SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS … · escuela tÉcnica superior de ingenierÍa...

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERO TÉCNICO EN INFORMÁTICA DE GESTIÓN

SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE

CONFIGURACIÓN

Autor: Jorge Pérez Calleja Director: Jose Luis Gahete Diaz

Madrid Mayo 2012

Proyecto realizado por el alumno/a:

Jorge Pérez Calleja

Fdo: ………………………………… Fecha: …… / …… / ……….

Autorizada la entrega del proyecto cuya información no es de carácter confidencial

EL DIRECTOR DEL PROYECTO

Jose Luis Gahete Diaz

Fdo: ………………………………… Fecha: …… / …… / ……….

Vº Bº DEL COORDINADOR DE PROYECTOS

Israel Alonso Martínez

Fdo: ………………………………… Fecha: …… / …… / ……….

___________________________________________________________________________________________

I I

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA


AGRADECIMIENTOS

Gracias Papá, eres una máquina.

No podía empezar mis agradecimientos de otra manera. Sin ti, este

proyecto no sería lo que es. Me has echado una, dos y hasta tres manos

y ninguna de ellas al cuello. Has sabido pegarme empujoncitos durante el

curso y de verdad que muchas gracias.

Irascible; mi familia domina el significado de esta palabra. Del latín

“irascibilis”, dícese de una persona propensa a la ira. No todo el año he

estado igual, también recuerdo haberme sentido alterable, atrabiliario,

basilisco, cascarrabias, furibundo, iracundo, malhumorado. Gracias por

haberme aguantado este año tan largo. Muchas gracias mamá y Beatriz,

sois únicas.

¿Qué decir de lo “simplemente perfecto”? Siiii, me refiero a ti, Teresa.

GRACIAS. Eres una persona excelente. Me alegro muchísimo de haberte

encontrado. Ten muy claro que si he sacado esto adelante ha sido por tu

apoyo y tu paciencia, sobre todo esta última. Vamos a poder con todo,

estoy seguro. Gracias por tu confianza y por todo lo que me das a diario.

Sigue haciéndome sentir tan especial.

MS

Gracias Parrusete. Sois la caña chicos, que esto dure de por vida. Pase lo

que pase siempre juntos.

Gracias a mi grupo de fumadores de ICAI. Espero seguir en contacto con

vosotros, sois parte de mi historia universitaria.

Finalmente me gustaría agradecer a mi director, Jose Luis Gahete, por la

oportunidad que me ha brindado de poder profundizar en esta materia. He

aprendido muchísimo durante el desarrollo de este documento. Gracias

por asignarme este proyecto.

http://www.wordreference.com/sinonimos/alterable

http://www.wordreference.com/sinonimos/atrabiliario

http://www.wordreference.com/sinonimos/basilisco

http://www.wordreference.com/sinonimos/cascarrabias

http://www.wordreference.com/sinonimos/furibundo

http://www.wordreference.com/sinonimos/iracundo

http://www.wordreference.com/sinonimos/malhumorado

___________________________________________________________________________________________

II II




SEGURIDAD EN BGP,

ATAQUES AL PROTOCOLO Y

FALLOS DE CONFIGURACIÓN.

ROUTER ANALYZER

Autor: Jorge Pérez Calleja

Director: Jose Luis Gahete Diaz

Entidad Colaboradora: Universidad Pontificia Comillas

RESUMEN DEL PROYECTO

El objetivo de este proyecto es desarrollar un estudio sobre Border Gateway Protocol.

Se analizaran los episodios más relevantes en fallos de configuración en los últimos

años, al igual que una investigación en detalle de los ataques conocidos. Una vez

planteadas las vulnerabilidades del protocolo se ha desarrollado una aplicación para

minimizar situaciones de riesgo y se han elaborado unas plantillas guía de seguridad

en routers Cisco IOS e IOS XR.

Palabras clave: Internet, Border Gateway Protocol, whois Domain Tools,

Internet Storm Center, Secure Origin BGP, Secure BGP, National Institute of

Standards and Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.

Introducción.

La seguridad informática es un activo intangible y debe ser entendida como un

proceso. Esta se debe implantar en toda organización como un ciclo iterativo que

incluye una serie de actividades como la valoración de riesgos, la prevención, y la

detección y respuesta ante incidentes de seguridad. Toda empresa, ya sea líder, o

seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro para

transmitir la información.

___________________________________________________________________________________________

III III




1.1 Transmisión de datos

El medio de transmisión que se va analizar en este documento es Internet.

Cualquier petición de enviar un email o consulta de una página web implica la

transmisión de paquetes de datos desde el punto de origen al de destino.

Internet es un mundo vivo donde aparecen constantes cambios. Pueden aparecer

sistemas nuevos o sistemas que cesan su actividad. Estas eventualidades deben

estar reflejadas en tablas de encaminamiento. Border Gateway Protocol, de

ahora en adelante, BGP, es el encargado de gestionar estas variaciones

continuas por lo que los fallo en la configuración de aquel, podían dejar áreas

geográficas enteras sin acceso a Internet.

1.2 Antecedentes Históricos

A lo largo de la historia de Internet, se han producido diferentes situaciones de

alto riesgo derivados de fallos en BGP. En este documento se han recogido los

episodios más relevantes del siglo XXI [1]. Estos incidentes proceden, en su

mayoría, de fallos de configuración.

En la actualidad, existen propuestas formales que hacen BGP seguro y fiable

pero su compleja implantación las convierte en poco plausibles. Por un lado se

ha planteado Secure Origin BGP cuyo objetivo es verificar el origen de cada

mensaje utilizando certificados. Por otro lado, se ha considerado incluir la

autentificación, integridad y autorizaciones en los mensajes BGP, cuya

proposición se denomina Secure BGP.

Objetivos del proyecto.

El objetivo de este proyecto es concienciar y advertir a las entidades de la

necesidad de una mejora en sistemas de transmisión cuyo fin será asegurar la

confidencialidad, accesibilidad e integridad de los datos.

El desarrollo de un sistema en seguridad BGP que cubra las principales

vulnerabilidades conocidas, y que equilibre el grado de seguridad y factores de

complejidad, rendimiento y costes, debería ser un objetivo primordial para todas

___________________________________________________________________________________________

IV IV




las organizaciones. Actualmente, estas no han sabido ver una mejora inmediata

que pueda repercutir en sus clientes y, probablemente, hasta que no se reciban

varios ataques al protocolo BGP no se considerará la necesidad de asegurar sus

sistemas.

La intención de este documento es demostrar que siguiendo unos pasos sencillos

se pueda configurar el protocolo de manera eficiente. No obstante, aun habiendo

explicado los diferentes comandos y opciones recomendadas, se aconseja hacer

un estudio previo de las necesidades específicas de cada conexión así como

comprender las diferentes opciones para implementar la configuración más

correcta, más valida y la adecuada a cada situación.

Router Analyzer.

Asimismo se ha desarrollado una aplicación para facilitar la configuración del

router y reducir la posibilidad de acoger ataques al sistema. Para la creación de

dicha herramienta se han utilizado materiales de dominio público tales como

whois Domain Tools [2], y la tabla de direcciones IP denunciadas de Internet

Storm Center [3].

Router Analyzer es la herramienta diseñada para acotar al máximo el margen

de error a la hora de configurar un enlace, y reducir la posibilidad de acoger

ataques al sistema. En el Anexo A de este proyecto se ha desarrollado un

manual de usuario para su correcto uso. En dicho apéndice, se han agrupado

diferentes capturas de pantalla con el fin de facilitar la comprensión del mismo.

___________________________________________________________________________________________

V V




Plantillas de seguridad.

Para el desarrollo de estas plantillas de configuración y seguridad se ha

realizado una labor de documentación y se han consultado publicaciones al

efecto como el National Institute of Standards and Technologies [1] (US

NIST), organismo dependiente del departamento de comercio de los Estados

Unidos. A su vez, se han consultado páginas web de monitorizado, análisis y

recomendaciones sobre BGP como BGPmon [4]. Conocida organización no

lucrativa de apoyo a los técnicos y operadores de red en Internet. Por último,

cabe mencionar a Packet Clearing House [5], Instituto de investigación sin

ánimo de lucro sobre las comunicaciones en internet.

En esta investigación sobre BGP, las organizaciones previamente nombradas

hacen una constante referencia a las plantillas de seguridad de BGP

desarrolladas y publicadas por Team Cymru Community Services [6]. Esta es

una compañía estadounidense localizada en el estado de Illinois, especializada

en la investigación sobre la seguridad de internet. Team Cymru es también

conocida por su dedicación y ayuda a organizaciones para identificar y erradicar

problemas en sus redes. El equipo de Team Cymru ha desarrollado diversas

plantillas de seguridad, y en este proyecto se han seleccionado aquellas

pertenecientes a routers Cisco.

___________________________________________________________________________________________

VI VI




Conclusiones.

El objetivo de este proyecto no ha sido exclusivamente didáctico. Cabe resaltar

mi motivación personal en este ámbito de la informática así como todos los

conocimientos adquiridos durante el desarrollo del proyecto.

Para finalizar este sumario del proyecto de fin de carrera, me gustaría plasmar la

satisfacción que ha supuesto haber tenido la oportunidad de profundizar en esta

cuestión, y a su vez instar al lector, y en última instancia a interesados en redes

y/o seguridad informática, a que participen en mi proyecto mediante su lectura,

y posterior revisión o crítica.

Bibliografía.

[1] National Institute of Standards and Technology, http://www.nist.gov/index.html

[2] Whois DomainTools, http://whois.domaintools.com/

[3] Institute e Internet Storm Centre, http://www.sans.org

[4] BGP monitoring and analyzer, http://www.bgpmon.net/

[5] Packet Clearing House, http://www.pch.net/home/index.php

[5] Team Cymru Community Services, http://www.team-cymru.org/Monitoring/Graphs/

http://www.nist.gov/index.html

http://whois.domaintools.com/

http://www.sans.org/

http://www.bgpmon.net/

http://www.pch.net/home/index.php

http://www.team-cymru.org/Monitoring/Graphs/

___________________________________________________________________________________________

VII VII




BGP SECURITY,

PROTOCOL ATTACKS AND

AND MISS-CONFIGURATION.

ROUTER ANALYZER

Author: Jorge Pérez Calleja

Director: Jose Luis Gahete Diaz

Colaborating Entity: Universidad Pontificia Comillas

ABSTRACT

The aim of this project is to develop a study about Border Gateway Protocol. It will

include an analysis of the most outstanding miss-configurations episodes occurred in

the past years and a research about the more common attacks. Once vulnerabilities are

set up, it will introduce an application to minimize risk situations and security

templates on Cisco IOS and IOS XR routers.

Key Words: Internet, Border Gateway Protocol, whois Domain Tools, Internet

Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and

Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco.

Introduction.

Computer security is an intangible asset and it must be considered as a process. This

must be well-established in every organization like an iterative cycle that will include

a group of activities as risks assessments, prevention, and detection and response

against security incidents. Every firm, no matter if it is sector leader or follower, will

need a reliable and secure communications system to transmit data.

___________________________________________________________________________________________

VIII VIII




1.1 Data transmision

The mean of transmission that is going to be analyzed on this document is

Internet. Any email sending request or website consultation involves data

transmission from an origin to a destination.

Internet can be considered as a living world. There appear constant changes as

new systems appearances or systems that resign their activity. These events

must be taken into account on routing tables. Border Gateway Protocol, BGP

from now on, is in charge of managing these changes. A miss-configuration on

BGP would obstruct Internet access.

1.2 Historical Background

Along Internet´s life, there have appeared various high risk situations due to

BGP miss-configurations. On this document, most of these incidents have been

brought together [1].

Currently, there exist many proposals to make BGP reliable and secure. Their

complex establishments make them hard to carry out. On the one hand, there is

Secure Origin BGP which aim is to verify the origin of every message using

certificates. On the other hand, it has been taken into consideration to include

authentication, integrity and authorizations on BGP messages, this proposal is

known as Secure BGP.

Objectives.

The aim of this document is to make aware and to warn firms about the need of

data transmission improvements. This goal will assure data confidentiality,

accessibility and integrity.

A system development based on BGP security to cover most of its known

vulnerabilities should be paramount importance for firms. This system must

balance security, complexity, performance and costs. Nowadays companies do

not appreciate an immediate improvement and they will not invest on security

until they receive various attacks

___________________________________________________________________________________________

IX IX




Router Analyzer.

The present document contains there an application development to make router

configuration easier and it will reduce the chance of receiving attacks. Public

material was used to design this tool as whois Domain Tools [2] and Internet

Storm Center [3].

Router Analyzer is the designed tool to enclose miss configurations when

configuring routers. This project will bring in a handbook for its correct use. It

has been attached as Appendix A to make it easier to utilize and to comprehend.

Security Templates.

These security templates have been developed based on a documentation task.

Several publications have been studied as the one presented from National

Institute of Standards and Technologies [1] (US NIST), BGPmon [4], Packet

Clearing House [5]. On their publications, they all refer to security templates

developed by Team Cymru Community Services [6]. On this document, only

Routers Cisco security templates have been taken into account, which are the

ones that will be used on Router Analyzer.

___________________________________________________________________________________________

X X




Conclusions.

The elaboration of this project has not been merely didactic. I must stand out my

personal motivation on this computer science scope and every knowledge

acquired.To conclude this brief, I would like to emphasize my satisfaction

obtained by having the chance to study in depth this matter.

Bibliography.













___________________________________________________________________________________________

XI XI




ÍNDICE

FIGURAS

BIBLIOGRAFIA

ACRÓNIMOS

INTRODUCCIÓN Y MOTIVACIÓN

DEFINICIONES

1.1 Internet 3

1.2 Protocolos de encaminamiento 6

1.3 Border Gateway Protocol 7

1.4 Microsoft Visual Studio 2010 8

BORDER GATEWAY PROTOCOL

2.1 Introducción 9

2.2 Mensajes y cabecera de BGP 10

2.2.1 Formato KEEPALIVE 11

2.2.2 Formato OPEN 12

2.2.3 Formato UPDATE 13

2.2.4 Formato NOTIFICATION 14

2.3 Sesión BGP 15

2.3.1 Establecimiento de una sesión 15

2.3.2 Estados BGP 18

a) Idle State (Estado Paralizado)

b) Connect State (Estado Conectado)

c) Active State (Estado Activo)

d) OpenSent State (Estado Open Enviado)

e) OpenConfirm State (Estado Confirmación de un Open)

f) Established State (Estado Establecido) 4

___________________________________________________________________________________________

XII XII




2.4 Reglas de filtrado 22

2.4.1 Configuración MD5 24

2.4.2 Filtrado Router-Map 25

2.4.3 Filtrado Filter-List 26

2.5 BGP-4 26

2.6 Seguridad en BGP 28

2.7 Resumen 29

CONFIGURACIÓN SIMPLE DE BGP

3.1 Introducción 30

3.2 Estado de la cuestión 32

3.2.1 Aspecto administrativos 32

3.2.2 Interfaces 34

3.2.3Protocolos de encaminamiento 34

3.2.4 Gestión del tráfico 34

3.2.5 Políticas de encaminamiento 35

3.4 Graphical Network Simulator 36

3.4.1 Situación inicial 36

3.5 Metodología de configuración del protocolo 40

3.5.1Configuración previa de los routers 40

3.5.2 Comprobación de las tablas de rutas 44

3.5.3 Configuración del protocolo BGP 47

a) Activación del protocolo

b) Definir vecindad entre los routers (eBGP)

c) Configuración final

d) Comprobación vecinos BGP

3.5.4 Configuración Interior-BGP 53

___________________________________________________________________________________________

XIII XIII




ATAQUES EN BGP


4.2 Vulnerabilidades y errores de concepto 55

4.3 Antecedentes Históricos 58

4.3.1 Año 2012, Australia sin acceso a Internet 59

4.3.2 Año 2011, Egipto sin acceso a Internet 60

4.3.3 Año 2011, Siria sin acceso a Internet 64

4.3.4 Año 2010, Google y servicios asociados redirigidos 67

4.3.5 Año 2010, un ISP Chino secuestra Internet 69

4.3.6 Año 2008, Pakistán Telecom bloquea YouTube 70

4.3.7 Año 2008, Brasil difunde una tabla BGP 74

4.3.8 Año 2007, La ICANN pone en riesgo un servidor DNS 74

4.3.9 Año 2004 77

a) ISP en Malasia bloquea Yahoo

b) ISP turco bloquea Internet

c) Northrop Grumman atacado por spammers

4.4 Ataques al protocolo 78

4.4.1 Ataques DoS o DDoS 79

4.4.2 Secuestro o Hijack 81

4.4.3 Man in the Middle (o Meet in the Middle) 81

4.4.4 Ataques de sesión (TCP) y Replay Attacks 83

4.4.5 Ataque Route Flapping 84

4.4.6 Ataque de Desagregación de rutas 86

4.4.7 Ataque de Inyección de Rutas Maliciosas 87

4.4.8 Ataque de Inyección de Rutas no Asignadas 88

4.4.9 Malware Rootkits, IOS, Bios, EEProms 88

4.5 Resumen 89

___________________________________________________________________________________________

XIV XIV




ANEXO A. MANUAL DE USUARIO-ROUTER ANALYZER


5.1.1 Internet Storm Center 92

5.1.2 Domain Tools 94

5.1.3 Router Analyzer 95

5.2 Análisis del router 96

5.2.1 Archivo de configuración 96

5.2.2 Analizar y ver resultado 97

5.2.3 Actuar 99

5.3 Configuración del router 101

5.3.1 Estado Actual 102

5.3.2 Opciones de configuración 106

a) Configuración de enlaces

b) Configuración de un router BGP

5.4 Configuración Helper 114

5.4.1 Introducción 114

5.4.2 Pasos 115

a) Configuración Helper paso 1

b) Configuración Helper paso 2

c) Configuración Helper paso 3

d) Configuración Helper paso 4

e) Configuración Helper paso 5

ANEXO B. PLANTILLAS DE CONFIGURACIÓN

6.1 Seguridad BGP Cisco IOS 121

6.2 Seguridad BGP IOS XR 126

___________________________________________________________________________________________

XV XV




FIGURAS

NÚMERO NOMBRE FUENTE

FIGURA 1 Modelo de un sistema de comunicación Elaboración propia

FIGURA 2 Modelo de un sistema de transmisión Elaboración propia

FIGURA 3 Internet, red informática mundial Elaboración propia

FIGURA 4 La prehistoria de Internet www.noticiasdot.com/publicaciones

FIGURA 5 Internet como medio de transmisión Elaboración propia

FIGURA 6 Comunicación entre routers Elaboración propia

FIGURA 7 Saltos de la información Elaboración propia

FIGURA 8 Algoritmo Elaboración propia

FIGURA 9 Microsoft Visual Studio 2010 www.microsoft.com/

FIGURA 10 Formato Cabecera Mensaje BGP Elaboración propia

FIGURA 11 Formato mensaje OPEN Elaboración propia

FIGURA 12 Formato mensaje UPDATE Elaboración propia

FIGURA 13 Formato mensaje NOTIFICATION Elaboración propia

FIGURA 14 Neighbor State http://en.wikipedia.org/wiki/Border_Gateway_Protocol

FIGURA 15 Inicio de una sesión BGP GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition

FIGURA 16 Filtrado por MD5 Elaboración propia

FIGURA 17 Configuración MD5 Elaboración propia

FIGURA 18 Configuración Router-Map Elaboración propia

FIGURA 19 Conexión entre sistemas autónomos Elaboración propia

FIGURA 20 Características de un router Cisco 3640 Elaboración propia, con datos de www.cisco.com

FIGURA 21 Caso real de configuración BGP Elaboración propia

FIGURA 22 Simulación caso real GSN3 Elaboración propia usando GSN3

FIGURA 23 Estado RC1 Elaboración propia usando GSN3

FIGURA 24 Estado enlaces Elaboración propia usando GSN3

FIGURA 25 Enlaces RC1 Elaboración propia usando GSN3

FIGURA 26 Fichero de configuración de RC1 Elaboración propia

FIGURA 27 Enlaces R1P1 Elaboración propia usando GSN3

FIGURA 28 Fichero de configuración de R1P1 Elaboración propia



FIGURA 31 Fichero de configuración de P2 Elaboración propia

FIGURA 32 Comando “sh ip route” Elaboración propia usando la consola de GSN3

FIGURA 33 Comprobación de tabla de rutas Elaboración propia usando la consola de GSN3

