En este episodio, vamos a hablar sobre seguridad en nuestro amigo BGP. BGP fue diseñado pensando en que todos éramos buenos y que Internet era un sitio mucho más respetable de lo que es hoy.
Principales vulnerabilidades del BGP
Suplantación de rutas (Route Hijacking): El paraguas que todo lo aglutina.Secuestro de prefijos (Prefix Hijacking): Anuncio ilegítimo de prefijos, ya sea por error o con intención maliciosa, lo que puede causar interrupciones de servicio y robo de datos.Inyección de rutas maliciosas: El atacante introduce rutas falsas, provocando pérdida de paquetes, degradación de rendimiento o bucles de encaminamiento.Route leaks: Rutas que deberían ser privadas se propagan públicamente, exponiendo datos internos y generando inestabilidad en el encaminamiento.Medidas de protección clave
RPKI: Permite validar si un AS está autorizado para anunciar un prefijo, ayudando a evitar secuestros de rutas y errores de configuración.Filtrado de rutas: Impide que se acepten o anuncien rutas no autorizadas mediante listas de prefijos y políticas de validación.Monitorización de anomalías: Sistemas que detectan comportamientos extraños en las rutas BGP, como aumentos súbitos de prefijos o cambios inesperados de rutas.Sesiones seguras con TCP MD5 o TCP-AO: Protegen las sesiones BGP mediante autenticación criptográfica, evitando manipulaciones en las conexiones entre routers.Buenas prácticas
Aplicar políticas de seguridad estrictas.Configurar alertas y realizar auditorías periódicas.Ir al EsNOG y hacerse el MANRS.Leer mucho.Casos reales destacados
YouTube (2008): Pakistan Telecom secuestró por error el tráfico global de YouTube durante varias horas.Google (2018): Parte del tráfico se desvió a través de Rusia y China tras un anuncio incorrecto de prefijos por parte de un ISP en Nigeria.Bitcoin (2014): Mineros de Bitcoin fueron víctimas de un ataque BGP que desvió su tráfico, afectando su rendimiento y generando pérdidas.AWS Route 53 (2018): Un secuestro de rutas permitió redirigir tráfico DNS de Amazon a servidores maliciosos y lanzar ataques de phishing.Orange España (2024): El 3 de enero, el operador se quedó sin servicio tras un ataque que modificó los ROA del RPKI mediante el robo de credenciales del administrador en RIPE. RIPE obligó a partir de entonces a activar el segundo factor de autenticación en todas las cuentas.El futuro
El camino hacia un BGP más seguro pasa por:
La adopción global del RPKI, como herramienta base para validar anuncios de rutas, aún estamos lejos.El desarrollo de nuevos protocolos, como BGPsec y arquitecturas alternativas como SCION, que integran seguridad desde su diseño.La cooperación entre operadores, la estandarización de buenas prácticas y una mayor conciencia sobre la importancia de proteger la infraestructura de encaminamiento.Vídeo del Canal de Tecnocrática
Por si preferís ver en vídeo, no es exactamente el mismo contenido, pero sí muy similar.
Foto de Lewis Kang’ethe Ngugi: https://www.pexels.com/es-es/foto/monitor-de-pantalla-plana-encendido-289927/