Seguridad en protocolos de enrutamiento dinámico


Interesante artículo de la gente de blog.s21sec.com sobre la seguridad de enrutamiento dinámico. A continuación texto completo:





En la vorágine de la seguridad de Internet muchas veces olvidamos que no todo es XSS, SQL Injection, Directory Traversal, NMAP, Nessus o cualquier otra herramienta de seguridad o vulnerabilidad a nivel de host que se nos pueda ocurrir. No debemos olvidar que también hay que garantizar la disponibilidad, confidencialidad e integridad en las comunicaciones para lo cual los protocolos de enrutamiento dinámico juegan un papel fundamental en el mundo IP. Sin embargo, mucha gente desconoce si estos protocolos implementan algún mecanismo de seguridad, o de hacerlo, cuál es exactamente.

Uno de los posible ataques contra este tipo de protocolos es evitar que se envíen los mensajes legítimos de actualización de rutas con el objetivo de generar una denegación de servicio de la red (parte de la red dejaría de estar disponible). Sin embargo, los ataques más dañinos son aquellos que buscan modificar la tabla de rutas con un objetivo determinado, a través del envío de mensajes de actualización generados artificialmente. La corrupción de esta tabla permite a un atacante lograr una denegación del uso de la red, bien a través de generación de congestión, limitando la visibilidad entre partes de ésta, o generando bucles de enrutamiento. Además incluso, el atacante en cuestión podría lograr una denegación de servicio contra un host en particular, al poder desviar todo el tráfico en circulación contra él, o también acceder a información confidencial si logramos encaminar un determinado flujo de tráfico hacia un sniffer instalado en la red.

¿Realmente esto resulta tan sencillo como parece? ¿No existen mecanismos de seguridad en estos protocolos que permitan evitarlo?

En realidad sí que existen, aunque no en todas las versiones de los distintos protocolos. Además, algunos de estos mecanismos ofrecen una falsa sensación de seguridad, mientras que los más avanzados no son del todo seguros o no se implementan por aspectos de rendimiento.

Comenzando con éste, dedicaré los próximos post en este blog a analizar algunos de los mecanismos de seguridad comunes a varios protocolos de enrutamiento dinámico. También trataré algunos aspectos más particulares a cada protocolo e intentaré transmitiros en qué consisten algunas de las técnicas más novedosas que se están tratando de aplicar para mejorar la seguridad de estos protocolos. Así pues, comencemos …

Una manera sencilla de evitar que un router ajeno a una red e introducido en ésta de manera clandestina altere los mensajes de enrutamiento, es la autenticación de los mensajes de actualización de rutas. RIP y OSPF ofrecen dos mecanismos de autenticación.

El primero de ellos, conocido como autenticación de texto plano (“plaintext authentication”), se basa en que los routers de un mismo segmento de red comparten una clave “secreta” que se incluye en la cabecera de los mensajes del protocolo. El router que recibe el mensaje de actualización compara esta clave incluida en la cabecera con la que tiene en memoria, y si coinciden acepta el paquete. En caso contrario lo rechaza. Este mecanismo de seguridad es sencillamente inútil ya que basta con instalar un sniffer en la red para obtener la clave “secreta” compartida por todos los routers.

El segundo mecanismo también se basa en una clave secreta compartida previamente por los routers de la red pero en este caso se firma el mensaje aplicando una función de resumen o hash de tipo MD5 al mensaje de actualización. En el caso particular de OSPF, a cada paquete se introduce el identificador de la clave secreta, la clave secreta en sí misma y también un número de secuencia de 32 bits que garantiza la protección contra ataques por repetición. Posteriormente se calcula su MD5 y se inserta en el campo en el que previamente se había añadido la clave compartida. En la siguiente figura se muestra este proceso:

MD5

Este mecanismo, aún mejorando mucho la seguridad en la autenticación de los mensajes de actualización, resulta inútil cuando uno de los routers legítimos resulta comprometido ya que sólo garantizan la integridad salto a salto. Así, el router comprometido podría falsear la información de los mensajes de actualización de rutas procedentes de los routers vecinos al generar los vectores de distancias o los estados de los enlaces, consiguiendo el atacante su objetivo de modificar la tabla de rutas de los demás routers a su gusto.

