386: (STE-AS2) pertenece también a Syrian Telecommunications
Establishment y enruta hasta 30 prefijos.
AS 6453: Este sistema autónomo corresponde a TATA Communications y enruta 6
prefijos.
AS 39154: Este sistema autónomo depende de la organización Syrian Higher
Education Network AS Number y se le conoce solo 1 prefijo.
Situación el 3 de Junio:
AS 29256: (STE-AS) 9 prefijos.
AS 29386: (STE-AS2) 3 prefijos.
AS 6453: 6 prefijos.
AS 39154: 1 prefijo.
66
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Conclusiones
Es realmente llamativo la diferencia en distribución de prefijos entre estas dos fecha. Se insta
al lector a que preste atención a las dos gráficas y establezca su propia opinión. Como
redactor de este PFC, es de gran agrado poder mostrar esto a los lectores y en última
instancia a interesados en redes y/o seguridad informática.
El 23 de agosto del 2010, Google [14] y otros servicios asociados fueron redirigíos a Rumania y
Austria. Lo que pasó en términos de funcionalidad es que durante 7 minutos el prefijo 8.8.8.0/24
fue secuestrado (este prefijo sirve a algunos Open DNS de Google). La mayoría de las redes
afectadas recibieron el anuncio de actualizaciones desde el AS 6939. Esta es la segunda vez en el
mismo mes (30 días naturales aproximadamente) que Google es atacado accidentalmente o por un
secuestro de direcciones (hijack). En Julio de 2010 un proveedor de servicios de Internet
localizado en Austria (AS42473), Anexia, anunció un prefijo con una máscara de subred mayor de
la que le correspondía, es decir:
Este último prefijo (el 74.12.126.0/23) aloja la mayoría de los servicios públicos de Google. Este
hecho fue identificado posteriormente como un error de configuración y fue rápidamente
corregido por los ingenieros de red del AS42473. Más detalles se pueden ver en la figura que se
expone a continuación.
67
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
68
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El 8 de Abril de 2010 se empezaron a recibir alertas sobre un secuestro BGP [24] localizados en el
AS 23724. Este sistema autónomo es uno de los centros de datos operados por China Telecom, el
cual es el mayor ISP de China originando hasta 40 prefijos. Sin embargo, ese día
aproximadamente durante 15 minutos se originaron alrededor de 37000 prefijos de tipo único que
no tenían asignados. Esto es lo que normalmente se denomina como secuestro de prefijos (prefix
hijack).
Afortunadamente, aunque se había difundido una tabla completa, solo un 10% se propagó fuera de
las redes chinas, afectado a organizaciones muy conocidas, entre otras:
Amazon
Geocities
CNN
Rapidshare
Dell
También se vieron afectadas páginas web muy populares chinas, como por ejemplo:
www.joy.cn
www.pconline.com.cn
www.huanqiu.com
www.tianya.cn
www.chinaz.com
Este incidente fue detectado a nivel global por conexiones en Holanda, Reino Unido, Rusia, Italia,
Suecia, Estados Unidos, Japón y Brasil. Según BGPMon, un 28% de las sondas en el mundo
detectaron este evento, lo cual implica un gran número de redes afectadas. Probablemente, más de
51 peers detectaron el prefijo, pero no lo eligieron como mejor ruta (best path) seguramente
debido a la longitud del ASpath u otras políticas de configuración. Debido al gran número de
prefijos implicados detectados en un intervalo tan corto de tiempo, posiblemente, la causa que
mejor se ajusta a este acontecimiento sea un fallo de configuración.
69
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
SOY
208.65.153.0/24
SOY
208.65.152.0/22
70
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: BGPlay
71
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: BGPlay
72
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE:http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study
73
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
====================================================================
Possible Prefix Hijack (Code: 10)
====================================================================
Your prefix: 203.190.56.0/21:
Prefix Description: www.infoseek.co.jp
Update time: 2010-04-08 16:09 (UTC)
Detected by #peers: 4
Detected prefix: 203.190.56.0/21
Announced by: AS23724 (CHINANET-IDC-BJ-AP IDC, China Telecommunications Corporation)
Upstream AS: AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street)
ASpath: 8331 9002 9002 4134 23724 23724
Alert details: http://bgpmon.net/alerts.php?details&alert_id=6617721
Mark as false alert: http://bgpmon.net/fp.php?aid=6617721
FUENTE: www.BGPMon.com
La Internet Corporation for Assigned Names and Numbers (ICANN) [15], en Noviembre de 2007,
inició trabajos de actualización de uno de sus Domain Name System (DNS) root-servers L
(199.7.83.42), el cual es propiedad de ICANN y, en consecuencia, también sometido a su control
y manejo. Este servidor se trata de un servidor distribuido, y como se puede ver en la siguiente
figura, se encuentra entre Miami y Los Ángeles (Estados Unidos). Los ingenieros de la ICANN no
detectaron varios root-servers L no autorizados operando en Internet hasta 6 meses más tarde de
las actualizaciones.
74
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: http://www.emezeta.com/articulos/rootservers-los-servidores-raiz-del-mundo#axzz1tZV8ywxr
En Mayo del 2008, ICANN consiguió tener todos los root-servers L falsos deshabilitados y fuera
de servicio. En la actualidad, existen 13 DNS root-servers, cuyos propósitos es asignar direcciones
de texto entendibles para los usuarios de Internet basadas en direcciones IP usadas entre
ordenadores y routers (ver figura 61).
75
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
a. Resumen
A los root-servers DNS se les ha asignado una letra entre A y M.
El root-server L pertenece, maneja y controla la ICANN.
Desde el 1997 hasta el 2007 la dirección IP era 198.32.64.12 y estaba registrada a nombre
de Bill Manning (ep.net)
En noviembre del 2007 cambian la dirección IP a 199.7.83.43. Este prefijo se asignó a la
ICANN.
Durante 6 meses la ICANN decide seguir utilizando sus root-servers L, tanto el antiguo
como el nuevo.
Aparecen root-servers DNS no autorizados (falsos):
• Diciembre 2007 – Community DNS (England)
• Marzo 2008 – EP.NET (US – Bill Manning)
• Abril 2008 – Diyixian (Hong Kong)
b. Acciones tomadas
El 16 de Mayo de 2008, la ICANN decide definitivamente apagar su servidor “L” antiguo y el 16
de Mayo todos los servidores falsos (o no autorizados) L. La vigente legalidad y la ICANN
presionan a sus propietarios a apagar los root-servers que van detectando a lo largo del tiempo
(Ver figura 62).
c. Conclusiones
Acciones que podrían haberse realizado con un servidor DNS root-server no autorizado o falso
aunque no existen evidencias de que esto se hiciera o no:
1. Redirigir rutas con intención de censurar contenidos.
2. Registrar o monitorizar todos los accesos y búsquedas.
3. Dar NS (negación de servicio) actualizados para todos los TLDs.
4. Realizar recursión por defecto.
5. Dar actualizaciones personalizadas de la lista de todos los servidores DNS root.
6. Poner (time to leave) TTL=0
76
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: ICANN
En el año 2004 se registraron diferentes [14] incidentes en las tablas de rutas de Internet:
ISP en Malasia bloquea Yahoo
ISP turco bloquea Internet.
Northrop Grumman atacado por spammers
77
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
“El caso produjo que todo el tráfico desde sitios Microsoft, Yahoo, Amazon, Fox, News CNN
hacia TTNet. Las consecuencias fueron menores de las que podrían haber sido al ser un día
(víspera de navidad) en el que el trafico relativo a negocios y organismos oficiales es
notoriamente más reducido.”
Partiendo de la premisa de que en Internet no existe una política imperativa que verifique que cada
sistema autónomo es quien dice ser, que no verifica la integración de la información y que las
relaciones entre sistemas autónomos están basadas en la confianza. El protocolo de comunicación
entre sistemas autónomos y routers está basado en TCP/IP y por tanto hereda todas sus
vulnerabilidades. Igualmente se debe pensar que los comunes errores de configuración de los
administradores y técnicos son un valor añadido a las vulnerabilidades.
78
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Al igual que los ordenadores, los router también tienen un límite para procesar y almacenar la
información. Alcanzar el límite de uno o ambos de estos recursos finitos tendrá como resultado
dejar fuera de servicio al router, también conocido como Denial of Service.
Uno de los ataques más comunes con este objetivo es el llamado SYN Flood. En esta variante del
DoS, se inician un gran número de sesiones TCP/IP utilizando el paquete SYN (sincronización),
sin continuar con la secuencia de sincronización. Esto provoca que el sistema reserve recursos
para esta sincronización, sin la recepción de estas conexiones.
La segunda modalidad de DoS, es atacar directamente al protocolo BGP. En este caso, se intenta
echar abajo la ejecución del protocolo. Se puede decir que estos ataques DoS contra el protocolo
BGP son de fácil y rápida ejecución. Se realiza enviando paquetes dirigidos al puerto 179, los
cuales son enviados al proceso BGP, ya que normalmente, este reside en un procesador más
lento o de menor capacidad.
Una tercera variante de DoS (Denial of service) contra BGP, se caracteriza por la recepción de
datos falsos de enrutamiento pudiendo afectar:
Cierta información falsa puede representar un ataque DoS al protocolo BGP en sí mismo, a modo
de ejemplo: advertir un numero excesivamente grande de mas rutas especificas puede causar que
el trafico BGP y la dimensión de las tablas de enrutamiento colapse el trafico o el sistema.
Se puede afirmar que potencialmente el mayor riesgo para BGP es cuando un router es
bombardeado con más paquetes de los que puede manejar, este tipo de ataque se denomina DDoS.
El ataque generalmente envuelve un gran número de ordenadores comprometidos con malware, de
todas formas, existen diferentes formas por las cuales se puede realizar un DDoS; tales como:
79
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Insuficiencia (Starvation): Un nodo recibe menos paquetes de los que debería por que el
tráfico es desviado a nodos que no pueden gestionar ese tráfico.
Agujero negro (Blackhole): El tráfico es enviado a routers que descartan todos o parte de
los paquetes.
Retardo (Delay): El tráfico es enviado a rutas menos óptimas (suboptimnal paths)
Bucle (Looping): Los paquetes entran en un bucle (loop path), lo cual implica que el
tráfico nunca llega a su destino.
Partición de red (Network partition): Una porción de la red parece separada del resto de
la red debido a información de rutas malformada.
Agitación (Churn): Cambios muy rápidos en el reenvío de paquetes altera la entrega de
paquetes, y posiblemente afecte al control de congestión de red.
Inestabilidad: La convergencia a un estado de sencillo el reenvio global no se realiza.
Sobrecarga de Red (Network overload): La red comienza a transportar un número
excesivo de mensajes BGP, sobrecargando el procesador de control del router y
reduciendo el ancho de banda asignado para el tráfico de datos.
Sobrecarga de los recursos del router en los ciclos de almacenaje o procesado por un
excesivo número de mensajes BGP.
Acceso no autorizado: puede suceder cuando se mantienen las contraseñas por defecto y
las community strings utilizadas para control de acceso a SNMP (Simple Network
Management Protocol) no se hayan cambiado o sean obtenidas por ingeniería social,
métodos de cálculo o criptográfico. Asimismo la explotación de errores de software o
vulnerabilidades pueden permitir accesos no autorizados.
Captura de datos de BGP por medio de sniffers y otras herramientas: puede realizarse en
cualquier lugar del recorrido entre routers, teniendo en cuenta que los mensajes BGP no
están encriptados o que BGP podría ser utilizado para permitir una captura de datos.
Métodos de manipulación de paquetes: incluye insertar direcciones IP falsas para
acceder a los sistemas, inyectar datos falsos a las tablas de rutas o re enrutar paquetes de
datos con propósitos de meterlos en agujeros negros, monitorizar el trafico, etc.
80
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Se pueden distinguir tres tipos de secuestro de la dirección IP [18]. En las dos primeras todo el
tráfico asignado al espacio de direcciones es redirigido al atacante.
Utilización de un dirección IP del rango asignado a la victima pero que aunque asignada no
está utilizando, este ataque en principio no tiene en si unos efectos más de reputación que
realmente de daño al tráfico legitimo en Internet.
Secuestro de una dirección IP en uso, esta modalidad tiene un obvio daño operacional,
todo el tráfico es desviado al atacante pudiendo dejar a la victima sin conexiones externas
y por tanto fuera de Internet.
Por último, existe una variante de secuestro en el que el atacante se dedica a ver todo el
tráfico.
FUENTE: https://www.owasp.org/index.php/Session_hijacking_attack
La realidad presente es que no hay vulnerabilidades, no hay errores en el protocolo, tampoco hay
en estos ataques problemas de software (software bugs). El origen del problema surge de la gran
necesidad de interconectividad necesaria a día de hoy para mantener el tráfico en Internet.
81
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Este problema surge como ya se ha comentado en que la arquitectura y diseño de BGP está
basada en la confianza. A modo de ejemplo cuando un email es enviado desde un usuario en
Europa a otro usuario en Asia, las redes para cada usuario se comunican siempre con y a través de
routers BGP indicando cual es la ruta más eficiente para que los datos alcancen el buzón de
destino, claro que BGP asume siempre que cuando un router informa de cuál es la mejor ruta nos
está diciendo la verdad, este abuso de confianza puede ser utilizada para aquellos que quieren
capturar nuestros datos engañando a los routers para que les envíen el trafico con fines maliciosos.
FUENTE: https://www.owasp.org/index.php/Man-in-the-middle_attack
82
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Ejemplo
El SA X en sus tablas anuncia que sirve a un grupo de 120.000 direcciones IP, mientras tanto otro
llamado AS Y, sirve a un subred de 24,000 de estas direcciones. Si la IP de destino está reflejada
en ambos anuncios BGP enviará siempre al más concentrado (pequeño), es decir, al más
especifico. Cuando un hacker u elemento hostil quiera interceptar datos enviara un anuncio de un
rango de direcciones IP en la que esté contenida la de su objetivo y obviamente será más
específica que las otras que envían otras redes. Este falso anuncio, en cuestión de minutos, será
propagado por internet, cuya finalidad será que los datos dirigidos a esas direcciones IP se
dirigirían a la red del atacante.
