SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIÓN

Tamaño: px
Comenzar la demostración a partir de la página:

Download "SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIÓN"

Transcripción

1 (ICAI) SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIÓN Autor: Jorge Pérez Calleja Director: Jose Luis Gahete Diaz Madrid Mayo 2012

2 Proyecto realizado por el alumno/a: Jorge Pérez Calleja Fdo: Fecha: / /. Autorizada la entrega del proyecto cuya información no es de carácter confidencial EL DIRECTOR DEL PROYECTO Jose Luis Gahete Diaz Fdo: Fecha: / /. Vº Bº DEL COORDINADOR DE PROYECTOS Israel Alonso Martínez Fdo: Fecha: / /.

3 AGRADECIMIENTOS Gracias Papá, eres una máquina. No podía empezar mis agradecimientos de otra manera. Sin ti, este proyecto no sería lo que es. Me has echado una, dos y hasta tres manos y ninguna de ellas al cuello. Has sabido pegarme empujoncitos durante el curso y de verdad que muchas gracias. Irascible; mi familia domina el significado de esta palabra. Del latín irascibilis, dícese de una persona propensa a la ira. No todo el año he estado igual, también recuerdo haberme sentido alterable, atrabiliario, basilisco, cascarrabias, furibundo, iracundo, malhumorado. Gracias por haberme aguantado este año tan largo. Muchas gracias mamá y Beatriz, sois únicas. Qué decir de lo simplemente perfecto? Siiii, me refiero a ti, Teresa. GRACIAS. Eres una persona excelente. Me alegro muchísimo de haberte encontrado. Ten muy claro que si he sacado esto adelante ha sido por tu apoyo y tu paciencia, sobre todo esta última. Vamos a poder con todo, estoy seguro. Gracias por tu confianza y por todo lo que me das a diario. Sigue haciéndome sentir tan especial. MS Gracias Parrusete. Sois la caña chicos, que esto dure de por vida. Pase lo que pase siempre juntos. Gracias a mi grupo de fumadores de ICAI. Espero seguir en contacto con vosotros, sois parte de mi historia universitaria. Finalmente me gustaría agradecer a mi director, Jose Luis Gahete, por la oportunidad que me ha brindado de poder profundizar en esta materia. He aprendido muchísimo durante el desarrollo de este documento. Gracias por asignarme este proyecto. I

4 SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIÓN. ROUTER ANALYZER Autor: Jorge Pérez Calleja Director: Jose Luis Gahete Diaz Entidad Colaboradora: Universidad Pontificia Comillas RESUMEN DEL PROYECTO El objetivo de este proyecto es desarrollar un estudio sobre Border Gateway Protocol. Se analizaran los episodios más relevantes en fallos de configuración en los últimos años, al igual que una investigación en detalle de los ataques conocidos. Una vez planteadas las vulnerabilidades del protocolo se ha desarrollado una aplicación para minimizar situaciones de riesgo y se han elaborado unas plantillas guía de seguridad en routers Cisco IOS e IOS XR. Palabras clave: Internet, Border Gateway Protocol, whois Domain Tools, Internet Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco. Introducción. La seguridad informática es un activo intangible y debe ser entendida como un proceso. Esta se debe implantar en toda organización como un ciclo iterativo que incluye una serie de actividades como la valoración de riesgos, la prevención, y la detección y respuesta ante incidentes de seguridad. Toda empresa, ya sea líder, o seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro para transmitir la información. II

5 1.1 Transmisión de datos El medio de transmisión que se va analizar en este documento es Internet. Cualquier petición de enviar un o consulta de una página web implica la transmisión de paquetes de datos desde el punto de origen al de destino. Internet es un mundo vivo donde aparecen constantes cambios. Pueden aparecer sistemas nuevos o sistemas que cesan su actividad. Estas eventualidades deben estar reflejadas en tablas de encaminamiento. Border Gateway Protocol, de ahora en adelante, BGP, es el encargado de gestionar estas variaciones continuas por lo que los fallo en la configuración de aquel, podían dejar áreas geográficas enteras sin acceso a Internet. 1.2 Antecedentes Históricos A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo derivados de fallos en BGP. En este documento se han recogido los episodios más relevantes del siglo XXI [1]. Estos incidentes proceden, en su mayoría, de fallos de configuración. En la actualidad, existen propuestas formales que hacen BGP seguro y fiable pero su compleja implantación las convierte en poco plausibles. Por un lado se ha planteado Secure Origin BGP cuyo objetivo es verificar el origen de cada mensaje utilizando certificados. Por otro lado, se ha considerado incluir la autentificación, integridad y autorizaciones en los mensajes BGP, cuya proposición se denomina Secure BGP. Objetivos del proyecto. El objetivo de este proyecto es concienciar y advertir a las entidades de la necesidad de una mejora en sistemas de transmisión cuyo fin será asegurar la confidencialidad, accesibilidad e integridad de los datos. El desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debería ser un objetivo primordial para todas III

6 las organizaciones. Actualmente, estas no han sabido ver una mejora inmediata que pueda repercutir en sus clientes y, probablemente, hasta que no se reciban varios ataques al protocolo BGP no se considerará la necesidad de asegurar sus sistemas. La intención de este documento es demostrar que siguiendo unos pasos sencillos se pueda configurar el protocolo de manera eficiente. No obstante, aun habiendo explicado los diferentes comandos y opciones recomendadas, se aconseja hacer un estudio previo de las necesidades específicas de cada conexión así como comprender las diferentes opciones para implementar la configuración más correcta, más valida y la adecuada a cada situación. Router Analyzer. Asimismo se ha desarrollado una aplicación para facilitar la configuración del router y reducir la posibilidad de acoger ataques al sistema. Para la creación de dicha herramienta se han utilizado materiales de dominio público tales como whois Domain Tools [2], y la tabla de direcciones IP denunciadas de Internet Storm Center [3]. Router Analyzer es la herramienta diseñada para acotar al máximo el margen de error a la hora de configurar un enlace, y reducir la posibilidad de acoger ataques al sistema. En el Anexo A de este proyecto se ha desarrollado un manual de usuario para su correcto uso. En dicho apéndice, se han agrupado diferentes capturas de pantalla con el fin de facilitar la comprensión del mismo. IV

7 Plantillas de seguridad. Para el desarrollo de estas plantillas de configuración y seguridad se ha realizado una labor de documentación y se han consultado publicaciones al efecto como el National Institute of Standards and Technologies [1] (US NIST), organismo dependiente del departamento de comercio de los Estados Unidos. A su vez, se han consultado páginas web de monitorizado, análisis y recomendaciones sobre BGP como BGPmon [4]. Conocida organización no lucrativa de apoyo a los técnicos y operadores de red en Internet. Por último, cabe mencionar a Packet Clearing House [5], Instituto de investigación sin ánimo de lucro sobre las comunicaciones en internet. En esta investigación sobre BGP, las organizaciones previamente nombradas hacen una constante referencia a las plantillas de seguridad de BGP desarrolladas y publicadas por Team Cymru Community Services [6]. Esta es una compañía estadounidense localizada en el estado de Illinois, especializada en la investigación sobre la seguridad de internet. Team Cymru es también conocida por su dedicación y ayuda a organizaciones para identificar y erradicar problemas en sus redes. El equipo de Team Cymru ha desarrollado diversas plantillas de seguridad, y en este proyecto se han seleccionado aquellas pertenecientes a routers Cisco. V

8 Conclusiones. El objetivo de este proyecto no ha sido exclusivamente didáctico. Cabe resaltar mi motivación personal en este ámbito de la informática así como todos los conocimientos adquiridos durante el desarrollo del proyecto. Para finalizar este sumario del proyecto de fin de carrera, me gustaría plasmar la satisfacción que ha supuesto haber tenido la oportunidad de profundizar en esta cuestión, y a su vez instar al lector, y en última instancia a interesados en redes y/o seguridad informática, a que participen en mi proyecto mediante su lectura, y posterior revisión o crítica. Bibliografía. [1] National Institute of Standards and Technology, [2] Whois DomainTools, [3] Institute e Internet Storm Centre, [4] BGP monitoring and analyzer, [5] Packet Clearing House, [5] Team Cymru Community Services, VI

