Español | English
rss facebook linkedin Twitter

Seguridad MPLS (II)

Si recordáis, en el post anterior hicimos referencia a la seguridad MPLS desde el punto de vista de un atacante situado en el espacio de direcciones de alguna VPN operada a través de una red MPLS. Es decir, en cómo desde el exterior del "core" MPLS podemos tratar de acceder a equipamiento MPLS del proveedor de servicios de redes privadas virtuales, para así intentar infiltrarse en la VPN de algún otro de sus clientes o generar una denegación de servicio a las mismas.

En este post continuaré explicando algunos de los aspectos de seguridad de la tecnología MPLS y en particular me centraré en aquellos casos en los que un atacante pueda acceder al "core" MPLS. Ahora bien, seguro que habéis pensado que acceder al "core" de red resulta cuanto menos inverosímil para el común de los mortales. Como ya vimos en el anterior post, la separación entre las VPN proporcionada por la tecnología MPLS es total y la ocultación de los equipos del "core" un hecho. Únicamente los routers PE que dan acceso a la red MPLS son accesibles de manera directa desde los CE, ya que participan en el intercambio de rutas de la VPN a la que se conecte cada una de sus interfaces. Los routers P no participan en el intercambio de dichas rutas, y se limitan a ejecutar un IGP y el correspondiente protocolo de intercambio de etiquetas, entre sí y con la instancia de routing y reenvío global de los PE. Es decir, estos routers P son incapaces de reenviar paquete alguno utilizando la cabecera IP, desde o hacia cualquier equipo en una VPN de cliente, puesto que no conocen las rutas apropiadas. Otra cosa es que sí sepan reenviar a nivel de etiquetas MPLS, pero esto ya es otro asunto bien distinto.

La manera inmediata de acceder al "core" MPLS es la de tener acceso físico a sus equipos, algo que normalmente queda relegado a trabajadores del proveedor de servicios y quizás en última instancia, a algún auditor de seguridad externo o técnico de mantenimiento de Cisco o Juniper. Sin embargo, existen otras alternativas. Éstas tienen que ver con algunas de las posibles configuraciones que los proveedor de servicios utilizan para dar acceso a Internet desde el propio "core" MPLS. Así, podría llegar a ser posible tener acceso al mismo desde Internet, lo cual realmente sería un grave problema si el equipamiento no está correctamente bastionado. Existen tres maneras básicas de que un proveedor de servicios de redes privadas virtuales proporcione el servicio de acceso a Internet en el propio "core" MPLS.

Las primeras dos maneras tienen en común que el proveedor de servicios incluye información de alcanzabiliadad, propia de Internet, en la tabla de rutas global del router PE que conecta con el equipamiento en domicilio de cliente. Este caso particular se subdivide en dos: un "core" de red IP estándar en la que todos los routers, tanto aquellos que actúan como routers P como los PE, contienen en la tabla de rutas global las rutas hacia direcciones de Internet; y un "core" en el que no se intercambian rutas de Internet, al establecerse un LSP entre el PE que da acceso a la red MPLS al cliente de Internet y el PE que se conecta con el ISP. Estas dos opciones se muestran en las siguientes figuras:










Ambas soluciones presentan el inconveniente de que los routers PE son accesibles desde Internet. Además, en la primera opción lo son también los routers P. En ambos casos es buena práctica que no se publiquen las rutas IGP hacia el exterior para que el equipamiento del "core" resulte inalcanzable, así como que se deshabiliten en todos los equipos los servicios innecesarios y se establezcan las listas de control de accesos oportunas para evitar que un atacante pueda explotar alguna vulnerabilidad del equipamiento del "core" y hacerse con el control del mismo. La tercera solución para que un cliente pueda tener acceso a Internet, es la de incluir las rutas de Internet dentro de una VRF del PE al que se conecta el cliente con necesidad de acceso a Internet, de la misma manera que se hace con las VPN de los clientes ya explicadas en el post anterior. Esta manera es la más segura de las tres, puesto que los routers P no son accesibles desde ninguna parte y los PE lo son únicamente desde los interfaces que dan hacia el exterior. Un esquema representando esta tercera opción se muestra a continuación.



Después de tanto hablar de cómo acceder al "core" MPLS y de lo importante que resulta que éste no sea accesible desde el exterior, ¿realmente somos conscientes de qué ataques podríamos llegar a hacer si logramos este codiciado acceso? Como ya apuntáramos en el post anterior, podríamos intentar enviar un paquete de datos encapsulado en una trama MPLS con una etiqueta elegida bien al azar o bien deliberadamente. En este caso, no podríamos hacerlo desde Internet porque los saltos intermedios hasta el "core" MPLS no sabrían interpretar esta cabecera y por lo tanto el paquete no llegaría al destino. No obstante, si desde Internet hemos conseguido acceder al "core" y hacernos con el control de alguno de los servidores de AAA u otro equipamiento similar, podríamos instalar nuestro generador de tramas MPLS e inyectar tráfico a las VPN que nos interesaran. Igualmente, si dispusiéramos de acceso físico a algún elemento del "core" nada nos impediría pinchar nuestro equipo y hacer lo propio. Otro posible ataque cuando se dispone de acceso al "core" es el de modificar las sesiones iMBGP para establecer rutas VPN a nuestro antojo, para ello bastaría con que el atacante pudiera interceptar el intercambio de mensajes inicial o insertar rutas nuevas utilizando mensajes de actualización BGP con un NLRI diferente. Y para terminar, el atacante también podría interceptar los mensajes LDP de intercambio de etiquetas entre los routers P e intentar incluir otros modificados de manera deliberada para lograr redirigir el tráfico por nodos que controla y así poder atentar contra la confidencialidad y la integridad del mismo.

Continuará en el siguiente post …


Elyoenai Egozcue

S21sec labs



(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login