FIGURA 34 Clases de direcciones IP http://redesdecomputadores.umh.es/red/ip/default.html

FIGURA 35 Vecindad entre routers Elaboración propia usando GSN3

FIGURA 36 Configuración vecinos BGP en el fichero Elaboración propia

FIGURA 37 Configuración RC1 Elaboración propia

FIGURA 38 Comando “sh ip bgp neighbors” Elaboración propia usando la consola de GSN3

http://www.noticiasdot.com/publicaciones

http://www.microsoft.com/

http://en.wikipedia.org/wiki/Border_Gateway_Protocol

http://redesdecomputadores.umh.es/red/ip/default.html

___________________________________________________________________________________________

XVI XVI




NÚMERO NOMBRE FUENTE

FIGURA 39 Comprobación de tabla de rutas Elaboración propia usando la consola de GSN3

FIGURA 40 Neighbor R1P2 Elaboración propia

FIGURA 41 Comprobación vecindad R1P2 Elaboración propia usando la consola de GSN3

FIGURA 42 Neighbor R1P1 y R2P2 Elaboración propia

FIGURA 43 Comprobación vecindad R1P1 y R2P2 Elaboración propia usando la consola de GSN3

FIGURA 44 Configuración Interior-BGP Elaboración propia usando GSN3

FIGURA 45 Comandos configuración Interior-BGP Elaboración propia

FIGURA 46 Mejor camino basado en rutas recibidas Elaboración propia

FIGURA 47 AS1221 Telstra Pty Ltd www.BGPmon.com

FIGURA 48 Eguito redes afectadas I Elaboración propia

FIGURA 49 Eguito redes afectadas II Elaboración propia

FIGURA 50 Egipto redes afectadas III Elaboración propia

FIGURA 51 Egipto gráfico redes afectadas/tiempo Elaboración propia

FIGURA 52 Siria redes afectadas/SA Elaboración propia

FIGURA 53 Siria prefijo 1 de Junio, 2011 Elaboración propia

FIGURA 54 Siria prefijo 3 de Junio, 2011 Elaboración propia

FIGURA 55 Pakistan Telecom bloquea Youtube Elaboración propia

FIGURA 56 Estado Youtube 24 de Febrero BGPlay

FIGURA 57 Estado Youtube 18.50 BGPlay

FIGURA 58 Estado Youtube 21.25 BGPlay

FIGURA 59 Mensaje alerta BGPMon www.BGPmon.com

FIGURA 60 Root-Servers www.emezeta.com/

FIGURA 61 Comando nslookup Elaboración Propia

FIGURA 62 Root-Servers falsos ICANN

FIGURA 63 Secuestro de sesión https://www.owasp.org/index.php/Session_hijacking_attack

FIGURA 64 Conexión MITM https://www.owasp.org/index.php/Man-in-the-middle_attack

FIGURA 65 Sincronización al inicio de una sesión http://es.kioskea.net/

FIGURA 66 Route Flapping Penalización/tiempo http://web.eecs.umich.edu/

http://www.bgpmon.com/

http://www.emezeta.com/articulos/rootservers-los-servidores-raiz-del-mundo#axzz1tZV8ywxr

https://www.owasp.org/index.php/Session_hijacking_attack

https://www.owasp.org/index.php/Man-in-the-middle_attack

http://es.kioskea.net/

http://web.eecs.umich.edu/~

___________________________________________________________________________________________

XVII XVII




ACRÓNIMOS

Ack Acknowledgement

ACL Access Control List

ASN Autonomous System Number

BGP Border Gateway Protocol

DNS Domain Name System

DoS Denial of Service

eBGP Exterior BGP

EGP Exterior Gateway Protocol

EIGRP Enhanced Interior Gateway Routing Protocol

GNS-3 Graphic Network Simulator

iBGP Interior BGP

ICANN Internet Corporation for Assigned Names and Numbers

ID Identifier

IGP Interior Gateway Protocol

IGRP Interior Gateway Routing Protocol

IOS Internetwork Operating System

IP Internet Protocol

ISC Internet Systems Consortium

IS-IS Intermediate System To Intermediate System

ISP Internet Service Provider

MD5 Message-Digest Algorithm 5

MiT Man in the Middle

OSPF Open Shortest Path First

RFC Request For Change

RID Router ID

RIP Routing Information Protocol

s-BGP Secure BGP

so-BGP Secure Origin BGP

Syn Synchronization

TCP Transmission Control Protocol

TLD Top-level domain

WWW World Wide Web

http://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=2&ved=0CIQBEBYwAQ&url=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FAutonomous_System_(Internet)&ei=TTGsT4vpAeKR0AXktoGuDw&usg=AFQjCNHXJhDjU0QAxotibyKjY-5fV2cQAA&sig2=mxDCZYPd0vtdQ2XiBdyrhQ

http://en.wikipedia.org/wiki/Domain_Name_System

http://www.google.es/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CIMBEBYwAA&url=http%3A%2F%2Fes.wikipedia.org%2Fwiki%2FEnhanced_Interior_Gateway_Routing_Protocol&ei=ojGsT770N-St0QWUwPGSBQ&usg=AFQjCNGDef-CZiu-U8mD9Ev36hlUg2QuTw&sig2=9I7OACDUUqlF5NOBq6Ib-Q

http://www.icann.org/

http://en.wikipedia.org/wiki/Identifier

http://www.isc.org/

http://es.wikipedia.org/wiki/Open_Shortest_Path_First

http://es.wikipedia.org/wiki/Routing_Information_Protocol

http://en.wikipedia.org/wiki/Synchronization

http://es.wikipedia.org/wiki/Transmission_Control_Protocol

http://en.wikipedia.org/wiki/Top-level_domain

___________________________________________________________________________________________




1

INTRODUCCIÓN Y MOTIVACIÓN

La seguridad informática es un activo intangible y debe ser entendida como un proceso. Esta se

debe implantar en toda organización como un ciclo iterativo que incluye una serie de actividades

como la valoración de riesgos, prevención, y detección y respuesta ante incidentes de

seguridad. Toda empresa, ya sea líder, o seguidor en el sector, necesita de un sistema de

comunicaciones fiable y seguro.

Se entiende por sistema de comunicación los componentes o subsistemas interrelacionados para la

transferencia de información. Toda comunicación se inicia con la elaboración y emisión de un

mensaje por un canal a uno o más sujetos (Ver figura 1).

FIGURA 1: Modelo de un sistema de comunicación

FUENTE: Elaboración propia

La fuente es quien posee la información que en un momento dado se quiere transmitir. Este

sujeto no tiene la capacidad de transmitir el mensaje directamente, necesita de un transmisor. Este

transmisor es el que se va a encargar de adaptarlo a la naturaleza del medio. Una vez el mensaje

ha atravesado el medio, el mensaje será recibido por un receptor, con funcionalidad inversa a la

del transmisor, que presentará la información al sujeto destino. El momento crítico en toda

comunicación yace en el sistema de transmisión (Ver figura 2). Es en este instante, en la

transmisión de la información, es más vulnerable a ser capturada, modificada y/o eliminada. Por

estos motivos, se debe estructurar de manera segura y eficiente como se va a enviar la información

y de quien y cuando se va a recibir información.

FUENTE TRANSMISIÓN MEDIO DESTINO RECEPTOR

___________________________________________________________________________________________




2

FIGURA 2: Modelo de un sistema de transmisión


Las principales premisas que deben destacar en toda infraestructura de seguridad han de estar

basadas en tres garantías básicas:

Confidencialidad: garantía de mantener la debida privacidad de los datos de la entidad y/o

de los elementos del sistema.

Accesibilidad: los sistemas deben prestar servicio para el cual fueron diseñados.

Integridad: garantía de que los datos no han sido manipulados o alterados

FUENTE TRANSMISIÓN MEDIO DESTINO RECEPTOR

___________________________________________________________________________________________




3

DEFINICIONES

1.1 Internet.

El diccionario de la Real Académica de la Lengua en su vigésima segunda edición aporta la

siguiente definición:

“ Red informática mundial, descentralizada, formada por la conexión directa entre

computadoras u ordenadores mediante un protocolo especial de comunicación. ”

FIGURA 3: Internet, red informática mundial


Son varias las definiciones que se pueden encontrar de Internet, he aquí otra descripción que

proporciona una visión más detallada del concepto:

(Fuente: http://www.americanelearning.com/e-learning-cursos/internet/modulo01/u1l1.htm)

“Una red mundial formada por millones de ordenadores de todo tipo y plataforma,

conectados entre sí por diversos medios y equipos de comunicación, cuya función

principal es la de localizar, seleccionar, e intercambiar información desde el lugar en

donde se encuentra hasta aquella donde haya sido solicitada o enviada.”

http://www.americanelearning.com/e-learning-cursos/internet/modulo01/u1l1.htm

___________________________________________________________________________________________




4

La primera concepción de una red de ordenadores interconectados usando conmutación de

paquetes para la transmisión de datos surgió en un programa de investigación de ordenadores

promovido por DARPA en Octubre de 1962. Este concepto de red de ordenadores fue

evolucionando hasta la elaboración de ARPANET en 1966 y publicado en 1967, inicialmente

para fines militares. Tras una larga evolución de 30 años de cambios llegó la “Word Wide Web”,

el servicio más distinguido ofrecido en Internet. La WWW permite la consulta remota de archivos

de hipertexto. Desde 1967 (ARPANET) hasta la actualidad, Internet se ha ido modificando hasta

conseguir ser una red de comunicación global. (Ver figura 4)

FIGURA 4: La prehistoria de Internet

FUENTE: www.noticiasdot.com/publicaciones

1962

1968

ARPANET

1980 cierra

ARPANET

1981

BITNET-NSFNet

1982

EUNET

1984

Nace DNS

1990

España se conecta

1991

Protocolo WWW

1995

Los principales servicios online ofrecen conexión a Internet

1993

Nace Internic

1994

Yahoo

2,6 4,46,9

9,4

16

34

0

10

20

30

40

1990 1991 1992 1993 1994 1995

Evolución de usuarios 90/95

___________________________________________________________________________________________




5

El avance del siglo es una asociación voluntaria entre ordenadores de un extremo al otro del

globo. Un diseño basado en la confianza cooperativa entre diferentes entidades (como por

ejemplo, DNS y TCP). Internet es un conjunto de asunciones erróneas y peligrosas debido a la

existencia de delincuentes informáticos, también conocidos como “hackers”. Se entiende por

“hacker” a aquel usuario de ordenadores con las facultades cognitivas necesarias para acceder a un

sistema informático ajeno y obtener información privilegiada.

En el caso que se plantea en este documento Internet es el medio por el cual se va a trasmitir la

información de un extremo a otro. (Ver figura 5)

FIGURA 5: Internet como medio de transmisión


Se van a considerar tanto al transmisor como al receptor dos routers conectados por Internet y

tendrán diferentes maneras de comunicarse que se verán más adelante. (Ver figura 6)

FIGURA 6: Comunicación entre routers


Un sistema de comunicaciones debe ser seguro y fiable. En la actualidad, Internet, no posee una

entidad de gobierno centralizado, una administración unitaria que tenga control absoluto en la red.

Internet es una mercancía intangible, no tiene dueño. Es difícil otorgar plenos derechos a una

organización sobre un objeto tan ambiguo y uniforme como Internet.

INTERNET

TRANSMISIÓN MEDIO RECEPTOR

INTERNET

___________________________________________________________________________________________




6

La información fluye de un extremo a otro por un canal poco seguro basado en protocolos de

encaminamiento inestables y variables. Un protocolo de encaminamiento es un conjunto de

normas utilizadas por un transmisor cuando se comunica con el receptor con el objetivo de

compartir cierta información. Cuando se envía información por la red, no se es consciente de todos

los saltos que esta realiza para llegar a destinatario (Ver figura 7). Hay numerosos atributos de

selección de enlaces que se verán más adelante.

FIGURA 7: Saltos de la información


1.2 Protocolos de encaminamiento

El término protocolo, procede del latín “protocollum”, cuyo significado refiere a la primera hoja

de un manifiesto en la cual se establecen unas instrucciones fijas. Este término aplicado a un

sistema de transmisión como Internet, es la aplicación de unos pasos fijos, continuos,

estructurados y finitos que permiten llegar a un punto final desde un estado inicial. Un protocolo

es un algoritmo estructurado para hacer posible una buena comunicación. Se puede hablar de

algoritmo ya que estas instrucciones fijas son las que, de una manera abstracta, hacen posible el

encaminamiento.

___________________________________________________________________________________________




7

Todo host que maneja un datagrama seguiría el siguiente ciclo iterativo (algoritmo):

FIGURA 8: Algoritmo


1.3 Border Gateway Protocol

Border Gateway Protocol es un protocolo de enrutamiento que sirve como pasarela externa entre

dominios (Interdomain Routing Protocol) que en su día fue diseñado sin seguridad integrada. A lo

largo del tiempo se han propuestos protocolos alternativos sin que a día de hoy ninguno haya sido

ampliamente implementado. Al ser BGP el protocolo que sirve como guía y traza de las rutas de

Internet, una adecuada configuración del mismo es crítica. Los errores en BGP pueden resultar en

desastres que puedan aislar o dejar sin servicio de Internet amplias zonas. Las incidencias pueden

ser tanto locales como en redes remotas, y se considera absolutamente necesario el profundizar en

las consecuencias de las decisiones relativas a la configuración e implementar algunas acciones

para incrementar la seguridad y defensa del protocolo BGP.

___________________________________________________________________________________________




8

1.4 Microsoft Visual Studio 2010

En este proyecto se presentará una aplicación de análisis de routers. Dicha aplicación se ha

programado con el editor de Microsoft, Microsoft Visual Studio 2010. Esta herramienta es un

entorno de desarrollo integrado y sirve para el desarrollo de aplicaciones sharepoint, la Web,

Windows y Windows Phone.

FIGURA 9: Microsoft Visual Studio 2010

FUENTE: Microsoft

___________________________________________________________________________________________




9

BORDER GATEWAY PROTOCOL

2.1 Introducción

La primera versión [25] de este protocolo apareció en 1989 para sustituir a EGP. Posteriormente en

1990 apareció la segunda versión en la RFC 1163. Un año más tarde, en 1991, la tercera versión

de BGP, recogida en la RFC 1267 y finalmente llegó BGP-4 que proporciona soporte para CIDR

(RFC 1771 y RFC 4271). La función principal de BGP es intercambiar la información rutas de

redes con otros sistemas BGP.

BGP tiene dos extensiones dependiendo del tipo de enlace que se esté haciendo, interno o

externo. La versión externa de este protocolo se denomina eBGP, la cual conecta las fronteras de

los sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro de una misma

organización controlado por una misma entidad. En cambio, la modalidad interna del protocolo,

iBGP, sirve para enlazar routers dentro de un mismo sistema autónomo. El uso de BGP requiere

de una sincronización, ya que antes de inyectar BGP en la infraestructura de la red, las diferentes

rutas deben ser conocidas por el Internal Gateway Protocol, de ahora en adelante, IGP, como su

nombre indica, es un protocolo de pasarela interna. Este hace referencia a los protocolos usados

dentro de la organización. Existen diversos tipos de IGPs, los cuales son:

Sistema intermediario a sistema intermediario. (IS-IS)

Protocolo de información de encaminamiento. (RIP)

Protocolos de enrutamiento de pasarela interno. (IGRP)

Open shortest path first (OSPF).

BGP utiliza TCP versión 4 como protocolo de transporte. TCP agrupa los requisitos de transporte

de BGP y funciona en todo los routers y hosts comerciales que utilizan TCP/IP. BGP utiliza el

puerto 179 de TCP para establecer sus conexiones. Cuando la conexión empieza, un enlace BGP

intercambia copias completas de su tabla de rutas. Una vez la conexión se ha establecido, el enlace

BGP solo intercambiará con otros enlaces los cambios que le sean notificados, lo que convierte a

este protocolo en más eficiente en términos de eficiencia.

___________________________________________________________________________________________




10

BGP tiene un número significante de ventajas sobre otros protocolos de encaminamiento externo,

como por ejemplo:

Puede operar con redes que tienen topologías cerradas.

Anuncia todos los sistemas autónomos durante la trayectoria.

Debido a la segunda ventaja, un nodo que recibe más de un camino posible, puede elegir

sin margen de error, el mejor camino.

2.2 Mensajes y cabecera de BGP

Para facilitar el encaminamiento en Internet, fue dividida en sistemas autónomos. Esto acarrea la

imposibilidad de encontrar el camino más corto para cada enlace ya que cada SA utiliza su propio

protocolo IGP [3] con sus propias políticas de seguridad, por lo que una vez aplicada una serie de

restricciones, BGP utiliza un algoritmo para encaminar similar al vector distancia, llamado path-

vector. Para facilitar la correcta elección de rutas, es crucial proteger los mensajes de actualización

(UPDATES).

Existen 4 tipos de mensajes en BGP:

OPEN: Es el primer mensaje enviado al iniciar una sesión BGP.

KEEPALIVE: Mensaje de confirmación tras un OPEN.

NOTIFICATION: Mensaje para finalizar una sesión BGP

UPDATE: Mensaje para intercambiar informaciones de encaminamiento.

Toda cabecera [4] BGP tiene 4 campos (Figura 10):

El campo “marker” está al principio de todo mensaje BGP y sirve para autentificación y

sincronización (inicialmente todo a 1s).

El campo longitud es la longitud total del mensaje BGP incluida la cabecera.

El campo tipo es un valor numérico que oscila entre 1 y 4 dependiendo del tipo de mensaje

(OPEN, UPDATE, NOTIFICATION, KEEPALIVE)

El campo mensaje contiene campos específicos para cada tipo de mensaje para OPEN,

UPDATE y NOTIFICATION.

___________________________________________________________________________________________




11

FIGURA 10: Formato Cabecera Mensaje BGP

Mensaje


2.2.1 Formato KEEPALIVE

Los mensajes KEEPALIVE [2] se intercambian entre un router y su par para que el Hold-Timer

no expire. Hay un tiempo máximo razonable entre mensajes KEEPALIVE y este sería un tercio

del intervalo del Hold-Timer . Los mensajes KEEPALIVE no se deben enviar con mayor

frecuencia que uno por segundo. La decisión del intervalo entre cada KEEPALIVE se debe ajustar

como una dependencia total del Hold-Timer. Si por ejemplo, el Hold-Timer es 0, no se deberían

enviar KEEPALIVE periódicamente.

Mensaje

Marker (16 Bytes)

0 8 16 24

32

Longitud (2 Bytes) Tipo (1 Byte)

___________________________________________________________________________________________




12

2.2.2 Formato OPEN

Cuando se establece una sesión BGP, el primer mensaje que se envía es un OPEN [2] (ver Figura

11). Si el receptor acepta el OPEN, se intercambiarán mensajes del tipo UPDATE,

KEEPALIVE, y NOTIFICATION.

FIGURA 11: Formato mensaje OPEN

Version = 4

Autonomous

System

Hold-TIme

BGP Identifier

Parameter

Length

Operational

Parameter

Marker

Length

BGP Type = 1 Open

Data


La cabecera de un mensaje OPEN contiene los siguientes campos:

Version: Un octeto del tipo entero que especifica la versión del protocolo que se está

usando (4 en la actualidad).

Autonomous System: Dos octetos del tipo entero que indican el número de sistema

autónomo del emisor.

Hold-Time: Dos octetos del tipo entero que indican los segundos que propone el emisor

para este valor. Es el tiempo de espera establecido entre un router y su par.

BGP Identifier: Cuatro octetos del tipo entero que indican el identificador BGP del emisor.

Un emisor BGP puede establecer este valor como una dirección IP asignada a ese emisor

BGP.

Parameter Length: Un octeto del tipo entero que indica la longitud total del Optional

Parameters.

Optional Parameters: Este campo puede contener una lista de parámetros opcionales, los

cuales se cifran de tal manera:

<Parameter Type, Parameter Length, Parameter Value>

http://www.tcpipguide.com/free/t_BGPConnectivityMaintenanceKeepaliveMessages-2.htm


___________________________________________________________________________________________




13

2.2.3 Formato UPDATE

Los mensajes UPDATE [2] (ver Figura 12) se usan para intercambiar información de rutas entre

pares BGP. La información en un paquete UPDATE se puede usar para construir un grafo

describiendo las relaciones entre varios sistemas autónomos.

FIGURA 12: Formato mensaje UPDATE


La cabecera de un mensaje UPDATE contiene los siguientes campos:

Unfeasible Routes Length: Dos octetos del tipo entero indica la longitud del campo

withdrawn routes. Un 0 en este campo signifia que se está quitando ninguna ruta.

Withdrawn Routes: Este campo es variable y contiene una lista de todos los prefijos cuyas

direcciones IP se están quitando por el servidor.

<length, prefix>

Length: Este campo contiene la longitud en bits de los prefijos. Un 0

indica un prefijo que vale para todas las direcciones IP.

Prefix: Este contiene los prefijos de las direcciones.

Total Path Attribute Length: Este atributo son dos octetos del tipo entero contiene la

longitude total de los octetos del atributo del Path Attributes.

Path Attribute: Un campo variable cuya presencia es necesaria en todos los UPDATE. Este

campo contiene los siguientes tres elementos:

<attribute type, attribute length, attribute value>

Unfeasible

Routes

Length

Witdrawn Routes

Total Path

Attribute Length

Patht Attributes

Network Layer

Reachability

Information

Marker

Length

BGP Type = 1 Open

Data





___________________________________________________________________________________________




14

2.2.4 Formato NOTIFICATION

Un mensaje de NOTIFICATION [2] (ver Figura 13) se envía cuando se ha detectado un error o

una condición anómala. La sesión BGP se cerrará inmediatamente una vez se haya enviado este

mensaje.

FIGURA 13: Formato mensaje NOTIFICATION


La cabecera de un mensaje NOTIFICATION contiene los siguientes campos:

Error Code: Este octeto del tipo entero indica el tipo de NOTIFICATION. Los error code

que existen son los siguientes:

1. Error en la cabecera

2. Error en el OPEN

3. Error en el UPDATE

4. Tiempo de espera terminado

5. Error en la máquina final

6. Terminar

Error Sub-Code: Este octeto del tipo entero provee información más específica sobre la

naturaleza del error. Cada error tendrá uno o más Error Sub-Code asociados.

Data: Este octeto variable se usa para especificar la razón de la NOTIFICATION. La

información en este campo depende del Error Code y del Error Sub-Code.

Error Code

Error Sub-Code

Error Data

Marker

Length

BGP Type = 1 Open

Data

___________________________________________________________________________________________




15

2.3 Sesión BGP

2.3.1 Establecimiento de una sesión

La característica primordial de este protocolo es la configuración entre peers (vecinos). Para que

una comunicación BGP sea llevada cabo, dos routers deben establecer su “vecindad”. Para que

dos routers sean vecinos necesitan enviarse la siguiente información:

Número de versión BGP

Número de AS

Router ID (RID) de BGP

Dos vecinos BGP pueden establecer dos tipos de “peering”, iBGP y eBGP. Dentro de un mismo

SA, dos routers vecinos establecen un peering iBGP. Este tipo de BGP también puede ser usado

en los sistemas autónomos de tránsito. Los SA de tránsito reenvían el tráfico desde un SA a otro.

Una buena configuración de iBGP evita bucles de routing ya que un router iBGP no retransmite

la información en otros vecinos iBGP. Entre diferentes SA, dos vecinos BGP establecerían un

peering eBGP, estos vecinos deben tener una subred común. Los routers eBGP no tienen por qué

estar conectados físicamente, sino que pueden estar conectados saltando varias redes (eBGP

Multihomed).

Un enlace BGP pasa por diferentes estados conocidos como, neighbor states. Estos estados se

trasmiten a lo largo de una sesión/comunicación BGP, mediante la interactuación de los enlaces

que participan en la sesión. Estos se generan automáticamente siguiendo un bucle, (Ver figura 14),

los cuales se enumeran a continuación para su posterior análisis:

IDLE: El vecino no responde.

ACTIVE: Esperando conexión.

CONNECT: Sesión TCP establecida.

OPEN SENT: Mensaje OPEN enviado.

OPEN CONFIRM: Respuesta recibida.

ESTABLISHED: Adyacencia establecida.

___________________________________________________________________________________________




16

FIGURA 14: Neighbor state

FUENTE: http://en.wikipedia.org/wiki/Border_Gateway_Protocol

Dos sistemas que estén conectados (ver figura 15) entre sí, intercambian un mensaje de inicio de

sesión y confirma los parámetros de conexión. La primera trama de información que correrá en el

establecimiento de sesión será toda la información de rutas de BGP. Si surge algún cambio, se

enviaran solo el cambio, es decir, BGP no necesita de actualizaciones periódicas de sus tablas de

rutas. Los mensajes KEEPALIVE se envían para saber si la conexión sigue activa. Los mensajes

de notificación son respuestas a posibles errores o condiciones especiales. Si durante la conexión

se detecta un error, se envía un mensaje de notificación y se cierra la conexión.

En el interior de un sistema autónomo, los protocolos de encaminamiento interno se encargan de

proveer a los routers internos de las tablas de rutas. En cambio, las tablas de rutas externas, dentro

de un sistema autónomo, se propagan teniendo todos los routers del sistema conectados vía BGP.

Las políticas de seguridad establecerán que router se usará como entrada/salida del sistema. Antes

de activar BGP dentro del sistema, es importante que todos los routers internos tengan la

información de tránsito actualizada.

Las conexiones entre enlaces BGP pertenecientes a diferentes sistemas autónomos se conocen

como enlaces externos. Las conexiones BGP entre enlaces BGP dentro del mismo sistema

autónomo se conocen como enlaces internos. Igualmente, un enlace dentro del mismo sistema

autónomo se denominará vecino interno, y entre diferentes sistemas autónomos, se denominaran

vecino externo.

http://en.wikipedia.org/wiki/Border_Gateway_Protocol

___________________________________________________________________________________________




17

FIGURA 15: Inicio de una sesión BGP

FUENTE: GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition

(McGraw-Hill technical expert series). 1998

Established

Established

Listen

Syn Sent

Ack

TCP TCP BGP

BGP

Idle

Connect

Idle

Connect

Open

Request

Open

Request

Initializing

Initializing

Syn Ack

Syn

Open

Opened

Established

Established

Opened

Open Sent

Open

Open Sent

KeepAlive

KeepAlive

Open Confirm

Open Confirm

Update

Update

___________________________________________________________________________________________




18

Los pasos enumerados a continuación con los que BGP utiliza para activar una sesión entre dos

routers:

1. Dos routers que quieran intercambiar información BGP, establecen una conexión a nivel

de transporte TCP. Una conexión de transporte se establece para que BGP pueda crear una

comunicación fiable con su par.

2. Una vez se ha establecido la conexión a nivel de transporte, el par de routers intercambian

mensajes para abrir y confirmar los parámetros de la sesión BGP. Estos parámetros

incluyen el número de la versión BGP que se está utilizando, el número del sistema

autónomo, los valores de timeout de los mensajes del protocolo, y la información de

autenticación.

3. Una vez la sesión BGP está abierta, inicialmente los routers intercambian las tablas de

rutas con su par. La información de cada ruta incluye una lista de los sistemas autónomos

que tendrían que atravesar para llegar al destino.

4. Terminado el intercambio de información, las actualizaciones se envían cuando haya algún

cambio en las tablas de rutas. Para enviar estos cambios, se necesita un servicio a nivel de

transporte. Esta es la razón por la que BGP necesita trabajar sobre TCP.

5. Los mensajes KEEPALIVE para saber el estado de la conexión.

6. Si ocurre algún error, se envía un mensaje de NOTIFICATION, y la conexión se cierra.

2.3.2 Estados BGP

Como ya se ha anunciado previamente, un enlace BGP pasa por diferentes estados durante una

sesión BGP, también conocido como neighbor states [2]. Cabe mencionar que todo enlace BGP

inicialmente se encuentra en el Idle State. A continuación se explicará con mayor detenimiento los

estados por los que pasa un enlace durante la sesión.

___________________________________________________________________________________________




19

a) Idle State (Estado Paralizado)

En este estado, BGP desecha todas las conexiones BGP entrantes. En un principio, todas las

comunicaciones empiezan por el Idle State, posteriormente se inicia la conexión en la capa de

transporte y si esta se realiza con éxito, cambiaría su estado a Connect.

Si un vecino BGP detecta un error, cierra la conexión y cambia su estado a Idle. Para volver a

cambiar su estado se debería iniciar otra vez la conexión. Este proceso no se debe automatizar

nunca. El valor del temporizador para iniciar una sesión son 60 segundos. Para cada denegación

consecutiva se doblará el valor del temporizador. Cualquier evento recibido durante este estado se

ignora.

b) Connect State (Estado Conectado)

En este estado, BGP está esperando a que termine la conexión en la capa de transporte. Si esta

conexión termina satisfactoriamente borra el temporizador del ConnectRetry, completa la

inicialización, manda un OPEN a su par, y cambia su estado a OpenSent.

Si la conexión en la capa de transporte falla, el emisor reinicia el ConnectRetry, sigue a la espera

de una conexión y cambia su estado a Active State. Mientras el enlace este en Active State,

cualquier evento de inicio será ignorado.

c) Active State (Estado Activo)

En esta estado, BGP está intentando que el enlace inicie una conexión en la capa de transporte. Si

esto ocurre, borraría el temporizador del ConnectRetry, enviaría un OPEN a su par, establecería su

Hold-Timer (tiempo de espera) a un valor muy grande y cambiaría su estado a OpenSent.

Si expira el tiempo del ConnectRetry, se reiniciaría, e iniciaría una sesión en la capa de transporte

con otro vecino, continuaría a la espera de una conexión y en tal caso cambiaría su estado a

Connect.

Si el sistema local detecta que un vecino remoto está intentando establecer una conexión BGP, y la

dirección IP del mismo no se conoce, reiniciaría el ConnectRetry, rechazaría el intento de

conexión, seguiría a la espera de una conexión que podría iniciarse por un enlace BGP remoto, y

seguiría en Active State.

___________________________________________________________________________________________




20

d) OpenSent State (Estado Open Enviado)

Durante este estado, BGP está a la espera de un mensaje del tipo OPEN de su par. Cuando se

recibe, se analizan los campos y si detecta algún error, el sistema local enviaría una

NOTIFICATION al enlace y cambiaría a Idle State.

Si no se detecta ningún error en el mensaje, BGP enviaría un KEEPALIVE e inicia un

temporizador Keepalive. El tiempo de espera, que inicialmente se estableció con un valor muy

grande, se reemplazaría con un tiempo de espera acordado.

Si se recibe un mensaje de desconexión en la capa de transporte, el sistema local cerraría la

conexión BGP, reiniciaría el temporizador del ConnectRetry, se pondría a la espera de otra

conexión, y cambiaria su estado a Active State.

Si el tiempo de espera acordado se termina, el sistema local enviaría una NOTIFICATION con

el código de error 4 (Hold Timer Expired) y se cambiaría a Idle State.

Ante cualquier otro evento, el sistema local enviaría una NOTIFICATION con el código de error

5 (Finite State Machine Error) y se cambiaría a Idle State.

Cuando un sistema BGP cambiar su estado de OpenSent State a Idle State, cierra la conexión

BGP (y en la capa de transporte) y desecha todas la información asociada a esa conexión.

e) OpenConfirm State (Estado Confirmación de un Open)

Durante este estado, BGP está a la espera de un mensaje KEEPALIVE o de NOTIFICATION.

Si el sistema local recibe un KEEPALIVE, cambiaría su estado a Established.

Si el tiempo de espera expira antes de que se reciba algún KEEPALIVE, el sistema local enviaría

una NOTIFICATION con el código de error 4 (Hold Timer Expired) y se cambiaría a Idle State.

Si el sistema local recibe una NOTIFICATION, cambiaría su estado Idle State. Si el tiempo del

KeepAlive expira, el sistema local enviaría un KEEPALIVE y reiniciaría el temporizador del

KeepAlive.

Si se recibe una notificación de desconexión en la capa de transporte, el sistema local cambiaría su

estado a Idle State.

Cualquier inicio de sesión sería desechado durante este estado. En respuesta a cualquier otro

evento, el sistema local enviaría una NOTIFICATION, con el código de error 5 (Finite State

Machine Error) y se cambiaría a Idle State.

___________________________________________________________________________________________




21

Si BGP cambia su estado de OpenConfirm State a Idle State, BGP cerraría la conexión BGP,

incluida en la capa de transporte y desecharía toda la información de la conexión

f) Established State (Estado Establecido)

En el Established State, BGP puede intercambiar mensajes del tipo UPDATE, NOTIFICATION

y KEEPALIVE con su par.

Si el sistema local recibe un UPDATE o un KEEPALIVE, este reiniciaría el Hold-Timer si el

Hold-Timer acordado fuese mayor que 0.

Si el sistema local recibe un NOTIFICATION, este cambiaría su estado a Idle State. Si el sistema

local recibe un UPDATE, y en este se detecta un error, el sistema local enviaría un mensaje de

NOTIFICATION con el código de error 4 (Hold Timer Expired) y cambiaría su estado a Idle

State.

Si el tiempo del KeepAlive se agota, el sistema local enviaría un KEEPALIVE y reiniciaría dicho

temporizador.

Siempre que el sistema local enviar un KEEPALIVE o un UPDATE, este reinicia el tiempo del

KeepAlive, siempre y cuando el valor del Hold-Timer acordado sea distinto de 0.

Los eventos de inicio de sesión durante este estado se ignoran.

En respuesta a cualquier otro evento, el sistema local enviaría una NOTIFICATION con el

código de error 5 (Finite State Machine Error) y cambiaría su estado Idle State.

Siempre que BGP cambia su estado de Established State a Idle State, se cierra la conexión BGP,

capa de transporte incluida, y desecha toda la información relacionada con esa conexión y elimina

todas las rutas recibidas durante la misma.

___________________________________________________________________________________________




22

2.4 Reglas de filtrado

Los errores en BGP más comunes son fallos de configuración. Un buen administrador de red

puede establecer filtros de red en sus tablas de rutas BGP. Existen diferentes tipos de filtros BGP,

se realizará un estudio detallado de cada filtro BGP. A nivel conceptual se presenta lo siguiente:

Communities de BGP: un atributo global voluntario y transitivo entre 1y 4.294.967.200

(tipos: internet, no-export, no-advertise, local-as)

BGP prefix lists: filtran envíos y entradas de rutas que se envían o se reciben de otros

vecinos.

BGP distribute lists: filtran las listas de rutas que se reciben o se emiten.

Filtros de BGP as path: filtrado por sistema autónomo, tiene operadores de comparación

para establecer los filtros. ( .; ^; $; _, *). Un ejemplo de filtrado BGP as path sería el

siguiente:

Se quiere filtrar todo el tráfico que venga de cualquier sistema autónomo que

comience por 458:

^458_

En la actualidad solo existen 2 maneras de configurar un tráfico BGP seguro y fiable. Por un lado,

un administrador de red, configurando adecuadamente los filtros tanto de entrada como de salida,

descartaría los prefijos reservados recibidos. Asimismo, tratándose de una organización final,

evitaría ser transitada, modelando el correcto control de acceso para obviar información no

autorizada (spoofing). Por otro lado, promovería el uso de contraseñas al establecimiento de una

sesión pero este genera demasiados problemas y lo convierte poco práctico. Ésta opción abre un

nuevo abanico de problemas, como son:

Distribución de contraseñas: si las claves son interceptadas, no sirven.

Tiempo establecido para cambiar contraseñas: los administradores de red de los enlaces

periféricos deben saber cada cuanto tiempo cambiar las claves y hacerlo en el instante

exacto.

___________________________________________________________________________________________




23

Como se aprecia, el establecimiento de claves, genera inconvenientes operacionales. Aun así, una

clave utilizada únicamente al inicio de una transmisión BGP no impide que esta pueda ser

interceptada y que uno de los dos extremos sea suplantado.

2.4.1 Configuración de MD5

Message-Digest Algorithm 5 (Algoritmo de Resumen del Mensaje 5) es un algoritmo de

encriptación de 128 bits. Se entiende por encriptación:

(Fuente: http://www.alegsa.com.ar/Dic/encriptacion.php)

“La encriptación es el proceso para volver ilegible

información considerada importante. La información una

vez encriptada sólo puede leerse aplicándole una clave.”

Configurar MD5 en BGP es bastante sencillo. Un administrador de red que establezca un

algoritmo de encriptación como MD5 entre dos routers se asegurará que cada segmento enviado

en una sesión TCP estará verificado previamente. El inconveniente de usar MD5 es que ambos

routers tendrán que tener la misma contraseña, sino, la conexión nunca se llevará a cabo. Véase el

siguiente ejemplo:

Ejemplo de configuración de MD5

En este ejemplo se va a configurar MD5 entre dos routers del mismo sistema autónomo. Datos de

interés:

Véase Figura 16

Contraseña MD5: EjemploMD5

http://www.alegsa.com.ar/Dic/encriptacion.php

___________________________________________________________________________________________




24

FIGURA 16: Filtrado por MD5


Las 3 líneas a tener en cuenta en las configuraciones de los dos routers están marcadas a

continuación (Véase figura 17). En estas 3 líneas se está haciendo lo siguiente:

neighbor x.x.x.x password contraseña: configuración IBGP usando la dirección de

Loopback.

neighbor x.x.x.x update-source Loopback: Invocar a MD5 en una session TCP con

un vecino BGP.

ip route x.x.x.x 255.255.255.255 y.y.y.y: Establecer ruta estática para saber que se

puede llegar a ella.

FIGURA 17: Configuración MD5


AS 150

192.168.1.1 /24 192.168.1.2 /24

R2 R1

Loopback1: 10.10.10.10/ 32

Loopback2: 20.20.20.20/ 32

___________________________________________________________________________________________




25

2.4.2 Filtrar usando Router-Map

Las instrucciones del Route-Map son un conjunto de listas de comandos y set asociados para

filtrar el tráfico BGP entrante/saliente. Los comandos más importantes a la hora de configurar este

tipo de filtro son los siguientes:

Match: especifica el criterio de verificación.

Set: especifica las acciones.

Siguiendo con el ejemplo anterior, la configuración Route-Map de R2 sería la siguiente:

FIGURA 18 Configuración Router-Map


___________________________________________________________________________________________




26

2.4.3 Filtrar usando Filter-List

Filter-List provee diferentes tipos de filtro. En el ejemplo que se ha ido elaborando a lo largo de

este apartado, supóngase, que se quieren filtrar todas las rutas que venga del exterior. Es decir, en

el router 2 se quieren filtrar todas las rutas que no sean locales, la sintaxis sería la siguiente:

ip as-path access-list 10 permit ^$

Imagine que el router 2 está conectado a un proveedor de servicio. Este pertenece al sistema

autónomo 200. En el router 1, se quiere desechar todas las rutas que no provengan de este SA. La

sintaxis en este caso es la siguiente:

ip as-path access-list 10 permit ^200$

2.5 BGP-4

La versión actual de BGP, BGP-4, está definida en la RFC 1771. BGP-4 es un protocolo de

encaminamiento entre sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro

de una misma organización, como por ejemplo, una red universitaria. Este conjunto de redes

tienen definida una única política de encaminamiento. Los sistemas autónomos tienen un

identificador de 16 bits (de 0 a 65536) pero al igual que en direcciones IP, este rango es teórico ya

que del 64512 al 65535 se encuentran reservados para uso privado (Ver figura 16).

BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantación de prefijos,

sistemas autónomos o routers, pueden realizarse con mucha facilidad. También es crucial la buena

configuración de BGP, ya que un error en su configuración puede emblandecer la seguridad de la

organización. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un

fallo de configuración se mantengan local y no se propaguen por todo Internet.

___________________________________________________________________________________________




27

FIGURA 19: Conexión entre sistemas autónomos


BGP-4 tiene conocidas vulnerabilidades muy difíciles de solventar, si bien estas deficiencias

deben ser estudiadas en detalle. Dos puntos clave deben ser tomados en referencia a los riesgos del

protocolo:

Cualquiera que se conecte a internet, sin las medidas de protección apropiadas está

expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que

pueden derivar en una denegación de servicio (DoS), secuestro de sesión, o intercepción de

las transacciones realizadas.

Un riesgo añadido, es que hoy en día no todos los técnicos desempeñando misiones en

infraestructura de red disponen de una capacidad técnica y de conocimientos para

cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo

de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus

ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan

sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración

realizados por los técnicos y administradores de la red.

R

1

R

2

R

3

R

4 R

5

R

6

AS: 33123

AS: 00079

AS: 60203

Enlaces interno

Enlaces externos

Router BGP

___________________________________________________________________________________________




28

2.6 Seguridad en BGP

Cada vez hay un mayor número de gestiones y dependencias a nivel de usuario realizadas en

Internet. Un fallo en BGP sería fatal para la comunicación en la “World Wide Web” (www). El

desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y

que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debería ser un

objetivo primordial para todas las organizaciones. Estas no ven una mejora inmediata que pueda

repercutir en sus clientes y probablemente hasta que no se reciban varios ataques al protocolo BGP

no se considerará la necesidad de asegurar sus sistemas.

Existen propuestas formales para hacer BGP seguro tales como:

TCP/MD5 [RFC 2385]: Es una extensión a TCP que incluye firma MD5.

soBGP (Secure Origin BGP): Verifica el origen de cada mensaje, utiliza certificados y un

nuevo tipo de mensaje.

S-BGP I (Secure BGP): Propuesta para incluir autentificación, integridad y autorizaciones

en los mensajes BGP.

Entre las alternativas más satisfactorias presentadas para dotar de seguridad a BGP, cabe destacar

Secure BGP (S-BGP) desarrollado por BBN Technologies y promovido por la National Security

Agency (NSA) y por la Defense Advanced Research Projects Agency (DARPA). El objetivo de S-

BGP es el de garantizar la autenticidad, integridad y autorizaciones a los mensajes BGP. Secure

BGP se basa en 3 elementos:

Certificados digitales: 2 Public Key Infrastructure (PKIs) para autentificar los prefijos IP y

sistemas autónomos.

Attestations: de direcciones y de rutas

IPSec: aportar autenticidad e integridad entre pares de routers.

La implantación de S-BGP requiere de grandes inversiones para la actualización software como de

hardware. Los routers no solo harían función “re-lee”, sino que también deberían tener mayor

memoria para almacenar certificados digitales y mayor capacidad de proceso para realizar

funciones criptográficas.

http://www.darpa.mil/

___________________________________________________________________________________________




29

Considerable obstáculo para la implantación de S-BGP, es la colaboración de las entidades de

registro para hacerse cargo de las necesidades básicas de usar PKIs, tales como:

Emisión de los certificados

Renovación de los certificados

Mantenimiento y publicación de listas de revocación

En seguridad BGP se han estudiado diferentes propuestas, la excesiva complejidad de estas

soluciones las convierte en poco prácticas. Invertir en seguridad es determinante para satisfacer un

grado de seguridad necesario. Aún no cubriendo todas las vulnerabilidades conocidas, una

propuesta que cubra las principales con un menor coste sería puesta en marcha de inmediato.

2.7 Resumen

El administrador de una organización puede solucionar parcialmente los ataques intencionados

hacia su sistema autónomo. Estas opciones de seguridad eliminan en parte las posibles agresiones

pero se necesitan soluciones globales de seguridad en BGP. Los fallos de configuración son más

comunes que los ataques al protocolo BGP. Estos errores deben ser estudiados en las políticas de

seguridad.

Una correcta documentación de la infraestructura de red ayudará a corregir y localizar posibles

fallos de configuración. En el siguiente apartado se va a realizar una configuración completa de un

caso real BGP recogiendo toda la información necesaria para limitar el rango de error y facilitar el

correcto mantenimiento de la red.

___________________________________________________________________________________________




30

CONFIGURACIÓN SIMPLE DE BGP

3.1 Introducción

El número de fallos de configuración [1] potenciales que un administrador de red puede introducir

a una interconexión de redes es ilimitado. A la hora de configurar un router, los Internetwork

Operating System, de ahora en adelante IOS, de Cisco, envían numerosos avisos durante el

proceso para evitar que estos fallos echen abajo toda una infraestructura de red.

Cuando se vaya a realizar una configuración de una red, toda la documentación debe estar

recogida en un mismo documento. Esto facilitara el mantenimiento y su correcta configuración. El

documento se podría dividir en los siguientes puntos:

Administrativos: nombre de los routers, contraseñas, servicios y nombres de usuarios.

Interfaces: ancho de banda, métrica, autenticación y encapsulación.

Protocolos de encaminamiento: IGRP, EIGRP, OSPF, RIP y BGP.

Gestión del tráfico: listas de control de accesos. (ACLs)

Políticas de encaminamiento: mapa de las rutas.

Las tres secciones que pueden ayudar a entender o localizar un fallo de configuración serán

el/(los) protocolo(s) que se esté usando, la gestión del tráfico, o la lista de control de accesos.

Siempre que se vaya a hacer un cambio en la configuración de la red, este deberá estar recogido en

el documento que contenga toda la instalación y/o configuración previa.

Una vez se tiene documentada toda la información que se ha calificado como necesaria para una

correcta política de seguridad, es necesario saber como la red/organización se va a comunicar con

el exterior. Internamente se puede estar usando cualquier IGP (como OSPF) e incluso

interconectar varios IGPs (como IGRP o RIP), el problema de estos protocolos es que sus orígenes

no fueron diseñados para soportar un número elevado de rutas. Es necesario usar otro protocolo

para transportar todas las rutas que son el resultado de interconectar todos los dominios que

forman Internet. Estos protocolos son conocidos Exterior Gateway Protocols (EGP). El protocolo

más popular de esta rama de los protocolos de encaminamiento es BGP.

___________________________________________________________________________________________




31

El encaminamiento en BGP no es un protocolo basado en buscar el camino más corto entre una

fuente y un destino. Cuando un router BGP tiene más de un camino por el que puede enviar un

paquete, el proceso de encaminamiento se convierte, en cierta manera, muy complejo. La elección

de la ruta requiere de un análisis y comparación de hasta 12 parámetros. En cualquier otro

protocolo interno de encaminamiento (IGP), el proceso de encaminar queda reducido a un simple

numero, este número puede ser una función de otras muchas variables dependiendo del protocolo

que se esté usando. En BGP esto cambia, el llegar a un destino establecido, puede estar

determinado por muchos atributos, tales como:

AS_path

Preferencias locales

Origen

Peso

Comunidad

Para entender las diferentes problemáticas que pueden surgir a la hora de configurar un router en

BGP, supóngase que se plantea el siguiente caso (Ver figura X). En este escenario se tiene un

cliente, denominado C1, y dos proveedores de enlaces P1 y P2.

Para configurar la presente situación se van a usar una serie de comandos preestablecidos e

identificados en el protocolo BGP. Este proceso de configuración se activa y se procesa e un

router Cisco mediante el siguiente comando:

Router bgp as_number

Donde el as_number es el número del sistema autónomo al que el router que se quiere configurar

pertenece. Los sistemas autónomos BGP son los bloques que constituyen toda la infraestructura

de internet, son colecciones de routers y redes con políticas de encaminamiento que son guiadas

por consideraciones económicas, políticas y de seguridad. La activación de un proceso BGP en un

router requiere de un número de sistema autónomo (ASN), este número que se usara para activar

el proceso BGP identifica unívocamente el sistema autónomo al que el router pertenece.

___________________________________________________________________________________________




32

3.2 Estado de la cuestión

Supóngase que el cliente C1 se dedica a la compra/venta de productos por Internet. C1 tiene

multitud de clientes y para poder darles servicio debe ser capaz de admitir cientos de accesos

diarios a su página web. Debido a esto, decide ser multihomed, lo que significa que C1 usará más

de un proveedor de servicio para poder ofrecer tales servicios. Teniendo varios niveles de

multihoming, C1 se asegura que si uno de sus proveedores deja de prestar servicio, el acceso a su

página web está garantizado. En la figura se puede ver que a C1 se puede llegar desde el

proveedor P1 y desde el proveedor P2, además P1 y P2 están conectados entre sí por lo que a C1

se puede acceder vía P1-P2 o desde P2-P1.

Para realizar una correcta configuración del caso que se ha planteado en este proyecto, se va a

recaudar toda la información necesaria ya explicada en el punto anterior. Considérese el

administrador de red del Cliente. Según los puntos que se han comentado en el apartado anterior,

se debería implementar un modelo de configuración optimizado y lo más preciso posible.

3.2.1 Aspecto administrativos

El cliente necesita dar servicio a centenares de visitas diarias, por lo que ha decidido ser

multihomed. Los routers que ha decidido implantar en su infraestructura de red son dos routers

Cisco 3640 (las características de dichos routers se pueden ver más abajo). Ambos routers están

conectados mediante un switch por Fast Ethernet. Solo uno de ellos (RC1) servirá de enlace con el

exterior. Se va a establecer MD5 entre los dos routers para asegurar la seguridad de la conexión, la

contraseña que se va a usar es “PassPFC”.

A continuación se han dividido los aspectos administrativos en dos bloques:

a) Características routers 3640

b) Resumen

___________________________________________________________________________________________




33

a. Características routers 3640

FIGURA 20: Características de un router Cisco 3640

FUENTE: Elaboración propia, con datos de www.cisco.com

b. Resumen

Routers:

Dos routers Cisco 3640

RC1

RauxC1

Conexión entre routers: Fast Ethernet

Contraseña MD5: PassPFC

___________________________________________________________________________________________




34

3.2.2 Interfaces

El router RC1 tendrá tres interfaces externos, 2 al proveedor 2 y uno al proveedor 1. En cambio,

solo tendrá un enlace interno para comunicarse con RauxC1, este enlace será mediante un switch.

a. Interfaces RC1

S0/0: 040.040.040.001 /30 – PROVEEDOR 2 (R1P2)

S0/1: 010.010.100.001 /30 – PROVEEDOR 1 (R1P1)

S0/2: 100.040.100.001 /30 – PROVEEDOR 2 (R2P2)

Fe0/0: 192.168.001.001 /24 – ENLACE A SWITCH

Loopback0: 192.168.000.001 /24 – LAN DEL CLIENTE

b. Interfaces RauxC1

Fe0/0: 192.168.001.002 /24 – ENLACE A SWITCH

Loopback0: 192.168.000.002 /24 – LAN DEL CLIENTE

3.2.3Protocolos de encaminamiento

El router RC1 se va a comunicar con los dos proveedores vía BGP. Se configurará su router para

que establezca una sesión eBGP con P1 y P2. Por último, el router RC1 usará Routing Information

Protocol para conectarse con el switch, y RauxC1, idem.

3.2.4 Gestión del tráfico

El enlace principal que va a dar servicio a RC1 será el router denominado R1P2 (s0/0), por esta

razón se le dará más peso a esta salida del router. A los otros dos enlaces externos se les atribuirá

el mismo peso, el router elegirá por orden en la ejecución.

Ejemplo

ip as-path access-list 10 permit ^200$

___________________________________________________________________________________________




35

3.2.5 Políticas de encaminamiento

El gráfico que se muestra a continuación sería el equivalente al caso que se ha planteado en

apartados anteriores.

FIGURA 21: Caso real de configuración BGP


S3

___________________________________________________________________________________________




36

3.4 Graphical Network Simulator

3.4.1 Situación inicial

A continuación, se va configurar el caso planteado (ver figura 22) previamente con el simulador

Graphical Network Simulator (GSN-3). El simulador GSN-3 permite crear y diseñar complejas

topologías de red para su posterior estudio y configuración. Se trata de un simulador tan preciso y

completo que es usado por ingenieros y administradores de red para realizar pruebas unitarias en

sus redes.

En el anexo B de este documento se encuentran las plantillas de configuración de routers Cisco

sobre las cuales se han fundamentado las siguientes actuaciones desarrolladas en este epígrafe.

En el caso que se ha planteado en este apartado, y al no disponer de los medios suficientes para

realizar una configuración al nivel de este proyecto, se van a estudiar los pasos enumerados en el

apartado anterior. El estado inicial de la tipología de red estudiada sería el siguiente:

FIGURA 22: Simulación caso real GSN3

FUENTE: Elaboración propia usando GSN3

___________________________________________________________________________________________




37

Esta tipología consta de 6 routers Cisco 3640. Los sistemas autónomos 64901 y 64662 son

proveedores de servicios de internet (ISP) y se simulará como el cliente 1 configura el router de tal

manera para obtener el servicio de los dos proveedores, el router RauxC1 del cliente ha sido

añadido a la topología para poder dar un ejemplo de iBGP.

El router del cliente será multihomed, es decir, se podrá acceder al router RC1 (ver figura 23) por

tres diferentes enlaces, dos de ellos por el AS 64901 y el restante por el AS 64662. Teniendo tres

posibles enlaces, se podrá configurar BGP para decidir en todo momento que AS se quiere

atravesar. Esto se debe a BGP AS path attribute. En una configuración predeterminada de BGP el

router del cliente elegirá el enlace por el número de saltos.

FIGURA 23: Estado RC1


___________________________________________________________________________________________




38

En resumen, inicialmente los routers, tanto de los dos ISP como del cliente estarían conectados de

la siguiente manera:

FIGURA 24: Estado enlaces


___________________________________________________________________________________________




39

La configuración de los routers se va a dividir en 5 pasos que serán analizados para comprender

las posibles problemáticas que pueden surgir cuando a un administrador se le plantee una situación

parecida. Se recuerda que no hay una metodología propia a la hora de configurar BGP, por lo que

la subdivisión de esta actividad se ha realizado para una mayor facilidad de comprensión y posible

solución ante los fallos de configuración que se verán más adelante. Los 5 pasos principales que se

han detectado en esta situación serian los siguientes:

1. Configuración previa a la activación del protocolo BGP de cada uno de los enlaces de los

routers.

2. Comprobación de las tablas de rutas de cada uno de los routers.

3. Configuración del protocolo BGP

Activación del protocolo

Definir vecindad entre los routers (eBGP)

Definir que rutas serán inyectadas en BGP.

4. Establecer vecindad de los routers pertenecientes al mismo SA (iBGP)

___________________________________________________________________________________________




40

3.5 Metodología de configuración del protocolo

3.5.1Configuración previa de los routers

Los proveedores de servicio son proveedores de tránsito, por lo que tendrán millones de clientes

como RC1 y ellos forman la estructura de Internet. La única politica que tienen estos proveedores

de servicio es la de dejar pasar todo el tráfico que necesita pasar por sus sistemas. La

configuración que se presta a continuación, es previa a la activación del protocolo BGP e incluso a

la declaración de vecindad entre los enlaces. Las siguientes configuraciones establecen que

direcciones IPs van a ser utilizadas por los routers.

El primer router que se va a configurar, es el router del cliente (RC1). La siguiente figura muestra

que direcciones IP han sido asignadas para cada tipo de enlace:

FIGURA 25: Enlaces RC1


___________________________________________________________________________________________




41

Con la asignación de direcciones de la figura anterior, la configuración es la siguiente:

FIGURA 26: Fichero de configuración de RC1


El siguiente router que se va a configurar, es el router del proveedor 1. Este va a tener dos

conexiones eBGP (ver Figura 27), una para prestar servicio al cliente y la otra conexión sera un

enlace contratado entre los dos ISPs.

FIGURA 27: Enlaces R1P1


___________________________________________________________________________________________




42

Con la asignación de direcciones de la figura anterior, la configuración es la siguiente:

FIGURA 28: Fichero de configuración de R1P1


El siguiente router que se va a configurar, es el router 1 del proveedor 2. Este va a tener dos

conexiones eBGP (ver Figura 29), una para prestar servicio al cliente y la otra conexión será un

enlace contratado entre los dos ISPs.



___________________________________________________________________________________________




43



Con la asignación de direcciones de la figura anterior, las configuraciones de los dos

routers del proveedor 2 serían las siguientes:

FIGURA 31: Fichero de configuración de P2


___________________________________________________________________________________________




44

3.5.2 Comprobación de las tablas de rutas

En el siguiente apartado se va a comprobar que la configuración del router cliente ha sido

realizada correctamente [5]. Para saber si el router ha reconocido los enlaces que se le han

configurado en el fichero, se va a abrir el simulador de redes (GSN3) y a continuación se abre la

consola. En dicha consola, se escribe el siguiente comando (Ver figura 32):

RC1# sh ip route

FIGURA 32: Comando “sh ip route”

FUENTE: Elaboración propia usando la consola de GSN3

El resultado a la ejecución de este comando sería el siguiente:

FIGURA 33: Comprobación de tabla de rutas


http://www.proz.com/kudoz/english_to_spanish/it_information_technology/866490-%23_pound.html

___________________________________________________________________________________________




45

El resultado puede parecer erróneo [8], fijándose en cada enlace, se aprecia que de cada enlace que

se ha configurado en el router nacen dos subredes. En principio, esto puede parecer un fallo de

configuración, pues la razón de esto sería la siguiente:

La explicación de este resultado es por como Cisco IOS clasifica las rutas de las tablas de rutas.

Básicamente hay dos tipos de rutas:

Rutas nivel 1

Rutas nivel 2

A su vez las rutas de nivel 1 se subdividen en:

Rutas finales de nivel 1

Rutas padre de nivel 1

Para poder seguir explicando este concepto de Cisco, se debe explicar previamente el concepto

de clases (Ver figura 34):

Valor mínimo que puede tener una dirección IP: 0.0.0.0

Valor mínimo que puede tener una dirección IP: 255.255.255.255

FIGURA 34: Clases de direcciones IP

FUENTE: http://redesdecomputadores.umh.es/red/ip/default.html

http://redesdecomputadores.umh.es/red/ip/default.html

___________________________________________________________________________________________




46

Se entiende por rutas de nivel 1 a aquellas rutas que tienen una salida en su interfaz o siguiente

salto y una máscara de subred por debajo o igual que la clase por defecto:

Por ejemplo:

192.168.1.0/24

172.16.1.0/16

192.168.0.0/16

Supóngase el siguiente caso:

RC1(config)#interface loo RC1(config)#interface loopback 1 RC1(config-if)#ip address 192.168.2.1 255.255.255.0 RC1(config-if)#exit RC1(config)#do show ip route output ommited Gateway of last resort is not set

C 192.168.2.0/24 is directly connected, Loopback1

La ruta se ha sido añadida y ninguna ruta adicional se ha creado por defecto. Esto confirma lo que

se explicaba previamente acerca de las rutas finales de nivel 1.

Las rutas de nivel 2 son aquellas rutas que tienen una máscara mayor que la que le correspondería

por su clase. Véase el siguiente ejemplo:

R1(config-if)#exit R1(config)#int lo3 R1(config-if)#ip address 192.168.3.1 255.255.255.128 R1(config-if)#do show ip route output ommited Gateway of last resort is not set

192.168.3.0/25 is subnetted, 1 subnets C 192.168.3.0 is directly connected, Loopback3

___________________________________________________________________________________________




47

Esta red es de tipo nivel 2 ya que la máscara de la subred es mayor que la de su propia clase por

defecto, fíjese que una segunda ruta fue creada al añadir una ruta de nivel dos.

192.168.3.0/25 is subnetted, 1 subnets C 192.168.3.0 is directly connected, Loopback3

Este tipo de red es una red de tipo 1 padre. Una ruta padre de nivel 1 no tiene siguiente salto o

salida de la interfaz. Estas se crean automáticamente cuando se añade una ruta de nivel 2.

3.5.3 Configuración del protocolo BGP

A continuación, se va configurar el protocolo BGP. Llegados a este punto, hay que realizar tres

pasos clave simultáneamente. Estos tres pasos son los siguientes:

Activación del protocolo

Definir vecindad entre los routers (eBGP)

Definir que rutas serán inyectadas en BGP.

El objetivo de esta configuración es la de permitir que el router del cliente pueda establecer

vecindad con los routers de los proveedores.

a. Activación del protocolo

La activación del protocolo se va a llevar a cabo con un comando en el propio fichero de

configuración. El comando que activaría el protocolo es el siguiente:

router bgp [Número de sistema autónomo]

Donde el número del sistema autónomo es el propio número del cliente, es decir, aquel sistema

autónomo al que pertenece el RC1.

router bgp 64512

___________________________________________________________________________________________




48

El router del cliente propaga la dirección de loopback0 192.168.000.001, por lo que:

network 192.168.000.000

b. Definir vecindad entre los routers (eBGP)

Como ya se vio anteriormente (Ver figura 35), el router RC1 tendrá 4 enlaces. Tres de los cuales

son enlaces externos, y el restante interno. Para definir un vecino externo en BGP se usa el

siguiente comando:

neighbor [Dirección IP] remote-as [Número de sistema autónomo]

Donde el número del sistema autónomo es el número del sistema autónomo del proveedor, y la

dirección IP es la dirección del router destino (proveedor)

FIGURA 35: Vecindad entre routers


c. Configuración final

A continuación se añade a lo ya configurado hasta ahora la configuración del protocolo BGP. Este

último fragmento de código sería el siguiente:

FIGURA 36: Configuración vecinos BGP en el fichero


___________________________________________________________________________________________




49

Configuración total del router en este momento

FIGURA 37: Configuración RC1


___________________________________________________________________________________________




50

d. Comprobación vecinos BGP

En este último paso, se va a ver el estado de la conexión BGP [7]. Llegados a este punto, los

routers deben tener conexión entre ellos. Para ver el estado de la configuración se introducirá el

siguiente comando:

RC1# sh ip bgp neighbors

FIGURA 38: comando “sh ip bgp neighbors”


El resultado a la ejecución de este comando sería el siguiente:

FIGURA 39: Comprobación de tabla de rutas


http://www.proz.com/kudoz/english_to_spanish/it_information_technology/866490-%23_pound.html

___________________________________________________________________________________________




51

Esta conexión BGP corresponde a la que viene a continuación (RC1-R1P2):

FIGURA 40: Neighbor R1P2


Todo administrador que haya llegado a este punto configurando un router cisco, debería fijarse en

tres cosas para saber si está realizando la configuración correctamente. Estos tres puntos se

muestran infra:

FIGURA 41: Comprobación vecindad R1P2


Lo más importante llegados a este punto es tener:

BGP state = Established

BGP neighbor is 40.40.40.2 (la dirección IP del router vecino)

Router ID 202.168.0.1

___________________________________________________________________________________________




52

La siguiente conexión corresponde al cliente - proveedor 1 (RC1-R1P1) al cliente-proveedor2

(RC1-R2P2):

FIGURA 42: Neighbor R1P1 y R2P2


A continuación se verifica que el protocolo BGP esté correctamente configurado con los enlaces

del proveedor 1 y del proveedor 2.

FIGURA 43: Comprobación vecindad R1P1 y R2P2


RC1-R1P1 RC1-R2P2

RC1-R1P1

RC1-R2P2

___________________________________________________________________________________________




53

3.5.4 Configuración Interior-BGP

En este apartado de configuración se va a configurar el router del cliente para que se comunique

con el router auxiliar que se definició en su infraestructura de red. Interior-BGP se define de la

siguiente manera:

neighbor [Dirección IP] remote-as [Número de sistema autónomo]

Donde el número del sistema autónomo es el número del sistema autónomo al que

pertenece el cliente

FIGURA 44: Configuración Interior-BGP


FIGURA 45: Comandos configuración Interior-BGP


LoopBack0

192.168.0.1 /24

LoopBack0

192.168.0.2 /24

Fa0/0

192.168.1.1 /24

Fa0/0

192.168.1.2 /24

___________________________________________________________________________________________




54

ATAQUES EN BGP

4.1 Introducción

En este apartado, se va a realizar un análisis de los posibles ataques centrados en BGP. Se van a

estudiar posibles ataques, presentando su lógica y el impacto que tendrían en un sistema

distribuido con routers BGP. Será importante saber el comportamiento de quienes realizan estos

ataques locales y la identificación y evaluación de posibles nuevos escenarios BGP.

BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantación de prefijos,

sistemas autónomos o routers, pueden realizarse con mucha facilidad. También es crucial la buena

configuración de BGP, ya que un error en su configuración puede emblandecer la seguridad de la

organización. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un

fallo de configuración se mantenga local y no se propaguen por todo Internet.

BGP funciona sobre TCP por lo que es sensible a sus ataques (SYN Flooding, TCP RST/FIN/FIN-

ACK, TCP SYN ACK, TCP ACK, RST falsos). Se pueden quedar redes inaccesibles o redirigidas

a un suplantador. Al no haber control temporal en los mensajes BGP, estos pueden ser capturados,

eliminados, modificados o reenviados. Un router puede suplantar a otro e inyectar información

inválida a sus vecinos. La información en los mensajes BGP no se encripta ya que los routers no

tienen capacidad de proceso suficiente para realizar funciones básicas de encriptación, es decir, la

información de encaminamiento es difundida en texto claro.

Los ataques conocidos de BGP se pueden enumerar en una amplia clasificación. Esta clasificación

es la siguiente:

Establecer una sesión BGP no autorizada con un extremo.

Originar un cambio no autorizado en las tablas de rutas de un extremo.

Cambiar el enlace predeterminado de un prefijo.

Llevar a cabo un ataque conocido como negación/degradación de servicio (DoS) en un

proceso BGP.

Inyectar segmentos TCP con el bit de RST activado.

___________________________________________________________________________________________




55

4.2 Vulnerabilidades y errores de concepto

El diseño de BGP asume que redes operando autónomamente son fiables y aquí lamentablemente

no es así, ya que siempre habrá quien se encargue de hacer ver la realidad. BGP se utiliza para el

intercambio de información de enrutamiento de cómo alcanzar un destino a través de de un

protocolo vectorial de ruta. Cada Router anuncia el mejor camino a un destino a sus routers

vecinos y en turnos cada router determina el mejor camino basado en las rutas recibidas (ver

figura 34). Igualmente, anuncia solo los prefijos que origina y solo la mejor ruta a sus vecinos. En

la práctica se puede decir que los sistemas autónomos tasados de maliciosos pueden secuestrar

prefijos de otros sistemas autónomos., Agregar falsos prefijos, Spoofing (es decir utilizar la IP o el

nombre falso de un router autentico), Alterar o incluso falsificar rutas, agregar o desagregar

prefijos no autorizados, etc.

FIGURA 46: Mejor camino basado en rutas recibidas


___________________________________________________________________________________________




56

En cuanto a la infraestructura lógica se refiere, si los routers no puede dirigir y realizar

apropiadamente un enrutamiento del trafico, Internet presentará una falta de conectividad que

puede afectar tanto localmente a nuestra infraestructura como globalmente en nuestra capacidad

de comunicarnos con otros nodos, aparte de otras consideraciones esto puede se provocado, por

ejemplo, errores de configuración o de implementación de seguridad.

Ejemplo: secuestro de sesión, ataques, etc..

Uno de los puntos vitales es la implementación de la Defensa contra ataque de hombre en medio

(Man-in-The-Middle Attacks )

La forma como está organizada la conectividad externa se basa en que cada organización confía

su conectividad a Internet al protocolo BGP4, no hay otro modo y BGP4 Tiene conocidas

vulnerabilidades muy difíciles si no imposibles de solventar, si bien estas amenazas deben ser

monitorizadas con suma atención.

Dos puntos clave que deben ser tomados como referencia en los riesgos del protocolo BGP son:

Cualquiera que se conecte a Internet, sin las medidas de protección apropiadas está

expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que

pueden derivar en una denegación de servicio, secuestro de sesión, o intercepción de las

transacciones realizadas.

Un riesgo añadido es que hoy en día no todos los técnicos desempeñando misiones en

infraestructura de red disponen de una capacidad técnica y de conocimientos para

cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo

de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus

ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan

sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración

realizados por los técnicos y administradores de la red.

___________________________________________________________________________________________




57

Puntos básicos a definir para enrutamiento y de sus amenazas inherentes son:

Actualizaciones de los enrutamientos

Atributos de las rutas

Prefijos

ASN,s

Vulnerabilidades e historia de ataques típicos a BGP

A lo largo del tiempo, se han propuesto una serie de soluciones de seguridad, para que la debida

integridad de las rutas se mantenga. Igualmente, la implementación de estas soluciones de

seguridad implica la utilización de técnicas y mecanismos criptográficos para realizar una

autenticación de las rutas y/o los prefijos recibidos, es decir se debe verificar que el origen de

quien dice ser este validado y que la información no haya sido alterada durante su tránsito por la

red.

En un estudio inicial se podría pensar que si el plano de datos han sido verificados y la

autenticación de la ruta ha sido así mismo obtenida, la seguridad está garantizada pero no es así,

en este estudio de vulnerabilidades se va a ver que se está bastante lejos de garantizar una solución

global al protocolo BGP. En la actualidad, incluso con enlaces autenticados y verificación de

reenvío de datos, BGP sigue siendo vulnerable a la presencia de sistemas autónomos falsos o

maliciosos, y sigue siendo vulnerable a ataques a su sistema operativo por medio de malware

diseñado para modelos y marcas de routers específicos.

A modo de ejemplo en el mundo de sistemas operativos existe un mayor número de malware para

productos Microsoft que para otros sistemas operativos más minoritarios como MAC o Unix. Esto

quiere decir que en el mercado del Hacking hay un mayor número de productos malware contra

routers CISCO y sus IOS (sistema operativo) que otros modelos de routers más minoritarios.

___________________________________________________________________________________________




58

Otro punto que se debe considerar en este estudio, son aquellos ataques que van dirigidos a

producir una denegación de servicio, es decir, sobrecargar un router con tantas peticiones de

conexión o conexiones incompletas que hacen reaccionar al router con una sobrecarga de trabajo

que lo deja fuera de servicio. A continuación, se presenta un estudio más pormenorizado realizado

en este proyecto de los diferentes ataques y sus soluciones, teniendo en cuenta que las soluciones

propuestas siempre serán parciales.

4.3 Antecedentes Históricos

En esta sección se van a tratar los Incidentes de BGP desde un pasado reciente hasta nuestros

días. Sus vulnerabilidades y los errores de configuración están plenamente vigentes por tanto

pueden ayudar a entender y eliminar vulnerabilidades tanto en los sistemas autónomos como en

los routers de infraestructura. Así mismo, debe hacer hincapié en aquellas vulnerabilidades de

BGP que van ligadas muchas veces a las de los DNS (Domain Name Systems) y aunque estas

queden fuera del análisis de este proyecto, el proveer de más seguridad a las infraestructuras de

Internet pasa por solucionar las vulnerabilidades de ambos servicios.

Para entender las vulnerabilidades de BGP se debe hacer un estudio de los mayores incidentes a

través de la historia en los que se ha visto envuelto el principal protocolo de encaminamiento de

Internet. Se empezará analizando aquellos incidentes voluntarios (ataques reales) con la intención

de manipular algún tipo de sistema de enrutamiento, y aquellos que fueron configuraciones

erróneas con nefastas consecuencias.

Dejando a un lado las implicaciones legales, cabe evidenciar que el resultado puede producir

grandes daños operacionales y por tanto, a efectos de consecuencias sobre Internet, un fallo de

configuración puede tener similares características a un ataque malintencionado al interrumpir

tráfico legítimo incluso a nivel mundial.

___________________________________________________________________________________________




59

4.3.1 Año 2012, Australia sin acceso a Internet

El día 27 de Febrero de 2012 aproximadamente durante unos 30 minutos, muchos australianos se

encontraron sin acceso a Internet [16]. Muchos de ellos tenían contrato directo o indirecto con

Telstra Network, la cual en ese momento se quedo aislada a la red de Internet. Telstra es uno de

los mayores proveedores de Internet de Australia, normalmente origina aproximadamente 500

prefijos Ipv4 y 3 prefijos Ipv6. Telstra también es proveedor de tránsito para muchos ISPs, como

por ejemplo, (AS38285) “Dodo” un ISP Australiano y (AS10235) “National Australia Bank”.

Este hecho, como estudiante de Ingeniería Técnica en Informática y escritor de este proyecto, me

lleva a plantear al lector la siguiente pregunta:

¿Como un proveedor así puede irse abajo, cuando seguramente dispone

de ingentes cantidades de hardware y conexiones múltiples dentro y fuera

del país?

La causa fue un error de routing que hizo que todo el tráfico eligiera como “Best Route” al

Proveedor de Servicio de Internet Dodo (el cual era un cliente de Telstra Network). Difundir rutas

en BGP accidentalmente es desafortunadamente tan fácil que hay que configurarlo siempre

definiendo filtros que prevengan que esto suceda. En este caso, Dodo debería haber establecido

filtros para asegurar que ellos solo anunciasen sus prefijos y Telstra debería haber tenido esos

filtros también para prevenir secuestros (hijacks) y para proteger su propia infraestructura, lo cual

es aun más importante. En este suceso se ve que los filtros no estaban implementados lo cual

permitió que sucediera esta difusión de rutas y sus inherentes consecuencias. Sin embargo, esto

solo no debería haber echado abajo todas las conexiones internacionales de Telstra. Lo que pasó

seguramente es que Telstra asumió todas las rutas aprendidas de Dodo (todas las 400.000) como

rutas del cliente y las certifico anunciadas a todos sus peers y proveedores de bucle (upstream).

A continuación se puede ver las terribles consecuencias que tuvo este fallo de configuración [17]

para el servicio de Telstra.

___________________________________________________________________________________________




60

FIGURA 47: AS1221 Telstra Pty Ltd

FUENTE: www.BGPmon.com

4.3.2 Año 2011, Egipto sin acceso a Internet

Durante las protestas de Egipto y por órdenes gubernamentales, en un principio las redes sociales

(Facebook, Twitter, etc) fueron bloqueadas [16]. Un paso más adelante en la intención del

gobierno de controlar las comunicaciones de internet fue el bloquear el enrutamiento de Internet

de los proveedores de servicio. Un 88% por ciento de las redes estaban fuera de servicio. Véase a

continuación las siguientes figuras:

FIGURA 48: Egipto redes afectadas I


Días del Incidente

Num. de prefijos

Num. de ASN de origen

27-Enero 2903 52

28-Enero 327 26

Desaparacen 2576 26

___________________________________________________________________________________________




61

La siguiente tabla muestra los 10 principales proveedores de Internet en Egipto. Se ella puede ver

que la mayoría de los Sistemas Autónomos (AS) no muestran ningún anuncio o número

significativamente menor.

FIGURA 49: Egipto redes afectadas II

Prefijos el 28 de Enero

Prefijos al inicio de la

semana AS de Origen Nombre del proveedor

20 775 8452 TE-AS TE-AS

0 774 24863 LINKdotNET-AS

113 676 36992 ETISALAT-MISR

0 217 24835 RAYA Telecom – Egypt

0 102 5536 Internet-Egypt

85 83 20928 Noor Data Networks

0 41 36935 Vodafone-EG

23 36 15475 Nile Online

14 28 8524 eg-auc

0 25 6127 IDSC


Nota: cabe mencionar que el único proveedor sin impacto fue AS20928 (Noor Data

Networks)

Lista de proveedores que continuaron anunciando redes (basado en datos de routeviews):

FIGURA 50: Egipto redes afectadas III

Red Nombre Numero de rutas

AS36992 Etisalat-Misr 104

AS20928 Noor Data Networks 83

AS24835 RAYA Telecom – Egypt 38

AS15475 Nile Online 23

AS8524 AUCEGYPT 14

AS2561 Egyptian Universities Network (EUN) 14

AS8452 TE-AS TE-AS 12


___________________________________________________________________________________________




62

a. Los inicios del incidente

Observando Internet en Egipto se pudo tener una idea aproximada en el momento de inicio del

incidente.

27 de Enero a las 22:28 UTC: La pagina web egypt.gov.eg está fuera de servicio la IP:

81.21.104.0/24 fue bloqueada.

27 de Enero a las 22:28 UTC: La página web www.ahram.org.eg periódico Egipcio. La

IP: 196.219.246.0/24, se convierte en inaccesible al misma hora exacta.

b. 28 de Enero, 17.48 PM

En este momento solo 239 redes Egipcias son accesibles, esto significa que el 91% de las rutas

egipcias están bloqueadas. Noor Networks permanece como el único proveedor que parece no

verse afectado por esta disrupción. Vodafone confirma en su página web que han recibido

instrucciones de apagar sus servicios en ciertas partes del país.

http://www.vodafone.com/content/index/press.html

A continuación, todos los operadores móviles en Egipto reciben instrucciones para clausurar sus

servicios en determinadas áreas. La legislación Egipcia permite a las autoridades ordenar el cierre

de servicios de comunicaciones y las compañías proveedoras están obligadas a cumplirlo.

c. 28 de Enero, 18.36 PM

Los servicios móviles han sido restaurados. La página web de Vodafone publica este mensaje:

“Vodafone restored voice services to our customers in Egypt this morning, as soon as

we were able. We would like to make it clear that the authorities in Egypt have the

technical capability to close our network, and if they had done so it would have taken

much longer to restore services to our customers. It has been clear to us that there

were no legal or practical options open to Vodafone, or any of the mobile operators in

Egypt, but to comply with the demands of the authorities.

Moreover, our other priority is the safety of our employees and any actions we take in

Egypt will be judged in light of their continuing wellbeing.”

http://egypt.gov.eg/

http://www.ahram.org.eg/

http://www.vodafone.com/content/index/press.html

___________________________________________________________________________________________




63

Hasta este momento, no se aprecian cambios en la conectividad de Internet en Egipto. Sim

embargo, Internet lleva corta en Egipto 36 horas. La semana laboral en Egipto se inicia mañana

(29 de Enero) se espera una restauración de los servicios.

d. 29 de Enero, 21.00 PM

Existe a disposición del lector una lista de las rutas/prefijos que siguen siendo enrutadas. En esta

lista se ven 243 redes.

http://bgpmon.net/egypt-routes-jan29-2011.txt.

Nota: Estos datos son extraídos de routeviews data (rib.20110129.1800). Cabe destacara que aun siendo anunciada una ruta no significa

necesariamente que sea accesible.

El formato de la lista es:

| Número AS | Prefijo| Descripción del prefijo |

Estos son algunos ejemplos de las rutas que en ese momento continúan anunciadas:

Rutas de: AT-Financial Holding

Biblioteca de Alejandría (http://www.bibalex.org/)

Rutas del Banco Central de Egipto

Rutas del Egyptian National Scientific & Technical Information

e. 31 de Enero, 23.30 PM

Hoy hasta trece sistemas autónomos pertenecientes al proveedor de servicio de Internet han

desaparecido, afectando incluso a Noor Data Networks. Esta red desaparece el 31 de Enero de

2011 a las 20.54 PM. En paralelo más rutas desaparecen y a las 22.00 solo 12 sistemas autónomos

y 134 rutas permanecen accesibles. Lo cual significa que solo el 5% de las rutas egipcias prestan

servicio.

La lista de los que permanecen puede ser consultada aquí:

http://www.bgpmon.net/egypt-routes-jan31-2011.txt

http://bgpmon.net/egypt-routes-jan29-2011.txt

http://www.bibalex.org/

http://www.bgpmon.net/egypt-routes-jan31-2011.txt

___________________________________________________________________________________________




64

En la siguiente gráfica se puede ver la situación de las redes en Egipto el 31 de Enero a las 23.00:

FIGURA 51: Egipto gráfico redes afectadas/tiempo


4.3.3 Año 2011, Siria sin acceso a Internet

En 2011, el caso que se plantea en Siria [16] tiene muchos parecidos con lo sucedido en Egipto.

Igualmente se realizará un estudio temporal de los incidentes.

a. 3 de Junio

Internet en Siria está controlado por “The Syrian Telecommunications Establishment”, esta se

encarga de enrutar sus redes desde AS29256 a AS 29386. A su vez, existen otras dos compañías

proveedoras de servicio tales como “Tata Communications” (AS 6453), la cual enruta 6 prefijos

sirios y la “Red Siria de Educación Superior”(AS 39154).

El 3 de Junio de 2011, el gobierno de Siria cierra todas las conexiones a Internet. Solo 19 de los

normalmente 56 prefijos Sirios son enrutados. Interesante que los prefijos que no son ya enrutados

tienen origen en AS29256 y AS29386, “The Syrian Telecommunications Establishment”. Los 6

prefijos pertenecientes a Tata communication asi como los de Syrian Higher Education no han

sido afectados.La tabla posterior muestra cuantos prefijos se enrutan en situación normal y como

ha cambiado en las últimas horas.

___________________________________________________________________________________________




65

FIGURA 52: Siria redes afectadas/sistemas autónomos


b. Comparación del 1 de Junio con el 3 de Junio

En este apartado se va a ver la distribución de prefijos por sistema autónomo. El gobierno de sirio

cerró todas las conexiones el 3 de Junio, se verá como estaba la situación anteriormente (el 1 de

Junio, ver figura X) y una vez cerradas las conexiones (3 de Junio, ver figura 53).

FIGURA 53: Siria prefijo 1 de Junio, 2011


___________________________________________________________________________________________




66

Situación el 1 de Junio:

AS 29256: (STE-AS) se tiene constancia de que Syrian Telecommunications

Establishment enruta hasta 44 prefijos conocidos.

AS 29386: (STE-AS2) pertenece también a Syrian Telecommunications

Establishment y enruta hasta 30 prefijos.

AS 6453: Este sistema autónomo corresponde a TATA Communications y enruta 6

prefijos.

AS 39154: Este sistema autónomo depende de la organización Syrian Higher

Education Network AS Number y se le conoce solo 1 prefijo.

FIGURA 54: Siria prefijo 3 de Junio, 2011


Situación el 3 de Junio:

AS 29256: (STE-AS) 9 prefijos.

AS 29386: (STE-AS2) 3 prefijos.

AS 6453: 6 prefijos.

AS 39154: 1 prefijo.

___________________________________________________________________________________________




67

Conclusiones

Es realmente llamativo la diferencia en distribución de prefijos entre estas dos fecha. Se insta

al lector a que preste atención a las dos gráficas y establezca su propia opinión. Como

redactor de este PFC, es de gran agrado poder mostrar esto a los lectores y en última

instancia a interesados en redes y/o seguridad informática.

c. Actualización del 4 de Junio 2011

El día 4 de Junio, aproximadamente, a las 8.00 PM todas las redes sirias pertenecientes a

Syrian Telecommunications Establishment vuelven a la normalidad. Algunos de estos

prefijos regresaron a la normalidad antes de dicha hora.

4.3.4 Año 2010, Google y servicios asociados redirigidos

El 23 de agosto del 2010, Google [14] y otros servicios asociados fueron redirigíos a Rumania y

Austria. Lo que pasó en términos de funcionalidad es que durante 7 minutos el prefijo 8.8.8.0/24

fue secuestrado (este prefijo sirve a algunos Open DNS de Google). La mayoría de las redes

afectadas recibieron el anuncio de actualizaciones desde el AS 6939. Esta es la segunda vez en el

mismo mes (30 días naturales aproximadamente) que Google es atacado accidentalmente o por un

secuestro de direcciones (hijack). En Julio de 2010 un proveedor de servicios de Internet

localizado en Austria (AS42473), Anexia, anunció un prefijo con una máscara de subred mayor de

la que le correspondía, es decir:

El prefijo AS 42473 anunció el prefijo 74.125.127.0/24 y el que debía

anunciar era el 74.12.126.0/23.

Este último prefijo (el 74.12.126.0/23) aloja la mayoría de los servicios públicos de Google. Este

hecho fue identificado posteriormente como un error de configuración y fue rápidamente

corregido por los ingenieros de red del AS42473. Más detalles se pueden ver en la figura que se

expone a continuación.

___________________________________________________________________________________________




68

___________________________________________________________________________________________




69

4.3.5 Año 2010, un ISP Chino secuestra Internet

El 8 de Abril de 2010 se empezaron a recibir alertas sobre un secuestro BGP [24] localizados en el

AS 23724. Este sistema autónomo es uno de los centros de datos operados por China Telecom, el

cual es el mayor ISP de China originando hasta 40 prefijos. Sin embargo, ese día

aproximadamente durante 15 minutos se originaron alrededor de 37000 prefijos de tipo único que

no tenían asignados. Esto es lo que normalmente se denomina como secuestro de prefijos (prefix

hijack).

Afortunadamente, aunque se había difundido una tabla completa, solo un 10% se propagó fuera de

las redes chinas, afectado a organizaciones muy conocidas, entre otras:

Amazon

Geocities

CNN

Rapidshare

Dell

También se vieron afectadas páginas web muy populares chinas, como por ejemplo:

www.joy.cn

www.pconline.com.cn

www.huanqiu.com

www.tianya.cn

www.chinaz.com

Este incidente fue detectado a nivel global por conexiones en Holanda, Reino Unido, Rusia, Italia,

Suecia, Estados Unidos, Japón y Brasil. Según BGPMon, un 28% de las sondas en el mundo

detectaron este evento, lo cual implica un gran número de redes afectadas. Probablemente, más de

51 peers detectaron el prefijo, pero no lo eligieron como mejor ruta (best path) seguramente

debido a la longitud del ASpath u otras políticas de configuración. Debido al gran número de

prefijos implicados detectados en un intervalo tan corto de tiempo, posiblemente, la causa que

mejor se ajusta a este acontecimiento sea un fallo de configuración.

http://www.joy.cn/

http://www.pconline.com.cn/

http://www.huanqiu.com/

http://www.tianya.cn/

http://www.chinaz.com/

___________________________________________________________________________________________




70

4.3.6 Año 2008, Pakistán Telecom bloquea YouTube

El 24 de Febrero de 2008 el gobierno de Pakistán intentó bloquear el acceso a la página web de

videos Youtube. La finalidad de tal imposición es censurar cualesquiera videos que pudieran

perjudicar sus intereses. Pakistán Telecom intentó filtrar el acceso a Youtube, sin embargo, envió

información errónea de enrutamiento por medio de BGP un ISP en Hong Kong (PCCW). Este

proveedor difundió falsa información de enrutamiento a través de Internet. En consecuencia dejo

inaccesible la página de Youtube al resto del mundo durante dos horas. Finalmente, consiguieron

arreglarlo restaurando las rutas originales y replicándolas a nivel mundial. Véase las siguientes

imágenes sacadas de BGPlay, herramienta diseñada y escrita por Computer Networks Research

Group at Roma Tre University.

FIGURA 55: Pakistan Telecom bloquea Youtube


SOY

208.65.153.0/24

SOY

208.65.152.0/22

___________________________________________________________________________________________




71

a. Antes del domingo (24 de Febrero del 2008)

El sistema autónomo 36561 (www.youtube.com) anuncia la dirección IP 208.65.152.0/22.

FIGURA 56: Estado Youtube 24 de Febrero

FUENTE: BGPlay

http://www.youtube.com/

___________________________________________________________________________________________




72

b. Domingo a las 18.50

El sistema autónomo 17557 (Pakistán Telecom) lleva anunciando la ruta 208.65.153.0/24 los

últimos 5 minutos. Los vecinos RIS por todo el mundo reciben el cambio en sus rutas y el

tráfico de Youtube empieza a ser redirigido a Pakistan.

FIGURA 57: Estado Youtube 18.50

FUENTE: BGPlay

http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study

___________________________________________________________________________________________




73

c. Domingo a las 21.25

El sistema autónomo 36561 (www.youtube.com) lleva anunciando la ruta 208.65.153.0/24 desde

las 20.07. El anuncio erróneo del sistema autónomo 17557 (Pakistán Telecom) ha sido desechado,

y ahora los vecinos RIS solo tienen rutas al sistema autónomo 36561.

FIGURA 58: Estado Youtube 21.25

FUENTE:http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study

http://www.youtube.com/

http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study

___________________________________________________________________________________________




74

4.3.7 Año 2008, Brasil difunde una tabla BGP

En Noviembre del 2008, “Companhia de Telecomunicações do Brasil” (CTBC ISP de Brasil)

transfirió por error una tabla completa de rutas. Esta acción podría haber tenido como resultado

un secuestro accidental de las rutas de otros ISP o routers, afortunadamente, el servicio BGPMon

(organismo voluntario de monitorizado de BGP) descubrió el problemas enviando alertas a través

de Internet, lo cual hizo que el impacto fuera minimizado y afectara a solo un pocos routers. A

continuación, se puede observar un ejemplo de las alertas que BGPMon [16] envía cuando detecta

un percance en Internet.

FIGURA 59: Mensaje alerta BGPMon

====================================================================

Possible Prefix Hijack (Code: 10)

====================================================================

Your prefix: 203.190.56.0/21:

Prefix Description: www.infoseek.co.jp

Update time: 2010-04-08 16:09 (UTC)

Detected by #peers: 4

Detected prefix: 203.190.56.0/21

Announced by: AS23724 (CHINANET-IDC-BJ-AP IDC, China Telecommunications Corporation)

Upstream AS: AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street)

ASpath: 8331 9002 9002 4134 23724 23724

Alert details: http://bgpmon.net/alerts.php?details&alert_id=6617721

Mark as false alert: http://bgpmon.net/fp.php?aid=6617721

FUENTE: www.BGPMon.com

4.3.8 Año 2007, La ICANN pone en riesgo un servidor DNS

La Internet Corporation for Assigned Names and Numbers (ICANN) [15], en Noviembre de 2007,

inició trabajos de actualización de uno de sus Domain Name System (DNS) root-servers L

(199.7.83.42), el cual es propiedad de ICANN y, en consecuencia, también sometido a su control

y manejo. Este servidor se trata de un servidor distribuido, y como se puede ver en la siguiente

figura, se encuentra entre Miami y Los Ángeles (Estados Unidos). Los ingenieros de la ICANN no

detectaron varios root-servers L no autorizados operando en Internet hasta 6 meses más tarde de

las actualizaciones.

___________________________________________________________________________________________




75

FIGURA 60: Root-Servers

FUENTE: http://www.emezeta.com/articulos/rootservers-los-servidores-raiz-del-mundo#axzz1tZV8ywxr

En Mayo del 2008, ICANN consiguió tener todos los root-servers L falsos deshabilitados y fuera

de servicio. En la actualidad, existen 13 DNS root-servers, cuyos propósitos es asignar direcciones

de texto entendibles para los usuarios de Internet basadas en direcciones IP usadas entre

ordenadores y routers (ver figura 61).

La estructura de todo root-server es jerárquica, y actúa como traductor entre direcciones IP y

nombres de dominio.

FIGURA 61: Comando nslookup

FUENTE: Elaboración Propia



___________________________________________________________________________________________




76

a. Resumen

A los root-servers DNS se les ha asignado una letra entre A y M.

El root-server L pertenece, maneja y controla la ICANN.

Desde el 1997 hasta el 2007 la dirección IP era 198.32.64.12 y estaba registrada a nombre

de Bill Manning (ep.net)

En noviembre del 2007 cambian la dirección IP a 199.7.83.43. Este prefijo se asignó a la

ICANN.

Durante 6 meses la ICANN decide seguir utilizando sus root-servers L, tanto el antiguo

como el nuevo.

Aparecen root-servers DNS no autorizados (falsos):

• Diciembre 2007 – Community DNS (England)

• Marzo 2008 – EP.NET (US – Bill Manning)

• Abril 2008 – Diyixian (Hong Kong)

b. Acciones tomadas

El 16 de Mayo de 2008, la ICANN decide definitivamente apagar su servidor “L” antiguo y el 16

de Mayo todos los servidores falsos (o no autorizados) L. La vigente legalidad y la ICANN

presionan a sus propietarios a apagar los root-servers que van detectando a lo largo del tiempo

(Ver figura 62).

c. Conclusiones

Acciones que podrían haberse realizado con un servidor DNS root-server no autorizado o falso

aunque no existen evidencias de que esto se hiciera o no:

1. Redirigir rutas con intención de censurar contenidos.

2. Registrar o monitorizar todos los accesos y búsquedas.

3. Dar NS (negación de servicio) actualizados para todos los TLDs.

4. Realizar recursión por defecto.

5. Dar actualizaciones personalizadas de la lista de todos los servidores DNS root.

6. Poner (time to leave) TTL=0

___________________________________________________________________________________________




77

FIGURA 62: Root-Servers falsos

FUENTE: ICANN

4.3.9 Año 2004

En el año 2004 se registraron diferentes [14] incidentes en las tablas de rutas de Internet:

ISP en Malasia bloquea Yahoo

ISP turco bloquea Internet.

Northrop Grumman atacado por spammers

a. ISP en Malasia bloquea Yahoo

En Mayo del 2004, el prefijo de Yahoo en el Data Center de Santa Clara (US-CA) fue secuestrado

por DataOne, un ISP en Malasia. Expertos en seguridad informática lo determinaron como

malicioso y fueron secuestrados dos de los tres prefijos asignados. Se verificó que DataOne había

intentado bloquear premeditadamente el tráfico desde Yahoo en origen.

b. ISP turco bloquea Internet.

El 24 de Diciembre del 2004, el proveedor de servicio TTNet envió una tabla completa de rutas de

Internet vía BGP. Como consecuencia a desvió todo o la mayoría del tráfico mundial a través de

Turquia a lo largo de la toda la mañana. TTNet la había marcado como BestPath (mejor ruta) en su

tabla de rutas. En el foro Renesys, según expertos en BGP:

___________________________________________________________________________________________




78

“El caso produjo que todo el tráfico desde sitios Microsoft, Yahoo, Amazon, Fox, News CNN

hacia TTNet. Las consecuencias fueron menores de las que podrían haber sido al ser un día

(víspera de navidad) en el que el trafico relativo a negocios y organismos oficiales es

notoriamente más reducido.”

c. Northrop Grumman atacado por spammers

En Mayo del 2004, Northrop Grumman un contratista dedicado principalmente a contratos de ente

militar y defensa detecto que un bloque de direcciones IP no utilizadas habían sido secuestradas en

el tablas de enrutamiento de sus propios routers y anunciadas como legitimas. El siguiente paso

fue el envió masivo de spam (emails no deseados). Al ser IPs inicialmente detectadas como

propias era más difícil efectuar un filtrado de spam,tardaron dos meses detectar el origen del

incidente y reclamar las direcciones IP como propias así como conseguir que los anuncios de

enrutamiento falsos fueran bloqueados a través de internet, En este tiempo, Northrop Grumman's

y sus direcciones IP fueron incluidas en listas de spammers (black list),lo cual les produjo

sustanciales considerables daños económicos así como los provocados contra su reputación como

empresa líder mundial en su campo.

4.4 Ataques al protocolo

Partiendo de la premisa de que en Internet no existe una política imperativa que verifique que cada

sistema autónomo es quien dice ser, que no verifica la integración de la información y que las

relaciones entre sistemas autónomos están basadas en la confianza. El protocolo de comunicación

entre sistemas autónomos y routers está basado en TCP/IP y por tanto hereda todas sus

vulnerabilidades. Igualmente se debe pensar que los comunes errores de configuración de los

administradores y técnicos son un valor añadido a las vulnerabilidades.

Secuestro o Hijack (MiT)

MiT (man in the middle) o su variante Meet in the Middle.

Replay Attacks

DoS o DDoS

Malware

Rootkits,Bios,EEProms,etc

___________________________________________________________________________________________




79

4.4.1 Ataques DoS o DDoS (denegación de servicio)

Al igual que los ordenadores, los router también tienen un límite para procesar y almacenar la

información. Alcanzar el límite de uno o ambos de estos recursos finitos tendrá como resultado

dejar fuera de servicio al router, también conocido como Denial of Service.

Uno de los ataques más comunes con este objetivo es el llamado SYN Flood. En esta variante del

DoS, se inician un gran número de sesiones TCP/IP utilizando el paquete SYN (sincronización),

sin continuar con la secuencia de sincronización. Esto provoca que el sistema reserve recursos

para esta sincronización, sin la recepción de estas conexiones.

La segunda modalidad de DoS, es atacar directamente al protocolo BGP. En este caso, se intenta

echar abajo la ejecución del protocolo. Se puede decir que estos ataques DoS contra el protocolo

BGP son de fácil y rápida ejecución. Se realiza enviando paquetes dirigidos al puerto 179, los

cuales son enviados al proceso BGP, ya que normalmente, este reside en un procesador más

lento o de menor capacidad.

Una tercera variante de DoS (Denial of service) contra BGP, se caracteriza por la recepción de

datos falsos de enrutamiento pudiendo afectar:

Los sistemas de fin de ruta intentando transmitir datos a través de la red.

La infraestructura de red en sí misma.

Cierta información falsa puede representar un ataque DoS al protocolo BGP en sí mismo, a modo

de ejemplo: advertir un numero excesivamente grande de mas rutas especificas puede causar que

el trafico BGP y la dimensión de las tablas de enrutamiento colapse el trafico o el sistema.

Se puede afirmar que potencialmente el mayor riesgo para BGP es cuando un router es

bombardeado con más paquetes de los que puede manejar, este tipo de ataque se denomina DDoS.

El ataque generalmente envuelve un gran número de ordenadores comprometidos con malware, de

todas formas, existen diferentes formas por las cuales se puede realizar un DDoS; tales como:

___________________________________________________________________________________________




80

Insuficiencia (Starvation): Un nodo recibe menos paquetes de los que debería por que el

tráfico es desviado a nodos que no pueden gestionar ese tráfico.

Agujero negro (Blackhole): El tráfico es enviado a routers que descartan todos o parte de

los paquetes.

Retardo (Delay): El tráfico es enviado a rutas menos óptimas (suboptimnal paths)

Bucle (Looping): Los paquetes entran en un bucle (loop path), lo cual implica que el

tráfico nunca llega a su destino.

Partición de red (Network partition): Una porción de la red parece separada del resto de

la red debido a información de rutas malformada.

Agitación (Churn): Cambios muy rápidos en el reenvío de paquetes altera la entrega de

paquetes, y posiblemente afecte al control de congestión de red.

Inestabilidad: La convergencia a un estado de sencillo el reenvio global no se realiza.

Sobrecarga de Red (Network overload): La red comienza a transportar un número

excesivo de mensajes BGP, sobrecargando el procesador de control del router y

reduciendo el ancho de banda asignado para el tráfico de datos.

Sobrecarga de los recursos del router en los ciclos de almacenaje o procesado por un

excesivo número de mensajes BGP.

Acceso no autorizado: puede suceder cuando se mantienen las contraseñas por defecto y

las community strings utilizadas para control de acceso a SNMP (Simple Network

Management Protocol) no se hayan cambiado o sean obtenidas por ingeniería social,

métodos de cálculo o criptográfico. Asimismo la explotación de errores de software o

vulnerabilidades pueden permitir accesos no autorizados.

Captura de datos de BGP por medio de sniffers y otras herramientas: puede realizarse en

cualquier lugar del recorrido entre routers, teniendo en cuenta que los mensajes BGP no

están encriptados o que BGP podría ser utilizado para permitir una captura de datos.

Métodos de manipulación de paquetes: incluye insertar direcciones IP falsas para

acceder a los sistemas, inyectar datos falsos a las tablas de rutas o re enrutar paquetes de

datos con propósitos de meterlos en agujeros negros, monitorizar el trafico, etc.

___________________________________________________________________________________________




81

4.4.2 Secuestro o Hijack

Se pueden distinguir tres tipos de secuestro de la dirección IP [18]. En las dos primeras todo el

tráfico asignado al espacio de direcciones es redirigido al atacante.

Utilización de un dirección IP del rango asignado a la victima pero que aunque asignada no

está utilizando, este ataque en principio no tiene en si unos efectos más de reputación que

realmente de daño al tráfico legitimo en Internet.

Secuestro de una dirección IP en uso, esta modalidad tiene un obvio daño operacional,

todo el tráfico es desviado al atacante pudiendo dejar a la victima sin conexiones externas

y por tanto fuera de Internet.

Por último, existe una variante de secuestro en el que el atacante se dedica a ver todo el

tráfico.

FIGURA 63: Secuestro de sesión

FUENTE: https://www.owasp.org/index.php/Session_hijacking_attack

4.4.3 Man in the Middle (o Meet in the Middle)

La realidad presente es que no hay vulnerabilidades, no hay errores en el protocolo, tampoco hay

en estos ataques problemas de software (software bugs). El origen del problema surge de la gran

necesidad de interconectividad necesaria a día de hoy para mantener el tráfico en Internet.

https://www.owasp.org/index.php/Session_hijacking_attack

___________________________________________________________________________________________




82

Este problema surge como ya se ha comentado en que la arquitectura y diseño de BGP está

basada en la confianza. A modo de ejemplo cuando un email es enviado desde un usuario en

Europa a otro usuario en Asia, las redes para cada usuario se comunican siempre con y a través de

routers BGP indicando cual es la ruta más eficiente para que los datos alcancen el buzón de

destino, claro que BGP asume siempre que cuando un router informa de cuál es la mejor ruta nos

está diciendo la verdad, este abuso de confianza puede ser utilizada para aquellos que quieren

capturar nuestros datos engañando a los routers para que les envíen el trafico con fines maliciosos.

FIGURA 64: Conexión MITM

FUENTE: https://www.owasp.org/index.php/Man-in-the-middle_attack

Proceso Completo MITM

Un usuario cuando teclea la URL de una página web en su navegador o envía un email, un

servidor DNS la traduce a una dirección IP como destino [20]. El router del ISP del usuario toma

esta petición y entonces consulta una tabla de rutas BGP para encontrar la mejor ruta al destino

seleccionado, esta tabla es dinámica y se actualiza. Mientras tanto un SA declara el rango o

espacio de direcciones IP, también conocidos como prefijos IP, a los que cada uno entrega/envía el

tráfico. La tabla de enrutamiento busca la IP destino entre estos prefijos. Si existen dos SA

anunciando la dirección IP deseada, escoge siempre aquella con la dirección mas específica.

https://www.owasp.org/index.php/Man-in-the-middle_attack

___________________________________________________________________________________________




83

Ejemplo

El SA X en sus tablas anuncia que sirve a un grupo de 120.000 direcciones IP, mientras tanto otro

llamado AS Y, sirve a un subred de 24,000 de estas direcciones. Si la IP de destino está reflejada

en ambos anuncios BGP enviará siempre al más concentrado (pequeño), es decir, al más

especifico. Cuando un hacker u elemento hostil quiera interceptar datos enviara un anuncio de un

rango de direcciones IP en la que esté contenida la de su objetivo y obviamente será más

específica que las otras que envían otras redes. Este falso anuncio, en cuestión de minutos, será

propagado por internet, cuya finalidad será que los datos dirigidos a esas direcciones IP se

dirigirían a la red del atacante.

Este ejemplo recuerda a lo sucedido entre Pakistan Telecom y Youtube, en cuestión de minutos

Youtube se quedó inaccesible (ver epígrafe 4.3.6).

4.4.4 Ataques de sesión (TCP) y Replay Attacks

Como ya se ha comentado previamente en este documento, BGP trabaja sobre TCP por lo que

BGP hereda todas sus vulnerabilidades. SYN es un bit de control dentro del segmento TCP, se usa

para poder sincronizar los números de secuencia iniciales al establecer una conexión. Este bit

puede derivar en dos tipos de ataques que afectarán a BGP, ambas variantes se mencionan a

continuación:

SOY

208.65.153.0/24

SOY

208.65.152.0/22

___________________________________________________________________________________________




84

FIGURA 65: Sincronización al inicio de una sesión

FUENTE: http://es.kioskea.net/

a. Ataque TCP SYN

También conocido como SYN flooding, este ataque consiste en enviar un SYN de sesión, y una

secuencia de paquetes BGP para establecer una sesión BGP, haciendo que una sesión legítima

parezca defectuosa y obligará a anularla.

b. TCP SYN ACK:

Un atacante intercepta un SYN antes que el router destino, el cual recibiría ACK vacío como

respuesta cuya finalidad resultaría en una RST que finalizaría la sesión inicial.

4.4.5 Ataque Route Flapping

Route flapping referencia [27] cambios repetitivos en las tablas de rutas BGP. Hay ocasiones en

las que estos cambios se realizan con una frecuencia de varias veces por minuto.

Route flap sucede cuando una ruta es eliminada y entonces re anunciada en un espacio muy breve

de tiempo. Una razón alta de esta secuencia puede causar un problema serio para los routers,

debido a que cada flap produce cambios o eliminaciones de rutas que se propagan a través de los

sistemas autónomos. Si la velocidad es lo suficientemente rápida, a un nivel por ejemplo de entre

30 a 50 veces por segundo, el router sufre una sobrecarga que puede inducir a una no

convergencia sobre rutas válidas.

El Impacto potencial para los usuarios es una ralentización en la entrega de mensajes, e incluso en

algunos casos la recepción inválida de algunos paquetes de datos. Route flapping puede derivar en

una denegación de servicio.

http://es.kioskea.net/

___________________________________________________________________________________________




85

Route flap damping, RFD, es un método para reducir los flaps de rutas por medio de un algoritmo

que ignora al router enviando actualizaciones flapping durante un periodo de tiempo configurable.

Cada vez que sucede un evento categorizado como flapping, los routers peer añaden un valor de

penalización al total del router haciendo flapping. La penalización se adquiere de una forma

exponencial en el tiempo. Si el flapping de rutas persiste, y excede el total (ver figura 66), las rutas

aprendidas del router flapping serán desechadas y los vecinos propagarán las actualizaciones a

través de la red. A medida, que el tiempo pasa el valor de la penalización pierde valor, en el

momento en el que no se ven más flaps, se alcanzará el umbral de re utilización y desde ese

momento el vecino empezará a aceptar rutas del router que previamente había tasado de flapping

router.

FIGURA 66: Route Flapping Penalización/tiempo

FUENTE: http://web.eecs.umich.edu/~

Mientras que este mecanismo ayuda a reducir la inestabilidad causada por fallos espontáneos en la

red, puede ser objeto de mal uso por parte de un atacante. Si un router se puede deshabilitar,

incluso temporalmente, sus sesiones BGP serán perturbadas y los routers vecinos empezarán a

enrutar evitándolo asumiendo que esta fuera de servicio.

http://web.eecs.umich.edu/~

___________________________________________________________________________________________




86

Este proceso puede activar cambios a través de la red, apuntando a un incremento de la carga de

trabajo, y posiblemente causando que el tráfico se ralentice dado que los cambios de enrutamiento

serán transmitidos a través de rutas consideradas menos óptimas. De esta forma un router que de

una forma intermitente sea desconectado al sufrir repetidos ataques puede causar un mal

funcionamiento que podría causar más interrupciones que si ese router fuera sencillamente

desconectado. Ya que si fuera así, los otros routers encontrarían rápidamente caminos bordeando

ese router problemático. Una repetición de ataques de sesión peering de BGP (por ejemplo, vía

TCP RST o por medio de mensajes de error ICMP spoofed) puede ser utilizado también para

causar un flapping de rutas.

Debido al problema descrito previamente e igualmente considerando que en nuestros días se ha

producido un notable incremento de la capacidad en los procesadores de los routers de última

generación, muchos técnicos de sistemas han decidido obviar esta contramedida. También

definida en algunos manuales técnicos como contramedida RFD o simplemente RFD. Se debe

hacer un estudio muy detallado analizando todos los pros y los contras de la implementación de

RFD teniendo en cuenta su utilidad en el caso de que se desee aislar partes de la red para mitigar

los daños de un ataque.

4.4.6 Ataque Routes Desegregation

La desagregación [23] de rutas se produce cuando un prefijo más específico es advertido por

vecinos BGP. Por ejemplo si el prefijo 129.0.0.0/8 y el prefijo 129.0.0.0/16 son ambos

anunciados, los algoritmos de BGP seleccionarán la segunda (para cualquier dirección dentro del

rango 129.0.0.0/16) ya que es más específica. En algunos casos, esta acción es normal y una

operación apropiada debido a los cambios de configuración, pero puede suceder que sea resultado

de un error o fruto de una actividad maliciosa.

El primer impacto de este evento es una degradación del servicio que en algunos casos puede ser

ampliamente difundido y producir un gran daño. Dando BGP preferencia a las rutas más

especificas, si se producen un gran número de actualizaciones con miles de nuevas rutas y estas se

difunden rápidamente, causaría al router una denegación de servicio a sí mismo y puede provocar

como daño colateral el cierre de los ISPs más grandes al ser los más involucrados. Este problema

puede ser resultado de un error de configuración así como de una actividad maliciosa, cuando un

router falso que simula ser un SA válido.

___________________________________________________________________________________________




87

Como solución a este ataque o problema podemos implementar algunas medidas como establecer

un límite máximo de prefijo (maximum prefix limit), este límite puede ser pre configurado para

terminar o deshabilitar una sesión y enviar un mensaje de alerta cuando un router vecino transfiera

un número excesivo de prefijos predefinidos. Una desagregación de rutas activaría la capacidad de

limitar prefijos, y la sesión con el par sería deshabilitada hasta ser activada manualmente, dando a

los operadores la capacidad de analizar el problema y prevenir su difusión por Internet.

4.4.7 Ataque de Inyección de Rutas Maliciosas

BGP existe para difundir la información de enrutamiento a través de internet. Los Routers se

trasmiten información entre ellos sobre aquellos prefijos a los que se pueden conectar y de la

eficiencia de cómo llegar a las direcciones IP deseadas dentro de esos prefijos. En situaciones

benignas y cooperativas estas acciones funcionan bien, pero una vez más, existen intenciones

maliciosas pudiendo empezar a enviar actualizaciones de información de enrutamiento incorrecta.

El anuncio de rutas más especificas, podría desviar el tráfico a la máquina del atacante, que podría

observar y grabar los paquetes de datos y analizar la información de esa dirección bajo el ataque.

La víctima no tendría ningún control sobre las rutas anunciadas por el atacante, siendo su única

opción, contactar con el ISP del delincuente para solicitar una corrección de los datos erróneos de

las rutas anunciadas por el agresor. Una vez hecho esto, sería muy difícil demostrar si detrás de

esta redirección errónea había intenciones maliciosas o pudiendo alegar un error de configuración

accidental. De hecho la victima posiblemente no podría ver el anuncio de rutas del atacante, ya

que seguramente habría sido desechada localmente por BGP para prevenir bucles de ruta (looping

routes).

BGP no dispone de un medio de autenticación para garantizar la identidad de los vecinos, ni

tampoco de un mecanismo de autorización para otorgar a un par BGP la potestad de actualizar

rutas a prefijos particulares. Filtros de rutas y la realización de autenticación con MD5

inicialmente soluciona simplemente la autenticación del enlace BGP.

___________________________________________________________________________________________




88

4.4.8 Ataque de Inyección de Rutas no Asignadas

Un variante de inyección de rutas maliciosas es la transmisión de rutas de prefijos no asignados,

estos prefijos son direcciones IP específicas que todavía no han sido asignadas. Es decir, nadie

debería utilizar estas direcciones, lo cual implica que nadie debería enrutar tráfico a esas

direcciones. A su vez, cualquier información de rutas para esos prefijos es claramente errónea o

maliciosa, y debe ser desechada.

4.4.9 Malware Rootkits, IOS, Bios, EEProms

A día de hoy no se puede realizar un estudio de seguridad sin contemplar la posibilidad de una

infección por malware específicamente diseñado para atacar un sistema operativo determinado, un

hardware en concreto, o un protocolo especifico en particular.

La primera consideración sobre los routers que soportan y/o dan soporte a infraestructuras criticas,

cuya función que les da un valor añadido y los hacen especialmente interesantes para lo que se ha

denominado “la Ciberguerra”.

Una segunda consideración es que hay una antes y un después de Stuxnet y Duqu, malware

diseñado para atacar procesos industriales. En un principio orientado a centrales nucleares, por ser

muy atractivo por aquellos encargados de desarrollarlo.

Hace relativamente poco, ha sido descubierto un gusano diseñado como un rootkit que se auto

replica en IOS, también dispone de capacidad de invisibilidad (stealh capabilities), y de un

mecanismo de autodefensa. El diseño es con código auto adaptado a cada modelo de plataforma.

Las capacidades conocidas de este malware son:

Captura de paquetes de red

Conexiones de reverse Shell: con esta función evita ser detectado o bloqueado ante la

posibilidad de encontrar sistemas de protección de fronteras (BPS).

Capacidad de franquear posibles Intrusion Detection Systems (IDS) o Firewalls en el

camino ya que establece la conexión desde dentro hacia fuera

___________________________________________________________________________________________




89

Dispone de un modulo de spam, y un mini malware httpd server.Este software malicioso

se ejecuta en la memoria flash del router, que dicho sea de paso, contiene los primeros

comandos que utiliza en el proceso de arranque (Boot-Up).

Ante estas ocurrencias un administrador de routers debe prevenir su infraestructura.

Las actualizaciones del IOS son obligatorias pero siguiendo pautas de seguridad, tales como:

Solo instalar actualizaciones de reputadas y contrastadas fuentes.

Estas deberán estar firmadas digitalment

La capacidad emular situaciones reales de routers sugiere disponer de un banco de pruebas

virtual lo más parecido a sistemas en uso, donde analizar cualquier cambio o actualización

como fase previa del despliegue en sistemas con alta carga de trabajo.

4.5 Resumen

En este epígrafe del documento se han analizado los fallos de configuración con mayor

repercusión a nivel mundial del siglo XXI, también, se han analizados todos los posibles ataques

conocidos sobre el protocolo en cuestión. Existen multitud de recomendaciones técnicas al

respecto, pero recientemente han aparecido noticias en la prensa internacional de haberse

descubierto manufacturas de Cisco [8] del tipo router o switches que no son originales. La

gravedad de la noticia es que estos equipos habían sido adquiridos por el departamento de defensa

de los Estados Unidos e incluso el FBI.

Esta noticia no solo es grave por el hecho de que este material no habría pasado los controles de

calidad debidos, y que además pueden contener dispositivos de activación remota con capacidades

maliciosas que podrían poner en grave riesgo infraestructuras criticas o vitales de los Estados

Unidos, y cabe preguntarse si este material no estará funcionando en infraestructuras de carácter

vital en otros países u organismos internacionales.

Es difícil, como redactor de este proyecto, sugerir medidas de seguridad para no sufrir un ataque o

para no perjudicar a otras infraestructuras mediante errores de configuración si a su vez se

descubren productos falsos sobre los cuales se deben implantar dichas normas.

___________________________________________________________________________________________




90

BIBLIOGRAFIA

Las referencias que se han usado en este documento son:

REFERENCIAS BIBLIOGRÁFICAS

[1] Peter Rybazyk, Cisco Router TroubleShooting Handbook. New York: M & Books, 2000

[2] Rob Payne y Kevin Manweiler, CCIE: Cisco Certified Internetwork Expert Sudy Guide –

Routing and Switching [2º edición].

[3] Giles Roosevelt, All-in-one CCIE Study Guide [1º Edición]. 1998

[4] Giles Roosevelt, All-in-one CCIE Study Guide [2º Edición]. 1998

[5] Tim Boyles, Cisco CCNP Certification Library. 2001.

[6] Todd Lammle, CCNA Cisco Certified Network Associate Study Guide. 2011.

[7] William R. Parkhurst, Cisco BGP-4 Command and Configuration Handbook. 2001

[8] Iljitsch van Beijnum, Building Reliable Networks with the Border Gateway Protocol. 2002

REFERENCIAS DIGITALES

[9] CISCO, http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1cbgp.html

[10] CISCO,http://www.cisco.com/en/US/tech/tk365/tk80/tsd_technology_support_sub-protocol_home.html

[11] CISCO, http://docwiki.cisco.com/wiki/Border_Gateway_Protocol

[12] LACNIC, http://lacnic.net/documentos/lacnicxii/presentaciones/08_bgp.pdf



[15] Instituto Nacional de las Tecnologías de la comunicación, http://cert.inteco.es

[16] BGP monitoring and analyzer, http://bgpmon.net/blog/



[19] Cyber Operations Center Dashboard, http://msisac.cisecurity.org/apps/dashboard/


[21] BGPTables, http://bgpinspect.merit.edu/index.php

[22] Hurricane Electric, http://lg.he.net/

http://shop.oreilly.com/product/9780596002541.do#tab_04

http://www.cisco.com/en/US/docs/ios/12_0/np1/configuration/guide/1cbgp.html

http://www.cisco.com/en/US/tech/tk365/tk80/tsd_technology_support_sub-protocol_home.html

http://docwiki.cisco.com/wiki/Border_Gateway_Protocol

http://lacnic.net/documentos/lacnicxii/presentaciones/08_bgp.pdf



http://cert.inteco.es/

http://bgpmon.net/blog/



http://msisac.cisecurity.org/apps/dashboard/


http://bgpinspect.merit.edu/index.php

http://lg.he.net/

___________________________________________________________________________________________




91

[23] Trac, http://irrtoolset.isc.org/

[24] RIPE Network Coordination Center, http://www.ris.ripe.net/cgi-bin/riswhois.cgi

[25] Saulo Barajas, http://www.saulo.net/pub/inv/BGP-art.htm


[27] Arizona Computer Science, http://www.cs.arizona.edu/~bzhang/paper/05-icdcs-dtimer.pdf

http://irrtoolset.isc.org/

http://www.ris.ripe.net/cgi-bin/riswhois.cgi

http://www.saulo.net/pub/inv/BGP-art.htm


http://www.cs.arizona.edu/~bzhang/paper/05-icdcs-dtimer.pdf

___________________________________________________________________________________________




92

ANEXO A. MANUAL DE USUARIO

ROUTER ANALYZER

___________________________________________________________________________________________




93

ROUTER ANALYZER

6.1 Introducción

Router analyzer surge con la idea de poder configurar un router de manera fiable y segura. En

apartados anteriores en este documento se ha podido ver la importancia de una buena

configuración para tener un router robusto ante ataques y funcionalmente correcto. Esta aplicación

va a analizar en tiempo real los enlaces que tenga el router que se consideran peligrosos. Se va a

establecer un enlace directo entre la configuración del router y herramientas web para saber en

todo momento que se está haciendo en el dispositivo y tener un interfaz gráfico que muestre la

información de una manera más entendible por aquel administrador de red que decida usar la

aplicación.

Durante el desarrollo de la aplicación se ha de mencionar que no se ha visto nada como esta

aplicación en el mercado informático. No es tarea fácil configurar un router y con Router

Analyzer se ha disminuido el grado dificultad utilizando herramientas de dominio público que se

verán más adelante.

ROUTER ANALYZER

Aplicación para la configuración un BGP

analizando en tiempo real direcciones

peligrosas y sistemas autónomos

suplantadores.

___________________________________________________________________________________________




94

6.1.1 Internet Storm Center

Existen diversas páginas que se actualizan diariamente y que muestran públicamente aquellas

direcciones IP que han sido denunciadas por numerosos ataques. En esta aplicación se va a usar la

información de la siguiente página:

http://isc.sans.edu/sources.html

ISC (Internet Storm Center) [13] se creó en 2001 con la aparición del gusano Lion. ISC es

mundialmente conocida por su labor de detección, análisis y estudios de los diferentes malware

que han ido apareciendo desde la existencia de internet. Lo que viene a continuación son

comentarios encontrados en algunos foros de seguridad informática como el de ISC.

“Un peligroso gusano, llamado Lion (león), está propagándose por Internet e

infectando los servidores Linux, ha advertido SANS Institute. Entre sus nefastas

peculiaridades, el gusano es capaz de robar claves de acceso, instalar y instalar

y ocultar otras herramientas en sistemas infectados; usar aquellos sistemas

para buscar otros sistemas que pueda atacar.”

En la página ISC se pueden encontrar diferentes herramientas para defenderse contra algún tipo

de malware. Router analyzer se conectará a la página web, y contrastará la información del

fichero de configuración del router con la tabla la cual se actualiza diariamente. La tabla tiene

los siguientes atributos:

Direcciones IP: Direcciones IP origen de los paquetes detectados por sus sensores.

Ataques: Número de los diferentes ataques conocidos con esta dirección IP origen.

Informes: Número de paquetes conocidos desde esta dirección IP origen.

Localizada por primera vez: Primer informe de un paquete malicioso.

Localizada por última vez: Última denuncia de un paquete malicioso.

___________________________________________________________________________________________




95

___________________________________________________________________________________________




96

6.1.2 Domain Tools

La seguridad en BGP tiene un objetivo en común. Saber si un prefijo pertenece a la organización a

la que dice pertenecer, si el router que dialoga con los routers vecinos de los ISPs es el que la

organización ha instalado y no es un suplantador, si la ruta para conectarse a un servidor de la

organización es realmente la correcta y no ha sido modificada, si el trafico ha sido redirigido a un

sistema autónomo comprometido, y demás interrogantes, es la base que guiará el proyecto.

Domain Tools [26] es líder reconocido en el ámbito de investigación y seguimiento de paquetes

en Internet. A la hora de configurar los enlaces del router, la aplicación pedirá la dirección IP y el

sistema autónomo al que el “peer” dice pertenecer, se conectará a la página de domain tolos

(whois.domanintools.com) para sacar toda la información posible del router vecino. Si la dirección

IP no perteneciese al sistema autónomo al que dice pertenecer la aplicación no dejará configurar

ese enlace en el fichero de configuración del router que se quiere configurar.

En la página de Domain Tools se pueden encontrar diferentes herramientas online gratuitas.

Exactamente, la aplicación usará el apartado whois. Lo que viene a continuación es literalmente lo

que pone en la página web de Domain Tools sobre la herramienta:

“In 2006, WHOIS.SC (Whois Source) became DomainTools to reflect our expanded

toolset for domain research beyond WHOIS. In addition to a simple availability check

and registration information, we now offer Domain Name Suggestions, Trademark

Monitoring for Brand Protection, Domains For Sale, DNS Tools and more.”

http://www.whois.sc/

http://www.domaintools.com/buy/domain-suggestions/

http://www.domaintools.com/monitor/brand-alert/

http://www.domaintools.com/monitor/brand-alert/

http://marketplace.domaintools.com/

http://www.domaintools.com/research/ping/?query=

___________________________________________________________________________________________




97

6.1.3 Router Analyzer

Router Analyzer ha sido desarrollada en Microsoft Visual Studio 2010, (Microsoft .NET

Framework 4). La finalidad de esta herramienta es implantar infraestructuras de red lo más

integras y seguras posible. Router Analyzer es un centro de control de la red que se esté

monitorizando, ha sido diseñada para poder configurar BGP analizando en tiempo real direcciones

peligrosas y sistemas autónomos suplantadores.

Los fallos de configuración, la suplantación de prefijos, los ataques al protocolo y la gestión de

procesos han sido las directrices que han guiado este proyecto, pues esta herramienta abarca la

totalidad de las mismas. La aplicación se puede resumir en tres grandes puntos:

Análisis del router: Un estudio de los enlaces del dispositivo examinándolos con la tabla de

direcciones IP peligrosas ya mostrada anteriormente. (Ataques al protocolo y suplantación

de prefijos)

Configuración del router: Una composición de las entradas/salidas del dispositivo en 5

pasos, que acota el margen de error. Una vez finalizada la configuración, rastrea la

dirección IP a la que se esté conectando y avisará al usuario en el caso en el que la

dirección no pertenezca al sistema autónomo que se ha introducido. El usuario podrá

habilitar un asistente de configuración que le notificará en qué punto se encuentra del

proceso y proporcionará las aclaraciones necesarias durante el mismo. (Fallos de

configuración y suplantación de prefijos).

Estado actual: Una interfaz que destaca por la facilidad que da al usuario para entender el

estado del dispositivo, proporcionando toda la información posible del fichero de

configuración del router. (Gestión de procesos).

En los apartados de análisis y configuración se le proveerá al usuario de toda la información

recogida en Domain Tools sobre el enlace que se quiera y/o necesite saber como por ejemplo:

La dirección de correo del administrador.

La organización a la que pertenece el router.

Información geográfica del ubicación del router:

___________________________________________________________________________________________




98

6.2 Análisis del router

Internet es un conjunto de asunciones engañosas y arriesgadas. Los dispositivos establecen una

asociación voluntaria sin saber realmente con quien se está constituyendo esa vinculación. Cuando

se vaya a configurar los enlaces de un router, el administrador de la red debería plantearse la

siguiente pregunta:

“¿A quién me estoy conectando? ¿Será seguro? ”

Con esta herramienta, esto ya no será ningún dilema. Una vez se suba a la aplicación la

configuración del router, esta buscará qué vecinos se han configurado y se conectará a la página de

ISC para saber si el enlace es peligroso.

El análisis del router cuya interfaz se verá más adelante se realizará en tres pasos. Es necesario que

el usuario disponga del archivo de configuración del router. Una vez se ha localizado el archivo,

los pasos para realizar el análisis de enlaces son los siguientes:

a) Subir el archivo de configuración del router.

b) Analizar y ver resultados.

c) Actuar.

6.2.1 Archivo de configuración

El usuario deberá subir el fichero de configuración del router a la aplicación, un fichero de

configuración es un archivo de texto con la extensión .cfg.

___________________________________________________________________________________________




99

6.2.2 Analizar y ver resultado

Una vez ha subido el archivo en la herramienta, Router Analyzer le dará la opción de analizar el

router. La aplicación se conectara a la página de ISC y se bajará la tabla de direcciones IP

peligrosas y comparará los elementos de la tabla con los enlaces que haya detectado en el fichero.

___________________________________________________________________________________________




100

Una vez terminado el análisis, mostrará los resultados por pantalla. Si la aplicación detecta algún

enlace dañino mostrará un mensaje de advertencia al usuario.

A continuación mostrará en una pantalla aparte los resultados del análisis. A modo de ejemplo se

ha analizado un fichero de configuración y se ha insertado una dirección IP tasada por ISC como

peligrosa, el resultado sería el siguiente:

___________________________________________________________________________________________




101

6.2.3 Actuar

Una de las grandes ventajas de esta herramienta es que dará al usuario toda la información

disponible en Internet sobre el enlace que desee en todo momento. La aplicación se bajará los

datos de la página de whois Domain Tools, proporcionará los datos de contacto del administrador

de la otra red. El usuario tendrá la opción de bloquear cualquier red en cualquier momento y si

esta deja de ser peligrosa o el usuario consigue contactar con el administrador de la red, el usuario

podrá volver a permitir enlaces del router con dicha dirección. La información del enlace que dará

la aplicación ha sido dividida en tres grupos:

Datos de la organización:

Nombre

ID

Dirección

Código Postal

Ciudad

Estado

País

Datos de contacto:

Teléfono

Dirección de correo

Otro

Información General

Rango de la red

Prueba

Nombre de la red

Fecha de actualización

Red padre

Fecha de registro

___________________________________________________________________________________________




102

La dirección que se ha puesto a modo de ejemplo, la 221.195.082.146 perteneciente al sistema

autónomo 4837, daría la siguiente información:

Datos de la organización:

Datos de contacto:

___________________________________________________________________________________________




103

Información General

6.3 Configuración del router

En este tab de la herramienta, aparecen dos botones cada uno con una funcionalidad distinta.

Estado actual: muestra por pantalla información relevante que ha detectado en el fichero de

configuración.

Configurar: permite al usuario configurar un router desde 0 y establecer vecindad y filtros

de acceso.

___________________________________________________________________________________________




104

6.3.1 Estado Actual

Anteriormente en este proyecto se ha hablado de la importancia de mantener todos los aspectos

necesarios de una configuración de red en un mismo documento. Esto facilitaría el mantenimiento

y su correcta configuración.

“¿Una vez se ha terminado la instalación es necesario seguir documentando el estado del router?

Ciertamente sí. Archivar documentos temporales del estado del router es vital para un buen

sostenimiento de la red.

Router Analyzer dará la opción al usuario de crear estos archivos. La herramienta pedirá al

usuario el fichero de configuración del router y elaborará una ficha con los datos relevantes del

router.

Los datos que recogerá en la ficha son los siguientes:

Descripción:

o Número de enlaces detectados.

o Estado de BGP y enlaces.

o Sistema autónomo al que pertenece.

o Dirección IP del router.

Enlaces:

o Identificador.

o Dirección IP.

___________________________________________________________________________________________




105

Ejemplo

Esta ficha la podrá exportar a Word. Al clicar en el botón de “EXPORTAR” saldrá un cuadro de

diálogo y al guardar, la exportación a Word se guardará por defecto con el nombre del router y la

fecha que se ha realizado.

Una vez se ha guardado la exportación, el botón de “EXPORTAR” cambiará a “VISUALIZAR” y

desde la misma herramienta podrá abrir el fichero .doc.

___________________________________________________________________________________________




106

La exportación la realizará sobre una plantilla que pertenece a las resources del programa. Router

Analyzer abrirá Microsoft Word e irá cambiando la información del router por unos campos que

como se han programado para que los busque. El código para introducir en Word el nombre del

router es el siguiente:

Introducirá la variable “host” cuando encuentre en la plantilla el campo“%%nombreHost%%”.

WordApp = CreateObject("Word.Application")

WordDoc = WordApp.Documents.Open(pathFicheroword)

Dim xRange = WordDoc.Range

xRange = WordDoc.Range

xRange.Find.Execute("%%nombreHost%%", , , , , , , , , host, True)

El documento que se abrirá viene a continuación.

___________________________________________________________________________________________




107

___________________________________________________________________________________________




108

6.3.2 Opciones de configuración

El botón de configuración abrirá al usuario la pantalla que viene a continuación:

Puede elegir entre dos opciones de configuración:

Un enlace BGP: en cuyo caso podrá permitir o filtrar accesos a enlaces.

Un router BGP: en este caso el usuario tendrá la opción de generar un fichero de

configuración después de contestar unas preguntas que le generará la aplicación.

A esta ventana se le ha habilitado la opción de ayuda, si el usuario no supiese que contestar y

clicase en el botón de ayuda le saldría lo siguiente:

___________________________________________________________________________________________




109

6.3.2.1 Configuración de enlaces

a) Introducción

A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo

derivados de fallos en BGP. En este documento se han recogido los episodios más relevantes del

siglo XXI. Estos incidentes proceden, en su mayoría, de fallos de configuración. Con esta

herramienta se ha logrado acotar al máximo el margen de maniobra de un administrador a la hora

de configurar un enlace. En 5 sencillos pasos, Router Analyzer, recauda suficiente información

para añadir o bloquear un enlace. Esta información la guardará en el fichero .cfg. Los 5 pasos son

los siguientes:

Paso 1: Tipo de permiso

Paso 2: Tipo de enlace / tipo de filtro

Paso 3: Máscara de red

Paso 4: Dirección IP

Paso 5: Descripción del enlace

___________________________________________________________________________________________




110

b) Diagrama de flujo

VERIFICAR

OCTETOS

NO SI

SI NO

CONFIGURACIÓN

ENLACE

LEER OPCIÓN 1

OPCION 1= “Permitir”

TIPO DE PERMISO TIPO DE ENLACE

TIPO DE PERMISO

LEER OPCIÓN 2 LEER OPCIÓN 2

TIPO DE

MÁSCARA

LEER OPCIÓN 3

OPCION 3= “Otra”

VERIFICAR

OCTETOS

DIRECCIÓN IP

LEER IP

1 0

OPCION 2 = “Externo” o

OPCION 1 = “Filtrar”

DESCRIPCION SISTEMA

AUTÓNOMO

LEER SA LEER DESC

FINALIZAR

PROCESO

0 1

SI NO

___________________________________________________________________________________________




111

___________________________________________________________________________________________




112

c) Pasos de configuración

Paso1.

El usuario deberá facilitar al a aplicación el tipo de permiso que quiere dar al enlace. Hay dos tipos

de permiso:

Filtrar:

Permitir

En el caso de filtrar, el usuario está denegando el acceso a una ruta. Los tipos de filtro que puede

elegir el usuario se verán en el paso 2. Si el usuario decide permitir un enlace, estará estableciendo

vecindad con otro router, podrá ser dentro o fuera de la red, IBGP y EBGP respectivamente.

Paso2.

En el paso 2 habrá hasta 4 opciones 2 y 2, dependiendo de la opción elegida en el paso 1. Si ha

elegido filtrar saldrá lo siguiente:

Route Filtering: Filtro basado en dirección de rutas

Path Filtering: Filtro según SA

En cambio, si en el paso 1 decidió establecer un enlace con otro router, tendrá estas dos opciones:

Interno: enlace entre dos routers dentro de la misma organización

Externo: enlace enter ds routers pertenecientes a diferentes organizaciones.

Paso 3.

En este caso, independientemente de lo que el usuario haya establecido previamente, es decir, ya

sea un filtro o un permiso, el usuario deberá proporcionar a Router Analyzer, la máscara de la

dirección IP del enlace que se está configurando.

El rango de valores que aceptará la aplicación será desde 0.0.0.0 a 255.255.255.255, si los valores

introducidos por el usuario no se encuentran en este rango, saldrá un mensaje de error y no le

dejará avanzar al siguiente paso.

___________________________________________________________________________________________




113

Paso 4.

En el paso 4 la herramienta pedirá al usuario la dirección IP del enlace. En aquellos casos en los

que sea necesario conocer el sistema autónomo al que pertenece el router vecino, la aplicación

pedirá el ASN al usuario. Los casos en los será necesario son los siguientes:

Enlace externo

Route Filtering

Path Filtering

Paso 5.

Llegados a este punto, la configuración del enlace se ha prácticamente terminado. El usuario dará

una breve descripción para facilitar futuras actualizaciones.

Si en el paso 1 el usuario decidió establecer una vecindad, ya sea interna o externa, también deberá

nombrar el interfaz del enlace. La sintaxis de la descripción es la siguiente:

Nombre Interfaz – Descripción del enlace

Ejemplo

Serial0 – Enlace al proveedor 1

d) Verificar configuración

Una vez terminados los 5 pasos establecidos para la configuración de un enlace, Router Analyzer

verificará los datos introducidos. Para un enlace interno, el router comprobará que todos los datos

sean correctos. Para los enlaces externos y filtros esta situación cambia.

___________________________________________________________________________________________




114

Router Analyzer se conectará a whois Domain Tools para comprobar que la dirección IP

introducida en el paso 4 pertenezca al sistema autónomo proporcionado por el usuario. En caso de

error, saldrá el siguiente mensaje por pantalla:

En este caso, Router Analyzer no dejará guardar el enlace y posibilitará solo aquellos campos que

el administrador deba corregir. Podrá cambiar la dirección IP o el sistema autónomo y también

tendrá acceso a toda la información sacada de whois Domain Tools que ya se vio en el apartado

3.2 de este anexo.

Si Router Analyzer considera que el enlace está bien configurado y este pertenece a quien dice ser,

dará la opción de guardar en el enlace y pedirá al usuario el fichero de configuración del router al

que se le quiere agrupar este enlace. Una vez finalizada la configuración el usuario será redirigido

a la pantalla de inicio de la aplicación.

___________________________________________________________________________________________




115

6.3.2.2 Configuración de un router BGP

Para la configuración predeterminada de Router Analyzer, el usuario deberá responder a 10

preguntas. Una vez contestadas, la herramienta abrirá directamente la ventana de configuración de

enlaces.

Router Analyzer ha sido diseñada para facilitar las labores de administradores de red. La semántica

usada para configurar routers BGP puede ser confusa y no todos los responsables de routers

conocerán la totalidad de los comandos necesarios para una configuración robusta.

La imagen mostrada a continuación son las 10 preguntas que el usuario deberá contestar para

llevar a cabo la configuración predeterminada:

Nota: Cada pregunta y/o comando vienen explicados en el anexo B de este proyecto en las

plantillas de configuración.

Una vez contestadas las 10 preguntas, el usuario podrá guardar el fichero de configuración (.cfg) y

será dirigido a la configuración de enlaces explicada en el epígrafe anterior.

___________________________________________________________________________________________




116

6.4 Configuración Helper

6.4.1 Introducción

Al iniciar una configuración de un router, la aplicación mostrará una opción la cual solo será

visible al principio. Una vez se comience la configuración habrá que dar a borrar para poder

activar dicha opción. La opción se denomina “Configuración Helper” y se habilita con un

“checked ítem” que pone “habilitar ayuda”.

Esta opción es un asistente de configuración, ayudará a aquellos administradores que lo necesiten.

Como ya se ha mencionado anteriormente en este proyecto, hoy en día no todos los técnicos

desempeñando misiones en infraestructura de red disponen de una capacidad técnica y de

conocimientos para cuantificar y analizar todos los riesgos, lo cual implícitamente es

determinante en el modo de analizarlos y remediarlos.

Configuración Helper funciona mientras se está configurando un enlace. Estimado lector, recuerde

los pasos de configuración (véase supra), los cuales se enumeran brevemente:

Paso 1: Tipo de permiso

1. Filtrar

2. Permitir

Paso 2.1: Tipo de Filtro

2.1.1 Route Filtering

2.1.2 Path Filtering

Paso 2.2: Tipo de Enlace

2.2.1 Interno

2.2.2 Externo

___________________________________________________________________________________________




117

Paso 3: Máscara

Paso 4: Dirección IP (y en cuyos casos sea necesario el sistema autónomo Dirección IP y

Sistema autónomo.

Paso 5: Descripción y nombre del enlace

a. Configuración Helper Paso 1

En el primer paso, toda configuración de un enlace pedirá al usuario introducir el tipo de permiso

que quiere darle a tal enlace. Dispondrá de dos opciones, filtrar esa red (o bloquear) y permitirla

(establecer vecindad BGP), el asistente de configuración mostrará un mensaje por pantalla

advirtiendo o informando al usuario de lo que está haciendo.

Filtrar.

Permitir.

___________________________________________________________________________________________




118

b. 6.4.2 Configuración Helper Paso 2

En el segundo paso, el Configuración Helper tiene hasta 4 posibles mensajes. Todo depende de la

opción que haya elegido el usuario en el paso 1.

a. Filtrar

El usuario tendrá la opción de hacer dos tipos de filtro en la configuración de su router:

Route Filtering

Path Filtering

___________________________________________________________________________________________




119

b. Permitir

Si el usuario elige permitir un enlace, es decir, establecer un peering con otro router, le

aparecerán dos nuevas opciones:

Interno

Externo

___________________________________________________________________________________________




120

c. Configuración Helper Paso 3

El tercer paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una

dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la

máscara de red, en consecuencia, el Configuración Helper mostrará el siguiente mensaje:

d. Configuración Helper Paso 4

El cuarto paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una

dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la

dirección IP, en consecuencia, el Configuración Helper mostrará el siguiente mensaje:

___________________________________________________________________________________________




121

e. Configuración Helper Paso 5

En el quinto paso, la herramienta necesita que se le ponga un nombre al interfaz de conexión

que se quiere configurar. Es opcional adjuntar una descripción del enlace que la herramienta

escribirá en el fichero de configuración. En este paso el Configuración Helper muestra el

siguiente mensaje:

___________________________________________________________________________________________




122

ANEXO B. PLANTILLAS

PLANTILLAS DE SEGURIDAD BGP

CISCO IOS E IOS XR

___________________________________________________________________________________________




123

___________________________________________________________________________________________




124

___________________________________________________________________________________________




125

___________________________________________________________________________________________




126

___________________________________________________________________________________________




127

___________________________________________________________________________________________




128

___________________________________________________________________________________________




129

___________________________________________________________________________________________




130

___________________________________________________________________________________________




131

SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS … · escuela tÉcnica superior de ingenierÍa...

Documents

Transcript of SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS … · escuela tÉcnica superior de ingenierÍa...