Como ya sabéis BGP (en concreto la versión 4) es un protocolo de enrutamiento dinámico, de hecho el único, que se utiliza como EGP entre los distintos sistemas autónomos (AS) que conforman Internet.

bgp

A continuación listo a modo de repaso los aspectos más importantes del protocolo:

Es un protocolo vector-camino (muy similar a los protocolos vector-distancia)
Por lo tanto, el cálculo de las rutas que conforman la tabla de enrutamiento se hace de manera distribuida (el conocimiento del camino está distribuido)
Para ello, los nodos informan a sus vecinos de las redes que alcanzan {red, siguiente salto, [lista AS]}. Véase figura.
Los mensajes de protocolo se envían sobre conexiones TCP al puerto 179
Finalmente, notar que permite el intercambio de información de subredes classless (CIDR)

Un primer sistema para proporcionar seguridad en el intercambio de mensajes BGP es la autenticación de los mismos. Como ya se ha mencionado, BGP hace uso de sesiones TCP para el intercambio de mensajes. La solución viene de la mano de la RFC 2385: “Protection of BGP Sessions via the TCP MD5 Signature” que propone utilizar el campo de opciones de la cabecera TCP, para incluir en cada segmento de este protocolo un hash MD5 que complique los ataques de spoofing y man-in-the-middle. Este MD5 se calcula utilizando una clave previamente compartida entre los nodos finales de la conexión TCP.

Con el objetivo de minimizar los ataques de redirección de tráfico, de secuestro de prefijos mediante publicación malintencionada de los mismos, y de DoS de los routers BGP, resulta de vital importancia realizar un filtrado de prefijos adecuado en los routers BGP del AS, para lo que muchas veces basta aplicar el sentido común. A continuación listo algunos aspectos a tener en cuenta, aunque existen más:

Evitar la publicación hacia otro AS de prefijos de red asociados con el espacio de IP privadas, cualquier otro de propósito especial o incluso no asignadas aún por la IANA.
Los prefijos de red utilizados para direccionamiento interno del AS nunca deberían ser publicados hacia otros AS aún cuando estén dentro del rango de IP públicas.
En caso de que el AS sea un ISP, éste no debería publicar rutas hacia redes de las que no sea responsable.
Todo ISP debería descartar como mínimo prefijos de red mayores de 24 bits de longitud puesto que éste es el tamaño mínimo asignado por las entidades de registros de Internet.

Con esto me despido hasta el próximo post, en el que probablemente os hablaré de las nuevas líneas de I+D que se están llevando a cabo para mejorar la seguridad de nuestros queridos protocolos de enrutamiento.

Fuente:
Elyoenai Egozcue
S21sec labs
http://blog.s21sec.com

 



Otras noticias de interés:

Usuarios de redes sociales son negligentes al abrir enlaces
Según una investigación de Bitdefender, el 97 % de los usuarios de redes sociales abren los enlaces que reciben sin comprobar su destino, exponiendo así su seguridad. ...
Los zombis sacan provecho de los Wikis
Usuarios maliciosos están explotando vulnerabilidades en paquetes de software del wiki para establecer redes de computadoras comprometidas, según informa el SANS Institutes Internet Storm Centre....
Cualquier dispositivo USB podría robar información
Dispositivos USB hay para tirar para arriba. Desde lámparas que nos iluminarán nuestro teclado para que podamos ver de noche hasta calentadores que permitirán hacernos un rico té a la madrugada cuando no queramos levantarnos de la cama. Ahora un ...
Jarro Negro 0.0.1, la primera distribución Linux Mexicana
Armando Rodriguez Arguijo informo que el pasado 16 de Septiembre se liberó la primera versión de JarroNegro GNOME 0.0.1, la primera distribución GNU/Linux mexicana hasta donde tenemos noticias. ...
Publicidad patrocinada, tentación para botnets
Trend Micro advierte de la existencia de sofisticadas redes controladas por bandas de cibercriminales que logran millones de euros anuales por secuestrar al navegador y redirigir al usuario a publicidad patrocinada....
Parche acumulativo para SQL Server (MS02-034)
Tres agujeros de seguridad encontrados en Microsoft SQL Server cuentan ya con una solución, a través de un nuevo parche acumulativo que engloba también las anteriores fallas. ...
Operación "array sort" infinita causa DoS en IE y en FireFox
Microsoft Internet Explorer es propenso a una vulnerabilidad que puede ocasionar que el programa deje de responder. El problema se produce cuando el navegador realiza una operación array sort infinita en JavaScript (método para ordenar una matri...
A las empresas les molestan las redes sociales
Soumitra Dutta, investigador del Instituto Europeo de Administración de Negocios. Cree que el esquema de poder ha cambiado por las páginas colaborativas....
Casinos online: jugando con el peligro
Los casinos a los cuales se accede a través de Internet son una de esas cuestiones de las que poco se habla, y de las que poca información se encuentra. Sin embargo, muchos de ellos suelen esconder una parte maliciosa que en la mayoría de los caso...
Gmail corrige vulnerabilidad en su sistema
Hace algunos días átras en la lista de seguridad0.com se tocó el tema de un grave fallo de seguridad en la autenticación del sistema de correos Gmail, muchos fuimos los escepticos al respecto; luego de leer el bug en el sitio del elhacker.net aú...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dinamico
  • enrutamiento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • protocolos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra