Seguridad en un Proveedor de Servicios de Internet (ISP)Ing. Carlos Martínez - Ing. Leonardo VidalAnteldata

www.antel.com.uy

Introducción

• Exponer los problemas de seguridad más relevantes a los que está expuesto un ISP, su impacto en él y en sus clientes y las posibles soluciones para evitarlos o minimizar su impacto.

Problemática actual

• La propia esencia de un ISP de mediano y gran porte hace que su perímetro sea heterogéneo.– Diferentes tecnologías– Diferentes servicios– Fronteras amplias

Problemática actual

• El crecimiento exponencial de los servicios de banda ancha (ADSL) desde la persectiva de la seguridad, puede ser un problema– Miles de computadoras conectadas a

Internet, en promedio varias horas por día, con velocidades importantes y con capacidades de procesamiento apreciables son tentadoras para los atacantes

Problemática actual

• La seguridad de las computadoras hogareñas no es una prioridad de la mayoría de la población

• En general, en seguridad, se es “reactivo”.• Los sistemas operativos no son seguros.• Las aplicaciones no son seguras.• Desde que se conoce una vulnerabilidad hasta

que se desarrolla el parche que la corrige puede pasar un tiempo apreciable (días, meses,...) y hasta que se aplica más aún (¿años?)

Problemática actual

• Estamos rodeados de– Intentos de robo de identidad

• Phishing• Pharming

– Virus, spyware y otros malwares• Bot Nets

– Intentos de denegación de servicio

Problemática Actual

• Robo de Identidad

Problemática Actual• Bot Nets

1. El “operador” infecta PC’s de usuarios

2. Los “bots” se conectan a una red IRC u otro canal de comunicaciones

3. Un spammer “compra”acceso a la botnet para enviar sus correos

4. El spammer enviacomandos via IRC

5. El spam llega a otros sistemas

Problemática actual

• Además– DoS (Denial of Service)

• “Ataque cuyo objetivo es lograr que un recursoinformático sea inaccesible para los usuarioslegítimos del mismo”

• En un entorno de ISP : distintos tipos de flooding– ICMP y UDP flooding

– IP de origen en general falsa (spoofing)

– DDoS (Distributed Denial of Service)• Direcciones de origen distribuidas en un rango

muy amplio del espacio de direccionamiento IP

Problemática Actual

• Consecuencias del DoS / DDoS van mas allá del blanco específico

– Saturación de equipos y enlaces intermedios perjudica a otros usuarios

• Dirección de origen “falsa”

– Difícil de filtrar! (perímetro difuso)

• Ataque distribuido

– Muy difícil de filtrar sin empeorar la situación aun mas

Problemática actual

• Problemas de seguridad de los ISP– Los problemas mencionados antes los sufren

en general los clientes; los que veremos en las próximas diapositivas los sufren los ISPs, pero terminan perjudicando a los clientes también

– Protocolo de enrutamiento• Interior• Exterior

– DNS (¿el servicio olvidado?)

Problemática actual

• Protocolo de enrutamiento interior– Aquel que utiliza el ISP en su red para

encaminar los paquetes de los clientes (RIP, OSPF).

– Si se logra envenenar una tabla de enrutamiento, se puede redirigir el tráfico de los clientes.

Problemática actual

• Protocolo de enrutamiento exterior– Aquel que utiliza el ISP para conocer las

redes de otros proveedores y hacer conocer las suyas (BGP).

– Si las sesiones BGP caen, vivimos la inalcanzabilidad.

– BGP se soporta sobre conexiones TCP.• TCP tiene sus propios problemas de seguridad.

Problemática actual

• DNS (Domain Name System)– Es un servicio casi nunca utilizado

directamente por los usuarios pero síindirectamente por todas las aplicaciones

– Brinda flexibilidad y comodidad– Su indisponibilidad afecta a todas las

aplicaciones– Cada vez más involucrado en incidentes de

seguridad por su impacto en las aplicaciones (principal target de los incidentes actuales)

Solución

• “La” solución no existe.• Todo parece indicar que lo más adecuado es

combinar soluciones, niveles de seguridad, en diferentes capas y tener varias fronteras que nos separen del enemigo.

• Ejemplos– Autenticación: combinar métodos– Más de un firewall

Solución para enrutamiento interior

• Integridad del dominio de routing• “Hablar” el protocolo sólo con quien debemos

– “Autenticar” neighbors• En las interfaces adecuadas• Hash de los mensajes intercambiados• Anillo antispoofing

Solución para enrutamiento exterior

• Mecanismos que chequean el campo TTL de los mensajes involucrados– RFC 3682

• Protección de las sesiones BGP con: shared key, MD5– RFC 2385

• Filtrar por número de AS, por prefijos

Solución para DNS

• Split DNS– Generar vistas distintas según quién realice

la consulta• Recursivo y no recursivo

– Especializar las tareas de los servidores que implementan los servicios DNS

Solución para DNS

• DNSSEC– Proteger los mensajes “Query/Response”

• Firma de los registros de una zona y posterior verificación de la misma por parte de quien recibe el “response”

• Varios nuevos registros involucrados– RRSIG, DNSKEY, NSEC, DS

Solución para DNS

• TSIG• Autenticar el origen del mensaje y su integridad

• Clave secreta compartida

• Hash

• No escalable: Update dinámico y transferencia de zonas

• Registro TSIG: hash, algoritmo, key name, timestamp (NTP), delta de validez

Envenenando el caché del DNS

• Envenenar el caché de un servidor DNS

– Cambiartelcom2006.fing.edu.uy IN A dir_IP_verdadera

portelcom2006.fing.edu.uy IN A dir_IP_falsa

• Si se pretende realizar un phishing, ya no se debe preocupar por “confundir al usuario con la URL”.

• Si se pretende descargarle un malware al usuario, se podrá hacer desde una URL “confiable”

Conclusiones

• La heterogeneidad de las fronteras de un SP (ISP) y de los servicios brindados condicionafuertemente para que se deban implementarmedidas de seguridad “para cada caso”

• Los incidentes de seguridad actuales obligan a implementar un conjunto de medidas de seguridad

Muchas gracias por su atención

lvidal@anteldata.com.uycmartinez@anteldata.com.uy

www.antel.com.uy