Seguridad en protocolos de enrutamiento dinámico


Interesante artículo de la gente de blog.s21sec.com sobre la seguridad de enrutamiento dinámico. A continuación texto completo:





En la vorágine de la seguridad de Internet muchas veces olvidamos que no todo es XSS, SQL Injection, Directory Traversal, NMAP, Nessus o cualquier otra herramienta de seguridad o vulnerabilidad a nivel de host que se nos pueda ocurrir. No debemos olvidar que también hay que garantizar la disponibilidad, confidencialidad e integridad en las comunicaciones para lo cual los protocolos de enrutamiento dinámico juegan un papel fundamental en el mundo IP. Sin embargo, mucha gente desconoce si estos protocolos implementan algún mecanismo de seguridad, o de hacerlo, cuál es exactamente.

Uno de los posible ataques contra este tipo de protocolos es evitar que se envíen los mensajes legítimos de actualización de rutas con el objetivo de generar una denegación de servicio de la red (parte de la red dejaría de estar disponible). Sin embargo, los ataques más dañinos son aquellos que buscan modificar la tabla de rutas con un objetivo determinado, a través del envío de mensajes de actualización generados artificialmente. La corrupción de esta tabla permite a un atacante lograr una denegación del uso de la red, bien a través de generación de congestión, limitando la visibilidad entre partes de ésta, o generando bucles de enrutamiento. Además incluso, el atacante en cuestión podría lograr una denegación de servicio contra un host en particular, al poder desviar todo el tráfico en circulación contra él, o también acceder a información confidencial si logramos encaminar un determinado flujo de tráfico hacia un sniffer instalado en la red.

¿Realmente esto resulta tan sencillo como parece? ¿No existen mecanismos de seguridad en estos protocolos que permitan evitarlo?

En realidad sí que existen, aunque no en todas las versiones de los distintos protocolos. Además, algunos de estos mecanismos ofrecen una falsa sensación de seguridad, mientras que los más avanzados no son del todo seguros o no se implementan por aspectos de rendimiento.

Comenzando con éste, dedicaré los próximos post en este blog a analizar algunos de los mecanismos de seguridad comunes a varios protocolos de enrutamiento dinámico. También trataré algunos aspectos más particulares a cada protocolo e intentaré transmitiros en qué consisten algunas de las técnicas más novedosas que se están tratando de aplicar para mejorar la seguridad de estos protocolos. Así pues, comencemos …

Una manera sencilla de evitar que un router ajeno a una red e introducido en ésta de manera clandestina altere los mensajes de enrutamiento, es la autenticación de los mensajes de actualización de rutas. RIP y OSPF ofrecen dos mecanismos de autenticación.

El primero de ellos, conocido como autenticación de texto plano (“plaintext authentication”), se basa en que los routers de un mismo segmento de red comparten una clave “secreta” que se incluye en la cabecera de los mensajes del protocolo. El router que recibe el mensaje de actualización compara esta clave incluida en la cabecera con la que tiene en memoria, y si coinciden acepta el paquete. En caso contrario lo rechaza. Este mecanismo de seguridad es sencillamente inútil ya que basta con instalar un sniffer en la red para obtener la clave “secreta” compartida por todos los routers.

El segundo mecanismo también se basa en una clave secreta compartida previamente por los routers de la red pero en este caso se firma el mensaje aplicando una función de resumen o hash de tipo MD5 al mensaje de actualización. En el caso particular de OSPF, a cada paquete se introduce el identificador de la clave secreta, la clave secreta en sí misma y también un número de secuencia de 32 bits que garantiza la protección contra ataques por repetición. Posteriormente se calcula su MD5 y se inserta en el campo en el que previamente se había añadido la clave compartida. En la siguiente figura se muestra este proceso:

MD5

Este mecanismo, aún mejorando mucho la seguridad en la autenticación de los mensajes de actualización, resulta inútil cuando uno de los routers legítimos resulta comprometido ya que sólo garantizan la integridad salto a salto. Así, el router comprometido podría falsear la información de los mensajes de actualización de rutas procedentes de los routers vecinos al generar los vectores de distancias o los estados de los enlaces, consiguiendo el atacante su objetivo de modificar la tabla de rutas de los demás routers a su gusto.

