Español | English
rss facebook linkedin Twitter

Seguridad en protocolos de enrutamiento dinámico (II)


Pasadas ya unas cuantas semanas desde que hablé de la seguridad en protocolos de enrutamiento IGP, me he decidido a retomar el hilo del asunto. En esta entrada trataré algunos mecanismos de seguridad relacionadas con el protocolo BGP. Como ya sabéis BGP (en concreto la versión 4) es un protocolo de enrutamiento dinámico, de hecho el único, que se utiliza como EGP entre los distintos sistemas autónomos (AS) que conforman Internet.

A continuación listo a modo de repaso los aspectos más importantes del protocolo:

  • Es un protocolo vector-camino (muy similar a los protocolos vector-distancia)
  • Por lo tanto, el cálculo de las rutas que conforman la tabla de enrutamiento se hace de manera distribuida (el conocimiento del camino está distribuido)
  • Para ello, los nodos informan a sus vecinos de las redes que alcanzan {red, siguiente salto, [lista AS]}. Véase figura.
  • Los mensajes de protocolo se envían sobre conexiones TCP al puerto 179
  • Finalmente, notar que permite el intercambio de información de subredes classless (CIDR)

Un primer sistema para proporcionar seguridad en el intercambio de mensajes BGP es la autenticación de los mismos. Como ya se ha mencionado, BGP hace uso de sesiones TCP para el intercambio de mensajes. La solución viene de la mano de la RFC 2385: “Protection of BGP Sessions via the TCP MD5 Signature” que propone utilizar el campo de opciones de la cabecera TCP, para incluir en cada segmento de este protocolo un hash MD5 que complique los ataques de spoofing y man-in-the-middle. Este MD5 se calcula utilizando una clave previamente compartida entre los nodos finales de la conexión TCP.

Con el objetivo de minimizar los ataques de redirección de tráfico, de secuestro de prefijos mediante publicación malintencionada de los mismos, y de DoS de los routers BGP, resulta de vital importancia realizar un filtrado de prefijos adecuado en los routers BGP del AS, para lo que muchas veces basta aplicar el sentido común. A continuación listo algunos aspectos a tener en cuenta, aunque existen más:

  • Evitar la publicación hacia otro AS de prefijos de red asociados con el espacio de IP privadas, cualquier otro de propósito especial o incluso no asignadas aún por la IANA.
  • Los prefijos de red utilizados para direccionamiento interno del AS nunca deberían ser publicados hacia otros AS aún cuando estén dentro del rango de IP públicas.
  • En caso de que el AS sea un ISP, éste no debería publicar rutas hacia redes de las que no sea responsable.
  • Todo ISP debería descartar como mínimo prefijos de red mayores de 24 bits de longitud puesto que éste es el tamaño mínimo asignado por las entidades de registros de Internet.

Con esto me despido hasta el próximo post, en el que probablemente os hablaré de las nuevas líneas de I+D que se están llevando a cabo para mejorar la seguridad de nuestros queridos protocolos de enrutamiento.


Elyoenai Egozcue
S21sec labs


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login