Este ejemplo recuerda a lo sucedido entre Pakistan Telecom y Youtube, en cuestión de minutos
Youtube se quedó inaccesible (ver epígrafe 4.3.6).
SOY
208.65.153.0/24
SOY
208.65.152.0/22
Como ya se ha comentado previamente en este documento, BGP trabaja sobre TCP por lo que
BGP hereda todas sus vulnerabilidades. SYN es un bit de control dentro del segmento TCP, se usa
para poder sincronizar los números de secuencia iniciales al establecer una conexión. Este bit
puede derivar en dos tipos de ataques que afectarán a BGP, ambas variantes se mencionan a
continuación:
83
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
FUENTE: http://es.kioskea.net/
Route flapping referencia [27] cambios repetitivos en las tablas de rutas BGP. Hay ocasiones en
las que estos cambios se realizan con una frecuencia de varias veces por minuto.
Route flap sucede cuando una ruta es eliminada y entonces re anunciada en un espacio muy breve
de tiempo. Una razón alta de esta secuencia puede causar un problema serio para los routers,
debido a que cada flap produce cambios o eliminaciones de rutas que se propagan a través de los
sistemas autónomos. Si la velocidad es lo suficientemente rápida, a un nivel por ejemplo de entre
30 a 50 veces por segundo, el router sufre una sobrecarga que puede inducir a una no
convergencia sobre rutas válidas.
El Impacto potencial para los usuarios es una ralentización en la entrega de mensajes, e incluso en
algunos casos la recepción inválida de algunos paquetes de datos. Route flapping puede derivar en
una denegación de servicio.
84
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Route flap damping, RFD, es un método para reducir los flaps de rutas por medio de un algoritmo
que ignora al router enviando actualizaciones flapping durante un periodo de tiempo configurable.
Cada vez que sucede un evento categorizado como flapping, los routers peer añaden un valor de
penalización al total del router haciendo flapping. La penalización se adquiere de una forma
exponencial en el tiempo. Si el flapping de rutas persiste, y excede el total (ver figura 66), las rutas
aprendidas del router flapping serán desechadas y los vecinos propagarán las actualizaciones a
través de la red. A medida, que el tiempo pasa el valor de la penalización pierde valor, en el
momento en el que no se ven más flaps, se alcanzará el umbral de re utilización y desde ese
momento el vecino empezará a aceptar rutas del router que previamente había tasado de flapping
router.
FUENTE: http://web.eecs.umich.edu/~
Mientras que este mecanismo ayuda a reducir la inestabilidad causada por fallos espontáneos en la
red, puede ser objeto de mal uso por parte de un atacante. Si un router se puede deshabilitar,
incluso temporalmente, sus sesiones BGP serán perturbadas y los routers vecinos empezarán a
enrutar evitándolo asumiendo que esta fuera de servicio.
85
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Este proceso puede activar cambios a través de la red, apuntando a un incremento de la carga de
trabajo, y posiblemente causando que el tráfico se ralentice dado que los cambios de enrutamiento
serán transmitidos a través de rutas consideradas menos óptimas. De esta forma un router que de
una forma intermitente sea desconectado al sufrir repetidos ataques puede causar un mal
funcionamiento que podría causar más interrupciones que si ese router fuera sencillamente
desconectado. Ya que si fuera así, los otros routers encontrarían rápidamente caminos bordeando
ese router problemático. Una repetición de ataques de sesión peering de BGP (por ejemplo, vía
TCP RST o por medio de mensajes de error ICMP spoofed) puede ser utilizado también para
causar un flapping de rutas.
La desagregación [23] de rutas se produce cuando un prefijo más específico es advertido por
vecinos BGP. Por ejemplo si el prefijo 129.0.0.0/8 y el prefijo 129.0.0.0/16 son ambos
anunciados, los algoritmos de BGP seleccionarán la segunda (para cualquier dirección dentro del
rango 129.0.0.0/16) ya que es más específica. En algunos casos, esta acción es normal y una
operación apropiada debido a los cambios de configuración, pero puede suceder que sea resultado
de un error o fruto de una actividad maliciosa.
El primer impacto de este evento es una degradación del servicio que en algunos casos puede ser
ampliamente difundido y producir un gran daño. Dando BGP preferencia a las rutas más
especificas, si se producen un gran número de actualizaciones con miles de nuevas rutas y estas se
difunden rápidamente, causaría al router una denegación de servicio a sí mismo y puede provocar
como daño colateral el cierre de los ISPs más grandes al ser los más involucrados. Este problema
puede ser resultado de un error de configuración así como de una actividad maliciosa, cuando un
router falso que simula ser un SA válido.
86
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Como solución a este ataque o problema podemos implementar algunas medidas como establecer
un límite máximo de prefijo (maximum prefix limit), este límite puede ser pre configurado para
terminar o deshabilitar una sesión y enviar un mensaje de alerta cuando un router vecino transfiera
un número excesivo de prefijos predefinidos. Una desagregación de rutas activaría la capacidad de
limitar prefijos, y la sesión con el par sería deshabilitada hasta ser activada manualmente, dando a
los operadores la capacidad de analizar el problema y prevenir su difusión por Internet.
BGP existe para difundir la información de enrutamiento a través de internet. Los Routers se
trasmiten información entre ellos sobre aquellos prefijos a los que se pueden conectar y de la
eficiencia de cómo llegar a las direcciones IP deseadas dentro de esos prefijos. En situaciones
benignas y cooperativas estas acciones funcionan bien, pero una vez más, existen intenciones
maliciosas pudiendo empezar a enviar actualizaciones de información de enrutamiento incorrecta.
El anuncio de rutas más especificas, podría desviar el tráfico a la máquina del atacante, que podría
observar y grabar los paquetes de datos y analizar la información de esa dirección bajo el ataque.
La víctima no tendría ningún control sobre las rutas anunciadas por el atacante, siendo su única
opción, contactar con el ISP del delincuente para solicitar una corrección de los datos erróneos de
las rutas anunciadas por el agresor. Una vez hecho esto, sería muy difícil demostrar si detrás de
esta redirección errónea había intenciones maliciosas o pudiendo alegar un error de configuración
accidental. De hecho la victima posiblemente no podría ver el anuncio de rutas del atacante, ya
que seguramente habría sido desechada localmente por BGP para prevenir bucles de ruta (looping
routes).
87
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
A día de hoy no se puede realizar un estudio de seguridad sin contemplar la posibilidad de una
infección por malware específicamente diseñado para atacar un sistema operativo determinado, un
hardware en concreto, o un protocolo especifico en particular.
La primera consideración sobre los routers que soportan y/o dan soporte a infraestructuras criticas,
cuya función que les da un valor añadido y los hacen especialmente interesantes para lo que se ha
denominado “la Ciberguerra”.
Una segunda consideración es que hay una antes y un después de Stuxnet y Duqu, malware
diseñado para atacar procesos industriales. En un principio orientado a centrales nucleares, por ser
muy atractivo por aquellos encargados de desarrollarlo.
Hace relativamente poco, ha sido descubierto un gusano diseñado como un rootkit que se auto
replica en IOS, también dispone de capacidad de invisibilidad (stealh capabilities), y de un
mecanismo de autodefensa. El diseño es con código auto adaptado a cada modelo de plataforma.
Las capacidades conocidas de este malware son:
88
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Las actualizaciones del IOS son obligatorias pero siguiendo pautas de seguridad, tales como:
4.5 Resumen
En este epígrafe del documento se han analizado los fallos de configuración con mayor
repercusión a nivel mundial del siglo XXI, también, se han analizados todos los posibles ataques
conocidos sobre el protocolo en cuestión. Existen multitud de recomendaciones técnicas al
respecto, pero recientemente han aparecido noticias en la prensa internacional de haberse
descubierto manufacturas de Cisco [8] del tipo router o switches que no son originales. La
gravedad de la noticia es que estos equipos habían sido adquiridos por el departamento de defensa
de los Estados Unidos e incluso el FBI.
Esta noticia no solo es grave por el hecho de que este material no habría pasado los controles de
calidad debidos, y que además pueden contener dispositivos de activación remota con capacidades
maliciosas que podrían poner en grave riesgo infraestructuras criticas o vitales de los Estados
Unidos, y cabe preguntarse si este material no estará funcionando en infraestructuras de carácter
vital en otros países u organismos internacionales.
Es difícil, como redactor de este proyecto, sugerir medidas de seguridad para no sufrir un ataque o
para no perjudicar a otras infraestructuras mediante errores de configuración si a su vez se
descubren productos falsos sobre los cuales se deben implantar dichas normas.
89
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
BIBLIOGRAFIA
REFERENCIAS BIBLIOGRÁFICAS
[1] Peter Rybazyk, Cisco Router TroubleShooting Handbook. New York: M & Books, 2000
[2] Rob Payne y Kevin Manweiler, CCIE: Cisco Certified Internetwork Expert Sudy Guide –
Routing and Switching [2º edición].
[3] Giles Roosevelt, All-in-one CCIE Study Guide [1º Edición]. 1998
[4] Giles Roosevelt, All-in-one CCIE Study Guide [2º Edición]. 1998
[5] Tim Boyles, Cisco CCNP Certification Library. 2001.
[6] Todd Lammle, CCNA Cisco Certified Network Associate Study Guide. 2011.
[7] William R. Parkhurst, Cisco BGP-4 Command and Configuration Handbook. 2001
[8] Iljitsch van Beijnum, Building Reliable Networks with the Border Gateway Protocol. 2002
REFERENCIAS DIGITALES
90
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
91
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
ROUTER ANALYZER
92
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
ROUTER ANALYZER
6.1 Introducción
Router analyzer surge con la idea de poder configurar un router de manera fiable y segura. En
apartados anteriores en este documento se ha podido ver la importancia de una buena
configuración para tener un router robusto ante ataques y funcionalmente correcto. Esta aplicación
va a analizar en tiempo real los enlaces que tenga el router que se consideran peligrosos. Se va a
establecer un enlace directo entre la configuración del router y herramientas web para saber en
todo momento que se está haciendo en el dispositivo y tener un interfaz gráfico que muestre la
información de una manera más entendible por aquel administrador de red que decida usar la
aplicación.
93
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Existen diversas páginas que se actualizan diariamente y que muestran públicamente aquellas
direcciones IP que han sido denunciadas por numerosos ataques. En esta aplicación se va a usar la
información de la siguiente página:
http://isc.sans.edu/sources.html
ISC (Internet Storm Center) [13] se creó en 2001 con la aparición del gusano Lion. ISC es
mundialmente conocida por su labor de detección, análisis y estudios de los diferentes malware
que han ido apareciendo desde la existencia de internet. Lo que viene a continuación son
comentarios encontrados en algunos foros de seguridad informática como el de ISC.
“Un peligroso gusano, llamado Lion (león), está propagándose por Internet e
infectando los servidores Linux, ha advertido SANS Institute. Entre sus nefastas
peculiaridades, el gusano es capaz de robar claves de acceso, instalar y instalar
y ocultar otras herramientas en sistemas infectados; usar aquellos sistemas
para buscar otros sistemas que pueda atacar.”
En la página ISC se pueden encontrar diferentes herramientas para defenderse contra algún tipo
de malware. Router analyzer se conectará a la página web, y contrastará la información del
fichero de configuración del router con la tabla la cual se actualiza diariamente. La tabla tiene
los siguientes atributos:
Direcciones IP: Direcciones IP origen de los paquetes detectados por sus sensores.
Ataques: Número de los diferentes ataques conocidos con esta dirección IP origen.
Informes: Número de paquetes conocidos desde esta dirección IP origen.
Localizada por primera vez: Primer informe de un paquete malicioso.
Localizada por última vez: Última denuncia de un paquete malicioso.
94
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
95
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
“In 2006, WHOIS.SC (Whois Source) became DomainTools to reflect our expanded
toolset for domain research beyond WHOIS. In addition to a simple availability check
and registration information, we now offer Domain Name Suggestions, Trademark
Monitoring for Brand Protection, Domains For Sale, DNS Tools and more.”
96
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Router Analyzer ha sido desarrollada en Microsoft Visual Studio 2010, (Microsoft .NET
Framework 4). La finalidad de esta herramienta es implantar infraestructuras de red lo más
integras y seguras posible. Router Analyzer es un centro de control de la red que se esté
monitorizando, ha sido diseñada para poder configurar BGP analizando en tiempo real direcciones
peligrosas y sistemas autónomos suplantadores.
Análisis del router: Un estudio de los enlaces del dispositivo examinándolos con la tabla de
direcciones IP peligrosas ya mostrada anteriormente. (Ataques al protocolo y suplantación
de prefijos)
Configuración del router: Una composición de las entradas/salidas del dispositivo en 5
pasos, que acota el margen de error. Una vez finalizada la configuración, rastrea la
dirección IP a la que se esté conectando y avisará al usuario en el caso en el que la
dirección no pertenezca al sistema autónomo que se ha introducido. El usuario podrá
habilitar un asistente de configuración que le notificará en qué punto se encuentra del
proceso y proporcionará las aclaraciones necesarias durante el mismo. (Fallos de
configuración y suplantación de prefijos).
Estado actual: Una interfaz que destaca por la facilidad que da al usuario para entender el
estado del dispositivo, proporcionando toda la información posible del fichero de
configuración del router. (Gestión de procesos).
97
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Con esta herramienta, esto ya no será ningún dilema. Una vez se suba a la aplicación la
configuración del router, esta buscará qué vecinos se han configurado y se conectará a la página de
ISC para saber si el enlace es peligroso.
El análisis del router cuya interfaz se verá más adelante se realizará en tres pasos. Es necesario que
el usuario disponga del archivo de configuración del router. Una vez se ha localizado el archivo,
los pasos para realizar el análisis de enlaces son los siguientes:
98
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Una vez ha subido el archivo en la herramienta, Router Analyzer le dará la opción de analizar el
router. La aplicación se conectara a la página de ISC y se bajará la tabla de direcciones IP
peligrosas y comparará los elementos de la tabla con los enlaces que haya detectado en el fichero.
99
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Una vez terminado el análisis, mostrará los resultados por pantalla. Si la aplicación detecta algún
enlace dañino mostrará un mensaje de advertencia al usuario.
A continuación mostrará en una pantalla aparte los resultados del análisis. A modo de ejemplo se
ha analizado un fichero de configuración y se ha insertado una dirección IP tasada por ISC como
peligrosa, el resultado sería el siguiente:
100
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
6.2.3 Actuar
Una de las grandes ventajas de esta herramienta es que dará al usuario toda la información
disponible en Internet sobre el enlace que desee en todo momento. La aplicación se bajará los
datos de la página de whois Domain Tools, proporcionará los datos de contacto del administrador
de la otra red. El usuario tendrá la opción de bloquear cualquier red en cualquier momento y si
esta deja de ser peligrosa o el usuario consigue contactar con el administrador de la red, el usuario
podrá volver a permitir enlaces del router con dicha dirección. La información del enlace que dará
la aplicación ha sido dividida en tres grupos:
Datos de la organización:
Nombre
ID
Dirección
Código Postal
Ciudad
Estado
País
Datos de contacto:
Teléfono
Dirección de correo
Otro
Información General
Rango de la red
Prueba
Nombre de la red
Fecha de actualización
Red padre
Fecha de registro
101
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Datos de la organización:
Datos de contacto:
102
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Información General
En este tab de la herramienta, aparecen dos botones cada uno con una funcionalidad distinta.
Estado actual: muestra por pantalla información relevante que ha detectado en el fichero de
configuración.
Configurar: permite al usuario configurar un router desde 0 y establecer vecindad y filtros
de acceso.
103
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
“¿Una vez se ha terminado la instalación es necesario seguir documentando el estado del router?
Ciertamente sí. Archivar documentos temporales del estado del router es vital para un buen
sostenimiento de la red.
Router Analyzer dará la opción al usuario de crear estos archivos. La herramienta pedirá al
usuario el fichero de configuración del router y elaborará una ficha con los datos relevantes del
router.
104
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Ejemplo
Esta ficha la podrá exportar a Word. Al clicar en el botón de “EXPORTAR” saldrá un cuadro de
diálogo y al guardar, la exportación a Word se guardará por defecto con el nombre del router y la
fecha que se ha realizado.
105
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
La exportación la realizará sobre una plantilla que pertenece a las resources del programa. Router
Analyzer abrirá Microsoft Word e irá cambiando la información del router por unos campos que
como se han programado para que los busque. El código para introducir en Word el nombre del
router es el siguiente:
WordApp = CreateObject("Word.Application")
WordDoc = WordApp.Documents.Open(pathFicheroword)
Dim xRange = WordDoc.Range
xRange = WordDoc.Range
xRange.Find.Execute("%%nombreHost%%", , , , , , , , , host, True)
106
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
107
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
108
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
a) Introducción
A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo
derivados de fallos en BGP. En este documento se han recogido los episodios más relevantes del
siglo XXI. Estos incidentes proceden, en su mayoría, de fallos de configuración. Con esta
herramienta se ha logrado acotar al máximo el margen de maniobra de un administrador a la hora
de configurar un enlace. En 5 sencillos pasos, Router Analyzer, recauda suficiente información
para añadir o bloquear un enlace. Esta información la guardará en el fichero .cfg. Los 5 pasos son
los siguientes:
109
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
b) Diagrama de flujo
CONFIGURACIÓN
ENLACE
TIPO DE PERMISO
LEER OPCIÓN 1
SI NO
OPCION 1= “Permitir”
TIPO DE
MÁSCARA
LEER OPCIÓN 3
SI NO
OPCION 3= “Otra”
VERIFICAR DIRECCIÓN IP
OCTETOS
0 1
LEER IP
VERIFICAR
1 OCTETOS 0
SI OPCION 2 = “Externo” o NO
OPCION 1 = “Filtrar”
SISTEMA DESCRIPCION
AUTÓNOMO
FINALIZAR
PROCESO
110
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
111
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
c) Pasos de configuración
Paso1.
El usuario deberá facilitar al a aplicación el tipo de permiso que quiere dar al enlace. Hay dos tipos
de permiso:
Filtrar:
Permitir
En el caso de filtrar, el usuario está denegando el acceso a una ruta. Los tipos de filtro que puede
elegir el usuario se verán en el paso 2. Si el usuario decide permitir un enlace, estará estableciendo
vecindad con otro router, podrá ser dentro o fuera de la red, IBGP y EBGP respectivamente.
Paso2.
Paso 3.
El rango de valores que aceptará la aplicación será desde 0.0.0.0 a 255.255.255.255, si los valores
introducidos por el usuario no se encuentran en este rango, saldrá un mensaje de error y no le
dejará avanzar al siguiente paso.
112
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Paso 4.
En el paso 4 la herramienta pedirá al usuario la dirección IP del enlace. En aquellos casos en los
que sea necesario conocer el sistema autónomo al que pertenece el router vecino, la aplicación
pedirá el ASN al usuario. Los casos en los será necesario son los siguientes:
Enlace externo
Route Filtering
Path Filtering
Paso 5.
Llegados a este punto, la configuración del enlace se ha prácticamente terminado. El usuario dará
una breve descripción para facilitar futuras actualizaciones.
Si en el paso 1 el usuario decidió establecer una vecindad, ya sea interna o externa, también deberá
nombrar el interfaz del enlace. La sintaxis de la descripción es la siguiente:
Ejemplo
Serial0 – Enlace al proveedor 1
d) Verificar configuración
Una vez terminados los 5 pasos establecidos para la configuración de un enlace, Router Analyzer
verificará los datos introducidos. Para un enlace interno, el router comprobará que todos los datos
sean correctos. Para los enlaces externos y filtros esta situación cambia.
113
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Router Analyzer se conectará a whois Domain Tools para comprobar que la dirección IP
introducida en el paso 4 pertenezca al sistema autónomo proporcionado por el usuario. En caso de
error, saldrá el siguiente mensaje por pantalla:
En este caso, Router Analyzer no dejará guardar el enlace y posibilitará solo aquellos campos que
el administrador deba corregir. Podrá cambiar la dirección IP o el sistema autónomo y también
tendrá acceso a toda la información sacada de whois Domain Tools que ya se vio en el apartado
3.2 de este anexo.
Si Router Analyzer considera que el enlace está bien configurado y este pertenece a quien dice ser,
dará la opción de guardar en el enlace y pedirá al usuario el fichero de configuración del router al
que se le quiere agrupar este enlace. Una vez finalizada la configuración el usuario será redirigido
a la pantalla de inicio de la aplicación.
114
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Router Analyzer ha sido diseñada para facilitar las labores de administradores de red. La semántica
usada para configurar routers BGP puede ser confusa y no todos los responsables de routers
conocerán la totalidad de los comandos necesarios para una configuración robusta.
La imagen mostrada a continuación son las 10 preguntas que el usuario deberá contestar para
llevar a cabo la configuración predeterminada:
Nota: Cada pregunta y/o comando vienen explicados en el anexo B de este proyecto en las
plantillas de configuración.
Una vez contestadas las 10 preguntas, el usuario podrá guardar el fichero de configuración (.cfg) y
será dirigido a la configuración de enlaces explicada en el epígrafe anterior.
115
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
6.4.1 Introducción
Al iniciar una configuración de un router, la aplicación mostrará una opción la cual solo será
visible al principio. Una vez se comience la configuración habrá que dar a borrar para poder
activar dicha opción. La opción se denomina “Configuración Helper” y se habilita con un
“checked ítem” que pone “habilitar ayuda”.
Configuración Helper funciona mientras se está configurando un enlace. Estimado lector, recuerde
los pasos de configuración (véase supra), los cuales se enumeran brevemente:
116
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
Paso 3: Máscara
En el primer paso, toda configuración de un enlace pedirá al usuario introducir el tipo de permiso
que quiere darle a tal enlace. Dispondrá de dos opciones, filtrar esa red (o bloquear) y permitirla
(establecer vecindad BGP), el asistente de configuración mostrará un mensaje por pantalla
advirtiendo o informando al usuario de lo que está haciendo.
Filtrar.
Permitir.
117
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
En el segundo paso, el Configuración Helper tiene hasta 4 posibles mensajes. Todo depende de la
opción que haya elegido el usuario en el paso 1.
a. Filtrar
El usuario tendrá la opción de hacer dos tipos de filtro en la configuración de su router:
Route Filtering
Path Filtering
118
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
b. Permitir
Si el usuario elige permitir un enlace, es decir, establecer un peering con otro router, le
aparecerán dos nuevas opciones:
Interno
Externo
119
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
El tercer paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una
dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la
máscara de red, en consecuencia, el Configuración Helper mostrará el siguiente mensaje:
El cuarto paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una
dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la
dirección IP, en consecuencia, el Configuración Helper mostrará el siguiente mensaje:
120
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
121
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
ANEXO B. PLANTILLAS
122
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
123
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
124
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
125
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
126
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
127
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
128
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
129
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
130
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
___________________________________________________________________________________________
131