Como ya sabéis BGP (en concreto la versión 4) es un protocolo de enrutamiento dinámico, de hecho el único, que se utiliza como EGP entre los distintos sistemas autónomos (AS) que conforman Internet.

bgp

A continuación listo a modo de repaso los aspectos más importantes del protocolo:

Es un protocolo vector-camino (muy similar a los protocolos vector-distancia)
Por lo tanto, el cálculo de las rutas que conforman la tabla de enrutamiento se hace de manera distribuida (el conocimiento del camino está distribuido)
Para ello, los nodos informan a sus vecinos de las redes que alcanzan {red, siguiente salto, [lista AS]}. Véase figura.
Los mensajes de protocolo se envían sobre conexiones TCP al puerto 179
Finalmente, notar que permite el intercambio de información de subredes classless (CIDR)

Un primer sistema para proporcionar seguridad en el intercambio de mensajes BGP es la autenticación de los mismos. Como ya se ha mencionado, BGP hace uso de sesiones TCP para el intercambio de mensajes. La solución viene de la mano de la RFC 2385: “Protection of BGP Sessions via the TCP MD5 Signature” que propone utilizar el campo de opciones de la cabecera TCP, para incluir en cada segmento de este protocolo un hash MD5 que complique los ataques de spoofing y man-in-the-middle. Este MD5 se calcula utilizando una clave previamente compartida entre los nodos finales de la conexión TCP.

Con el objetivo de minimizar los ataques de redirección de tráfico, de secuestro de prefijos mediante publicación malintencionada de los mismos, y de DoS de los routers BGP, resulta de vital importancia realizar un filtrado de prefijos adecuado en los routers BGP del AS, para lo que muchas veces basta aplicar el sentido común. A continuación listo algunos aspectos a tener en cuenta, aunque existen más:

Evitar la publicación hacia otro AS de prefijos de red asociados con el espacio de IP privadas, cualquier otro de propósito especial o incluso no asignadas aún por la IANA.
Los prefijos de red utilizados para direccionamiento interno del AS nunca deberían ser publicados hacia otros AS aún cuando estén dentro del rango de IP públicas.
En caso de que el AS sea un ISP, éste no debería publicar rutas hacia redes de las que no sea responsable.
Todo ISP debería descartar como mínimo prefijos de red mayores de 24 bits de longitud puesto que éste es el tamaño mínimo asignado por las entidades de registros de Internet.

Con esto me despido hasta el próximo post, en el que probablemente os hablaré de las nuevas líneas de I+D que se están llevando a cabo para mejorar la seguridad de nuestros queridos protocolos de enrutamiento.

Fuente:
Elyoenai Egozcue
S21sec labs
http://blog.s21sec.com

 



Otras noticias de interés:

Un malware muy (poco) profesional
Uno de los falsos mitos respecto a los códigos maliciosos, es que para desarrollar uno de estos, es necesario ser un genio en la programación, un loco de las computadoras y la seguridad, un ser con muchas capacidades para escribir códigos capaces ...
Mozilla llama la atención a: Apple, Google y Microsoft
El desarrollador Asa Dotzler, uno de los más respetados voceros de la Fundación Mozilla (creadores del navegador Firefox), enfrentó desde su blog fuertemente a los tres gigantes Apple, Google y Microsoft, por instalar aplicaciones a los usuarios s...
No hay antivirus contra la curiosidad
Los escritores de virus insisten con el mismo truco ya empleado en por lo menos dos recientes ocasiones, a los efectos de atrapar a incautos usuarios de Internet, e infectar sus computadoras con un troyano. Pero lo malo de esta noticia, es que eso l...
eEye publica un parche “temporal” para la última vulnerabilidad de IE
El fallo de seguridad descubierto la semana pasada en Internet Explorer (IE) está siendo ya explotado en cientos de sitios Web. Microsoft espera publicar el parche el 11 de abril, o incluso antes, pero, mientras tanto, el suministrador de seguridad ...
Google confirma que Apache es el doble de seguro que IIS
Un equipo de Google encargado de medir la evolución e incidencia del malware en Internet ha elaborado un estudio que pone de manifiesto que las webs que se encuentran en servidores que corren bajo el software de Microsoft Internet Information Servic...
mySQL vs. MariaDB: Michael Widenius crea fork libre de mySQL
Michael Widenius; mejor conocido como Monty y creador de la popular base de datos MYSQL; no solamente se ha retirado de mySQL (o de Sun; algo que hizo en las visperas de la venta de Sun a principios de Marzo); sino que además ha lanzado un Fork de m...
Detectados ataques contra vulnerabilidad no resuelta en IE
Microsoft ha advertido que se han detectado ataques online contra una brecha de seguridad en Internet Explorer (IE) hecha pública hace dos meses. ...
Microsoft y Verizon lanzarán Internet de alta velocidad
Ambas compañías han anunciado que lanzarán una versión conjunta del servicio de Internet MSN de Microsoft a alta velocidad a comienzos del próximo año. ...
Los virus más reportados Julio 2003
En este reporte mostramos los virus que han sido más reportados por VSAntivirus y Pandasoftware respectivamente durante el mes de julio de este año....
ISS desvela una vulnerabilidad en Sendmail
El equipo de investigación y desarrollo X-Force de Internet Security Systems ha descubierto una seria vulnerabilidad en el software de servidor SMTP Sendmail....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • dinamico
  • enrutamiento
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • protocolos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra