Border Gateway Protocol: ¿la mayor vulnerabilidad de red de todas?

Autor: Robert Simon
Fecha De Creación: 24 Junio 2021
Fecha De Actualización: 24 Junio 2024
Anonim
Border Gateway Protocol: ¿la mayor vulnerabilidad de red de todas? - Tecnología
Border Gateway Protocol: ¿la mayor vulnerabilidad de red de todas? - Tecnología

Contenido


Para llevar:

Cuando se desarrolló BGP, la seguridad de la red no era un problema. Es por eso que el problema con BGP es también su mayor ventaja: su simplicidad.

En términos de vulnerabilidades de seguridad, se han hecho muchos ataques de desbordamiento de búfer, ataques de denegación de servicio distribuido e intrusiones de Wi-Fi. Si bien este tipo de ataques ha atraído una gran cantidad de atención dentro de las revistas, blogs y sitios web de TI más populares, su atractivo sexual a menudo ha servido para eclipsar un área dentro de la industria de TI que es quizás la columna vertebral de todas las comunicaciones de Internet: el Protocolo Border Gateway (BGP) Como resultado, este simple protocolo está abierto a la explotación, e intentar asegurarlo no sería una tarea pequeña. (Para obtener más información sobre las amenazas tecnológicas, consulte Software malicioso: gusanos, troyanos y bots, ¡Oh, Dios mío!)


¿Qué es el BGP?

El Border Gateway Protocol es un protocolo de gateway exterior que básicamente enruta el tráfico de un sistema autónomo (AS) a otro sistema autónomo. En este caso, "sistema autónomo" simplemente se refiere a cualquier dominio sobre el cual un proveedor de servicios de Internet (ISP) tiene autonomía. Entonces, si un usuario final confía en AT&T como su ISP, pertenecerá a uno de los sistemas autónomos de AT&T. La convención de nomenclatura para un AS dado probablemente se parecerá a AS7018 o AS7132.

BGP se basa en TCP / IP para mantener las conexiones entre dos o más enrutadores del sistema autónomo. Ganó gran popularidad durante la década de 1990 cuando Internet crecía a un ritmo exponencial. Los ISP necesitaban una forma simple de enrutar el tráfico a los nodos dentro de otros sistemas autónomos, y la simplicidad de BGP le permitió convertirse rápidamente en el estándar de facto en el enrutamiento entre dominios. Entonces, cuando un usuario final se comunica con alguien que usa un ISP diferente, esas comunicaciones habrán atravesado un mínimo de dos enrutadores habilitados para BGP.


Una ilustración de un escenario de BGP común puede arrojar algo de luz sobre la mecánica real de BGP. Suponga que dos ISP llegan a un acuerdo para enrutar el tráfico hacia y desde sus respectivos sistemas autónomos. Una vez que todo el papeleo ha sido firmado y los contratos han sido aprobados por sus respectivos representantes legales, las comunicaciones reales se entregan a los administradores de la red. Un enrutador con BGP habilitado en AS1 inicia la comunicación con un enrutador con BGP habilitado en AS2. La conexión se inicia y se mantiene a través del puerto TCP / IP 179, y como se trata de una conexión inicial, ambos enrutadores intercambian tablas de enrutamiento entre sí.

Dentro de las tablas de enrutamiento, se mantienen las rutas a cada nodo existente dentro de un AS dado. Si no hay una ruta completa disponible, se mantiene una ruta al sistema sub-autónomo apropiado. Una vez que se ha intercambiado toda la información relevante durante la inicialización, se dice que la red está convergida, y cualquier comunicación futura implicará actualizaciones y comunicaciones de que aún estás vivo.

Bastante simple ¿verdad? Está. Y ese es precisamente el problema, porque es esta simplicidad la que ha llevado a algunas vulnerabilidades muy inquietantes.

¿Por qué debería importarme?

Todo esto está muy bien, pero ¿cómo afecta esto a alguien que usa su computadora para jugar videojuegos y mirar Netflix? Una cosa que todo usuario final debe tener en cuenta es que Internet es muy susceptible al efecto dominó, y BGP juega un papel importante en esto. Si se hace correctamente, piratear un enrutador BGP podría resultar en la denegación de servicio para un sistema autónomo completo.

Supongamos que el prefijo de la dirección IP para un sistema autónomo dado es 10.0.x.x. El enrutador con BGP dentro de este AS anuncia este prefijo a otros enrutadores con BGP dentro de otros sistemas autónomos. Esto suele ser transparente para los miles de usuarios finales dentro de un AS dado, ya que la mayoría de los usuarios domésticos a menudo están aislados de lo que sucede a nivel de ISP. El sol brilla, los pájaros cantan y el tráfico de Internet zumba. La calidad de imagen de Netflix, YouTube y Hulu es absolutamente impecable, y la vida digital nunca ha sido mejor.

Sin errores, sin estrés: su guía paso a paso para crear software que cambie su vida sin destruir su vida

No puede mejorar sus habilidades de programación cuando a nadie le importa la calidad del software.

Ahora, supongamos que una persona nefasta dentro de otro sistema autónomo comienza a anunciar su propia red como el propietario del prefijo de dirección IP 10.0.x.x. Para empeorar las cosas, este villano de la red anuncia que su espacio de direcciones 10.0.x.x tiene un costo menor que el propietario legítimo de dicho prefijo. (Por costo, me refiero a menos saltos, más rendimiento, menos congestión, etc. Las finanzas son irrelevantes en este escenario). De repente, todo el tráfico que estaba destinado a la red del usuario final se desvía repentinamente a otra red, y no hay mucho que un ISP pueda hacer para evitar esto.

Un escenario muy similar al que acabamos de mencionar ocurrió el 8 de abril de 2010, cuando un ISP dentro de China anunció algo similar a 40,000 rutas falsas. Durante 18 minutos completos, se desviaron cantidades incontables de tráfico de Internet al sistema autónomo chino AS23724. En un mundo ideal, todo este tráfico mal dirigido habría estado dentro de un túnel VPN encriptado, lo que haría que gran parte del tráfico fuera inútil para la parte que intercepta, pero es seguro decir que este no es un mundo ideal. (Obtenga más información sobre VPN en la red privada virtual: la solución de sucursal).

El futuro de BGP

El problema con BGP es también su mayor ventaja: su simplicidad. Cuando BGP comenzó a afianzarse realmente entre los diferentes ISP de todo el mundo, no se pensó mucho en conceptos como confidencialidad, autenticidad o seguridad general. Los administradores de red simplemente querían comunicarse entre sí. El Grupo de Trabajo de Ingeniería de Internet continúa realizando estudios sobre soluciones para las muchas vulnerabilidades dentro de BGP, pero intentar asegurar una entidad descentralizada como Internet no es una tarea pequeña, y los millones de personas que actualmente usan Internet pueden tener que tolerar simplemente Explotación ocasional de BGP.