Hoy estamos aquí para hablar del Protocolo de Pasarela Fronteriza (BGP) y de un paso reciente que hemos dado para asegurarlo en nuestras redes. Aunque llevamos un tiempo firmando nuestros prefijos con autorizaciones de origen de ruta (ROA), hemos implementado la validación de rutas en todos nuestros routers de pasarela de borde en todo el mundo y ahora estamos descartando los prefijos inválidos por RPKI.
Para entender el cambio, tenemos que comprender cómo funciona el protocolo TCP. BGP es uno de los protocolos que hacen que Internet funcione. Internet es una amplia red de redes. Estas redes independientes tienen sus propios rangos de direcciones IP proporcionados por los Registros Regionales de Internet (RIR). Estos rangos son lo que BGP denomina prefijos.
A continuación, estos prefijos se agrupan en un sistema abstracto llamado Sistema Autónomo (AS), identificado por un número llamado Número de Sistema Autónomo (ASN). Por último, el router de borde hablante de BGP de cada red independiente se denomina Peer. Para que BGP funcione, cada peer intercambia información de enrutamiento con sus peers vecinos en forma de anuncios de prefijos de red. Dado que los pares pueden intercambiar todas las rutas que tienen en función de la política de enrutamiento, un AS no necesita estar conectado directamente con otro AS para conocer sus prefijos. En este caso, el AS intermediario cumple la función de un AS de tránsito que intercambia información de enrutamiento con los AS de borde.
Secuestro de BGP
La publicidad falsa de prefijos que no se controlan, ya sea intencionada o accidental, se denomina secuestro de BGP. El resultado de esto implica varios tipos de ataques como DDoS, monitoreo, spam, y más.
Para que un ataque de secuestro de BGP tenga éxito, otras redes deben seleccionar la ruta secuestrada como la mejor ruta de una de las siguientes maneras:
- Dado que BGP generalmente prefiere la longitud de ruta de AS más corta, el adversario podría ofrecer una longitud de ruta de AS más corta que el propietario legítimo del prefijo. Otros atributos de BGP también pueden utilizarse para preferir una ruta, pero este comportamiento depende en gran medida de las políticas de enrutamiento de un ASN.
- El adversario debe anunciar un prefijo más específico que el anunciado por el verdadero AS de origen. Los secuestros basados en la longitud del prefijo tienen más probabilidades de éxito ya que no dependen de políticas BGP potencialmente complicadas.
Aunque la complejidad del ataque es bastante elevada para que tenga éxito, el secuestro de BGP es casi imposible de detener sin algún tipo de autorización. Y ahí es donde entra en juego RPKI.
RPKI
Piense en RPKI como en una firma digital; proporciona un certificado de que los enrutadores que hablan de BGP sólo aceptan ciertos Sistemas Autónomos que están autorizados a originar prefijos particulares. Esencialmente, con RPKI, los anuncios de ruta BGP emitidos desde un router pueden ser firmados y validados en base al certificado ROA para asegurar que la ruta proviene del titular del recurso y que es una ruta válida.
Con RPKI habilitado en nuestras redes, firmamos nuestros prefijos de ruta con los ROAs y descartamos los anuncios BGP de fuentes con firmas RPKI inválidas. Esto actúa como una medida preventiva contra muchas amenazas asociadas con el secuestro de BGP, incluyendo DDoS, spam, phishing, monitoreo de datos, y más.
Hacemos nuestra parte para que Internet sea un lugar más seguro. Para saber más sobre RPKI, consulte esta documentación de ARIN.
Si te interesan algunas estadísticas, aquí tienes un interesante monitor RPKI del NIST.
Comentarios