BGP Seguridad PDF

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)
INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN
SEGURIDAD EN BGP, ATAQUES AL

PROTOCOLO Y FALLOS DE
CONFIGURACIÓN
Autor: Jorge Pérez Calleja

Director: Jose Luis Gahete Diaz
Madrid
Mayo 2012
Proyecto realizado por el alumno/a:
Jorge Pérez Calleja
Fdo: ………………………………… Fecha: …… / …… / ……….
Autorizada la entrega del proyecto cuya información no es de carácter confidencial
EL DIRECTOR DEL PROYECTO
Jose Luis Gahete Diaz
Fdo: ………………………………… Fecha: …… / …… / ……….
Vº Bº DEL COORDINADOR DE PROYECTOS
Israel Alonso Martínez
Fdo: ………………………………… Fecha: …… / …… / ……….

UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA
___________________________________________________________________________________________
AGRADECIMIENTOS
Gracias Papá, eres una máquina.
No podía empezar mis agradecimientos de otra manera. Sin ti, este

proyecto no sería lo que es. Me has echado una, dos y hasta tres manos
y ninguna de ellas al cuello. Has sabido pegarme empujoncitos durante el
curso y de verdad que muchas gracias.
Irascible; mi familia domina el significado de esta palabra. Del latín

“irascibilis”, dícese de una persona propensa a la ira. No todo el año he
estado igual, también recuerdo haberme sentido alterable, atrabiliario,
basilisco, cascarrabias, furibundo, iracundo, malhumorado. Gracias por
haberme aguantado este año tan largo. Muchas gracias mamá y Beatriz,
sois únicas.
¿Qué decir de lo “simplemente perfecto”? Siiii, me refiero a ti, Teresa.

GRACIAS. Eres una persona excelente. Me alegro muchísimo de haberte
encontrado. Ten muy claro que si he sacado esto adelante ha sido por tu
apoyo y tu paciencia, sobre todo esta última. Vamos a poder con todo,
estoy seguro. Gracias por tu confianza y por todo lo que me das a diario.
Sigue haciéndome sentir tan especial.
MS
Gracias Parrusete. Sois la caña chicos, que esto dure de por vida. Pase lo
que pase siempre juntos.
Gracias a mi grupo de fumadores de ICAI. Espero seguir en contacto con

vosotros, sois parte de mi historia universitaria.
Finalmente me gustaría agradecer a mi director, Jose Luis Gahete, por la

oportunidad que me ha brindado de poder profundizar en esta materia. He
aprendido muchísimo durante el desarrollo de este documento. Gracias
por asignarme este proyecto.
I
___________________________________________________________________________________________
SEGURIDAD EN BGP,
ATAQUES AL PROTOCOLO Y
FALLOS DE CONFIGURACIÓN.
ROUTER ANALYZER
Autor: Jorge Pérez Calleja

Entidad Colaboradora: Universidad Pontificia Comillas
RESUMEN DEL PROYECTO

El objetivo de este proyecto es desarrollar un estudio sobre Border Gateway Protocol.
Se analizaran los episodios más relevantes en fallos de configuración en los últimos
años, al igual que una investigación en detalle de los ataques conocidos. Una vez
planteadas las vulnerabilidades del protocolo se ha desarrollado una aplicación para
minimizar situaciones de riesgo y se han elaborado unas plantillas guía de seguridad
en routers Cisco IOS e IOS XR.
Palabras clave: Internet, Border Gateway Protocol, whois Domain Tools,

Internet Storm Center, Secure Origin BGP, Secure BGP, National Institute of
Standards and Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.
Introducción.
La seguridad informática es un activo intangible y debe ser entendida como un
proceso. Esta se debe implantar en toda organización como un ciclo iterativo que
incluye una serie de actividades como la valoración de riesgos, la prevención, y la
detección y respuesta ante incidentes de seguridad. Toda empresa, ya sea líder, o
seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro para
transmitir la información.
II
___________________________________________________________________________________________
1.1 Transmisión de datos

El medio de transmisión que se va analizar en este documento es Internet.
Cualquier petición de enviar un email o consulta de una página web implica la
transmisión de paquetes de datos desde el punto de origen al de destino.
Internet es un mundo vivo donde aparecen constantes cambios. Pueden aparecer

sistemas nuevos o sistemas que cesan su actividad. Estas eventualidades deben
estar reflejadas en tablas de encaminamiento. Border Gateway Protocol, de
ahora en adelante, BGP, es el encargado de gestionar estas variaciones
continuas por lo que los fallo en la configuración de aquel, podían dejar áreas
geográficas enteras sin acceso a Internet.
1.2 Antecedentes Históricos

A lo largo de la historia de Internet, se han producido diferentes situaciones de
alto riesgo derivados de fallos en BGP. En este documento se han recogido los
episodios más relevantes del siglo XXI [1]. Estos incidentes proceden, en su
mayoría, de fallos de configuración.
En la actualidad, existen propuestas formales que hacen BGP seguro y fiable

pero su compleja implantación las convierte en poco plausibles. Por un lado se
ha planteado Secure Origin BGP cuyo objetivo es verificar el origen de cada
mensaje utilizando certificados. Por otro lado, se ha considerado incluir la
autentificación, integridad y autorizaciones en los mensajes BGP, cuya
proposición se denomina Secure BGP.
Objetivos del proyecto.

El objetivo de este proyecto es concienciar y advertir a las entidades de la
necesidad de una mejora en sistemas de transmisión cuyo fin será asegurar la
confidencialidad, accesibilidad e integridad de los datos.
El desarrollo de un sistema en seguridad BGP que cubra las principales

vulnerabilidades conocidas, y que equilibre el grado de seguridad y factores de
complejidad, rendimiento y costes, debería ser un objetivo primordial para todas
III
___________________________________________________________________________________________
las organizaciones. Actualmente, estas no han sabido ver una mejora inmediata
que pueda repercutir en sus clientes y, probablemente, hasta que no se reciban
varios ataques al protocolo BGP no se considerará la necesidad de asegurar sus
sistemas.
La intención de este documento es demostrar que siguiendo unos pasos sencillos

se pueda configurar el protocolo de manera eficiente. No obstante, aun habiendo
explicado los diferentes comandos y opciones recomendadas, se aconseja hacer
un estudio previo de las necesidades específicas de cada conexión así como
comprender las diferentes opciones para implementar la configuración más
correcta, más valida y la adecuada a cada situación.
Router Analyzer.
Asimismo se ha desarrollado una aplicación para facilitar la configuración del
router y reducir la posibilidad de acoger ataques al sistema. Para la creación de
dicha herramienta se han utilizado materiales de dominio público tales como
whois Domain Tools [2], y la tabla de direcciones IP denunciadas de Internet
Storm Center [3].
Router Analyzer es la herramienta diseñada para acotar al máximo el margen

de error a la hora de configurar un enlace, y reducir la posibilidad de acoger
ataques al sistema. En el Anexo A de este proyecto se ha desarrollado un
manual de usuario para su correcto uso. En dicho apéndice, se han agrupado
diferentes capturas de pantalla con el fin de facilitar la comprensión del mismo.
IV
___________________________________________________________________________________________
Plantillas de seguridad.
Para el desarrollo de estas plantillas de configuración y seguridad se ha
realizado una labor de documentación y se han consultado publicaciones al
efecto como el National Institute of Standards and Technologies [1] (US
NIST), organismo dependiente del departamento de comercio de los Estados
Unidos. A su vez, se han consultado páginas web de monitorizado, análisis y
recomendaciones sobre BGP como BGPmon [4]. Conocida organización no
lucrativa de apoyo a los técnicos y operadores de red en Internet. Por último,
cabe mencionar a Packet Clearing House [5], Instituto de investigación sin
ánimo de lucro sobre las comunicaciones en internet.
En esta investigación sobre BGP, las organizaciones previamente nombradas

hacen una constante referencia a las plantillas de seguridad de BGP
desarrolladas y publicadas por Team Cymru Community Services [6]. Esta es
una compañía estadounidense localizada en el estado de Illinois, especializada
en la investigación sobre la seguridad de internet. Team Cymru es también
conocida por su dedicación y ayuda a organizaciones para identificar y erradicar
problemas en sus redes. El equipo de Team Cymru ha desarrollado diversas
plantillas de seguridad, y en este proyecto se han seleccionado aquellas
pertenecientes a routers Cisco.
V
___________________________________________________________________________________________
Conclusiones.
El objetivo de este proyecto no ha sido exclusivamente didáctico. Cabe resaltar
mi motivación personal en este ámbito de la informática así como todos los
conocimientos adquiridos durante el desarrollo del proyecto.
Para finalizar este sumario del proyecto de fin de carrera, me gustaría plasmar la
satisfacción que ha supuesto haber tenido la oportunidad de profundizar en esta
cuestión, y a su vez instar al lector, y en última instancia a interesados en redes
y/o seguridad informática, a que participen en mi proyecto mediante su lectura,
y posterior revisión o crítica.
Bibliografía.
[1] National Institute of Standards and Technology, http://www.nist.gov/index.html

[2] Whois DomainTools, http://whois.domaintools.com/
[3] Institute e Internet Storm Centre, http://www.sans.org
[4] BGP monitoring and analyzer, http://www.bgpmon.net/
[5] Packet Clearing House, http://www.pch.net/home/index.php
[5] Team Cymru Community Services, http://www.team-cymru.org/Monitoring/Graphs/
VI
___________________________________________________________________________________________
BGP SECURITY,
PROTOCOL ATTACKS AND
AND MISS-CONFIGURATION.
ROUTER ANALYZER
Author: Jorge Pérez Calleja

Colaborating Entity: Universidad Pontificia Comillas
ABSTRACT
The aim of this project is to develop a study about Border Gateway Protocol. It will
include an analysis of the most outstanding miss-configurations episodes occurred in
the past years and a research about the more common attacks. Once vulnerabilities are
set up, it will introduce an application to minimize risk situations and security
templates on Cisco IOS and IOS XR routers.
Key Words: Internet, Border Gateway Protocol, whois Domain Tools, Internet
Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and
Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.
Introduction.
Computer security is an intangible asset and it must be considered as a process. This
must be well-established in every organization like an iterative cycle that will include
a group of activities as risks assessments, prevention, and detection and response
against security incidents. Every firm, no matter if it is sector leader or follower, will
need a reliable and secure communications system to transmit data.
VII
___________________________________________________________________________________________
1.1 Data transmision

The mean of transmission that is going to be analyzed on this document is
Internet. Any email sending request or website consultation involves data
transmission from an origin to a destination.
Internet can be considered as a living world. There appear constant changes as

new systems appearances or systems that resign their activity. These events
must be taken into account on routing tables. Border Gateway Protocol, BGP
from now on, is in charge of managing these changes. A miss-configuration on
BGP would obstruct Internet access.
1.2 Historical Background

Along Internet´s life, there have appeared various high risk situations due to
BGP miss-configurations. On this document, most of these incidents have been
brought together [1].
Currently, there exist many proposals to make BGP reliable and secure. Their
complex establishments make them hard to carry out. On the one hand, there is
Secure Origin BGP which aim is to verify the origin of every message using
certificates. On the other hand, it has been taken into consideration to include
authentication, integrity and authorizations on BGP messages, this proposal is
known as Secure BGP.
Objectives.
The aim of this document is to make aware and to warn firms about the need of
data transmission improvements. This goal will assure data confidentiality,
accessibility and integrity.
A system development based on BGP security to cover most of its known

vulnerabilities should be paramount importance for firms. This system must
balance security, complexity, performance and costs. Nowadays companies do
not appreciate an immediate improvement and they will not invest on security
until they receive various attacks
VIII
___________________________________________________________________________________________
Router Analyzer.
The present document contains there an application development to make router
configuration easier and it will reduce the chance of receiving attacks. Public
material was used to design this tool as whois Domain Tools [2] and Internet
Storm Center [3].
Router Analyzer is the designed tool to enclose miss configurations when

configuring routers. This project will bring in a handbook for its correct use. It
has been attached as Appendix A to make it easier to utilize and to comprehend.
Security Templates.
These security templates have been developed based on a documentation task.
Several publications have been studied as the one presented from National
Institute of Standards and Technologies [1] (US NIST), BGPmon [4], Packet
Clearing House [5]. On their publications, they all refer to security templates
developed by Team Cymru Community Services [6]. On this document, only
Routers Cisco security templates have been taken into account, which are the
ones that will be used on Router Analyzer.
IX
___________________________________________________________________________________________
Conclusions.
The elaboration of this project has not been merely didactic. I must stand out my
personal motivation on this computer science scope and every knowledge
acquired.To conclude this brief, I would like to emphasize my satisfaction
obtained by having the chance to study in depth this matter.
Bibliography.

X
___________________________________________________________________________________________
ÍNDICE
FIGURAS
BIBLIOGRAFIA
ACRÓNIMOS
INTRODUCCIÓN Y MOTIVACIÓN
DEFINICIONES
1.1 Internet 3
1.2 Protocolos de encaminamiento 6
1.3 Border Gateway Protocol 7
1.4 Microsoft Visual Studio 2010 8
BORDER GATEWAY PROTOCOL

2.1 Introducción 9
2.2 Mensajes y cabecera de BGP 10
2.2.1 Formato KEEPALIVE 11
2.2.2 Formato OPEN 12
2.2.3 Formato UPDATE 13
2.2.4 Formato NOTIFICATION 14
2.3 Sesión BGP 15
2.3.1 Establecimiento de una sesión 15
2.3.2 Estados BGP 18
a) Idle State (Estado Paralizado)

b) Connect State (Estado Conectado)
c) Active State (Estado Activo)
d) OpenSent State (Estado Open Enviado)
e) OpenConfirm State (Estado Confirmación de un Open)
f) Established State (Estado Establecido)
4
XI
___________________________________________________________________________________________
2.4 Reglas de filtrado 22
2.4.1 Configuración MD5 24
2.4.2 Filtrado Router-Map 25
2.4.3 Filtrado Filter-List 26
2.5 BGP-4 26
2.6 Seguridad en BGP 28
2.7 Resumen 29
CONFIGURACIÓN SIMPLE DE BGP

3.1 Introducción 30
3.2 Estado de la cuestión 32
3.2.1 Aspecto administrativos 32
3.2.2 Interfaces 34
3.2.3Protocolos de encaminamiento 34
3.2.4 Gestión del tráfico 34
3.2.5 Políticas de encaminamiento 35
3.4 Graphical Network Simulator 36
3.4.1 Situación inicial 36
3.5 Metodología de configuración del protocolo 40
3.5.1Configuración previa de los routers 40
3.5.2 Comprobación de las tablas de rutas 44
3.5.3 Configuración del protocolo BGP 47
a) Activación del protocolo

b) Definir vecindad entre los routers (eBGP)
c) Configuración final
d) Comprobación vecinos BGP
3.5.4 Configuración Interior-BGP 53
XII
___________________________________________________________________________________________
ATAQUES EN BGP
4.2 Vulnerabilidades y errores de concepto 55
4.3 Antecedentes Históricos 58
4.3.1 Año 2012, Australia sin acceso a Internet 59
4.3.2 Año 2011, Egipto sin acceso a Internet 60
4.3.3 Año 2011, Siria sin acceso a Internet 64
4.3.4 Año 2010, Google y servicios asociados redirigidos 67
4.3.5 Año 2010, un ISP Chino secuestra Internet 69
4.3.6 Año 2008, Pakistán Telecom bloquea YouTube 70
4.3.7 Año 2008, Brasil difunde una tabla BGP 74
4.3.8 Año 2007, La ICANN pone en riesgo un servidor DNS 74
4.3.9 Año 2004 77
a) ISP en Malasia bloquea Yahoo

b) ISP turco bloquea Internet
c) Northrop Grumman atacado por spammers
4.4 Ataques al protocolo 78
4.4.1 Ataques DoS o DDoS 79
4.4.2 Secuestro o Hijack 81
4.4.3 Man in the Middle (o Meet in the Middle) 81
4.4.4 Ataques de sesión (TCP) y Replay Attacks 83
4.4.5 Ataque Route Flapping 84
4.4.6 Ataque de Desagregación de rutas 86
4.4.7 Ataque de Inyección de Rutas Maliciosas 87
4.4.8 Ataque de Inyección de Rutas no Asignadas 88
4.4.9 Malware Rootkits, IOS, Bios, EEProms 88
4.5 Resumen 89
XIII
___________________________________________________________________________________________
ANEXO A. MANUAL DE USUARIO-ROUTER ANALYZER

5.1.1 Internet Storm Center 92
5.1.2 Domain Tools 94
5.1.3 Router Analyzer 95
5.2 Análisis del router 96
5.2.1 Archivo de configuración 96
5.2.2 Analizar y ver resultado 97
5.2.3 Actuar 99
5.3 Configuración del router 101
5.3.1 Estado Actual 102
5.3.2 Opciones de configuración 106
a) Configuración de enlaces
b) Configuración de un router BGP
5.4 Configuración Helper 114
5.4.1 Introducción 114
5.4.2 Pasos 115
a) Configuración Helper paso 1

b) Configuración Helper paso 2
c) Configuración Helper paso 3
d) Configuración Helper paso 4
e) Configuración Helper paso 5
ANEXO B. PLANTILLAS DE CONFIGURACIÓN

6.1 Seguridad BGP Cisco IOS 121
6.2 Seguridad BGP IOS XR 126
XIV
___________________________________________________________________________________________
FIGURAS
NÚMERO NOMBRE FUENTE
FIGURA 1 Modelo de un sistema de comunicación Elaboración propia

FIGURA 2 Modelo de un sistema de transmisión Elaboración propia
FIGURA 3 Internet, red informática mundial Elaboración propia
FIGURA 4 La prehistoria de Internet www.noticiasdot.com/publicaciones
FIGURA 5 Internet como medio de transmisión Elaboración propia
FIGURA 6 Comunicación entre routers Elaboración propia
FIGURA 7 Saltos de la información Elaboración propia
FIGURA 8 Algoritmo Elaboración propia
FIGURA 9 Microsoft Visual Studio 2010 www.microsoft.com/
FIGURA 10 Formato Cabecera Mensaje BGP Elaboración propia
FIGURA 11 Formato mensaje OPEN Elaboración propia
FIGURA 12 Formato mensaje UPDATE Elaboración propia
FIGURA 13 Formato mensaje NOTIFICATION Elaboración propia
FIGURA 14 Neighbor State http://en.wikipedia.org/wiki/Border_Gateway_Protocol
FIGURA 15 Inicio de una sesión BGP GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition
FIGURA 16 Filtrado por MD5 Elaboración propia
FIGURA 17 Configuración MD5 Elaboración propia
FIGURA 18 Configuración Router-Map Elaboración propia
FIGURA 19 Conexión entre sistemas autónomos Elaboración propia
FIGURA 20 Características de un router Cisco 3640 Elaboración propia, con datos de www.cisco.com
FIGURA 21 Caso real de configuración BGP Elaboración propia
FIGURA 22 Simulación caso real GSN3 Elaboración propia usando GSN3
FIGURA 23 Estado RC1 Elaboración propia usando GSN3
FIGURA 24 Estado enlaces Elaboración propia usando GSN3
FIGURA 25 Enlaces RC1 Elaboración propia usando GSN3
FIGURA 26 Fichero de configuración de RC1 Elaboración propia
FIGURA 27 Enlaces R1P1 Elaboración propia usando GSN3
FIGURA 28 Fichero de configuración de R1P1 Elaboración propia
FIGURA 31 Fichero de configuración de P2 Elaboración propia
FIGURA 32 Comando “sh ip route” Elaboración propia usando la consola de GSN3
FIGURA 33 Comprobación de tabla de rutas Elaboración propia usando la consola de GSN3
FIGURA 34 Clases de direcciones IP http://redesdecomputadores.umh.es/red/ip/default.html
FIGURA 35 Vecindad entre routers Elaboración propia usando GSN3
FIGURA 36 Configuración vecinos BGP en el fichero Elaboración propia
FIGURA 37 Configuración RC1 Elaboración propia
FIGURA 38 Comando “sh ip bgp neighbors” Elaboración propia usando la consola de GSN3
XV
___________________________________________________________________________________________
NÚMERO NOMBRE FUENTE
FIGURA 39 Comprobación de tabla de rutas Elaboración propia usando la consola de GSN3

FIGURA 40 Neighbor R1P2 Elaboración propia
FIGURA 41 Comprobación vecindad R1P2 Elaboración propia usando la consola de GSN3
FIGURA 42 Neighbor R1P1 y R2P2 Elaboración propia
FIGURA 43 Comprobación vecindad R1P1 y R2P2 Elaboración propia usando la consola de GSN3
FIGURA 44 Configuración Interior-BGP Elaboración propia usando GSN3
FIGURA 45 Comandos configuración Interior-BGP Elaboración propia
FIGURA 46 Mejor camino basado en rutas recibidas Elaboración propia
FIGURA 47 AS1221 Telstra Pty Ltd www.BGPmon.com
FIGURA 48 Eguito redes afectadas I Elaboración propia
FIGURA 49 Eguito redes afectadas II Elaboración propia
FIGURA 50 Egipto redes afectadas III Elaboración propia
FIGURA 51 Egipto gráfico redes afectadas/tiempo Elaboración propia
FIGURA 52 Siria redes afectadas/SA Elaboración propia
FIGURA 53 Siria prefijo 1 de Junio, 2011 Elaboración propia
FIGURA 54 Siria prefijo 3 de Junio, 2011 Elaboración propia
FIGURA 55 Pakistan Telecom bloquea Youtube Elaboración propia
FIGURA 56 Estado Youtube 24 de Febrero BGPlay
FIGURA 57 Estado Youtube 18.50 BGPlay
FIGURA 58 Estado Youtube 21.25 BGPlay
FIGURA 59 Mensaje alerta BGPMon www.BGPmon.com
FIGURA 60 Root-Servers www.emezeta.com/
FIGURA 61 Comando nslookup Elaboración Propia
FIGURA 62 Root-Servers falsos ICANN
FIGURA 63 Secuestro de sesión https://www.owasp.org/index.php/Session_hijacking_attack
FIGURA 64 Conexión MITM https://www.owasp.org/index.php/Man-in-the-middle_attack
FIGURA 65 Sincronización al inicio de una sesión http://es.kioskea.net/
FIGURA 66 Route Flapping Penalización/tiempo http://web.eecs.umich.edu/
XVI
___________________________________________________________________________________________
ACRÓNIMOS
Ack Acknowledgement
ACL Access Control List
ASN Autonomous System Number
BGP Border Gateway Protocol
DNS Domain Name System
DoS Denial of Service
eBGP Exterior BGP
EGP Exterior Gateway Protocol
EIGRP Enhanced Interior Gateway Routing Protocol
GNS-3 Graphic Network Simulator
iBGP Interior BGP
ICANN Internet Corporation for Assigned Names and Numbers
ID Identifier
IGP Interior Gateway Protocol
IGRP Interior Gateway Routing Protocol
IOS Internetwork Operating System
IP Internet Protocol
ISC Internet Systems Consortium
IS-IS Intermediate System To Intermediate System
ISP Internet Service Provider
MD5 Message-Digest Algorithm 5
MiT Man in the Middle
OSPF Open Shortest Path First
RFC Request For Change
RID Router ID
RIP Routing Information Protocol
s-BGP Secure BGP
so-BGP Secure Origin BGP
Syn Synchronization
TCP Transmission Control Protocol
TLD Top-level domain
WWW World Wide Web
XVII
___________________________________________________________________________________________
INTRODUCCIÓN Y MOTIVACIÓN
La seguridad informática es un activo intangible y debe ser entendida como un proceso. Esta se
debe implantar en toda organización como un ciclo iterativo que incluye una serie de actividades
como la valoración de riesgos, prevención, y detección y respuesta ante incidentes de
seguridad. Toda empresa, ya sea líder, o seguidor en el sector, necesita de un sistema de
comunicaciones fiable y seguro.
Se entiende por sistema de comunicación los componentes o subsistemas interrelacionados para la

transferencia de información. Toda comunicación se inicia con la elaboración y emisión de un
mensaje por un canal a uno o más sujetos (Ver figura 1).
FIGURA 1: Modelo de un sistema de comunicación
FUENTE TRANSMISIÓN MEDIO RECEPTOR DESTINO
FUENTE: Elaboración propia
La fuente es quien posee la información que en un momento dado se quiere transmitir. Este
sujeto no tiene la capacidad de transmitir el mensaje directamente, necesita de un transmisor. Este
transmisor es el que se va a encargar de adaptarlo a la naturaleza del medio. Una vez el mensaje
ha atravesado el medio, el mensaje será recibido por un receptor, con funcionalidad inversa a la
del transmisor, que presentará la información al sujeto destino. El momento crítico en toda
comunicación yace en el sistema de transmisión (Ver figura 2). Es en este instante, en la
transmisión de la información, es más vulnerable a ser capturada, modificada y/o eliminada. Por
estos motivos, se debe estructurar de manera segura y eficiente como se va a enviar la información
y de quien y cuando se va a recibir información.
1
___________________________________________________________________________________________
FIGURA 2: Modelo de un sistema de transmisión
FUENTE TRANSMISIÓN MEDIO RECEPTOR DESTINO
Las principales premisas que deben destacar en toda infraestructura de seguridad han de estar
basadas en tres garantías básicas:
 Confidencialidad: garantía de mantener la debida privacidad de los datos de la entidad y/o

de los elementos del sistema.
 Accesibilidad: los sistemas deben prestar servicio para el cual fueron diseñados.
 Integridad: garantía de que los datos no han sido manipulados o alterados
2
___________________________________________________________________________________________
DEFINICIONES
1.1 Internet.
El diccionario de la Real Académica de la Lengua en su vigésima segunda edición aporta la

siguiente definición:
“ Red informática mundial, descentralizada, formada por la conexión directa entre
computadoras u ordenadores mediante un protocolo especial de comunicación. ”
FIGURA 3: Internet, red informática mundial
Son varias las definiciones que se pueden encontrar de Internet, he aquí otra descripción que
proporciona una visión más detallada del concepto:
(Fuente: http://www.americanelearning.com/e-learning-cursos/internet/modulo01/u1l1.htm)
“Una red mundial formada por millones de ordenadores de todo tipo y plataforma,
conectados entre sí por diversos medios y equipos de comunicación, cuya función
principal es la de localizar, seleccionar, e intercambiar información desde el lugar en
donde se encuentra hasta aquella donde haya sido solicitada o enviada.”
3
___________________________________________________________________________________________
La primera concepción de una red de ordenadores interconectados usando conmutación de

paquetes para la transmisión de datos surgió en un programa de investigación de ordenadores
promovido por DARPA en Octubre de 1962. Este concepto de red de ordenadores fue
evolucionando hasta la elaboración de ARPANET en 1966 y publicado en 1967, inicialmente
para fines militares. Tras una larga evolución de 30 años de cambios llegó la “Word Wide Web”,
el servicio más distinguido ofrecido en Internet. La WWW permite la consulta remota de archivos
de hipertexto. Desde 1967 (ARPANET) hasta la actualidad, Internet se ha ido modificando hasta
conseguir ser una red de comunicación global. (Ver figura 4)
FIGURA 4: La prehistoria de Internet
1995
Los principales servicios online ofrecen conexión a Internet
Evolución de usuarios 90/95

40 34
1994
30
Yahoo
20 16
1993
9,4
10 6,9 Nace Internic
2,6 4,4
1991
0 Protocolo WWW
1990 1991 1992 1993 1994 1995 1990
España se conecta
1984
Nace DNS
1982
EUNET
1981
BITNET-NSFNet
1980 cierra
ARPANET
1968
ARPANET
1962
FUENTE: www.noticiasdot.com/publicaciones
4
___________________________________________________________________________________________
El avance del siglo es una asociación voluntaria entre ordenadores de un extremo al otro del
globo. Un diseño basado en la confianza cooperativa entre diferentes entidades (como por
ejemplo, DNS y TCP). Internet es un conjunto de asunciones erróneas y peligrosas debido a la
existencia de delincuentes informáticos, también conocidos como “hackers”. Se entiende por
“hacker” a aquel usuario de ordenadores con las facultades cognitivas necesarias para acceder a un
sistema informático ajeno y obtener información privilegiada.
En el caso que se plantea en este documento Internet es el medio por el cual se va a trasmitir la
información de un extremo a otro. (Ver figura 5)
FIGURA 5: Internet como medio de transmisión
INTERNET
TRANSMISIÓN MEDIO RECEPTOR
Se van a considerar tanto al transmisor como al receptor dos routers conectados por Internet y
tendrán diferentes maneras de comunicarse que se verán más adelante. (Ver figura 6)
FIGURA 6: Comunicación entre routers
INTERNET
Un sistema de comunicaciones debe ser seguro y fiable. En la actualidad, Internet, no posee una
entidad de gobierno centralizado, una administración unitaria que tenga control absoluto en la red.
Internet es una mercancía intangible, no tiene dueño. Es difícil otorgar plenos derechos a una
organización sobre un objeto tan ambiguo y uniforme como Internet.
5
___________________________________________________________________________________________
La información fluye de un extremo a otro por un canal poco seguro basado en protocolos de
encaminamiento inestables y variables. Un protocolo de encaminamiento es un conjunto de
normas utilizadas por un transmisor cuando se comunica con el receptor con el objetivo de
compartir cierta información. Cuando se envía información por la red, no se es consciente de todos
los saltos que esta realiza para llegar a destinatario (Ver figura 7). Hay numerosos atributos de
selección de enlaces que se verán más adelante.
FIGURA 7: Saltos de la información
1.2 Protocolos de encaminamiento
El término protocolo, procede del latín “protocollum”, cuyo significado refiere a la primera hoja
de un manifiesto en la cual se establecen unas instrucciones fijas. Este término aplicado a un
sistema de transmisión como Internet, es la aplicación de unos pasos fijos, continuos,
estructurados y finitos que permiten llegar a un punto final desde un estado inicial. Un protocolo
es un algoritmo estructurado para hacer posible una buena comunicación. Se puede hablar de
algoritmo ya que estas instrucciones fijas son las que, de una manera abstracta, hacen posible el
encaminamiento.
6
___________________________________________________________________________________________
Todo host que maneja un datagrama seguiría el siguiente ciclo iterativo (algoritmo):
FIGURA 8: Algoritmo
1.3 Border Gateway Protocol
Border Gateway Protocol es un protocolo de enrutamiento que sirve como pasarela externa entre
dominios (Interdomain Routing Protocol) que en su día fue diseñado sin seguridad integrada. A lo
largo del tiempo se han propuestos protocolos alternativos sin que a día de hoy ninguno haya sido
ampliamente implementado. Al ser BGP el protocolo que sirve como guía y traza de las rutas de
Internet, una adecuada configuración del mismo es crítica. Los errores en BGP pueden resultar en
desastres que puedan aislar o dejar sin servicio de Internet amplias zonas. Las incidencias pueden
ser tanto locales como en redes remotas, y se considera absolutamente necesario el profundizar en
las consecuencias de las decisiones relativas a la configuración e implementar algunas acciones
para incrementar la seguridad y defensa del protocolo BGP.
7
___________________________________________________________________________________________
1.4 Microsoft Visual Studio 2010
En este proyecto se presentará una aplicación de análisis de routers. Dicha aplicación se ha

programado con el editor de Microsoft, Microsoft Visual Studio 2010. Esta herramienta es un
entorno de desarrollo integrado y sirve para el desarrollo de aplicaciones sharepoint, la Web,
Windows y Windows Phone.
FIGURA 9: Microsoft Visual Studio 2010
FUENTE: Microsoft
8
___________________________________________________________________________________________
BORDER GATEWAY PROTOCOL
2.1 Introducción
La primera versión [25] de este protocolo apareció en 1989 para sustituir a EGP. Posteriormente en
1990 apareció la segunda versión en la RFC 1163. Un año más tarde, en 1991, la tercera versión
de BGP, recogida en la RFC 1267 y finalmente llegó BGP-4 que proporciona soporte para CIDR
(RFC 1771 y RFC 4271). La función principal de BGP es intercambiar la información rutas de
redes con otros sistemas BGP.
BGP tiene dos extensiones dependiendo del tipo de enlace que se esté haciendo, interno o
externo. La versión externa de este protocolo se denomina eBGP, la cual conecta las fronteras de
los sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro de una misma
organización controlado por una misma entidad. En cambio, la modalidad interna del protocolo,
iBGP, sirve para enlazar routers dentro de un mismo sistema autónomo. El uso de BGP requiere
de una sincronización, ya que antes de inyectar BGP en la infraestructura de la red, las diferentes
rutas deben ser conocidas por el Internal Gateway Protocol, de ahora en adelante, IGP, como su
nombre indica, es un protocolo de pasarela interna. Este hace referencia a los protocolos usados
dentro de la organización. Existen diversos tipos de IGPs, los cuales son:
 Sistema intermediario a sistema intermediario. (IS-IS)

 Protocolo de información de encaminamiento. (RIP)
 Protocolos de enrutamiento de pasarela interno. (IGRP)
 Open shortest path first (OSPF).
BGP utiliza TCP versión 4 como protocolo de transporte. TCP agrupa los requisitos de transporte
de BGP y funciona en todo los routers y hosts comerciales que utilizan TCP/IP. BGP utiliza el
puerto 179 de TCP para establecer sus conexiones. Cuando la conexión empieza, un enlace BGP
intercambia copias completas de su tabla de rutas. Una vez la conexión se ha establecido, el enlace
BGP solo intercambiará con otros enlaces los cambios que le sean notificados, lo que convierte a
este protocolo en más eficiente en términos de eficiencia.
9
___________________________________________________________________________________________
BGP tiene un número significante de ventajas sobre otros protocolos de encaminamiento externo,
como por ejemplo:
 Puede operar con redes que tienen topologías cerradas.

 Anuncia todos los sistemas autónomos durante la trayectoria.
 Debido a la segunda ventaja, un nodo que recibe más de un camino posible, puede elegir
sin margen de error, el mejor camino.
2.2 Mensajes y cabecera de BGP
Para facilitar el encaminamiento en Internet, fue dividida en sistemas autónomos. Esto acarrea la
imposibilidad de encontrar el camino más corto para cada enlace ya que cada SA utiliza su propio
protocolo IGP [3] con sus propias políticas de seguridad, por lo que una vez aplicada una serie de
restricciones, BGP utiliza un algoritmo para encaminar similar al vector distancia, llamado path-
vector. Para facilitar la correcta elección de rutas, es crucial proteger los mensajes de actualización
(UPDATES).
Existen 4 tipos de mensajes en BGP:
 OPEN: Es el primer mensaje enviado al iniciar una sesión BGP.

 KEEPALIVE: Mensaje de confirmación tras un OPEN.
 NOTIFICATION: Mensaje para finalizar una sesión BGP
 UPDATE: Mensaje para intercambiar informaciones de encaminamiento.
Toda cabecera [4] BGP tiene 4 campos (Figura 10):
 El campo “marker” está al principio de todo mensaje BGP y sirve para autentificación y
sincronización (inicialmente todo a 1s).
 El campo longitud es la longitud total del mensaje BGP incluida la cabecera.
 El campo tipo es un valor numérico que oscila entre 1 y 4 dependiendo del tipo de mensaje
(OPEN, UPDATE, NOTIFICATION, KEEPALIVE)
 El campo mensaje contiene campos específicos para cada tipo de mensaje para OPEN,
UPDATE y NOTIFICATION.
10
___________________________________________________________________________________________
FIGURA 10: Formato Cabecera Mensaje BGP
0 8 16 24
32
Marker (16 Bytes)
Longitud (2 Bytes) Tipo (1 Byte)
Mensaje
Mensaje
2.2.1 Formato KEEPALIVE
Los mensajes KEEPALIVE [2] se intercambian entre un router y su par para que el Hold-Timer
no expire. Hay un tiempo máximo razonable entre mensajes KEEPALIVE y este sería un tercio
del intervalo del Hold-Timer . Los mensajes KEEPALIVE no se deben enviar con mayor
frecuencia que uno por segundo. La decisión del intervalo entre cada KEEPALIVE se debe ajustar
como una dependencia total del Hold-Timer. Si por ejemplo, el Hold-Timer es 0, no se deberían
enviar KEEPALIVE periódicamente.
11
___________________________________________________________________________________________
2.2.2 Formato OPEN
Cuando se establece una sesión BGP, el primer mensaje que se envía es un OPEN [2] (ver Figura
11). Si el receptor acepta el OPEN, se intercambiarán mensajes del tipo UPDATE,
KEEPALIVE, y NOTIFICATION.
FIGURA 11: Formato mensaje OPEN
Version = 4 Autonomous Hold-TIme BGP Identifier Parameter Operational

System Length Parameter
Marker Length BGP Type = 1 Open Data
La cabecera de un mensaje OPEN contiene los siguientes campos:

 Version: Un octeto del tipo entero que especifica la versión del protocolo que se está
usando (4 en la actualidad).
 Autonomous System: Dos octetos del tipo entero que indican el número de sistema
autónomo del emisor.
 Hold-Time: Dos octetos del tipo entero que indican los segundos que propone el emisor
para este valor. Es el tiempo de espera establecido entre un router y su par.
 BGP Identifier: Cuatro octetos del tipo entero que indican el identificador BGP del emisor.
Un emisor BGP puede establecer este valor como una dirección IP asignada a ese emisor
BGP.
 Parameter Length: Un octeto del tipo entero que indica la longitud total del Optional
Parameters.
 Optional Parameters: Este campo puede contener una lista de parámetros opcionales, los
cuales se cifran de tal manera:
<Parameter Type, Parameter Length, Parameter Value>
12
___________________________________________________________________________________________
2.2.3 Formato UPDATE
Los mensajes UPDATE [2] (ver Figura 12) se usan para intercambiar información de rutas entre
pares BGP. La información en un paquete UPDATE se puede usar para construir un grafo
describiendo las relaciones entre varios sistemas autónomos.
FIGURA 12: Formato mensaje UPDATE
Unfeasible Network Layer

Routes Witdrawn Routes Total Path Patht Attributes Reachability
Length Attribute Length Information
La cabecera de un mensaje UPDATE contiene los siguientes campos:

 Unfeasible Routes Length: Dos octetos del tipo entero indica la longitud del campo
withdrawn routes. Un 0 en este campo signifia que se está quitando ninguna ruta.
 Withdrawn Routes: Este campo es variable y contiene una lista de todos los prefijos cuyas
direcciones IP se están quitando por el servidor.
<length, prefix>
 Length: Este campo contiene la longitud en bits de los prefijos. Un 0
indica un prefijo que vale para todas las direcciones IP.
 Prefix: Este contiene los prefijos de las direcciones.
 Total Path Attribute Length: Este atributo son dos octetos del tipo entero contiene la
longitude total de los octetos del atributo del Path Attributes.
 Path Attribute: Un campo variable cuya presencia es necesaria en todos los UPDATE. Este
campo contiene los siguientes tres elementos:
<attribute type, attribute length, attribute value>
13
___________________________________________________________________________________________
2.2.4 Formato NOTIFICATION
Un mensaje de NOTIFICATION [2] (ver Figura 13) se envía cuando se ha detectado un error o
una condición anómala. La sesión BGP se cerrará inmediatamente una vez se haya enviado este
mensaje.
FIGURA 13: Formato mensaje NOTIFICATION
Error Code Error Sub-Code Error Data
La cabecera de un mensaje NOTIFICATION contiene los siguientes campos:

 Error Code: Este octeto del tipo entero indica el tipo de NOTIFICATION. Los error code
que existen son los siguientes:
1. Error en la cabecera
2. Error en el OPEN
3. Error en el UPDATE
4. Tiempo de espera terminado
5. Error en la máquina final
6. Terminar
 Error Sub-Code: Este octeto del tipo entero provee información más específica sobre la
naturaleza del error. Cada error tendrá uno o más Error Sub-Code asociados.
 Data: Este octeto variable se usa para especificar la razón de la NOTIFICATION. La
información en este campo depende del Error Code y del Error Sub-Code.
14
___________________________________________________________________________________________
2.3 Sesión BGP
2.3.1 Establecimiento de una sesión
La característica primordial de este protocolo es la configuración entre peers (vecinos). Para que
una comunicación BGP sea llevada cabo, dos routers deben establecer su “vecindad”. Para que
dos routers sean vecinos necesitan enviarse la siguiente información:
 Número de versión BGP

 Número de AS
 Router ID (RID) de BGP
Dos vecinos BGP pueden establecer dos tipos de “peering”, iBGP y eBGP. Dentro de un mismo
SA, dos routers vecinos establecen un peering iBGP. Este tipo de BGP también puede ser usado
en los sistemas autónomos de tránsito. Los SA de tránsito reenvían el tráfico desde un SA a otro.
Una buena configuración de iBGP evita bucles de routing ya que un router iBGP no retransmite
la información en otros vecinos iBGP. Entre diferentes SA, dos vecinos BGP establecerían un
peering eBGP, estos vecinos deben tener una subred común. Los routers eBGP no tienen por qué
estar conectados físicamente, sino que pueden estar conectados saltando varias redes (eBGP
Multihomed).
Un enlace BGP pasa por diferentes estados conocidos como, neighbor states. Estos estados se
trasmiten a lo largo de una sesión/comunicación BGP, mediante la interactuación de los enlaces
que participan en la sesión. Estos se generan automáticamente siguiendo un bucle, (Ver figura 14),
los cuales se enumeran a continuación para su posterior análisis:
 IDLE: El vecino no responde.

 ACTIVE: Esperando conexión.
 CONNECT: Sesión TCP establecida.
 OPEN SENT: Mensaje OPEN enviado.
 OPEN CONFIRM: Respuesta recibida.
 ESTABLISHED: Adyacencia establecida.
15
___________________________________________________________________________________________
FIGURA 14: Neighbor state
FUENTE: http://en.wikipedia.org/wiki/Border_Gateway_Protocol
Dos sistemas que estén conectados (ver figura 15) entre sí, intercambian un mensaje de inicio de
sesión y confirma los parámetros de conexión. La primera trama de información que correrá en el
establecimiento de sesión será toda la información de rutas de BGP. Si surge algún cambio, se
enviaran solo el cambio, es decir, BGP no necesita de actualizaciones periódicas de sus tablas de
rutas. Los mensajes KEEPALIVE se envían para saber si la conexión sigue activa. Los mensajes
de notificación son respuestas a posibles errores o condiciones especiales. Si durante la conexión
se detecta un error, se envía un mensaje de notificación y se cierra la conexión.
En el interior de un sistema autónomo, los protocolos de encaminamiento interno se encargan de

proveer a los routers internos de las tablas de rutas. En cambio, las tablas de rutas externas, dentro
de un sistema autónomo, se propagan teniendo todos los routers del sistema conectados vía BGP.
Las políticas de seguridad establecerán que router se usará como entrada/salida del sistema. Antes
de activar BGP dentro del sistema, es importante que todos los routers internos tengan la
información de tránsito actualizada.
Las conexiones entre enlaces BGP pertenecientes a diferentes sistemas autónomos se conocen
como enlaces externos. Las conexiones BGP entre enlaces BGP dentro del mismo sistema
autónomo se conocen como enlaces internos. Igualmente, un enlace dentro del mismo sistema
autónomo se denominará vecino interno, y entre diferentes sistemas autónomos, se denominaran
vecino externo.
16
___________________________________________________________________________________________
FIGURA 15: Inicio de una sesión BGP
BGP TCP TCP BGP
Listen
Idle Idle
Connect Connect
Open Open
Request Request
Initializing Syn Initializing

Syn Sent
Syn Ack
Established Ack Established
Opened
Opened
Open
Open Sent Open
Established Open Sent

Established
KeepAlive
Open Confirm KeepAlive
Open Confirm
Update
Update
FUENTE: GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition
(McGraw-Hill technical expert series). 1998
17
___________________________________________________________________________________________
Los pasos enumerados a continuación con los que BGP utiliza para activar una sesión entre dos
routers:
1. Dos routers que quieran intercambiar información BGP, establecen una conexión a nivel
de transporte TCP. Una conexión de transporte se establece para que BGP pueda crear una
comunicación fiable con su par.
2. Una vez se ha establecido la conexión a nivel de transporte, el par de routers intercambian

mensajes para abrir y confirmar los parámetros de la sesión BGP. Estos parámetros
incluyen el número de la versión BGP que se está utilizando, el número del sistema
autónomo, los valores de timeout de los mensajes del protocolo, y la información de
autenticación.
3. Una vez la sesión BGP está abierta, inicialmente los routers intercambian las tablas de
rutas con su par. La información de cada ruta incluye una lista de los sistemas autónomos
que tendrían que atravesar para llegar al destino.
4. Terminado el intercambio de información, las actualizaciones se envían cuando haya algún

cambio en las tablas de rutas. Para enviar estos cambios, se necesita un servicio a nivel de
transporte. Esta es la razón por la que BGP necesita trabajar sobre TCP.
5. Los mensajes KEEPALIVE para saber el estado de la conexión.
6. Si ocurre algún error, se envía un mensaje de NOTIFICATION, y la conexión se cierra.
2.3.2 Estados BGP
Como ya se ha anunciado previamente, un enlace BGP pasa por diferentes estados durante una
sesión BGP, también conocido como neighbor states [2]. Cabe mencionar que todo enlace BGP
inicialmente se encuentra en el Idle State. A continuación se explicará con mayor detenimiento los
estados por los que pasa un enlace durante la sesión.
18
___________________________________________________________________________________________
a) Idle State (Estado Paralizado)

En este estado, BGP desecha todas las conexiones BGP entrantes. En un principio, todas las
comunicaciones empiezan por el Idle State, posteriormente se inicia la conexión en la capa de
transporte y si esta se realiza con éxito, cambiaría su estado a Connect.
Si un vecino BGP detecta un error, cierra la conexión y cambia su estado a Idle. Para volver a
cambiar su estado se debería iniciar otra vez la conexión. Este proceso no se debe automatizar
nunca. El valor del temporizador para iniciar una sesión son 60 segundos. Para cada denegación
consecutiva se doblará el valor del temporizador. Cualquier evento recibido durante este estado se
ignora.
b) Connect State (Estado Conectado)

En este estado, BGP está esperando a que termine la conexión en la capa de transporte. Si esta
conexión termina satisfactoriamente borra el temporizador del ConnectRetry, completa la
inicialización, manda un OPEN a su par, y cambia su estado a OpenSent.
Si la conexión en la capa de transporte falla, el emisor reinicia el ConnectRetry, sigue a la espera
de una conexión y cambia su estado a Active State. Mientras el enlace este en Active State,
cualquier evento de inicio será ignorado.
c) Active State (Estado Activo)

En esta estado, BGP está intentando que el enlace inicie una conexión en la capa de transporte. Si
esto ocurre, borraría el temporizador del ConnectRetry, enviaría un OPEN a su par, establecería su
Hold-Timer (tiempo de espera) a un valor muy grande y cambiaría su estado a OpenSent.
Si expira el tiempo del ConnectRetry, se reiniciaría, e iniciaría una sesión en la capa de transporte
con otro vecino, continuaría a la espera de una conexión y en tal caso cambiaría su estado a
Connect.
Si el sistema local detecta que un vecino remoto está intentando establecer una conexión BGP, y la
dirección IP del mismo no se conoce, reiniciaría el ConnectRetry, rechazaría el intento de
conexión, seguiría a la espera de una conexión que podría iniciarse por un enlace BGP remoto, y
seguiría en Active State.
19
___________________________________________________________________________________________
d) OpenSent State (Estado Open Enviado)

Durante este estado, BGP está a la espera de un mensaje del tipo OPEN de su par. Cuando se
recibe, se analizan los campos y si detecta algún error, el sistema local enviaría una
NOTIFICATION al enlace y cambiaría a Idle State.
Si no se detecta ningún error en el mensaje, BGP enviaría un KEEPALIVE e inicia un
temporizador Keepalive. El tiempo de espera, que inicialmente se estableció con un valor muy
grande, se reemplazaría con un tiempo de espera acordado.
Si se recibe un mensaje de desconexión en la capa de transporte, el sistema local cerraría la
conexión BGP, reiniciaría el temporizador del ConnectRetry, se pondría a la espera de otra
conexión, y cambiaria su estado a Active State.
Si el tiempo de espera acordado se termina, el sistema local enviaría una NOTIFICATION con
el código de error 4 (Hold Timer Expired) y se cambiaría a Idle State.
Ante cualquier otro evento, el sistema local enviaría una NOTIFICATION con el código de error
5 (Finite State Machine Error) y se cambiaría a Idle State.
Cuando un sistema BGP cambiar su estado de OpenSent State a Idle State, cierra la conexión
BGP (y en la capa de transporte) y desecha todas la información asociada a esa conexión.
e) OpenConfirm State (Estado Confirmación de un Open)

Durante este estado, BGP está a la espera de un mensaje KEEPALIVE o de NOTIFICATION.
Si el sistema local recibe un KEEPALIVE, cambiaría su estado a Established.
Si el tiempo de espera expira antes de que se reciba algún KEEPALIVE, el sistema local enviaría
una NOTIFICATION con el código de error 4 (Hold Timer Expired) y se cambiaría a Idle State.
Si el sistema local recibe una NOTIFICATION, cambiaría su estado Idle State. Si el tiempo del
KeepAlive expira, el sistema local enviaría un KEEPALIVE y reiniciaría el temporizador del
KeepAlive.
Si se recibe una notificación de desconexión en la capa de transporte, el sistema local cambiaría su
estado a Idle State.
Cualquier inicio de sesión sería desechado durante este estado. En respuesta a cualquier otro
evento, el sistema local enviaría una NOTIFICATION, con el código de error 5 (Finite State
Machine Error) y se cambiaría a Idle State.
20
___________________________________________________________________________________________
Si BGP cambia su estado de OpenConfirm State a Idle State, BGP cerraría la conexión BGP,
incluida en la capa de transporte y desecharía toda la información de la conexión
f) Established State (Estado Establecido)

En el Established State, BGP puede intercambiar mensajes del tipo UPDATE, NOTIFICATION
y KEEPALIVE con su par.
Si el sistema local recibe un UPDATE o un KEEPALIVE, este reiniciaría el Hold-Timer si el
Hold-Timer acordado fuese mayor que 0.
Si el sistema local recibe un NOTIFICATION, este cambiaría su estado a Idle State. Si el sistema
local recibe un UPDATE, y en este se detecta un error, el sistema local enviaría un mensaje de
NOTIFICATION con el código de error 4 (Hold Timer Expired) y cambiaría su estado a Idle
State.
Si el tiempo del KeepAlive se agota, el sistema local enviaría un KEEPALIVE y reiniciaría dicho
temporizador.
Siempre que el sistema local enviar un KEEPALIVE o un UPDATE, este reinicia el tiempo del
KeepAlive, siempre y cuando el valor del Hold-Timer acordado sea distinto de 0.
Los eventos de inicio de sesión durante este estado se ignoran.
En respuesta a cualquier otro evento, el sistema local enviaría una NOTIFICATION con el
código de error 5 (Finite State Machine Error) y cambiaría su estado Idle State.
Siempre que BGP cambia su estado de Established State a Idle State, se cierra la conexión BGP,
capa de transporte incluida, y desecha toda la información relacionada con esa conexión y elimina
todas las rutas recibidas durante la misma.
21
___________________________________________________________________________________________
2.4 Reglas de filtrado
Los errores en BGP más comunes son fallos de configuración. Un buen administrador de red
puede establecer filtros de red en sus tablas de rutas BGP. Existen diferentes tipos de filtros BGP,
se realizará un estudio detallado de cada filtro BGP. A nivel conceptual se presenta lo siguiente:
 Communities de BGP: un atributo global voluntario y transitivo entre 1y 4.294.967.200

(tipos: internet, no-export, no-advertise, local-as)
 BGP prefix lists: filtran envíos y entradas de rutas que se envían o se reciben de otros
vecinos.
 BGP distribute lists: filtran las listas de rutas que se reciben o se emiten.
 Filtros de BGP as path: filtrado por sistema autónomo, tiene operadores de comparación
para establecer los filtros. ( .; ^; $; _, *). Un ejemplo de filtrado BGP as path sería el
siguiente:
Se quiere filtrar todo el tráfico que venga de cualquier sistema autónomo que
comience por 458:
^458_
En la actualidad solo existen 2 maneras de configurar un tráfico BGP seguro y fiable. Por un lado,
un administrador de red, configurando adecuadamente los filtros tanto de entrada como de salida,
descartaría los prefijos reservados recibidos. Asimismo, tratándose de una organización final,
evitaría ser transitada, modelando el correcto control de acceso para obviar información no
autorizada (spoofing). Por otro lado, promovería el uso de contraseñas al establecimiento de una
sesión pero este genera demasiados problemas y lo convierte poco práctico. Ésta opción abre un
nuevo abanico de problemas, como son:
 Distribución de contraseñas: si las claves son interceptadas, no sirven.

 Tiempo establecido para cambiar contraseñas: los administradores de red de los enlaces
periféricos deben saber cada cuanto tiempo cambiar las claves y hacerlo en el instante
exacto.
22
___________________________________________________________________________________________
Como se aprecia, el establecimiento de claves, genera inconvenientes operacionales. Aun así, una
clave utilizada únicamente al inicio de una transmisión BGP no impide que esta pueda ser
interceptada y que uno de los dos extremos sea suplantado.
2.4.1 Configuración de MD5
Message-Digest Algorithm 5 (Algoritmo de Resumen del Mensaje 5) es un algoritmo de

encriptación de 128 bits. Se entiende por encriptación:
(Fuente: http://www.alegsa.com.ar/Dic/encriptacion.php)
“La encriptación es el proceso para volver ilegible

información considerada importante. La información una
vez encriptada sólo puede leerse aplicándole una clave.”
Configurar MD5 en BGP es bastante sencillo. Un administrador de red que establezca un

algoritmo de encriptación como MD5 entre dos routers se asegurará que cada segmento enviado
en una sesión TCP estará verificado previamente. El inconveniente de usar MD5 es que ambos
routers tendrán que tener la misma contraseña, sino, la conexión nunca se llevará a cabo. Véase el
siguiente ejemplo:
Ejemplo de configuración de MD5
En este ejemplo se va a configurar MD5 entre dos routers del mismo sistema autónomo. Datos de
interés:
 Véase Figura 16
 Contraseña MD5: EjemploMD5
23
___________________________________________________________________________________________
FIGURA 16: Filtrado por MD5
AS 150
R1 R2
Loopback1: 10.10.10.10/ 32 Loopback2: 20.20.20.20/ 32
192.168.1.1 /24 192.168.1.2 /24
Las 3 líneas a tener en cuenta en las configuraciones de los dos routers están marcadas a
continuación (Véase figura 17). En estas 3 líneas se está haciendo lo siguiente:
 neighbor x.x.x.x password contraseña: configuración IBGP usando la dirección de

Loopback.
 neighbor x.x.x.x update-source Loopback: Invocar a MD5 en una session TCP con
un vecino BGP.
 ip route x.x.x.x 255.255.255.255 y.y.y.y: Establecer ruta estática para saber que se
puede llegar a ella.
FIGURA 17: Configuración MD5
24
___________________________________________________________________________________________
2.4.2 Filtrar usando Router-Map
Las instrucciones del Route-Map son un conjunto de listas de comandos y set asociados para
filtrar el tráfico BGP entrante/saliente. Los comandos más importantes a la hora de configurar este
tipo de filtro son los siguientes:
 Match: especifica el criterio de verificación.

 Set: especifica las acciones.
Siguiendo con el ejemplo anterior, la configuración Route-Map de R2 sería la siguiente:
FIGURA 18 Configuración Router-Map
25
___________________________________________________________________________________________
2.4.3 Filtrar usando Filter-List
Filter-List provee diferentes tipos de filtro. En el ejemplo que se ha ido elaborando a lo largo de
este apartado, supóngase, que se quieren filtrar todas las rutas que venga del exterior. Es decir, en
el router 2 se quieren filtrar todas las rutas que no sean locales, la sintaxis sería la siguiente:
ip as-path access-list 10 permit ^$
Imagine que el router 2 está conectado a un proveedor de servicio. Este pertenece al sistema
autónomo 200. En el router 1, se quiere desechar todas las rutas que no provengan de este SA. La
sintaxis en este caso es la siguiente:
ip as-path access-list 10 permit ^200$
2.5 BGP-4
La versión actual de BGP, BGP-4, está definida en la RFC 1771. BGP-4 es un protocolo de
encaminamiento entre sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro
de una misma organización, como por ejemplo, una red universitaria. Este conjunto de redes
tienen definida una única política de encaminamiento. Los sistemas autónomos tienen un
identificador de 16 bits (de 0 a 65536) pero al igual que en direcciones IP, este rango es teórico ya
que del 64512 al 65535 se encuentran reservados para uso privado (Ver figura 16).
BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantación de prefijos,

sistemas autónomos o routers, pueden realizarse con mucha facilidad. También es crucial la buena
configuración de BGP, ya que un error en su configuración puede emblandecer la seguridad de la
organización. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un
fallo de configuración se mantengan local y no se propaguen por todo Internet.
26
___________________________________________________________________________________________
FIGURA 19: Conexión entre sistemas autónomos
AS: 33123
AS: 00079
R R
1 6
R
4 R
5
Enlaces interno
R R Enlaces externos
2 3
Router BGP
AS: 60203
BGP-4 tiene conocidas vulnerabilidades muy difíciles de solventar, si bien estas deficiencias
deben ser estudiadas en detalle. Dos puntos clave deben ser tomados en referencia a los riesgos del
protocolo:
 Cualquiera que se conecte a internet, sin las medidas de protección apropiadas está
expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que
pueden derivar en una denegación de servicio (DoS), secuestro de sesión, o intercepción de
las transacciones realizadas.
 Un riesgo añadido, es que hoy en día no todos los técnicos desempeñando misiones en
infraestructura de red disponen de una capacidad técnica y de conocimientos para
cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo
de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus
ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan
sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración
realizados por los técnicos y administradores de la red.
27
___________________________________________________________________________________________
2.6 Seguridad en BGP
Cada vez hay un mayor número de gestiones y dependencias a nivel de usuario realizadas en
Internet. Un fallo en BGP sería fatal para la comunicación en la “World Wide Web” (www). El
desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y
que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debería ser un
objetivo primordial para todas las organizaciones. Estas no ven una mejora inmediata que pueda
repercutir en sus clientes y probablemente hasta que no se reciban varios ataques al protocolo BGP
no se considerará la necesidad de asegurar sus sistemas.
Existen propuestas formales para hacer BGP seguro tales como:
 TCP/MD5 [RFC 2385]: Es una extensión a TCP que incluye firma MD5.
 soBGP (Secure Origin BGP): Verifica el origen de cada mensaje, utiliza certificados y un
nuevo tipo de mensaje.
 S-BGP I (Secure BGP): Propuesta para incluir autentificación, integridad y autorizaciones
en los mensajes BGP.
Entre las alternativas más satisfactorias presentadas para dotar de seguridad a BGP, cabe destacar
Secure BGP (S-BGP) desarrollado por BBN Technologies y promovido por la National Security
Agency (NSA) y por la Defense Advanced Research Projects Agency (DARPA). El objetivo de S-
BGP es el de garantizar la autenticidad, integridad y autorizaciones a los mensajes BGP. Secure
BGP se basa en 3 elementos:
 Certificados digitales: 2 Public Key Infrastructure (PKIs) para autentificar los prefijos IP y
sistemas autónomos.
 Attestations: de direcciones y de rutas
 IPSec: aportar autenticidad e integridad entre pares de routers.
La implantación de S-BGP requiere de grandes inversiones para la actualización software como de

hardware. Los routers no solo harían función “re-lee”, sino que también deberían tener mayor
memoria para almacenar certificados digitales y mayor capacidad de proceso para realizar
funciones criptográficas.
28
___________________________________________________________________________________________
Considerable obstáculo para la implantación de S-BGP, es la colaboración de las entidades de

registro para hacerse cargo de las necesidades básicas de usar PKIs, tales como:
 Emisión de los certificados

 Renovación de los certificados
 Mantenimiento y publicación de listas de revocación
En seguridad BGP se han estudiado diferentes propuestas, la excesiva complejidad de estas

soluciones las convierte en poco prácticas. Invertir en seguridad es determinante para satisfacer un
grado de seguridad necesario. Aún no cubriendo todas las vulnerabilidades conocidas, una
propuesta que cubra las principales con un menor coste sería puesta en marcha de inmediato.
2.7 Resumen
El administrador de una organización puede solucionar parcialmente los ataques intencionados

hacia su sistema autónomo. Estas opciones de seguridad eliminan en parte las posibles agresiones
pero se necesitan soluciones globales de seguridad en BGP. Los fallos de configuración son más
comunes que los ataques al protocolo BGP. Estos errores deben ser estudiados en las políticas de
seguridad.
Una correcta documentación de la infraestructura de red ayudará a corregir y localizar posibles

fallos de configuración. En el siguiente apartado se va a realizar una configuración completa de un
caso real BGP recogiendo toda la información necesaria para limitar el rango de error y facilitar el
correcto mantenimiento de la red.
29
___________________________________________________________________________________________
CONFIGURACIÓN SIMPLE DE BGP
3.1 Introducción
El número de fallos de configuración [1] potenciales que un administrador de red puede introducir
a una interconexión de redes es ilimitado. A la hora de configurar un router, los Internetwork
Operating System, de ahora en adelante IOS, de Cisco, envían numerosos avisos durante el
proceso para evitar que estos fallos echen abajo toda una infraestructura de red.
Cuando se vaya a realizar una configuración de una red, toda la documentación debe estar
recogida en un mismo documento. Esto facilitara el mantenimiento y su correcta configuración. El
documento se podría dividir en los siguientes puntos:
 Administrativos: nombre de los routers, contraseñas, servicios y nombres de usuarios.

 Interfaces: ancho de banda, métrica, autenticación y encapsulación.
 Protocolos de encaminamiento: IGRP, EIGRP, OSPF, RIP y BGP.
 Gestión del tráfico: listas de control de accesos. (ACLs)
 Políticas de encaminamiento: mapa de las rutas.
Las tres secciones que pueden ayudar a entender o localizar un fallo de configuración serán
el/(los) protocolo(s) que se esté usando, la gestión del tráfico, o la lista de control de accesos.
Siempre que se vaya a hacer un cambio en la configuración de la red, este deberá estar recogido en
el documento que contenga toda la instalación y/o configuración previa.
Una vez se tiene documentada toda la información que se ha calificado como necesaria para una
correcta política de seguridad, es necesario saber como la red/organización se va a comunicar con
el exterior. Internamente se puede estar usando cualquier IGP (como OSPF) e incluso
interconectar varios IGPs (como IGRP o RIP), el problema de estos protocolos es que sus orígenes
no fueron diseñados para soportar un número elevado de rutas. Es necesario usar otro protocolo
para transportar todas las rutas que son el resultado de interconectar todos los dominios que
forman Internet. Estos protocolos son conocidos Exterior Gateway Protocols (EGP). El protocolo
más popular de esta rama de los protocolos de encaminamiento es BGP.
30
___________________________________________________________________________________________
El encaminamiento en BGP no es un protocolo basado en buscar el camino más corto entre una
fuente y un destino. Cuando un router BGP tiene más de un camino por el que puede enviar un
paquete, el proceso de encaminamiento se convierte, en cierta manera, muy complejo. La elección
de la ruta requiere de un análisis y comparación de hasta 12 parámetros. En cualquier otro
protocolo interno de encaminamiento (IGP), el proceso de encaminar queda reducido a un simple
numero, este número puede ser una función de otras muchas variables dependiendo del protocolo
que se esté usando. En BGP esto cambia, el llegar a un destino establecido, puede estar
determinado por muchos atributos, tales como:
 AS_path
 Preferencias locales
 Origen
 Peso
 Comunidad
Para entender las diferentes problemáticas que pueden surgir a la hora de configurar un router en
BGP, supóngase que se plantea el siguiente caso (Ver figura X). En este escenario se tiene un
cliente, denominado C1, y dos proveedores de enlaces P1 y P2.
Para configurar la presente situación se van a usar una serie de comandos preestablecidos e
identificados en el protocolo BGP. Este proceso de configuración se activa y se procesa e un
router Cisco mediante el siguiente comando:
Router bgp as_number
Donde el as_number es el número del sistema autónomo al que el router que se quiere configurar
pertenece. Los sistemas autónomos BGP son los bloques que constituyen toda la infraestructura
de internet, son colecciones de routers y redes con políticas de encaminamiento que son guiadas
por consideraciones económicas, políticas y de seguridad. La activación de un proceso BGP en un
router requiere de un número de sistema autónomo (ASN), este número que se usara para activar
el proceso BGP identifica unívocamente el sistema autónomo al que el router pertenece.
31
___________________________________________________________________________________________
3.2 Estado de la cuestión
Supóngase que el cliente C1 se dedica a la compra/venta de productos por Internet. C1 tiene

multitud de clientes y para poder darles servicio debe ser capaz de admitir cientos de accesos
diarios a su página web. Debido a esto, decide ser multihomed, lo que significa que C1 usará más
de un proveedor de servicio para poder ofrecer tales servicios. Teniendo varios niveles de
multihoming, C1 se asegura que si uno de sus proveedores deja de prestar servicio, el acceso a su
página web está garantizado. En la figura se puede ver que a C1 se puede llegar desde el
proveedor P1 y desde el proveedor P2, además P1 y P2 están conectados entre sí por lo que a C1
se puede acceder vía P1-P2 o desde P2-P1.
Para realizar una correcta configuración del caso que se ha planteado en este proyecto, se va a
recaudar toda la información necesaria ya explicada en el punto anterior. Considérese el
administrador de red del Cliente. Según los puntos que se han comentado en el apartado anterior,
se debería implementar un modelo de configuración optimizado y lo más preciso posible.
3.2.1 Aspecto administrativos
El cliente necesita dar servicio a centenares de visitas diarias, por lo que ha decidido ser
multihomed. Los routers que ha decidido implantar en su infraestructura de red son dos routers
Cisco 3640 (las características de dichos routers se pueden ver más abajo). Ambos routers están
conectados mediante un switch por Fast Ethernet. Solo uno de ellos (RC1) servirá de enlace con el
exterior. Se va a establecer MD5 entre los dos routers para asegurar la seguridad de la conexión, la
contraseña que se va a usar es “PassPFC”.
A continuación se han dividido los aspectos administrativos en dos bloques:
a) Características routers 3640

b) Resumen
32
___________________________________________________________________________________________
a. Características routers 3640
FIGURA 20: Características de un router Cisco 3640
FUENTE: Elaboración propia, con datos de www.cisco.com
b. Resumen
 Routers:
 Dos routers Cisco 3640
 RC1
 RauxC1
 Conexión entre routers: Fast Ethernet
 Contraseña MD5: PassPFC
33
___________________________________________________________________________________________
3.2.2 Interfaces
El router RC1 tendrá tres interfaces externos, 2 al proveedor 2 y uno al proveedor 1. En cambio,
solo tendrá un enlace interno para comunicarse con RauxC1, este enlace será mediante un switch.
a. Interfaces RC1
 S0/0: 040.040.040.001 /30 – PROVEEDOR 2 (R1P2)
 S0/1: 010.010.100.001 /30 – PROVEEDOR 1 (R1P1)
 S0/2: 100.040.100.001 /30 – PROVEEDOR 2 (R2P2)
 Fe0/0: 192.168.001.001 /24 – ENLACE A SWITCH
 Loopback0: 192.168.000.001 /24 – LAN DEL CLIENTE
b. Interfaces RauxC1
 Fe0/0: 192.168.001.002 /24 – ENLACE A SWITCH
 Loopback0: 192.168.000.002 /24 – LAN DEL CLIENTE
3.2.3Protocolos de encaminamiento
El router RC1 se va a comunicar con los dos proveedores vía BGP. Se configurará su router para
que establezca una sesión eBGP con P1 y P2. Por último, el router RC1 usará Routing Information
Protocol para conectarse con el switch, y RauxC1, idem.
3.2.4 Gestión del tráfico
El enlace principal que va a dar servicio a RC1 será el router denominado R1P2 (s0/0), por esta
razón se le dará más peso a esta salida del router. A los otros dos enlaces externos se les atribuirá
el mismo peso, el router elegirá por orden en la ejecución.
Ejemplo
ip as-path access-list 10 permit ^200$
34
___________________________________________________________________________________________
3.2.5 Políticas de encaminamiento
El gráfico que se muestra a continuación sería el equivalente al caso que se ha planteado en

apartados anteriores.
FIGURA 21: Caso real de configuración BGP
S3
35
___________________________________________________________________________________________
3.4 Graphical Network Simulator
3.4.1 Situación inicial
A continuación, se va configurar el caso planteado (ver figura 22) previamente con el simulador
Graphical Network Simulator (GSN-3). El simulador GSN-3 permite crear y diseñar complejas
topologías de red para su posterior estudio y configuración. Se trata de un simulador tan preciso y
completo que es usado por ingenieros y administradores de red para realizar pruebas unitarias en
sus redes.
En el anexo B de este documento se encuentran las plantillas de configuración de routers Cisco

sobre las cuales se han fundamentado las siguientes actuaciones desarrolladas en este epígrafe.
En el caso que se ha planteado en este apartado, y al no disponer de los medios suficientes para
realizar una configuración al nivel de este proyecto, se van a estudiar los pasos enumerados en el
apartado anterior. El estado inicial de la tipología de red estudiada sería el siguiente:
FIGURA 22: Simulación caso real GSN3
FUENTE: Elaboración propia usando GSN3
36
___________________________________________________________________________________________
Esta tipología consta de 6 routers Cisco 3640. Los sistemas autónomos 64901 y 64662 son
proveedores de servicios de internet (ISP) y se simulará como el cliente 1 configura el router de tal
manera para obtener el servicio de los dos proveedores, el router RauxC1 del cliente ha sido
añadido a la topología para poder dar un ejemplo de iBGP.
El router del cliente será multihomed, es decir, se podrá acceder al router RC1 (ver figura 23) por
tres diferentes enlaces, dos de ellos por el AS 64901 y el restante por el AS 64662. Teniendo tres
posibles enlaces, se podrá configurar BGP para decidir en todo momento que AS se quiere
atravesar. Esto se debe a BGP AS path attribute. En una configuración predeterminada de BGP el
router del cliente elegirá el enlace por el número de saltos.
FIGURA 23: Estado RC1
37
___________________________________________________________________________________________
En resumen, inicialmente los routers, tanto de los dos ISP como del cliente estarían conectados de
la siguiente manera:
FIGURA 24: Estado enlaces
38
___________________________________________________________________________________________
La configuración de los routers se va a dividir en 5 pasos que serán analizados para comprender
las posibles problemáticas que pueden surgir cuando a un administrador se le plantee una situación
parecida. Se recuerda que no hay una metodología propia a la hora de configurar BGP, por lo que
la subdivisión de esta actividad se ha realizado para una mayor facilidad de comprensión y posible
solución ante los fallos de configuración que se verán más adelante. Los 5 pasos principales que se
han detectado en esta situación serian los siguientes:
1. Configuración previa a la activación del protocolo BGP de cada uno de los enlaces de los
routers.
2. Comprobación de las tablas de rutas de cada uno de los routers.
3. Configuración del protocolo BGP

 Activación del protocolo
 Definir vecindad entre los routers (eBGP)
 Definir que rutas serán inyectadas en BGP.
4. Establecer vecindad de los routers pertenecientes al mismo SA (iBGP)
39
___________________________________________________________________________________________
3.5 Metodología de configuración del protocolo
3.5.1Configuración previa de los routers
Los proveedores de servicio son proveedores de tránsito, por lo que tendrán millones de clientes
como RC1 y ellos forman la estructura de Internet. La única politica que tienen estos proveedores
de servicio es la de dejar pasar todo el tráfico que necesita pasar por sus sistemas. La
configuración que se presta a continuación, es previa a la activación del protocolo BGP e incluso a
la declaración de vecindad entre los enlaces. Las siguientes configuraciones establecen que
direcciones IPs van a ser utilizadas por los routers.
El primer router que se va a configurar, es el router del cliente (RC1). La siguiente figura muestra
que direcciones IP han sido asignadas para cada tipo de enlace:
FIGURA 25: Enlaces RC1
40
___________________________________________________________________________________________
Con la asignación de direcciones de la figura anterior, la configuración es la siguiente:
FIGURA 26: Fichero de configuración de RC1
El siguiente router que se va a configurar, es el router del proveedor 1. Este va a tener dos
conexiones eBGP (ver Figura 27), una para prestar servicio al cliente y la otra conexión sera un
enlace contratado entre los dos ISPs.
FIGURA 27: Enlaces R1P1
41
___________________________________________________________________________________________
Con la asignación de direcciones de la figura anterior, la configuración es la siguiente:
FIGURA 28: Fichero de configuración de R1P1
El siguiente router que se va a configurar, es el router 1 del proveedor 2. Este va a tener dos
conexiones eBGP (ver Figura 29), una para prestar servicio al cliente y la otra conexión será un
enlace contratado entre los dos ISPs.
42
___________________________________________________________________________________________
Con la asignación de direcciones de la figura anterior, las configuraciones de los dos

routers del proveedor 2 serían las siguientes:
FIGURA 31: Fichero de configuración de P2
43
___________________________________________________________________________________________
3.5.2 Comprobación de las tablas de rutas
En el siguiente apartado se va a comprobar que la configuración del router cliente ha sido

realizada correctamente [5]. Para saber si el router ha reconocido los enlaces que se le han
configurado en el fichero, se va a abrir el simulador de redes (GSN3) y a continuación se abre la
consola. En dicha consola, se escribe el siguiente comando (Ver figura 32):
RC1# sh ip route
FIGURA 32: Comando “sh ip route”
FUENTE: Elaboración propia usando la consola de GSN3
El resultado a la ejecución de este comando sería el siguiente:
FIGURA 33: Comprobación de tabla de rutas
44
___________________________________________________________________________________________
El resultado puede parecer erróneo [8], fijándose en cada enlace, se aprecia que de cada enlace que
se ha configurado en el router nacen dos subredes. En principio, esto puede parecer un fallo de
configuración, pues la razón de esto sería la siguiente:
La explicación de este resultado es por como Cisco IOS clasifica las rutas de las tablas de rutas.
Básicamente hay dos tipos de rutas:
 Rutas nivel 1
 Rutas nivel 2
A su vez las rutas de nivel 1 se subdividen en:
 Rutas finales de nivel 1

 Rutas padre de nivel 1
Para poder seguir explicando este concepto de Cisco, se debe explicar previamente el concepto
de clases (Ver figura 34):
 Valor mínimo que puede tener una dirección IP: 0.0.0.0

 Valor mínimo que puede tener una dirección IP: 255.255.255.255
FIGURA 34: Clases de direcciones IP
FUENTE: http://redesdecomputadores.umh.es/red/ip/default.html
45
___________________________________________________________________________________________
Se entiende por rutas de nivel 1 a aquellas rutas que tienen una salida en su interfaz o siguiente
salto y una máscara de subred por debajo o igual que la clase por defecto:
Por ejemplo:
 192.168.1.0/24
 172.16.1.0/16
 192.168.0.0/16
Supóngase el siguiente caso:
RC1(config)#interface loo
RC1(config)#interface loopback 1
RC1(config-if)#ip address 192.168.2.1 255.255.255.0
RC1(config-if)#exit
RC1(config)#do show ip route
output ommited
Gateway of last resort is not set
C 192.168.2.0/24 is directly connected, Loopback1
La ruta se ha sido añadida y ninguna ruta adicional se ha creado por defecto. Esto confirma lo que
se explicaba previamente acerca de las rutas finales de nivel 1.
Las rutas de nivel 2 son aquellas rutas que tienen una máscara mayor que la que le correspondería
por su clase. Véase el siguiente ejemplo:
R1(config-if)#exit
R1(config)#int lo3
R1(config-if)#ip address 192.168.3.1 255.255.255.128
R1(config-if)#do show ip route
output ommited
Gateway of last resort is not set
192.168.3.0/25 is subnetted, 1 subnets

C 192.168.3.0 is directly connected, Loopback3
46
___________________________________________________________________________________________
Esta red es de tipo nivel 2 ya que la máscara de la subred es mayor que la de su propia clase por
defecto, fíjese que una segunda ruta fue creada al añadir una ruta de nivel dos.
192.168.3.0/25 is subnetted, 1 subnets

C 192.168.3.0 is directly connected, Loopback3
Este tipo de red es una red de tipo 1 padre. Una ruta padre de nivel 1 no tiene siguiente salto o
salida de la interfaz. Estas se crean automáticamente cuando se añade una ruta de nivel 2.
3.5.3 Configuración del protocolo BGP
A continuación, se va configurar el protocolo BGP. Llegados a este punto, hay que realizar tres
pasos clave simultáneamente. Estos tres pasos son los siguientes:
 Activación del protocolo

 Definir vecindad entre los routers (eBGP)
 Definir que rutas serán inyectadas en BGP.
El objetivo de esta configuración es la de permitir que el router del cliente pueda establecer
vecindad con los routers de los proveedores.
a. Activación del protocolo

La activación del protocolo se va a llevar a cabo con un comando en el propio fichero de
configuración. El comando que activaría el protocolo es el siguiente:
router bgp [Número de sistema autónomo]

Donde el número del sistema autónomo es el propio número del cliente, es decir, aquel sistema
autónomo al que pertenece el RC1.
router bgp 64512
47
___________________________________________________________________________________________
El router del cliente propaga la dirección de loopback0 192.168.000.001, por lo que:
network 192.168.000.000
b. Definir vecindad entre los routers (eBGP)

Como ya se vio anteriormente (Ver figura 35), el router RC1 tendrá 4 enlaces. Tres de los cuales
son enlaces externos, y el restante interno. Para definir un vecino externo en BGP se usa el
siguiente comando:
neighbor [Dirección IP] remote-as [Número de sistema autónomo]

Donde el número del sistema autónomo es el número del sistema autónomo del proveedor, y la
dirección IP es la dirección del router destino (proveedor)
FIGURA 35: Vecindad entre routers
c. Configuración final
A continuación se añade a lo ya configurado hasta ahora la configuración del protocolo BGP. Este
último fragmento de código sería el siguiente:
FIGURA 36: Configuración vecinos BGP en el fichero
48
___________________________________________________________________________________________
Configuración total del router en este momento
FIGURA 37: Configuración RC1
49
___________________________________________________________________________________________
d. Comprobación vecinos BGP

En este último paso, se va a ver el estado de la conexión BGP [7]. Llegados a este punto, los
routers deben tener conexión entre ellos. Para ver el estado de la configuración se introducirá el
siguiente comando:
RC1# sh ip bgp neighbors
FIGURA 38: comando “sh ip bgp neighbors”
El resultado a la ejecución de este comando sería el siguiente:
FIGURA 39: Comprobación de tabla de rutas
50
___________________________________________________________________________________________
Esta conexión BGP corresponde a la que viene a continuación (RC1-R1P2):
FIGURA 40: Neighbor R1P2
Todo administrador que haya llegado a este punto configurando un router cisco, debería fijarse en
tres cosas para saber si está realizando la configuración correctamente. Estos tres puntos se
muestran infra:
FIGURA 41: Comprobación vecindad R1P2
Lo más importante llegados a este punto es tener:

 BGP state = Established
 BGP neighbor is 40.40.40.2 (la dirección IP del router vecino)
 Router ID 202.168.0.1
51
___________________________________________________________________________________________
La siguiente conexión corresponde al cliente - proveedor 1 (RC1-R1P1) al cliente-proveedor2

(RC1-R2P2):
FIGURA 42: Neighbor R1P1 y R2P2
RC1-R1P1 RC1-R2P2
A continuación se verifica que el protocolo BGP esté correctamente configurado con los enlaces
del proveedor 1 y del proveedor 2.
FIGURA 43: Comprobación vecindad R1P1 y R2P2
RC1-R1P1
RC1-R2P2
52
___________________________________________________________________________________________
3.5.4 Configuración Interior-BGP
En este apartado de configuración se va a configurar el router del cliente para que se comunique
con el router auxiliar que se definició en su infraestructura de red. Interior-BGP se define de la
siguiente manera:
neighbor [Dirección IP] remote-as [Número de sistema autónomo]

Donde el número del sistema autónomo es el número del sistema autónomo al que
pertenece el cliente
FIGURA 44: Configuración Interior-BGP
LoopBack0
192.168.0.1 /24
Fa0/0
192.168.1.1 /24
LoopBack0
192.168.0.2 /24
Fa0/0
192.168.1.2 /24
FIGURA 45: Comandos configuración Interior-BGP
53
___________________________________________________________________________________________
ATAQUES EN BGP
4.1 Introducción
En este apartado, se va a realizar un análisis de los posibles ataques centrados en BGP. Se van a
estudiar posibles ataques, presentando su lógica y el impacto que tendrían en un sistema
distribuido con routers BGP. Será importante saber el comportamiento de quienes realizan estos
ataques locales y la identificación y evaluación de posibles nuevos escenarios BGP.
BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantación de prefijos,

sistemas autónomos o routers, pueden realizarse con mucha facilidad. También es crucial la buena
configuración de BGP, ya que un error en su configuración puede emblandecer la seguridad de la
organización. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un
fallo de configuración se mantenga local y no se propaguen por todo Internet.
BGP funciona sobre TCP por lo que es sensible a sus ataques (SYN Flooding, TCP RST/FIN/FIN-
ACK, TCP SYN ACK, TCP ACK, RST falsos). Se pueden quedar redes inaccesibles o redirigidas
a un suplantador. Al no haber control temporal en los mensajes BGP, estos pueden ser capturados,
eliminados, modificados o reenviados. Un router puede suplantar a otro e inyectar información
inválida a sus vecinos. La información en los mensajes BGP no se encripta ya que los routers no
tienen capacidad de proceso suficiente para realizar funciones básicas de encriptación, es decir, la
información de encaminamiento es difundida en texto claro.
Los ataques conocidos de BGP se pueden enumerar en una amplia clasificación. Esta clasificación
es la siguiente:
 Establecer una sesión BGP no autorizada con un extremo.

 Originar un cambio no autorizado en las tablas de rutas de un extremo.
 Cambiar el enlace predeterminado de un prefijo.
 Llevar a cabo un ataque conocido como negación/degradación de servicio (DoS) en un
proceso BGP.
 Inyectar segmentos TCP con el bit de RST activado.
54
___________________________________________________________________________________________
4.2 Vulnerabilidades y errores de concepto
El diseño de BGP asume que redes operando autónomamente son fiables y aquí lamentablemente
no es así, ya que siempre habrá quien se encargue de hacer ver la realidad. BGP se utiliza para el
intercambio de información de enrutamiento de cómo alcanzar un destino a través de de un
protocolo vectorial de ruta. Cada Router anuncia el mejor camino a un destino a sus routers
vecinos y en turnos cada router determina el mejor camino basado en las rutas recibidas (ver
figura 34). Igualmente, anuncia solo los prefijos que origina y solo la mejor ruta a sus vecinos. En
la práctica se puede decir que los sistemas autónomos tasados de maliciosos pueden secuestrar
prefijos de otros sistemas autónomos., Agregar falsos prefijos, Spoofing (es decir utilizar la IP o el
nombre falso de un router autentico), Alterar o incluso falsificar rutas, agregar o desagregar
prefijos no autorizados, etc.
FIGURA 46: Mejor camino basado en rutas recibidas
55
___________________________________________________________________________________________
En cuanto a la infraestructura lógica se refiere, si los routers no puede dirigir y realizar

apropiadamente un enrutamiento del trafico, Internet presentará una falta de conectividad que
puede afectar tanto localmente a nuestra infraestructura como globalmente en nuestra capacidad
de comunicarnos con otros nodos, aparte de otras consideraciones esto puede se provocado, por
ejemplo, errores de configuración o de implementación de seguridad.
 Ejemplo: secuestro de sesión, ataques, etc..
Uno de los puntos vitales es la implementación de la Defensa contra ataque de hombre en medio
(Man-in-The-Middle Attacks )
La forma como está organizada la conectividad externa se basa en que cada organización confía
su conectividad a Internet al protocolo BGP4, no hay otro modo y BGP4 Tiene conocidas
vulnerabilidades muy difíciles si no imposibles de solventar, si bien estas amenazas deben ser
monitorizadas con suma atención.
Dos puntos clave que deben ser tomados como referencia en los riesgos del protocolo BGP son:
 Cualquiera que se conecte a Internet, sin las medidas de protección apropiadas está
expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que
pueden derivar en una denegación de servicio, secuestro de sesión, o intercepción de las
transacciones realizadas.
 Un riesgo añadido es que hoy en día no todos los técnicos desempeñando misiones en
infraestructura de red disponen de una capacidad técnica y de conocimientos para
cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo
de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus
ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan
sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración
realizados por los técnicos y administradores de la red.
56
___________________________________________________________________________________________
Puntos básicos a definir para enrutamiento y de sus amenazas inherentes son:
 Actualizaciones de los enrutamientos

 Atributos de las rutas
 Prefijos
 ASN,s
 Vulnerabilidades e historia de ataques típicos a BGP
A lo largo del tiempo, se han propuesto una serie de soluciones de seguridad, para que la debida
integridad de las rutas se mantenga. Igualmente, la implementación de estas soluciones de
seguridad implica la utilización de técnicas y mecanismos criptográficos para realizar una
autenticación de las rutas y/o los prefijos recibidos, es decir se debe verificar que el origen de
quien dice ser este validado y que la información no haya sido alterada durante su tránsito por la
red.
En un estudio inicial se podría pensar que si el plano de datos han sido verificados y la
autenticación de la ruta ha sido así mismo obtenida, la seguridad está garantizada pero no es así,
en este estudio de vulnerabilidades se va a ver que se está bastante lejos de garantizar una solución
global al protocolo BGP. En la actualidad, incluso con enlaces autenticados y verificación de
reenvío de datos, BGP sigue siendo vulnerable a la presencia de sistemas autónomos falsos o
maliciosos, y sigue siendo vulnerable a ataques a su sistema operativo por medio de malware
diseñado para modelos y marcas de routers específicos.
A modo de ejemplo en el mundo de sistemas operativos existe un mayor número de malware para
productos Microsoft que para otros sistemas operativos más minoritarios como MAC o Unix. Esto
quiere decir que en el mercado del Hacking hay un mayor número de productos malware contra
routers CISCO y sus IOS (sistema operativo) que otros modelos de routers más minoritarios.
57
___________________________________________________________________________________________
Otro punto que se debe considerar en este estudio, son aquellos ataques que van dirigidos a
producir una denegación de servicio, es decir, sobrecargar un router con tantas peticiones de
conexión o conexiones incompletas que hacen reaccionar al router con una sobrecarga de trabajo
que lo deja fuera de servicio. A continuación, se presenta un estudio más pormenorizado realizado
en este proyecto de los diferentes ataques y sus soluciones, teniendo en cuenta que las soluciones
propuestas siempre serán parciales.
4.3 Antecedentes Históricos
En esta sección se van a tratar los Incidentes de BGP desde un pasado reciente hasta nuestros
días. Sus vulnerabilidades y los errores de configuración están plenamente vigentes por tanto
pueden ayudar a entender y eliminar vulnerabilidades tanto en los sistemas autónomos como en
los routers de infraestructura. Así mismo, debe hacer hincapié en aquellas vulnerabilidades de
BGP que van ligadas muchas veces a las de los DNS (Domain Name Systems) y aunque estas
queden fuera del análisis de este proyecto, el proveer de más seguridad a las infraestructuras de
Internet pasa por solucionar las vulnerabilidades de ambos servicios.
Para entender las vulnerabilidades de BGP se debe hacer un estudio de los mayores incidentes a
través de la historia en los que se ha visto envuelto el principal protocolo de encaminamiento de
Internet. Se empezará analizando aquellos incidentes voluntarios (ataques reales) con la intención
de manipular algún tipo de sistema de enrutamiento, y aquellos que fueron configuraciones
erróneas con nefastas consecuencias.
Dejando a un lado las implicaciones legales, cabe evidenciar que el resultado puede producir
grandes daños operacionales y por tanto, a efectos de consecuencias sobre Internet, un fallo de
configuración puede tener similares características a un ataque malintencionado al interrumpir
tráfico legítimo incluso a nivel mundial.
58
___________________________________________________________________________________________
4.3.1 Año 2012, Australia sin acceso a Internet
El día 27 de Febrero de 2012 aproximadamente durante unos 30 minutos, muchos australianos se

encontraron sin acceso a Internet [16]. Muchos de ellos tenían contrato directo o indirecto con
Telstra Network, la cual en ese momento se quedo aislada a la red de Internet. Telstra es uno de
los mayores proveedores de Internet de Australia, normalmente origina aproximadamente 500
prefijos Ipv4 y 3 prefijos Ipv6. Telstra también es proveedor de tránsito para muchos ISPs, como
por ejemplo, (AS38285) “Dodo” un ISP Australiano y (AS10235) “National Australia Bank”.
Este hecho, como estudiante de Ingeniería Técnica en Informática y escritor de este proyecto, me
lleva a plantear al lector la siguiente pregunta:
¿Como un proveedor así puede irse abajo, cuando seguramente dispone

de ingentes cantidades de hardware y conexiones múltiples dentro y fuera
del país?
La causa fue un error de routing que hizo que todo el tráfico eligiera como “Best Route” al
Proveedor de Servicio de Internet Dodo (el cual era un cliente de Telstra Network). Difundir rutas
en BGP accidentalmente es desafortunadamente tan fácil que hay que configurarlo siempre
definiendo filtros que prevengan que esto suceda. En este caso, Dodo debería haber establecido
filtros para asegurar que ellos solo anunciasen sus prefijos y Telstra debería haber tenido esos
filtros también para prevenir secuestros (hijacks) y para proteger su propia infraestructura, lo cual
es aun más importante. En este suceso se ve que los filtros no estaban implementados lo cual
permitió que sucediera esta difusión de rutas y sus inherentes consecuencias. Sin embargo, esto
solo no debería haber echado abajo todas las conexiones internacionales de Telstra. Lo que pasó
seguramente es que Telstra asumió todas las rutas aprendidas de Dodo (todas las 400.000) como
rutas del cliente y las certifico anunciadas a todos sus peers y proveedores de bucle (upstream).
A continuación se puede ver las terribles consecuencias que tuvo este fallo de configuración [17]
para el servicio de Telstra.
59
___________________________________________________________________________________________
FIGURA 47: AS1221 Telstra Pty Ltd
FUENTE: www.BGPmon.com
4.3.2 Año 2011, Egipto sin acceso a Internet
Durante las protestas de Egipto y por órdenes gubernamentales, en un principio las redes sociales
(Facebook, Twitter, etc) fueron bloqueadas [16]. Un paso más adelante en la intención del
gobierno de controlar las comunicaciones de internet fue el bloquear el enrutamiento de Internet
de los proveedores de servicio. Un 88% por ciento de las redes estaban fuera de servicio. Véase a
continuación las siguientes figuras:
FIGURA 48: Egipto redes afectadas I
Num. de
Días del Num. de
ASN de
Incidente prefijos
origen
27-Enero 2903 52
28-Enero 327 26
Desaparacen 2576 26
60
___________________________________________________________________________________________
La siguiente tabla muestra los 10 principales proveedores de Internet en Egipto. Se ella puede ver
que la mayoría de los Sistemas Autónomos (AS) no muestran ningún anuncio o número
significativamente menor.
FIGURA 49: Egipto redes afectadas II
Prefijos al
Prefijos el inicio de la
28 de Enero semana AS de Origen Nombre del proveedor
20 775 8452 TE-AS TE-AS
0 774 24863 LINKdotNET-AS
113 676 36992 ETISALAT-MISR
0 217 24835 RAYA Telecom – Egypt
0 102 5536 Internet-Egypt
85 83 20928 Noor Data Networks
0 41 36935 Vodafone-EG
23 36 15475 Nile Online
14 28 8524 eg-auc
0 25 6127 IDSC
Nota: cabe mencionar que el único proveedor sin impacto fue AS20928 (Noor Data
Networks)
Lista de proveedores que continuaron anunciando redes (basado en datos de routeviews):
FIGURA 50: Egipto redes afectadas III
Red Nombre Numero de rutas

AS36992 Etisalat-Misr 104
AS20928 Noor Data Networks 83
AS24835 RAYA Telecom – Egypt 38
AS15475 Nile Online 23
AS8524 AUCEGYPT 14
AS2561 Egyptian Universities Network (EUN) 14
AS8452 TE-AS TE-AS 12
61
___________________________________________________________________________________________
a. Los inicios del incidente

Observando Internet en Egipto se pudo tener una idea aproximada en el momento de inicio del
incidente.
 27 de Enero a las 22:28 UTC: La pagina web egypt.gov.eg está fuera de servicio la IP:
81.21.104.0/24 fue bloqueada.
 27 de Enero a las 22:28 UTC: La página web www.ahram.org.eg periódico Egipcio. La
IP: 196.219.246.0/24, se convierte en inaccesible al misma hora exacta.
b. 28 de Enero, 17.48 PM
En este momento solo 239 redes Egipcias son accesibles, esto significa que el 91% de las rutas
egipcias están bloqueadas. Noor Networks permanece como el único proveedor que parece no
verse afectado por esta disrupción. Vodafone confirma en su página web que han recibido
instrucciones de apagar sus servicios en ciertas partes del país.
http://www.vodafone.com/content/index/press.html
A continuación, todos los operadores móviles en Egipto reciben instrucciones para clausurar sus
servicios en determinadas áreas. La legislación Egipcia permite a las autoridades ordenar el cierre
de servicios de comunicaciones y las compañías proveedoras están obligadas a cumplirlo.
c. 28 de Enero, 18.36 PM
Los servicios móviles han sido restaurados. La página web de Vodafone publica este mensaje:
“Vodafone restored voice services to our customers in Egypt this morning, as soon as
we were able. We would like to make it clear that the authorities in Egypt have the
technical capability to close our network, and if they had done so it would have taken
much longer to restore services to our customers. It has been clear to us that there
were no legal or practical options open to Vodafone, or any of the mobile operators in
Egypt, but to comply with the demands of the authorities.
Moreover, our other priority is the safety of our employees and any actions we take in
Egypt will be judged in light of their continuing wellbeing.”
62
___________________________________________________________________________________________
Hasta este momento, no se aprecian cambios en la conectividad de Internet en Egipto. Sim

embargo, Internet lleva corta en Egipto 36 horas. La semana laboral en Egipto se inicia mañana
(29 de Enero) se espera una restauración de los servicios.
d. 29 de Enero, 21.00 PM
Existe a disposición del lector una lista de las rutas/prefijos que siguen siendo enrutadas. En esta
lista se ven 243 redes.
http://bgpmon.net/egypt-routes-jan29-2011.txt.
Nota: Estos datos son extraídos de routeviews data (rib.20110129.1800). Cabe destacara que aun siendo anunciada una ruta no significa
necesariamente que sea accesible.
El formato de la lista es:
| Número AS | Prefijo| Descripción del prefijo |
Estos son algunos ejemplos de las rutas que en ese momento continúan anunciadas:
 Rutas de: AT-Financial Holding

 Biblioteca de Alejandría (http://www.bibalex.org/)
 Rutas del Banco Central de Egipto
 Rutas del Egyptian National Scientific & Technical Information
e. 31 de Enero, 23.30 PM
Hoy hasta trece sistemas autónomos pertenecientes al proveedor de servicio de Internet han
desaparecido, afectando incluso a Noor Data Networks. Esta red desaparece el 31 de Enero de
2011 a las 20.54 PM. En paralelo más rutas desaparecen y a las 22.00 solo 12 sistemas autónomos
y 134 rutas permanecen accesibles. Lo cual significa que solo el 5% de las rutas egipcias prestan
servicio.
La lista de los que permanecen puede ser consultada aquí:
http://www.bgpmon.net/egypt-routes-jan31-2011.txt
63
___________________________________________________________________________________________
En la siguiente gráfica se puede ver la situación de las redes en Egipto el 31 de Enero a las 23.00:
FIGURA 51: Egipto gráfico redes afectadas/tiempo
4.3.3 Año 2011, Siria sin acceso a Internet
En 2011, el caso que se plantea en Siria [16] tiene muchos parecidos con lo sucedido en Egipto.
Igualmente se realizará un estudio temporal de los incidentes.
a. 3 de Junio
Internet en Siria está controlado por “The Syrian Telecommunications Establishment”, esta se
encarga de enrutar sus redes desde AS29256 a AS 29386. A su vez, existen otras dos compañías
proveedoras de servicio tales como “Tata Communications” (AS 6453), la cual enruta 6 prefijos
sirios y la “Red Siria de Educación Superior”(AS 39154).
El 3 de Junio de 2011, el gobierno de Siria cierra todas las conexiones a Internet. Solo 19 de los
normalmente 56 prefijos Sirios son enrutados. Interesante que los prefijos que no son ya enrutados
tienen origen en AS29256 y AS29386, “The Syrian Telecommunications Establishment”. Los 6
prefijos pertenecientes a Tata communication asi como los de Syrian Higher Education no han
sido afectados.La tabla posterior muestra cuantos prefijos se enrutan en situación normal y como
ha cambiado en las últimas horas.
64
___________________________________________________________________________________________
FIGURA 52: Siria redes afectadas/sistemas autónomos
b. Comparación del 1 de Junio con el 3 de Junio

En este apartado se va a ver la distribución de prefijos por sistema autónomo. El gobierno de sirio
cerró todas las conexiones el 3 de Junio, se verá como estaba la situación anteriormente (el 1 de
Junio, ver figura X) y una vez cerradas las conexiones (3 de Junio, ver figura 53).
FIGURA 53: Siria prefijo 1 de Junio, 2011
65
___________________________________________________________________________________________
Situación el 1 de Junio:
 AS 29256: (STE-AS) se tiene constancia de que Syrian Telecommunications
Establishment enruta hasta 44 prefijos conocidos.
 AS 29386: (STE-AS2) pertenece también a Syrian Telecommunications
Establishment y enruta hasta 30 prefijos.
 AS 6453: Este sistema autónomo corresponde a TATA Communications y enruta 6
prefijos.
 AS 39154: Este sistema autónomo depende de la organización Syrian Higher
Education Network AS Number y se le conoce solo 1 prefijo.
FIGURA 54: Siria prefijo 3 de Junio, 2011
Situación el 3 de Junio:
 AS 29256: (STE-AS) 9 prefijos.
 AS 29386: (STE-AS2) 3 prefijos.
 AS 6453: 6 prefijos.
 AS 39154: 1 prefijo.
66
___________________________________________________________________________________________
Conclusiones
Es realmente llamativo la diferencia en distribución de prefijos entre estas dos fecha. Se insta
al lector a que preste atención a las dos gráficas y establezca su propia opinión. Como
redactor de este PFC, es de gran agrado poder mostrar esto a los lectores y en última
instancia a interesados en redes y/o seguridad informática.
c. Actualización del 4 de Junio 2011

