Podcast de Redes de Eduardo Collado

Seguridad en BGP


Listen Later

En este episodio, vamos a hablar sobre seguridad en nuestro amigo BGP. BGP fue diseñado pensando en que todos éramos buenos y que Internet era un sitio mucho más respetable de lo que es hoy.

Principales vulnerabilidades del BGP
  1. Suplantación de rutas (Route Hijacking): El paraguas que todo lo aglutina.
  2. Secuestro de prefijos (Prefix Hijacking): Anuncio ilegítimo de prefijos, ya sea por error o con intención maliciosa, lo que puede causar interrupciones de servicio y robo de datos.
  3. Inyección de rutas maliciosas: El atacante introduce rutas falsas, provocando pérdida de paquetes, degradación de rendimiento o bucles de encaminamiento.
  4. Route leaks: Rutas que deberían ser privadas se propagan públicamente, exponiendo datos internos y generando inestabilidad en el encaminamiento.
  5. Medidas de protección clave
    • RPKI: Permite validar si un AS está autorizado para anunciar un prefijo, ayudando a evitar secuestros de rutas y errores de configuración.
    • Filtrado de rutas: Impide que se acepten o anuncien rutas no autorizadas mediante listas de prefijos y políticas de validación.
    • Monitorización de anomalías: Sistemas que detectan comportamientos extraños en las rutas BGP, como aumentos súbitos de prefijos o cambios inesperados de rutas.
    • Sesiones seguras con TCP MD5 o TCP-AO: Protegen las sesiones BGP mediante autenticación criptográfica, evitando manipulaciones en las conexiones entre routers.
    • Buenas prácticas
      • Aplicar políticas de seguridad estrictas.
      • Configurar alertas y realizar auditorías periódicas.
      • Ir al EsNOG y hacerse el MANRS.
      • Leer mucho.
      • Casos reales destacados
        • YouTube (2008): Pakistan Telecom secuestró por error el tráfico global de YouTube durante varias horas.
        • Google (2018): Parte del tráfico se desvió a través de Rusia y China tras un anuncio incorrecto de prefijos por parte de un ISP en Nigeria.
        • Bitcoin (2014): Mineros de Bitcoin fueron víctimas de un ataque BGP que desvió su tráfico, afectando su rendimiento y generando pérdidas.
        • AWS Route 53 (2018): Un secuestro de rutas permitió redirigir tráfico DNS de Amazon a servidores maliciosos y lanzar ataques de phishing.
        • Orange España (2024): El 3 de enero, el operador se quedó sin servicio tras un ataque que modificó los ROA del RPKI mediante el robo de credenciales del administrador en RIPE. RIPE obligó a partir de entonces a activar el segundo factor de autenticación en todas las cuentas.
        • El futuro

          El camino hacia un BGP más seguro pasa por:

          • La adopción global del RPKI, como herramienta base para validar anuncios de rutas, aún estamos lejos.
          • El desarrollo de nuevos protocolos, como BGPsec y arquitecturas alternativas como SCION, que integran seguridad desde su diseño.
          • La cooperación entre operadores, la estandarización de buenas prácticas y una mayor conciencia sobre la importancia de proteger la infraestructura de encaminamiento.
          • Vídeo del Canal de Tecnocrática

            Por si preferís ver en vídeo, no es exactamente el mismo contenido, pero sí muy similar.

            Foto de Lewis Kang’ethe Ngugi: https://www.pexels.com/es-es/foto/monitor-de-pantalla-plana-encendido-289927/

            ...more
            View all episodesView all episodes
            Download on the App Store

            Podcast de Redes de Eduardo ColladoBy Eduardo Collado