El día 4 de Junio, aproximadamente, a las 8.00 PM todas las redes sirias pertenecientes a
Syrian Telecommunications Establishment vuelven a la normalidad. Algunos de estos
prefijos regresaron a la normalidad antes de dicha hora.
4.3.4 Año 2010, Google y servicios asociados redirigidos
El 23 de agosto del 2010, Google [14] y otros servicios asociados fueron redirigíos a Rumania y
Austria. Lo que pasó en términos de funcionalidad es que durante 7 minutos el prefijo 8.8.8.0/24
fue secuestrado (este prefijo sirve a algunos Open DNS de Google). La mayoría de las redes
afectadas recibieron el anuncio de actualizaciones desde el AS 6939. Esta es la segunda vez en el
mismo mes (30 días naturales aproximadamente) que Google es atacado accidentalmente o por un
secuestro de direcciones (hijack). En Julio de 2010 un proveedor de servicios de Internet
localizado en Austria (AS42473), Anexia, anunció un prefijo con una máscara de subred mayor de
la que le correspondía, es decir:
El prefijo AS 42473 anunció el prefijo 74.125.127.0/24 y el que debía

anunciar era el 74.12.126.0/23.
Este último prefijo (el 74.12.126.0/23) aloja la mayoría de los servicios públicos de Google. Este
hecho fue identificado posteriormente como un error de configuración y fue rápidamente
corregido por los ingenieros de red del AS42473. Más detalles se pueden ver en la figura que se
expone a continuación.
67
___________________________________________________________________________________________
68
___________________________________________________________________________________________
4.3.5 Año 2010, un ISP Chino secuestra Internet
El 8 de Abril de 2010 se empezaron a recibir alertas sobre un secuestro BGP [24] localizados en el
AS 23724. Este sistema autónomo es uno de los centros de datos operados por China Telecom, el
cual es el mayor ISP de China originando hasta 40 prefijos. Sin embargo, ese día
aproximadamente durante 15 minutos se originaron alrededor de 37000 prefijos de tipo único que
no tenían asignados. Esto es lo que normalmente se denomina como secuestro de prefijos (prefix
hijack).
Afortunadamente, aunque se había difundido una tabla completa, solo un 10% se propagó fuera de
las redes chinas, afectado a organizaciones muy conocidas, entre otras:
 Amazon
 Geocities
 CNN
 Rapidshare
 Dell
También se vieron afectadas páginas web muy populares chinas, como por ejemplo:
 www.joy.cn
 www.pconline.com.cn
 www.huanqiu.com
 www.tianya.cn
 www.chinaz.com
Este incidente fue detectado a nivel global por conexiones en Holanda, Reino Unido, Rusia, Italia,
Suecia, Estados Unidos, Japón y Brasil. Según BGPMon, un 28% de las sondas en el mundo
detectaron este evento, lo cual implica un gran número de redes afectadas. Probablemente, más de
51 peers detectaron el prefijo, pero no lo eligieron como mejor ruta (best path) seguramente
debido a la longitud del ASpath u otras políticas de configuración. Debido al gran número de
prefijos implicados detectados en un intervalo tan corto de tiempo, posiblemente, la causa que
mejor se ajusta a este acontecimiento sea un fallo de configuración.
69
___________________________________________________________________________________________
4.3.6 Año 2008, Pakistán Telecom bloquea YouTube
El 24 de Febrero de 2008 el gobierno de Pakistán intentó bloquear el acceso a la página web de

videos Youtube. La finalidad de tal imposición es censurar cualesquiera videos que pudieran
perjudicar sus intereses. Pakistán Telecom intentó filtrar el acceso a Youtube, sin embargo, envió
información errónea de enrutamiento por medio de BGP un ISP en Hong Kong (PCCW). Este
proveedor difundió falsa información de enrutamiento a través de Internet. En consecuencia dejo
inaccesible la página de Youtube al resto del mundo durante dos horas. Finalmente, consiguieron
arreglarlo restaurando las rutas originales y replicándolas a nivel mundial. Véase las siguientes
imágenes sacadas de BGPlay, herramienta diseñada y escrita por Computer Networks Research
Group at Roma Tre University.
FIGURA 55: Pakistan Telecom bloquea Youtube
SOY
208.65.153.0/24
SOY
208.65.152.0/22
70
___________________________________________________________________________________________
a. Antes del domingo (24 de Febrero del 2008)

El sistema autónomo 36561 (www.youtube.com) anuncia la dirección IP 208.65.152.0/22.
FIGURA 56: Estado Youtube 24 de Febrero
FUENTE: BGPlay
71
___________________________________________________________________________________________
b. Domingo a las 18.50

El sistema autónomo 17557 (Pakistán Telecom) lleva anunciando la ruta 208.65.153.0/24 los
últimos 5 minutos. Los vecinos RIS por todo el mundo reciben el cambio en sus rutas y el
tráfico de Youtube empieza a ser redirigido a Pakistan.
FIGURA 57: Estado Youtube 18.50
FUENTE: BGPlay
72
___________________________________________________________________________________________
c. Domingo a las 21.25

El sistema autónomo 36561 (www.youtube.com) lleva anunciando la ruta 208.65.153.0/24 desde
las 20.07. El anuncio erróneo del sistema autónomo 17557 (Pakistán Telecom) ha sido desechado,
y ahora los vecinos RIS solo tienen rutas al sistema autónomo 36561.
FIGURA 58: Estado Youtube 21.25
FUENTE:http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study
73
___________________________________________________________________________________________
4.3.7 Año 2008, Brasil difunde una tabla BGP
En Noviembre del 2008, “Companhia de Telecomunicações do Brasil” (CTBC ISP de Brasil)

transfirió por error una tabla completa de rutas. Esta acción podría haber tenido como resultado
un secuestro accidental de las rutas de otros ISP o routers, afortunadamente, el servicio BGPMon
(organismo voluntario de monitorizado de BGP) descubrió el problemas enviando alertas a través
de Internet, lo cual hizo que el impacto fuera minimizado y afectara a solo un pocos routers. A
continuación, se puede observar un ejemplo de las alertas que BGPMon [16] envía cuando detecta
un percance en Internet.
FIGURA 59: Mensaje alerta BGPMon
====================================================================
Possible Prefix Hijack (Code: 10)
====================================================================
Your prefix: 203.190.56.0/21:
Prefix Description: www.infoseek.co.jp
Update time: 2010-04-08 16:09 (UTC)
Detected by #peers: 4
Detected prefix: 203.190.56.0/21
Announced by: AS23724 (CHINANET-IDC-BJ-AP IDC, China Telecommunications Corporation)
Upstream AS: AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street)
ASpath: 8331 9002 9002 4134 23724 23724
Alert details: http://bgpmon.net/alerts.php?details&alert_id=6617721
Mark as false alert: http://bgpmon.net/fp.php?aid=6617721
FUENTE: www.BGPMon.com
4.3.8 Año 2007, La ICANN pone en riesgo un servidor DNS
La Internet Corporation for Assigned Names and Numbers (ICANN) [15], en Noviembre de 2007,
inició trabajos de actualización de uno de sus Domain Name System (DNS) root-servers L
(199.7.83.42), el cual es propiedad de ICANN y, en consecuencia, también sometido a su control
y manejo. Este servidor se trata de un servidor distribuido, y como se puede ver en la siguiente
figura, se encuentra entre Miami y Los Ángeles (Estados Unidos). Los ingenieros de la ICANN no
detectaron varios root-servers L no autorizados operando en Internet hasta 6 meses más tarde de
las actualizaciones.
74
___________________________________________________________________________________________
FIGURA 60: Root-Servers
FUENTE: http://www.emezeta.com/articulos/rootservers-los-servidores-raiz-del-mundo#axzz1tZV8ywxr
En Mayo del 2008, ICANN consiguió tener todos los root-servers L falsos deshabilitados y fuera
de servicio. En la actualidad, existen 13 DNS root-servers, cuyos propósitos es asignar direcciones
de texto entendibles para los usuarios de Internet basadas en direcciones IP usadas entre
ordenadores y routers (ver figura 61).
La estructura de todo root-server es jerárquica, y actúa como traductor entre direcciones IP y

nombres de dominio.
FIGURA 61: Comando nslookup
FUENTE: Elaboración Propia
75
___________________________________________________________________________________________
a. Resumen
 A los root-servers DNS se les ha asignado una letra entre A y M.
 El root-server L pertenece, maneja y controla la ICANN.
 Desde el 1997 hasta el 2007 la dirección IP era 198.32.64.12 y estaba registrada a nombre
de Bill Manning (ep.net)
 En noviembre del 2007 cambian la dirección IP a 199.7.83.43. Este prefijo se asignó a la
ICANN.
 Durante 6 meses la ICANN decide seguir utilizando sus root-servers L, tanto el antiguo
como el nuevo.
 Aparecen root-servers DNS no autorizados (falsos):
• Diciembre 2007 – Community DNS (England)
• Marzo 2008 – EP.NET (US – Bill Manning)
• Abril 2008 – Diyixian (Hong Kong)
b. Acciones tomadas
El 16 de Mayo de 2008, la ICANN decide definitivamente apagar su servidor “L” antiguo y el 16
de Mayo todos los servidores falsos (o no autorizados) L. La vigente legalidad y la ICANN
presionan a sus propietarios a apagar los root-servers que van detectando a lo largo del tiempo
(Ver figura 62).
c. Conclusiones
Acciones que podrían haberse realizado con un servidor DNS root-server no autorizado o falso
aunque no existen evidencias de que esto se hiciera o no:
1. Redirigir rutas con intención de censurar contenidos.
2. Registrar o monitorizar todos los accesos y búsquedas.
3. Dar NS (negación de servicio) actualizados para todos los TLDs.
4. Realizar recursión por defecto.
5. Dar actualizaciones personalizadas de la lista de todos los servidores DNS root.
6. Poner (time to leave) TTL=0
76
___________________________________________________________________________________________
FIGURA 62: Root-Servers falsos
FUENTE: ICANN
4.3.9 Año 2004
En el año 2004 se registraron diferentes [14] incidentes en las tablas de rutas de Internet:
 ISP en Malasia bloquea Yahoo
 ISP turco bloquea Internet.
 Northrop Grumman atacado por spammers
a. ISP en Malasia bloquea Yahoo

En Mayo del 2004, el prefijo de Yahoo en el Data Center de Santa Clara (US-CA) fue secuestrado
por DataOne, un ISP en Malasia. Expertos en seguridad informática lo determinaron como
malicioso y fueron secuestrados dos de los tres prefijos asignados. Se verificó que DataOne había
intentado bloquear premeditadamente el tráfico desde Yahoo en origen.
b. ISP turco bloquea Internet.

El 24 de Diciembre del 2004, el proveedor de servicio TTNet envió una tabla completa de rutas de
Internet vía BGP. Como consecuencia a desvió todo o la mayoría del tráfico mundial a través de
Turquia a lo largo de la toda la mañana. TTNet la había marcado como BestPath (mejor ruta) en su
tabla de rutas. En el foro Renesys, según expertos en BGP:
77
___________________________________________________________________________________________
“El caso produjo que todo el tráfico desde sitios Microsoft, Yahoo, Amazon, Fox, News CNN
hacia TTNet. Las consecuencias fueron menores de las que podrían haber sido al ser un día
(víspera de navidad) en el que el trafico relativo a negocios y organismos oficiales es
notoriamente más reducido.”
c. Northrop Grumman atacado por spammers

En Mayo del 2004, Northrop Grumman un contratista dedicado principalmente a contratos de ente
militar y defensa detecto que un bloque de direcciones IP no utilizadas habían sido secuestradas en
el tablas de enrutamiento de sus propios routers y anunciadas como legitimas. El siguiente paso
fue el envió masivo de spam (emails no deseados). Al ser IPs inicialmente detectadas como
propias era más difícil efectuar un filtrado de spam,tardaron dos meses detectar el origen del
incidente y reclamar las direcciones IP como propias así como conseguir que los anuncios de
enrutamiento falsos fueran bloqueados a través de internet, En este tiempo, Northrop Grumman's
y sus direcciones IP fueron incluidas en listas de spammers (black list),lo cual les produjo
sustanciales considerables daños económicos así como los provocados contra su reputación como
empresa líder mundial en su campo.
4.4 Ataques al protocolo
Partiendo de la premisa de que en Internet no existe una política imperativa que verifique que cada
sistema autónomo es quien dice ser, que no verifica la integración de la información y que las
relaciones entre sistemas autónomos están basadas en la confianza. El protocolo de comunicación
entre sistemas autónomos y routers está basado en TCP/IP y por tanto hereda todas sus
vulnerabilidades. Igualmente se debe pensar que los comunes errores de configuración de los
administradores y técnicos son un valor añadido a las vulnerabilidades.
 Secuestro o Hijack (MiT)

 MiT (man in the middle) o su variante Meet in the Middle.
 Replay Attacks
 DoS o DDoS
 Malware
 Rootkits,Bios,EEProms,etc
78
___________________________________________________________________________________________
4.4.1 Ataques DoS o DDoS (denegación de servicio)
Al igual que los ordenadores, los router también tienen un límite para procesar y almacenar la
información. Alcanzar el límite de uno o ambos de estos recursos finitos tendrá como resultado
dejar fuera de servicio al router, también conocido como Denial of Service.
Uno de los ataques más comunes con este objetivo es el llamado SYN Flood. En esta variante del
DoS, se inician un gran número de sesiones TCP/IP utilizando el paquete SYN (sincronización),
sin continuar con la secuencia de sincronización. Esto provoca que el sistema reserve recursos
para esta sincronización, sin la recepción de estas conexiones.
La segunda modalidad de DoS, es atacar directamente al protocolo BGP. En este caso, se intenta
echar abajo la ejecución del protocolo. Se puede decir que estos ataques DoS contra el protocolo
BGP son de fácil y rápida ejecución. Se realiza enviando paquetes dirigidos al puerto 179, los
cuales son enviados al proceso BGP, ya que normalmente, este reside en un procesador más
lento o de menor capacidad.
Una tercera variante de DoS (Denial of service) contra BGP, se caracteriza por la recepción de
datos falsos de enrutamiento pudiendo afectar:
 Los sistemas de fin de ruta intentando transmitir datos a través de la red.

 La infraestructura de red en sí misma.
Cierta información falsa puede representar un ataque DoS al protocolo BGP en sí mismo, a modo
de ejemplo: advertir un numero excesivamente grande de mas rutas especificas puede causar que
el trafico BGP y la dimensión de las tablas de enrutamiento colapse el trafico o el sistema.
Se puede afirmar que potencialmente el mayor riesgo para BGP es cuando un router es
bombardeado con más paquetes de los que puede manejar, este tipo de ataque se denomina DDoS.
El ataque generalmente envuelve un gran número de ordenadores comprometidos con malware, de
todas formas, existen diferentes formas por las cuales se puede realizar un DDoS; tales como:
79
___________________________________________________________________________________________
 Insuficiencia (Starvation): Un nodo recibe menos paquetes de los que debería por que el
tráfico es desviado a nodos que no pueden gestionar ese tráfico.
 Agujero negro (Blackhole): El tráfico es enviado a routers que descartan todos o parte de
los paquetes.
 Retardo (Delay): El tráfico es enviado a rutas menos óptimas (suboptimnal paths)
 Bucle (Looping): Los paquetes entran en un bucle (loop path), lo cual implica que el
tráfico nunca llega a su destino.
 Partición de red (Network partition): Una porción de la red parece separada del resto de
la red debido a información de rutas malformada.
 Agitación (Churn): Cambios muy rápidos en el reenvío de paquetes altera la entrega de
paquetes, y posiblemente afecte al control de congestión de red.
 Inestabilidad: La convergencia a un estado de sencillo el reenvio global no se realiza.
 Sobrecarga de Red (Network overload): La red comienza a transportar un número
excesivo de mensajes BGP, sobrecargando el procesador de control del router y
reduciendo el ancho de banda asignado para el tráfico de datos.
 Sobrecarga de los recursos del router en los ciclos de almacenaje o procesado por un
excesivo número de mensajes BGP.
 Acceso no autorizado: puede suceder cuando se mantienen las contraseñas por defecto y
las community strings utilizadas para control de acceso a SNMP (Simple Network
Management Protocol) no se hayan cambiado o sean obtenidas por ingeniería social,
métodos de cálculo o criptográfico. Asimismo la explotación de errores de software o
vulnerabilidades pueden permitir accesos no autorizados.
 Captura de datos de BGP por medio de sniffers y otras herramientas: puede realizarse en
cualquier lugar del recorrido entre routers, teniendo en cuenta que los mensajes BGP no
están encriptados o que BGP podría ser utilizado para permitir una captura de datos.
 Métodos de manipulación de paquetes: incluye insertar direcciones IP falsas para
acceder a los sistemas, inyectar datos falsos a las tablas de rutas o re enrutar paquetes de
datos con propósitos de meterlos en agujeros negros, monitorizar el trafico, etc.
80
___________________________________________________________________________________________
4.4.2 Secuestro o Hijack
Se pueden distinguir tres tipos de secuestro de la dirección IP [18]. En las dos primeras todo el
tráfico asignado al espacio de direcciones es redirigido al atacante.
 Utilización de un dirección IP del rango asignado a la victima pero que aunque asignada no
está utilizando, este ataque en principio no tiene en si unos efectos más de reputación que
realmente de daño al tráfico legitimo en Internet.
 Secuestro de una dirección IP en uso, esta modalidad tiene un obvio daño operacional,
todo el tráfico es desviado al atacante pudiendo dejar a la victima sin conexiones externas
y por tanto fuera de Internet.
 Por último, existe una variante de secuestro en el que el atacante se dedica a ver todo el
tráfico.
FIGURA 63: Secuestro de sesión
FUENTE: https://www.owasp.org/index.php/Session_hijacking_attack
4.4.3 Man in the Middle (o Meet in the Middle)
La realidad presente es que no hay vulnerabilidades, no hay errores en el protocolo, tampoco hay
en estos ataques problemas de software (software bugs). El origen del problema surge de la gran
necesidad de interconectividad necesaria a día de hoy para mantener el tráfico en Internet.
81
___________________________________________________________________________________________
Este problema surge como ya se ha comentado en que la arquitectura y diseño de BGP está
basada en la confianza. A modo de ejemplo cuando un email es enviado desde un usuario en
Europa a otro usuario en Asia, las redes para cada usuario se comunican siempre con y a través de
routers BGP indicando cual es la ruta más eficiente para que los datos alcancen el buzón de
destino, claro que BGP asume siempre que cuando un router informa de cuál es la mejor ruta nos
está diciendo la verdad, este abuso de confianza puede ser utilizada para aquellos que quieren
capturar nuestros datos engañando a los routers para que les envíen el trafico con fines maliciosos.
FIGURA 64: Conexión MITM
FUENTE: https://www.owasp.org/index.php/Man-in-the-middle_attack
Proceso Completo MITM

Un usuario cuando teclea la URL de una página web en su navegador o envía un email, un
servidor DNS la traduce a una dirección IP como destino [20]. El router del ISP del usuario toma
esta petición y entonces consulta una tabla de rutas BGP para encontrar la mejor ruta al destino
seleccionado, esta tabla es dinámica y se actualiza. Mientras tanto un SA declara el rango o
espacio de direcciones IP, también conocidos como prefijos IP, a los que cada uno entrega/envía el
tráfico. La tabla de enrutamiento busca la IP destino entre estos prefijos. Si existen dos SA
anunciando la dirección IP deseada, escoge siempre aquella con la dirección mas específica.
82
___________________________________________________________________________________________
Ejemplo
El SA X en sus tablas anuncia que sirve a un grupo de 120.000 direcciones IP, mientras tanto otro
llamado AS Y, sirve a un subred de 24,000 de estas direcciones. Si la IP de destino está reflejada
en ambos anuncios BGP enviará siempre al más concentrado (pequeño), es decir, al más
especifico. Cuando un hacker u elemento hostil quiera interceptar datos enviara un anuncio de un
rango de direcciones IP en la que esté contenida la de su objetivo y obviamente será más
específica que las otras que envían otras redes. Este falso anuncio, en cuestión de minutos, será
propagado por internet, cuya finalidad será que los datos dirigidos a esas direcciones IP se
dirigirían a la red del atacante.
Este ejemplo recuerda a lo sucedido entre Pakistan Telecom y Youtube, en cuestión de minutos
Youtube se quedó inaccesible (ver epígrafe 4.3.6).
SOY
208.65.153.0/24
SOY
208.65.152.0/22
4.4.4 Ataques de sesión (TCP) y Replay Attacks
Como ya se ha comentado previamente en este documento, BGP trabaja sobre TCP por lo que
BGP hereda todas sus vulnerabilidades. SYN es un bit de control dentro del segmento TCP, se usa
para poder sincronizar los números de secuencia iniciales al establecer una conexión. Este bit
puede derivar en dos tipos de ataques que afectarán a BGP, ambas variantes se mencionan a
continuación:
83
___________________________________________________________________________________________
FIGURA 65: Sincronización al inicio de una sesión
FUENTE: http://es.kioskea.net/
a. Ataque TCP SYN

También conocido como SYN flooding, este ataque consiste en enviar un SYN de sesión, y una
secuencia de paquetes BGP para establecer una sesión BGP, haciendo que una sesión legítima
parezca defectuosa y obligará a anularla.
b. TCP SYN ACK:

Un atacante intercepta un SYN antes que el router destino, el cual recibiría ACK vacío como
respuesta cuya finalidad resultaría en una RST que finalizaría la sesión inicial.
4.4.5 Ataque Route Flapping
Route flapping referencia [27] cambios repetitivos en las tablas de rutas BGP. Hay ocasiones en
las que estos cambios se realizan con una frecuencia de varias veces por minuto.
Route flap sucede cuando una ruta es eliminada y entonces re anunciada en un espacio muy breve
de tiempo. Una razón alta de esta secuencia puede causar un problema serio para los routers,
debido a que cada flap produce cambios o eliminaciones de rutas que se propagan a través de los
sistemas autónomos. Si la velocidad es lo suficientemente rápida, a un nivel por ejemplo de entre
30 a 50 veces por segundo, el router sufre una sobrecarga que puede inducir a una no
convergencia sobre rutas válidas.
El Impacto potencial para los usuarios es una ralentización en la entrega de mensajes, e incluso en
algunos casos la recepción inválida de algunos paquetes de datos. Route flapping puede derivar en
una denegación de servicio.
84
___________________________________________________________________________________________
Route flap damping, RFD, es un método para reducir los flaps de rutas por medio de un algoritmo
que ignora al router enviando actualizaciones flapping durante un periodo de tiempo configurable.
Cada vez que sucede un evento categorizado como flapping, los routers peer añaden un valor de
penalización al total del router haciendo flapping. La penalización se adquiere de una forma
exponencial en el tiempo. Si el flapping de rutas persiste, y excede el total (ver figura 66), las rutas
aprendidas del router flapping serán desechadas y los vecinos propagarán las actualizaciones a
través de la red. A medida, que el tiempo pasa el valor de la penalización pierde valor, en el
momento en el que no se ven más flaps, se alcanzará el umbral de re utilización y desde ese
momento el vecino empezará a aceptar rutas del router que previamente había tasado de flapping
router.
FIGURA 66: Route Flapping Penalización/tiempo
FUENTE: http://web.eecs.umich.edu/~
Mientras que este mecanismo ayuda a reducir la inestabilidad causada por fallos espontáneos en la
red, puede ser objeto de mal uso por parte de un atacante. Si un router se puede deshabilitar,
incluso temporalmente, sus sesiones BGP serán perturbadas y los routers vecinos empezarán a
enrutar evitándolo asumiendo que esta fuera de servicio.
85
___________________________________________________________________________________________
Este proceso puede activar cambios a través de la red, apuntando a un incremento de la carga de
trabajo, y posiblemente causando que el tráfico se ralentice dado que los cambios de enrutamiento
serán transmitidos a través de rutas consideradas menos óptimas. De esta forma un router que de
una forma intermitente sea desconectado al sufrir repetidos ataques puede causar un mal
funcionamiento que podría causar más interrupciones que si ese router fuera sencillamente
desconectado. Ya que si fuera así, los otros routers encontrarían rápidamente caminos bordeando
ese router problemático. Una repetición de ataques de sesión peering de BGP (por ejemplo, vía
TCP RST o por medio de mensajes de error ICMP spoofed) puede ser utilizado también para
causar un flapping de rutas.
Debido al problema descrito previamente e igualmente considerando que en nuestros días se ha

producido un notable incremento de la capacidad en los procesadores de los routers de última
generación, muchos técnicos de sistemas han decidido obviar esta contramedida. También
definida en algunos manuales técnicos como contramedida RFD o simplemente RFD. Se debe
hacer un estudio muy detallado analizando todos los pros y los contras de la implementación de
RFD teniendo en cuenta su utilidad en el caso de que se desee aislar partes de la red para mitigar
los daños de un ataque.
4.4.6 Ataque Routes Desegregation
La desagregación [23] de rutas se produce cuando un prefijo más específico es advertido por
vecinos BGP. Por ejemplo si el prefijo 129.0.0.0/8 y el prefijo 129.0.0.0/16 son ambos
anunciados, los algoritmos de BGP seleccionarán la segunda (para cualquier dirección dentro del
rango 129.0.0.0/16) ya que es más específica. En algunos casos, esta acción es normal y una
operación apropiada debido a los cambios de configuración, pero puede suceder que sea resultado
de un error o fruto de una actividad maliciosa.
El primer impacto de este evento es una degradación del servicio que en algunos casos puede ser
ampliamente difundido y producir un gran daño. Dando BGP preferencia a las rutas más
especificas, si se producen un gran número de actualizaciones con miles de nuevas rutas y estas se
difunden rápidamente, causaría al router una denegación de servicio a sí mismo y puede provocar
como daño colateral el cierre de los ISPs más grandes al ser los más involucrados. Este problema
puede ser resultado de un error de configuración así como de una actividad maliciosa, cuando un
router falso que simula ser un SA válido.
86
___________________________________________________________________________________________
Como solución a este ataque o problema podemos implementar algunas medidas como establecer
un límite máximo de prefijo (maximum prefix limit), este límite puede ser pre configurado para
terminar o deshabilitar una sesión y enviar un mensaje de alerta cuando un router vecino transfiera
un número excesivo de prefijos predefinidos. Una desagregación de rutas activaría la capacidad de
limitar prefijos, y la sesión con el par sería deshabilitada hasta ser activada manualmente, dando a
los operadores la capacidad de analizar el problema y prevenir su difusión por Internet.
4.4.7 Ataque de Inyección de Rutas Maliciosas
BGP existe para difundir la información de enrutamiento a través de internet. Los Routers se
trasmiten información entre ellos sobre aquellos prefijos a los que se pueden conectar y de la
eficiencia de cómo llegar a las direcciones IP deseadas dentro de esos prefijos. En situaciones
benignas y cooperativas estas acciones funcionan bien, pero una vez más, existen intenciones
maliciosas pudiendo empezar a enviar actualizaciones de información de enrutamiento incorrecta.
El anuncio de rutas más especificas, podría desviar el tráfico a la máquina del atacante, que podría
observar y grabar los paquetes de datos y analizar la información de esa dirección bajo el ataque.
La víctima no tendría ningún control sobre las rutas anunciadas por el atacante, siendo su única
opción, contactar con el ISP del delincuente para solicitar una corrección de los datos erróneos de
las rutas anunciadas por el agresor. Una vez hecho esto, sería muy difícil demostrar si detrás de
esta redirección errónea había intenciones maliciosas o pudiendo alegar un error de configuración
accidental. De hecho la victima posiblemente no podría ver el anuncio de rutas del atacante, ya
que seguramente habría sido desechada localmente por BGP para prevenir bucles de ruta (looping
routes).
BGP no dispone de un medio de autenticación para garantizar la identidad de los vecinos, ni

tampoco de un mecanismo de autorización para otorgar a un par BGP la potestad de actualizar
rutas a prefijos particulares. Filtros de rutas y la realización de autenticación con MD5
inicialmente soluciona simplemente la autenticación del enlace BGP.
87
___________________________________________________________________________________________
4.4.8 Ataque de Inyección de Rutas no Asignadas
Un variante de inyección de rutas maliciosas es la transmisión de rutas de prefijos no asignados,

estos prefijos son direcciones IP específicas que todavía no han sido asignadas. Es decir, nadie
debería utilizar estas direcciones, lo cual implica que nadie debería enrutar tráfico a esas
direcciones. A su vez, cualquier información de rutas para esos prefijos es claramente errónea o
maliciosa, y debe ser desechada.
4.4.9 Malware Rootkits, IOS, Bios, EEProms
A día de hoy no se puede realizar un estudio de seguridad sin contemplar la posibilidad de una
infección por malware específicamente diseñado para atacar un sistema operativo determinado, un
hardware en concreto, o un protocolo especifico en particular.
La primera consideración sobre los routers que soportan y/o dan soporte a infraestructuras criticas,
cuya función que les da un valor añadido y los hacen especialmente interesantes para lo que se ha
denominado “la Ciberguerra”.
Una segunda consideración es que hay una antes y un después de Stuxnet y Duqu, malware
diseñado para atacar procesos industriales. En un principio orientado a centrales nucleares, por ser
muy atractivo por aquellos encargados de desarrollarlo.
Hace relativamente poco, ha sido descubierto un gusano diseñado como un rootkit que se auto
replica en IOS, también dispone de capacidad de invisibilidad (stealh capabilities), y de un
mecanismo de autodefensa. El diseño es con código auto adaptado a cada modelo de plataforma.
Las capacidades conocidas de este malware son:
 Captura de paquetes de red

 Conexiones de reverse Shell: con esta función evita ser detectado o bloqueado ante la
posibilidad de encontrar sistemas de protección de fronteras (BPS).
 Capacidad de franquear posibles Intrusion Detection Systems (IDS) o Firewalls en el
camino ya que establece la conexión desde dentro hacia fuera
88
___________________________________________________________________________________________
 Dispone de un modulo de spam, y un mini malware httpd server.Este software malicioso

se ejecuta en la memoria flash del router, que dicho sea de paso, contiene los primeros
comandos que utiliza en el proceso de arranque (Boot-Up).
Ante estas ocurrencias un administrador de routers debe prevenir su infraestructura.
Las actualizaciones del IOS son obligatorias pero siguiendo pautas de seguridad, tales como:
 Solo instalar actualizaciones de reputadas y contrastadas fuentes.

 Estas deberán estar firmadas digitalment
 La capacidad emular situaciones reales de routers sugiere disponer de un banco de pruebas
virtual lo más parecido a sistemas en uso, donde analizar cualquier cambio o actualización
como fase previa del despliegue en sistemas con alta carga de trabajo.
4.5 Resumen
En este epígrafe del documento se han analizado los fallos de configuración con mayor
repercusión a nivel mundial del siglo XXI, también, se han analizados todos los posibles ataques
conocidos sobre el protocolo en cuestión. Existen multitud de recomendaciones técnicas al
respecto, pero recientemente han aparecido noticias en la prensa internacional de haberse
descubierto manufacturas de Cisco [8] del tipo router o switches que no son originales. La
gravedad de la noticia es que estos equipos habían sido adquiridos por el departamento de defensa
de los Estados Unidos e incluso el FBI.
Esta noticia no solo es grave por el hecho de que este material no habría pasado los controles de
calidad debidos, y que además pueden contener dispositivos de activación remota con capacidades
maliciosas que podrían poner en grave riesgo infraestructuras criticas o vitales de los Estados
Unidos, y cabe preguntarse si este material no estará funcionando en infraestructuras de carácter
vital en otros países u organismos internacionales.
Es difícil, como redactor de este proyecto, sugerir medidas de seguridad para no sufrir un ataque o
para no perjudicar a otras infraestructuras mediante errores de configuración si a su vez se
descubren productos falsos sobre los cuales se deben implantar dichas normas.
89
___________________________________________________________________________________________
BIBLIOGRAFIA
Las referencias que se han usado en este documento son:
REFERENCIAS BIBLIOGRÁFICAS
[1] Peter Rybazyk, Cisco Router TroubleShooting Handbook. New York: M & Books, 2000
[2] Rob Payne y Kevin Manweiler, CCIE: Cisco Certified Internetwork Expert Sudy Guide –
Routing and Switching [2º edición].
[3] Giles Roosevelt, All-in-one CCIE Study Guide [1º Edición]. 1998
[4] Giles Roosevelt, All-in-one CCIE Study Guide [2º Edición]. 1998
[5] Tim Boyles, Cisco CCNP Certification Library. 2001.
[6] Todd Lammle, CCNA Cisco Certified Network Associate Study Guide. 2011.
[7] William R. Parkhurst, Cisco BGP-4 Command and Configuration Handbook. 2001
[8] Iljitsch van Beijnum, Building Reliable Networks with the Border Gateway Protocol. 2002
REFERENCIAS DIGITALES
[9] CISCO, http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1cbgp.html

[10] CISCO,http://www.cisco.com/en/US/tech/tk365/tk80/tsd_technology_support_sub-protocol_home.html
[11] CISCO, http://docwiki.cisco.com/wiki/Border_Gateway_Protocol
[12] LACNIC, http://lacnic.net/documentos/lacnicxii/presentaciones/08_bgp.pdf
[15] Instituto Nacional de las Tecnologías de la comunicación, http://cert.inteco.es
[16] BGP monitoring and analyzer, http://bgpmon.net/blog/
[19] Cyber Operations Center Dashboard, http://msisac.cisecurity.org/apps/dashboard/
[21] BGPTables, http://bgpinspect.merit.edu/index.php
[22] Hurricane Electric, http://lg.he.net/
90
___________________________________________________________________________________________
[23] Trac, http://irrtoolset.isc.org/

[24] RIPE Network Coordination Center, http://www.ris.ripe.net/cgi-bin/riswhois.cgi
[25] Saulo Barajas, http://www.saulo.net/pub/inv/BGP-art.htm
[27] Arizona Computer Science, http://www.cs.arizona.edu/~bzhang/paper/05-icdcs-dtimer.pdf
91
___________________________________________________________________________________________
ANEXO A. MANUAL DE USUARIO
ROUTER ANALYZER
92
___________________________________________________________________________________________
ROUTER ANALYZER
6.1 Introducción
Router analyzer surge con la idea de poder configurar un router de manera fiable y segura. En
apartados anteriores en este documento se ha podido ver la importancia de una buena
configuración para tener un router robusto ante ataques y funcionalmente correcto. Esta aplicación
va a analizar en tiempo real los enlaces que tenga el router que se consideran peligrosos. Se va a
establecer un enlace directo entre la configuración del router y herramientas web para saber en
todo momento que se está haciendo en el dispositivo y tener un interfaz gráfico que muestre la
información de una manera más entendible por aquel administrador de red que decida usar la
aplicación.
Durante el desarrollo de la aplicación se ha de mencionar que no se ha visto nada como esta

aplicación en el mercado informático. No es tarea fácil configurar un router y con Router
Analyzer se ha disminuido el grado dificultad utilizando herramientas de dominio público que se
verán más adelante.
Aplicación para la configuración un BGP

analizando en tiempo real direcciones
peligrosas y sistemas autónomos
ROUTER ANALYZER
suplantadores.
93
___________________________________________________________________________________________
6.1.1 Internet Storm Center
Existen diversas páginas que se actualizan diariamente y que muestran públicamente aquellas
direcciones IP que han sido denunciadas por numerosos ataques. En esta aplicación se va a usar la
información de la siguiente página:
 http://isc.sans.edu/sources.html
ISC (Internet Storm Center) [13] se creó en 2001 con la aparición del gusano Lion. ISC es
mundialmente conocida por su labor de detección, análisis y estudios de los diferentes malware
que han ido apareciendo desde la existencia de internet. Lo que viene a continuación son
comentarios encontrados en algunos foros de seguridad informática como el de ISC.
“Un peligroso gusano, llamado Lion (león), está propagándose por Internet e
infectando los servidores Linux, ha advertido SANS Institute. Entre sus nefastas
peculiaridades, el gusano es capaz de robar claves de acceso, instalar y instalar
y ocultar otras herramientas en sistemas infectados; usar aquellos sistemas
para buscar otros sistemas que pueda atacar.”
En la página ISC se pueden encontrar diferentes herramientas para defenderse contra algún tipo
de malware. Router analyzer se conectará a la página web, y contrastará la información del
fichero de configuración del router con la tabla la cual se actualiza diariamente. La tabla tiene
los siguientes atributos:
 Direcciones IP: Direcciones IP origen de los paquetes detectados por sus sensores.
 Ataques: Número de los diferentes ataques conocidos con esta dirección IP origen.
 Informes: Número de paquetes conocidos desde esta dirección IP origen.
 Localizada por primera vez: Primer informe de un paquete malicioso.
 Localizada por última vez: Última denuncia de un paquete malicioso.
94
___________________________________________________________________________________________
95
___________________________________________________________________________________________
6.1.2 Domain Tools
La seguridad en BGP tiene un objetivo en común. Saber si un prefijo pertenece a la organización a

la que dice pertenecer, si el router que dialoga con los routers vecinos de los ISPs es el que la
organización ha instalado y no es un suplantador, si la ruta para conectarse a un servidor de la
organización es realmente la correcta y no ha sido modificada, si el trafico ha sido redirigido a un
sistema autónomo comprometido, y demás interrogantes, es la base que guiará el proyecto.
Domain Tools [26] es líder reconocido en el ámbito de investigación y seguimiento de paquetes

en Internet. A la hora de configurar los enlaces del router, la aplicación pedirá la dirección IP y el
sistema autónomo al que el “peer” dice pertenecer, se conectará a la página de domain tolos
(whois.domanintools.com) para sacar toda la información posible del router vecino. Si la dirección
IP no perteneciese al sistema autónomo al que dice pertenecer la aplicación no dejará configurar
ese enlace en el fichero de configuración del router que se quiere configurar.
En la página de Domain Tools se pueden encontrar diferentes herramientas online gratuitas.

Exactamente, la aplicación usará el apartado whois. Lo que viene a continuación es literalmente lo
que pone en la página web de Domain Tools sobre la herramienta:
“In 2006, WHOIS.SC (Whois Source) became DomainTools to reflect our expanded
toolset for domain research beyond WHOIS. In addition to a simple availability check
and registration information, we now offer Domain Name Suggestions, Trademark
Monitoring for Brand Protection, Domains For Sale, DNS Tools and more.”
96
___________________________________________________________________________________________
6.1.3 Router Analyzer
Router Analyzer ha sido desarrollada en Microsoft Visual Studio 2010, (Microsoft .NET
Framework 4). La finalidad de esta herramienta es implantar infraestructuras de red lo más
integras y seguras posible. Router Analyzer es un centro de control de la red que se esté
monitorizando, ha sido diseñada para poder configurar BGP analizando en tiempo real direcciones
peligrosas y sistemas autónomos suplantadores.
Los fallos de configuración, la suplantación de prefijos, los ataques al protocolo y la gestión de

procesos han sido las directrices que han guiado este proyecto, pues esta herramienta abarca la
totalidad de las mismas. La aplicación se puede resumir en tres grandes puntos:
 Análisis del router: Un estudio de los enlaces del dispositivo examinándolos con la tabla de
direcciones IP peligrosas ya mostrada anteriormente. (Ataques al protocolo y suplantación
de prefijos)
 Configuración del router: Una composición de las entradas/salidas del dispositivo en 5
pasos, que acota el margen de error. Una vez finalizada la configuración, rastrea la
dirección IP a la que se esté conectando y avisará al usuario en el caso en el que la
dirección no pertenezca al sistema autónomo que se ha introducido. El usuario podrá
habilitar un asistente de configuración que le notificará en qué punto se encuentra del
proceso y proporcionará las aclaraciones necesarias durante el mismo. (Fallos de
configuración y suplantación de prefijos).
 Estado actual: Una interfaz que destaca por la facilidad que da al usuario para entender el
estado del dispositivo, proporcionando toda la información posible del fichero de
configuración del router. (Gestión de procesos).
En los apartados de análisis y configuración se le proveerá al usuario de toda la información

recogida en Domain Tools sobre el enlace que se quiera y/o necesite saber como por ejemplo:
 La dirección de correo del administrador.

 La organización a la que pertenece el router.
 Información geográfica del ubicación del router:
97
___________________________________________________________________________________________
6.2 Análisis del router
Internet es un conjunto de asunciones engañosas y arriesgadas. Los dispositivos establecen una

asociación voluntaria sin saber realmente con quien se está constituyendo esa vinculación. Cuando
se vaya a configurar los enlaces de un router, el administrador de la red debería plantearse la
siguiente pregunta:
“¿A quién me estoy conectando? ¿Será seguro? ”
Con esta herramienta, esto ya no será ningún dilema. Una vez se suba a la aplicación la
configuración del router, esta buscará qué vecinos se han configurado y se conectará a la página de
ISC para saber si el enlace es peligroso.
El análisis del router cuya interfaz se verá más adelante se realizará en tres pasos. Es necesario que
el usuario disponga del archivo de configuración del router. Una vez se ha localizado el archivo,
los pasos para realizar el análisis de enlaces son los siguientes:
a) Subir el archivo de configuración del router.

b) Analizar y ver resultados.
c) Actuar.
6.2.1 Archivo de configuración
El usuario deberá subir el fichero de configuración del router a la aplicación, un fichero de

configuración es un archivo de texto con la extensión .cfg.
98
___________________________________________________________________________________________
6.2.2 Analizar y ver resultado
Una vez ha subido el archivo en la herramienta, Router Analyzer le dará la opción de analizar el
router. La aplicación se conectara a la página de ISC y se bajará la tabla de direcciones IP
peligrosas y comparará los elementos de la tabla con los enlaces que haya detectado en el fichero.
99
___________________________________________________________________________________________
Una vez terminado el análisis, mostrará los resultados por pantalla. Si la aplicación detecta algún
enlace dañino mostrará un mensaje de advertencia al usuario.
A continuación mostrará en una pantalla aparte los resultados del análisis. A modo de ejemplo se
ha analizado un fichero de configuración y se ha insertado una dirección IP tasada por ISC como
peligrosa, el resultado sería el siguiente:
100
___________________________________________________________________________________________
6.2.3 Actuar
Una de las grandes ventajas de esta herramienta es que dará al usuario toda la información
disponible en Internet sobre el enlace que desee en todo momento. La aplicación se bajará los
datos de la página de whois Domain Tools, proporcionará los datos de contacto del administrador
de la otra red. El usuario tendrá la opción de bloquear cualquier red en cualquier momento y si
esta deja de ser peligrosa o el usuario consigue contactar con el administrador de la red, el usuario
podrá volver a permitir enlaces del router con dicha dirección. La información del enlace que dará
la aplicación ha sido dividida en tres grupos:
 Datos de la organización:
 Nombre
 ID
 Dirección
 Código Postal
 Ciudad
 Estado
 País
 Datos de contacto:
 Teléfono
 Dirección de correo
 Otro
 Información General
 Rango de la red
 Prueba
 Nombre de la red
 Fecha de actualización
 Red padre
 Fecha de registro
101
___________________________________________________________________________________________
La dirección que se ha puesto a modo de ejemplo, la 221.195.082.146 perteneciente al sistema

autónomo 4837, daría la siguiente información:
Datos de la organización:
Datos de contacto:
102
___________________________________________________________________________________________
Información General
6.3 Configuración del router
En este tab de la herramienta, aparecen dos botones cada uno con una funcionalidad distinta.
 Estado actual: muestra por pantalla información relevante que ha detectado en el fichero de
configuración.
 Configurar: permite al usuario configurar un router desde 0 y establecer vecindad y filtros
de acceso.
103
___________________________________________________________________________________________
6.3.1 Estado Actual
Anteriormente en este proyecto se ha hablado de la importancia de mantener todos los aspectos

necesarios de una configuración de red en un mismo documento. Esto facilitaría el mantenimiento
y su correcta configuración.
“¿Una vez se ha terminado la instalación es necesario seguir documentando el estado del router?
Ciertamente sí. Archivar documentos temporales del estado del router es vital para un buen
sostenimiento de la red.
Router Analyzer dará la opción al usuario de crear estos archivos. La herramienta pedirá al
usuario el fichero de configuración del router y elaborará una ficha con los datos relevantes del
router.
Los datos que recogerá en la ficha son los siguientes:

 Descripción:
o Número de enlaces detectados.
o Estado de BGP y enlaces.
o Sistema autónomo al que pertenece.
o Dirección IP del router.
 Enlaces:
o Identificador.
o Dirección IP.
104
___________________________________________________________________________________________
Ejemplo
Esta ficha la podrá exportar a Word. Al clicar en el botón de “EXPORTAR” saldrá un cuadro de
diálogo y al guardar, la exportación a Word se guardará por defecto con el nombre del router y la
fecha que se ha realizado.
Una vez se ha guardado la exportación, el botón de “EXPORTAR” cambiará a “VISUALIZAR” y

desde la misma herramienta podrá abrir el fichero .doc.
105
___________________________________________________________________________________________
La exportación la realizará sobre una plantilla que pertenece a las resources del programa. Router
Analyzer abrirá Microsoft Word e irá cambiando la información del router por unos campos que
como se han programado para que los busque. El código para introducir en Word el nombre del
router es el siguiente:
Introducirá la variable “host” cuando encuentre en la plantilla el campo“%%nombreHost%%”.
WordApp = CreateObject("Word.Application")
WordDoc = WordApp.Documents.Open(pathFicheroword)
Dim xRange = WordDoc.Range
xRange = WordDoc.Range
xRange.Find.Execute("%%nombreHost%%", , , , , , , , , host, True)
El documento que se abrirá viene a continuación.
106
___________________________________________________________________________________________
107
___________________________________________________________________________________________
6.3.2 Opciones de configuración
El botón de configuración abrirá al usuario la pantalla que viene a continuación:
Puede elegir entre dos opciones de configuración:

 Un enlace BGP: en cuyo caso podrá permitir o filtrar accesos a enlaces.
 Un router BGP: en este caso el usuario tendrá la opción de generar un fichero de
configuración después de contestar unas preguntas que le generará la aplicación.
A esta ventana se le ha habilitado la opción de ayuda, si el usuario no supiese que contestar y

clicase en el botón de ayuda le saldría lo siguiente:
108
___________________________________________________________________________________________
6.3.2.1 Configuración de enlaces
a) Introducción
A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo
derivados de fallos en BGP. En este documento se han recogido los episodios más relevantes del
siglo XXI. Estos incidentes proceden, en su mayoría, de fallos de configuración. Con esta
herramienta se ha logrado acotar al máximo el margen de maniobra de un administrador a la hora
de configurar un enlace. En 5 sencillos pasos, Router Analyzer, recauda suficiente información
para añadir o bloquear un enlace. Esta información la guardará en el fichero .cfg. Los 5 pasos son
los siguientes:
 Paso 1: Tipo de permiso

 Paso 2: Tipo de enlace / tipo de filtro
 Paso 3: Máscara de red
 Paso 4: Dirección IP
 Paso 5: Descripción del enlace
109
___________________________________________________________________________________________
b) Diagrama de flujo
CONFIGURACIÓN
ENLACE
TIPO DE PERMISO
LEER OPCIÓN 1
SI NO
OPCION 1= “Permitir”
TIPO DE PERMISO TIPO DE ENLACE
LEER OPCIÓN 2 LEER OPCIÓN 2
TIPO DE
MÁSCARA
LEER OPCIÓN 3
SI NO
OPCION 3= “Otra”
VERIFICAR DIRECCIÓN IP
OCTETOS
0 1
LEER IP
VERIFICAR
1 OCTETOS 0
SI OPCION 2 = “Externo” o NO
OPCION 1 = “Filtrar”
SISTEMA DESCRIPCION
AUTÓNOMO
LEER SA LEER DESC
FINALIZAR
PROCESO
110
___________________________________________________________________________________________
111
___________________________________________________________________________________________
c) Pasos de configuración
Paso1.
El usuario deberá facilitar al a aplicación el tipo de permiso que quiere dar al enlace. Hay dos tipos
de permiso:
 Filtrar:
 Permitir
En el caso de filtrar, el usuario está denegando el acceso a una ruta. Los tipos de filtro que puede
elegir el usuario se verán en el paso 2. Si el usuario decide permitir un enlace, estará estableciendo
vecindad con otro router, podrá ser dentro o fuera de la red, IBGP y EBGP respectivamente.
Paso2.
En el paso 2 habrá hasta 4 opciones 2 y 2, dependiendo de la opción elegida en el paso 1. Si ha

elegido filtrar saldrá lo siguiente:
 Route Filtering: Filtro basado en dirección de rutas
 Path Filtering: Filtro según SA
En cambio, si en el paso 1 decidió establecer un enlace con otro router, tendrá estas dos opciones:
 Interno: enlace entre dos routers dentro de la misma organización
 Externo: enlace enter ds routers pertenecientes a diferentes organizaciones.
Paso 3.
En este caso, independientemente de lo que el usuario haya establecido previamente, es decir, ya

sea un filtro o un permiso, el usuario deberá proporcionar a Router Analyzer, la máscara de la
dirección IP del enlace que se está configurando.
El rango de valores que aceptará la aplicación será desde 0.0.0.0 a 255.255.255.255, si los valores
introducidos por el usuario no se encuentran en este rango, saldrá un mensaje de error y no le
dejará avanzar al siguiente paso.
112
___________________________________________________________________________________________
Paso 4.
En el paso 4 la herramienta pedirá al usuario la dirección IP del enlace. En aquellos casos en los
que sea necesario conocer el sistema autónomo al que pertenece el router vecino, la aplicación
pedirá el ASN al usuario. Los casos en los será necesario son los siguientes:
 Enlace externo
 Route Filtering
 Path Filtering
Paso 5.
Llegados a este punto, la configuración del enlace se ha prácticamente terminado. El usuario dará
una breve descripción para facilitar futuras actualizaciones.
Si en el paso 1 el usuario decidió establecer una vecindad, ya sea interna o externa, también deberá
nombrar el interfaz del enlace. La sintaxis de la descripción es la siguiente:
Nombre Interfaz – Descripción del enlace
Ejemplo
Serial0 – Enlace al proveedor 1
d) Verificar configuración
Una vez terminados los 5 pasos establecidos para la configuración de un enlace, Router Analyzer
verificará los datos introducidos. Para un enlace interno, el router comprobará que todos los datos
sean correctos. Para los enlaces externos y filtros esta situación cambia.
113
___________________________________________________________________________________________
Router Analyzer se conectará a whois Domain Tools para comprobar que la dirección IP
introducida en el paso 4 pertenezca al sistema autónomo proporcionado por el usuario. En caso de
error, saldrá el siguiente mensaje por pantalla:
En este caso, Router Analyzer no dejará guardar el enlace y posibilitará solo aquellos campos que
el administrador deba corregir. Podrá cambiar la dirección IP o el sistema autónomo y también
tendrá acceso a toda la información sacada de whois Domain Tools que ya se vio en el apartado
3.2 de este anexo.
Si Router Analyzer considera que el enlace está bien configurado y este pertenece a quien dice ser,
dará la opción de guardar en el enlace y pedirá al usuario el fichero de configuración del router al
que se le quiere agrupar este enlace. Una vez finalizada la configuración el usuario será redirigido
a la pantalla de inicio de la aplicación.
114
___________________________________________________________________________________________
6.3.2.2 Configuración de un router BGP
Para la configuración predeterminada de Router Analyzer, el usuario deberá responder a 10

preguntas. Una vez contestadas, la herramienta abrirá directamente la ventana de configuración de
enlaces.
Router Analyzer ha sido diseñada para facilitar las labores de administradores de red. La semántica
usada para configurar routers BGP puede ser confusa y no todos los responsables de routers
conocerán la totalidad de los comandos necesarios para una configuración robusta.
La imagen mostrada a continuación son las 10 preguntas que el usuario deberá contestar para
llevar a cabo la configuración predeterminada:
Nota: Cada pregunta y/o comando vienen explicados en el anexo B de este proyecto en las
plantillas de configuración.
Una vez contestadas las 10 preguntas, el usuario podrá guardar el fichero de configuración (.cfg) y
será dirigido a la configuración de enlaces explicada en el epígrafe anterior.
115
___________________________________________________________________________________________
6.4 Configuración Helper
6.4.1 Introducción
Al iniciar una configuración de un router, la aplicación mostrará una opción la cual solo será
visible al principio. Una vez se comience la configuración habrá que dar a borrar para poder
activar dicha opción. La opción se denomina “Configuración Helper” y se habilita con un
“checked ítem” que pone “habilitar ayuda”.
Esta opción es un asistente de configuración, ayudará a aquellos administradores que lo necesiten.

Como ya se ha mencionado anteriormente en este proyecto, hoy en día no todos los técnicos
desempeñando misiones en infraestructura de red disponen de una capacidad técnica y de
conocimientos para cuantificar y analizar todos los riesgos, lo cual implícitamente es
determinante en el modo de analizarlos y remediarlos.
Configuración Helper funciona mientras se está configurando un enlace. Estimado lector, recuerde
los pasos de configuración (véase supra), los cuales se enumeran brevemente:
 Paso 1: Tipo de permiso

1. Filtrar
2. Permitir
 Paso 2.1: Tipo de Filtro

2.1.1 Route Filtering
2.1.2 Path Filtering
 Paso 2.2: Tipo de Enlace

2.2.1 Interno
2.2.2 Externo
116
___________________________________________________________________________________________
 Paso 3: Máscara
 Paso 4: Dirección IP (y en cuyos casos sea necesario el sistema autónomo Dirección IP y

Sistema autónomo.
 Paso 5: Descripción y nombre del enlace
a. Configuración Helper Paso 1
En el primer paso, toda configuración de un enlace pedirá al usuario introducir el tipo de permiso
que quiere darle a tal enlace. Dispondrá de dos opciones, filtrar esa red (o bloquear) y permitirla
(establecer vecindad BGP), el asistente de configuración mostrará un mensaje por pantalla
advirtiendo o informando al usuario de lo que está haciendo.
 Filtrar.
 Permitir.
117
___________________________________________________________________________________________
b. 6.4.2 Configuración Helper Paso 2
En el segundo paso, el Configuración Helper tiene hasta 4 posibles mensajes. Todo depende de la
opción que haya elegido el usuario en el paso 1.
a. Filtrar
El usuario tendrá la opción de hacer dos tipos de filtro en la configuración de su router:
 Route Filtering
 Path Filtering
118
___________________________________________________________________________________________
b. Permitir
Si el usuario elige permitir un enlace, es decir, establecer un peering con otro router, le
aparecerán dos nuevas opciones:
 Interno
 Externo
119
___________________________________________________________________________________________
c. Configuración Helper Paso 3
El tercer paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una
dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la
máscara de red, en consecuencia, el Configuración Helper mostrará el siguiente mensaje:
d. Configuración Helper Paso 4
El cuarto paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una
dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la
dirección IP, en consecuencia, el Configuración Helper mostrará el siguiente mensaje:
120
___________________________________________________________________________________________
e. Configuración Helper Paso 5
En el quinto paso, la herramienta necesita que se le ponga un nombre al interfaz de conexión

que se quiere configurar. Es opcional adjuntar una descripción del enlace que la herramienta
escribirá en el fichero de configuración. En este paso el Configuración Helper muestra el
siguiente mensaje:
121
___________________________________________________________________________________________
ANEXO B. PLANTILLAS
PLANTILLAS DE SEGURIDAD BGP

CISCO IOS E IOS XR
122
___________________________________________________________________________________________
123
___________________________________________________________________________________________
124
___________________________________________________________________________________________
125
___________________________________________________________________________________________
126
___________________________________________________________________________________________
127
___________________________________________________________________________________________
128
___________________________________________________________________________________________
129
___________________________________________________________________________________________
130
___________________________________________________________________________________________
131

BGP Seguridad PDF

Încărcat de

Informații document

Descriere originală:

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

BGP Seguridad PDF

Încărcat de

Drepturi de autor:

Formate disponibile

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN

SEGURIDAD EN BGP, ATAQUES AL

Autor: Jorge Pérez Calleja

Jorge Pérez Calleja

Fdo: ………………………………… Fecha: …… / …… / ……….

Autorizada la entrega del proyecto cuya información no es de carácter confidencial

EL DIRECTOR DEL PROYECTO

Jose Luis Gahete Diaz

Fdo: ………………………………… Fecha: …… / …… / ……….

Vº Bº DEL COORDINADOR DE PROYECTOS

Israel Alonso Martínez

Fdo: ………………………………… Fecha: …… / …… / ……….

Gracias Papá, eres una máquina.

No podía empezar mis agradecimientos de otra manera. Sin ti, este

Irascible; mi familia domina el significado de esta palabra. Del latín

¿Qué decir de lo “simplemente perfecto”? Siiii, me refiero a ti, Teresa.

Gracias a mi grupo de fumadores de ICAI. Espero seguir en contacto con

Finalmente me gustaría agradecer a mi director, Jose Luis Gahete, por la

Autor: Jorge Pérez Calleja

Director: Jose Luis Gahete Diaz

RESUMEN DEL PROYECTO

Palabras clave: Internet, Border Gateway Protocol, whois Domain Tools,

1.1 Transmisión de datos

Internet es un mundo vivo donde aparecen constantes cambios. Pueden aparecer

1.2 Antecedentes Históricos

En la actualidad, existen propuestas formales que hacen BGP seguro y fiable

Objetivos del proyecto.

El desarrollo de un sistema en seguridad BGP que cubra las principales

La intención de este documento es demostrar que siguiendo unos pasos sencillos

Router Analyzer es la herramienta diseñada para acotar al máximo el margen

En esta investigación sobre BGP, las organizaciones previamente nombradas

[1] National Institute of Standards and Technology, http://www.nist.gov/index.html

Author: Jorge Pérez Calleja

Director: Jose Luis Gahete Diaz

1.1 Data transmision

Internet can be considered as a living world. There appear constant changes as

1.2 Historical Background

A system development based on BGP security to cover most of its known

Router Analyzer is the designed tool to enclose miss configurations when

[1] National Institute of Standards and Technology, http://www.nist.gov/index.html

1.2 Protocolos de encaminamiento 6

1.3 Border Gateway Protocol 7

1.4 Microsoft Visual Studio 2010 8

BORDER GATEWAY PROTOCOL

2.2 Mensajes y cabecera de BGP 10

2.2.1 Formato KEEPALIVE 11

2.2.2 Formato OPEN 12

2.2.3 Formato UPDATE 13

2.2.4 Formato NOTIFICATION 14

2.3 Sesión BGP 15

2.3.1 Establecimiento de una sesión 15

2.3.2 Estados BGP 18

a) Idle State (Estado Paralizado)

2.4 Reglas de filtrado 22

2.4.1 Configuración MD5 24

2.4.2 Filtrado Router-Map 25

2.4.3 Filtrado Filter-List 26

2.6 Seguridad en BGP 28

CONFIGURACIÓN SIMPLE DE BGP

3.2 Estado de la cuestión 32

3.2.1 Aspecto administrativos 32