9 BGP SECURITY, PROTOCOL ATTACKS AND AND MISS-CONFIGURATION. ROUTER ANALYZER Author: Jorge Pérez Calleja Director: Jose Luis Gahete Diaz Colaborating Entity: Universidad Pontificia Comillas ABSTRACT The aim of this project is to develop a study about Border Gateway Protocol. It will include an analysis of the most outstanding miss-configurations episodes occurred in the past years and a research about the more common attacks. Once vulnerabilities are set up, it will introduce an application to minimize risk situations and security templates on Cisco IOS and IOS XR routers. Key Words: Internet, Border Gateway Protocol, whois Domain Tools, Internet Storm Center, Secure Origin BGP, Secure BGP, National Institute of Standards and Technologies, BGPmon, Team Cymru, Packet Clearing House, Cisco. Introduction. Computer security is an intangible asset and it must be considered as a process. This must be well-established in every organization like an iterative cycle that will include a group of activities as risks assessments, prevention, and detection and response against security incidents. Every firm, no matter if it is sector leader or follower, will need a reliable and secure communications system to transmit data. VII

10 1.1 Data transmision The mean of transmission that is going to be analyzed on this document is Internet. Any sending request or website consultation involves data transmission from an origin to a destination. Internet can be considered as a living world. There appear constant changes as new systems appearances or systems that resign their activity. These events must be taken into account on routing tables. Border Gateway Protocol, BGP from now on, is in charge of managing these changes. A miss-configuration on BGP would obstruct Internet access. 1.2 Historical Background Along Internet s life, there have appeared various high risk situations due to BGP miss-configurations. On this document, most of these incidents have been brought together [1]. Currently, there exist many proposals to make BGP reliable and secure. Their complex establishments make them hard to carry out. On the one hand, there is Secure Origin BGP which aim is to verify the origin of every message using certificates. On the other hand, it has been taken into consideration to include authentication, integrity and authorizations on BGP messages, this proposal is known as Secure BGP. Objectives. The aim of this document is to make aware and to warn firms about the need of data transmission improvements. This goal will assure data confidentiality, accessibility and integrity. A system development based on BGP security to cover most of its known vulnerabilities should be paramount importance for firms. This system must balance security, complexity, performance and costs. Nowadays companies do not appreciate an immediate improvement and they will not invest on security until they receive various attacks VIII

11 Router Analyzer. The present document contains there an application development to make router configuration easier and it will reduce the chance of receiving attacks. Public material was used to design this tool as whois Domain Tools [2] and Internet Storm Center [3]. Router Analyzer is the designed tool to enclose miss configurations when configuring routers. This project will bring in a handbook for its correct use. It has been attached as Appendix A to make it easier to utilize and to comprehend. Security Templates. These security templates have been developed based on a documentation task. Several publications have been studied as the one presented from National Institute of Standards and Technologies [1] (US NIST), BGPmon [4], Packet Clearing House [5]. On their publications, they all refer to security templates developed by Team Cymru Community Services [6]. On this document, only Routers Cisco security templates have been taken into account, which are the ones that will be used on Router Analyzer. IX

12 Conclusions. The elaboration of this project has not been merely didactic. I must stand out my personal motivation on this computer science scope and every knowledge acquired.to conclude this brief, I would like to emphasize my satisfaction obtained by having the chance to study in depth this matter. Bibliography. [1] National Institute of Standards and Technology, [2] Whois DomainTools, [3] Institute e Internet Storm Centre, [4] BGP monitoring and analyzer, [5] Packet Clearing House, [5] Team Cymru Community Services, X

13 ÍNDICE FIGURAS BIBLIOGRAFIA ACRÓNIMOS INTRODUCCIÓN Y MOTIVACIÓN DEFINICIONES 1.1 Internet Protocolos de encaminamiento Border Gateway Protocol Microsoft Visual Studio BORDER GATEWAY PROTOCOL 2.1 Introducción Mensajes y cabecera de BGP Formato KEEPALIVE Formato OPEN Formato UPDATE Formato NOTIFICATION Sesión BGP Establecimiento de una sesión Estados BGP 18 a) Idle State (Estado Paralizado) b) Connect State (Estado Conectado) c) Active State (Estado Activo) d) OpenSent State (Estado Open Enviado) e) OpenConfirm State (Estado Confirmación de un Open) f) Established State (Estado Establecido) 4 XI

14 2.4 Reglas de filtrado Configuración MD Filtrado Router-Map Filtrado Filter-List BGP Seguridad en BGP Resumen 29 CONFIGURACIÓN SIMPLE DE BGP 3.1 Introducción Estado de la cuestión Aspecto administrativos Interfaces Protocolos de encaminamiento Gestión del tráfico Políticas de encaminamiento Graphical Network Simulator Situación inicial Metodología de configuración del protocolo Configuración previa de los routers Comprobación de las tablas de rutas Configuración del protocolo BGP 47 a) Activación del protocolo b) Definir vecindad entre los routers (ebgp) c) Configuración final d) Comprobación vecinos BGP Configuración Interior-BGP 53 XII

15 ATAQUES EN BGP 4.1 Introducción Vulnerabilidades y errores de concepto Antecedentes Históricos Año 2012, Australia sin acceso a Internet Año 2011, Egipto sin acceso a Internet Año 2011, Siria sin acceso a Internet Año 2010, Google y servicios asociados redirigidos Año 2010, un ISP Chino secuestra Internet Año 2008, Pakistán Telecom bloquea YouTube Año 2008, Brasil difunde una tabla BGP Año 2007, La ICANN pone en riesgo un servidor DNS Año a) ISP en Malasia bloquea Yahoo b) ISP turco bloquea Internet c) Northrop Grumman atacado por spammers 4.4 Ataques al protocolo Ataques DoS o DDoS Secuestro o Hijack Man in the Middle (o Meet in the Middle) Ataques de sesión (TCP) y Replay Attacks Ataque Route Flapping Ataque de Desagregación de rutas Ataque de Inyección de Rutas Maliciosas Ataque de Inyección de Rutas no Asignadas Malware Rootkits, IOS, Bios, EEProms Resumen 89 XIII

16 ANEXO A. MANUAL DE USUARIO-ROUTER ANALYZER 5.1 Introducción Internet Storm Center Domain Tools Router Analyzer Análisis del router Archivo de configuración Analizar y ver resultado Actuar Configuración del router Estado Actual Opciones de configuración 106 a) Configuración de enlaces b) Configuración de un router BGP 5.4 Configuración Helper Introducción Pasos 115 a) Configuración Helper paso 1 b) Configuración Helper paso 2 c) Configuración Helper paso 3 d) Configuración Helper paso 4 e) Configuración Helper paso 5 ANEXO B. PLANTILLAS DE CONFIGURACIÓN 6.1 Seguridad BGP Cisco IOS Seguridad BGP IOS XR 126 XIV

17 FIGURAS NÚMERO NOMBRE FUENTE FIGURA 1 Modelo de un sistema de comunicación Elaboración propia FIGURA 2 Modelo de un sistema de transmisión Elaboración propia FIGURA 3 Internet, red informática mundial Elaboración propia FIGURA 4 La prehistoria de Internet FIGURA 5 Internet como medio de transmisión Elaboración propia FIGURA 6 Comunicación entre routers Elaboración propia FIGURA 7 Saltos de la información Elaboración propia FIGURA 8 Algoritmo Elaboración propia FIGURA 9 Microsoft Visual Studio FIGURA 10 Formato Cabecera Mensaje BGP Elaboración propia FIGURA 11 Formato mensaje OPEN Elaboración propia FIGURA 12 Formato mensaje UPDATE Elaboración propia FIGURA 13 Formato mensaje NOTIFICATION Elaboración propia FIGURA 14 Neighbor State FIGURA 15 Inicio de una sesión BGP GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition FIGURA 16 Filtrado por MD5 Elaboración propia FIGURA 17 Configuración MD5 Elaboración propia FIGURA 18 Configuración Router-Map Elaboración propia FIGURA 19 Conexión entre sistemas autónomos Elaboración propia FIGURA 20 Características de un router Cisco 3640 Elaboración propia, con datos de FIGURA 21 Caso real de configuración BGP Elaboración propia FIGURA 22 Simulación caso real GSN3 Elaboración propia usando GSN3 FIGURA 23 Estado RC1 Elaboración propia usando GSN3 FIGURA 24 Estado enlaces Elaboración propia usando GSN3 FIGURA 25 Enlaces RC1 Elaboración propia usando GSN3 FIGURA 26 Fichero de configuración de RC1 Elaboración propia FIGURA 27 Enlaces R1P1 Elaboración propia usando GSN3 FIGURA 28 Fichero de configuración de R1P1 Elaboración propia FIGURA 29 Enlaces R1P2 Elaboración propia usando GSN3 FIGURA 30 Enlaces R2P2 Elaboración propia usando GSN3 FIGURA 31 Fichero de configuración de P2 Elaboración propia FIGURA 32 Comando sh ip route Elaboración propia usando la consola de GSN3 FIGURA 33 Comprobación de tabla de rutas Elaboración propia usando la consola de GSN3 FIGURA 34 Clases de direcciones IP FIGURA 35 Vecindad entre routers Elaboración propia usando GSN3 FIGURA 36 Configuración vecinos BGP en el fichero Elaboración propia FIGURA 37 Configuración RC1 Elaboración propia FIGURA 38 Comando sh ip bgp neighbors Elaboración propia usando la consola de GSN3 XV

18 NÚMERO NOMBRE FUENTE FIGURA 39 Comprobación de tabla de rutas Elaboración propia usando la consola de GSN3 FIGURA 40 Neighbor R1P2 Elaboración propia FIGURA 41 Comprobación vecindad R1P2 Elaboración propia usando la consola de GSN3 FIGURA 42 Neighbor R1P1 y R2P2 Elaboración propia FIGURA 43 Comprobación vecindad R1P1 y R2P2 Elaboración propia usando la consola de GSN3 FIGURA 44 Configuración Interior-BGP Elaboración propia usando GSN3 FIGURA 45 Comandos configuración Interior-BGP Elaboración propia FIGURA 46 Mejor camino basado en rutas recibidas Elaboración propia FIGURA 47 AS1221 Telstra Pty Ltd FIGURA 48 Eguito redes afectadas I Elaboración propia FIGURA 49 Eguito redes afectadas II Elaboración propia FIGURA 50 Egipto redes afectadas III Elaboración propia FIGURA 51 Egipto gráfico redes afectadas/tiempo Elaboración propia FIGURA 52 Siria redes afectadas/sa Elaboración propia FIGURA 53 Siria prefijo 1 de Junio, 2011 Elaboración propia FIGURA 54 Siria prefijo 3 de Junio, 2011 Elaboración propia FIGURA 55 Pakistan Telecom bloquea Youtube Elaboración propia FIGURA 56 Estado Youtube 24 de Febrero BGPlay FIGURA 57 Estado Youtube BGPlay FIGURA 58 Estado Youtube BGPlay FIGURA 59 Mensaje alerta BGPMon FIGURA 60 Root-Servers FIGURA 61 Comando nslookup Elaboración Propia FIGURA 62 Root-Servers falsos ICANN FIGURA 63 Secuestro de sesión https://www.owasp.org/index.php/session_hijacking_attack FIGURA 64 Conexión MITM https://www.owasp.org/index.php/man-in-the-middle_attack FIGURA 65 Sincronización al inicio de una sesión FIGURA 66 Route Flapping Penalización/tiempo XVI

19 ACRÓNIMOS Ack Acknowledgement ACL Access Control List ASN Autonomous System Number BGP Border Gateway Protocol DNS Domain Name System DoS Denial of Service ebgp Exterior BGP EGP Exterior Gateway Protocol EIGRP Enhanced Interior Gateway Routing Protocol GNS-3 Graphic Network Simulator ibgp Interior BGP ICANN Internet Corporation for Assigned Names and Numbers ID Identifier IGP Interior Gateway Protocol IGRP Interior Gateway Routing Protocol IOS Internetwork Operating System IP Internet Protocol ISC Internet Systems Consortium IS-IS Intermediate System To Intermediate System ISP Internet Service Provider MD5 Message-Digest Algorithm 5 MiT Man in the Middle OSPF Open Shortest Path First RFC Request For Change RID Router ID RIP Routing Information Protocol s-bgp Secure BGP so-bgp Secure Origin BGP Syn Synchronization TCP Transmission Control Protocol TLD Top-level domain WWW World Wide Web XVII

20 INTRODUCCIÓN Y MOTIVACIÓN La seguridad informática es un activo intangible y debe ser entendida como un proceso. Esta se debe implantar en toda organización como un ciclo iterativo que incluye una serie de actividades como la valoración de riesgos, prevención, y detección y respuesta ante incidentes de seguridad. Toda empresa, ya sea líder, o seguidor en el sector, necesita de un sistema de comunicaciones fiable y seguro. Se entiende por sistema de comunicación los componentes o subsistemas interrelacionados para la transferencia de información. Toda comunicación se inicia con la elaboración y emisión de un mensaje por un canal a uno o más sujetos (Ver figura 1). FIGURA 1: Modelo de un sistema de comunicación FUENTE TRANSMISIÓN MEDIO RECEPTOR DESTINO FUENTE: Elaboración propia La fuente es quien posee la información que en un momento dado se quiere transmitir. Este sujeto no tiene la capacidad de transmitir el mensaje directamente, necesita de un transmisor. Este transmisor es el que se va a encargar de adaptarlo a la naturaleza del medio. Una vez el mensaje ha atravesado el medio, el mensaje será recibido por un receptor, con funcionalidad inversa a la del transmisor, que presentará la información al sujeto destino. El momento crítico en toda comunicación yace en el sistema de transmisión (Ver figura 2). Es en este instante, en la transmisión de la información, es más vulnerable a ser capturada, modificada y/o eliminada. Por estos motivos, se debe estructurar de manera segura y eficiente como se va a enviar la información y de quien y cuando se va a recibir información. 1

21 FIGURA 2: Modelo de un sistema de transmisión FUENTE TRANSMISIÓN MEDIO RECEPTOR DESTINO FUENTE: Elaboración propia Las principales premisas que deben destacar en toda infraestructura de seguridad han de estar basadas en tres garantías básicas: Confidencialidad: garantía de mantener la debida privacidad de los datos de la entidad y/o de los elementos del sistema. Accesibilidad: los sistemas deben prestar servicio para el cual fueron diseñados. Integridad: garantía de que los datos no han sido manipulados o alterados 2

22 DEFINICIONES 1.1 Internet. El diccionario de la Real Académica de la Lengua en su vigésima segunda edición aporta la siguiente definición: Red informática mundial, descentralizada, formada por la conexión directa entre computadoras u ordenadores mediante un protocolo especial de comunicación. FIGURA 3: Internet, red informática mundial FUENTE: Elaboración propia Son varias las definiciones que se pueden encontrar de Internet, he aquí otra descripción que proporciona una visión más detallada del concepto: (Fuente: Una red mundial formada por millones de ordenadores de todo tipo y plataforma, conectados entre sí por diversos medios y equipos de comunicación, cuya función principal es la de localizar, seleccionar, e intercambiar información desde el lugar en donde se encuentra hasta aquella donde haya sido solicitada o enviada. 3

23 La primera concepción de una red de ordenadores interconectados usando conmutación de paquetes para la transmisión de datos surgió en un programa de investigación de ordenadores promovido por DARPA en Octubre de Este concepto de red de ordenadores fue evolucionando hasta la elaboración de ARPANET en 1966 y publicado en 1967, inicialmente para fines militares. Tras una larga evolución de 30 años de cambios llegó la Word Wide Web, el servicio más distinguido ofrecido en Internet. La WWW permite la consulta remota de archivos de hipertexto. Desde 1967 (ARPANET) hasta la actualidad, Internet se ha ido modificando hasta conseguir ser una red de comunicación global. (Ver figura 4) FIGURA 4: La prehistoria de Internet Evolución de usuarios 90/ ,4 6,9 2,6 4, cierra ARPANET 1982 EUNET 1981 BITNET-NSFNet 1995 Los principales servicios online ofrecen conexión a Internet 1984 Nace DNS 1991 Protocolo WWW 1990 España se conecta 1994 Yahoo 1993 Nace Internic 1968 ARPANET 1962 FUENTE: 4

24 El avance del siglo es una asociación voluntaria entre ordenadores de un extremo al otro del globo. Un diseño basado en la confianza cooperativa entre diferentes entidades (como por ejemplo, DNS y TCP). Internet es un conjunto de asunciones erróneas y peligrosas debido a la existencia de delincuentes informáticos, también conocidos como hackers. Se entiende por hacker a aquel usuario de ordenadores con las facultades cognitivas necesarias para acceder a un sistema informático ajeno y obtener información privilegiada. En el caso que se plantea en este documento Internet es el medio por el cual se va a trasmitir la información de un extremo a otro. (Ver figura 5) FIGURA 5: Internet como medio de transmisión INTERNET TRANSMISIÓN MEDIO RECEPTOR FUENTE: Elaboración propia Se van a considerar tanto al transmisor como al receptor dos routers conectados por Internet y tendrán diferentes maneras de comunicarse que se verán más adelante. (Ver figura 6) FIGURA 6: Comunicación entre routers INTERNET FUENTE: Elaboración propia Un sistema de comunicaciones debe ser seguro y fiable. En la actualidad, Internet, no posee una entidad de gobierno centralizado, una administración unitaria que tenga control absoluto en la red. Internet es una mercancía intangible, no tiene dueño. Es difícil otorgar plenos derechos a una organización sobre un objeto tan ambiguo y uniforme como Internet. 5

25 La información fluye de un extremo a otro por un canal poco seguro basado en protocolos de encaminamiento inestables y variables. Un protocolo de encaminamiento es un conjunto de normas utilizadas por un transmisor cuando se comunica con el receptor con el objetivo de compartir cierta información. Cuando se envía información por la red, no se es consciente de todos los saltos que esta realiza para llegar a destinatario (Ver figura 7). Hay numerosos atributos de selección de enlaces que se verán más adelante. FIGURA 7: Saltos de la información FUENTE: Elaboración propia 1.2 Protocolos de encaminamiento El término protocolo, procede del latín protocollum, cuyo significado refiere a la primera hoja de un manifiesto en la cual se establecen unas instrucciones fijas. Este término aplicado a un sistema de transmisión como Internet, es la aplicación de unos pasos fijos, continuos, estructurados y finitos que permiten llegar a un punto final desde un estado inicial. Un protocolo es un algoritmo estructurado para hacer posible una buena comunicación. Se puede hablar de algoritmo ya que estas instrucciones fijas son las que, de una manera abstracta, hacen posible el encaminamiento. 6

26 Todo host que maneja un datagrama seguiría el siguiente ciclo iterativo (algoritmo): FIGURA 8: Algoritmo FUENTE: Elaboración propia 1.3 Border Gateway Protocol Border Gateway Protocol es un protocolo de enrutamiento que sirve como pasarela externa entre dominios (Interdomain Routing Protocol) que en su día fue diseñado sin seguridad integrada. A lo largo del tiempo se han propuestos protocolos alternativos sin que a día de hoy ninguno haya sido ampliamente implementado. Al ser BGP el protocolo que sirve como guía y traza de las rutas de Internet, una adecuada configuración del mismo es crítica. Los errores en BGP pueden resultar en desastres que puedan aislar o dejar sin servicio de Internet amplias zonas. Las incidencias pueden ser tanto locales como en redes remotas, y se considera absolutamente necesario el profundizar en las consecuencias de las decisiones relativas a la configuración e implementar algunas acciones para incrementar la seguridad y defensa del protocolo BGP. 7

27 1.4 Microsoft Visual Studio 2010 En este proyecto se presentará una aplicación de análisis de routers. Dicha aplicación se ha programado con el editor de Microsoft, Microsoft Visual Studio Esta herramienta es un entorno de desarrollo integrado y sirve para el desarrollo de aplicaciones sharepoint, la Web, Windows y Windows Phone. FIGURA 9: Microsoft Visual Studio 2010 FUENTE: Microsoft 8

28 BORDER GATEWAY PROTOCOL 2.1 Introducción La primera versión [25] de este protocolo apareció en 1989 para sustituir a EGP. Posteriormente en 1990 apareció la segunda versión en la RFC Un año más tarde, en 1991, la tercera versión de BGP, recogida en la RFC 1267 y finalmente llegó BGP-4 que proporciona soporte para CIDR (RFC 1771 y RFC 4271). La función principal de BGP es intercambiar la información rutas de redes con otros sistemas BGP. BGP tiene dos extensiones dependiendo del tipo de enlace que se esté haciendo, interno o externo. La versión externa de este protocolo se denomina ebgp, la cual conecta las fronteras de los sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro de una misma organización controlado por una misma entidad. En cambio, la modalidad interna del protocolo, ibgp, sirve para enlazar routers dentro de un mismo sistema autónomo. El uso de BGP requiere de una sincronización, ya que antes de inyectar BGP en la infraestructura de la red, las diferentes rutas deben ser conocidas por el Internal Gateway Protocol, de ahora en adelante, IGP, como su nombre indica, es un protocolo de pasarela interna. Este hace referencia a los protocolos usados dentro de la organización. Existen diversos tipos de IGPs, los cuales son: Sistema intermediario a sistema intermediario. (IS-IS) Protocolo de información de encaminamiento. (RIP) Protocolos de enrutamiento de pasarela interno. (IGRP) Open shortest path first (OSPF). BGP utiliza TCP versión 4 como protocolo de transporte. TCP agrupa los requisitos de transporte de BGP y funciona en todo los routers y hosts comerciales que utilizan TCP/IP. BGP utiliza el puerto 179 de TCP para establecer sus conexiones. Cuando la conexión empieza, un enlace BGP intercambia copias completas de su tabla de rutas. Una vez la conexión se ha establecido, el enlace BGP solo intercambiará con otros enlaces los cambios que le sean notificados, lo que convierte a este protocolo en más eficiente en términos de eficiencia. 9

29 BGP tiene un número significante de ventajas sobre otros protocolos de encaminamiento externo, como por ejemplo: Puede operar con redes que tienen topologías cerradas. Anuncia todos los sistemas autónomos durante la trayectoria. Debido a la segunda ventaja, un nodo que recibe más de un camino posible, puede elegir sin margen de error, el mejor camino. 2.2 Mensajes y cabecera de BGP Para facilitar el encaminamiento en Internet, fue dividida en sistemas autónomos. Esto acarrea la imposibilidad de encontrar el camino más corto para cada enlace ya que cada SA utiliza su propio protocolo IGP [3] con sus propias políticas de seguridad, por lo que una vez aplicada una serie de restricciones, BGP utiliza un algoritmo para encaminar similar al vector distancia, llamado pathvector. Para facilitar la correcta elección de rutas, es crucial proteger los mensajes de actualización (UPDATES). Existen 4 tipos de mensajes en BGP: OPEN: Es el primer mensaje enviado al iniciar una sesión BGP. KEEPALIVE: Mensaje de confirmación tras un OPEN. NOTIFICATION: Mensaje para finalizar una sesión BGP UPDATE: Mensaje para intercambiar informaciones de encaminamiento. Toda cabecera [4] BGP tiene 4 campos (Figura 10): El campo marker está al principio de todo mensaje BGP y sirve para autentificación y sincronización (inicialmente todo a 1s). El campo longitud es la longitud total del mensaje BGP incluida la cabecera. El campo tipo es un valor numérico que oscila entre 1 y 4 dependiendo del tipo de mensaje (OPEN, UPDATE, NOTIFICATION, KEEPALIVE) El campo mensaje contiene campos específicos para cada tipo de mensaje para OPEN, UPDATE y NOTIFICATION. 10

30 FIGURA 10: Formato Cabecera Mensaje BGP Marker (16 Bytes) Longitud (2 Bytes) Tipo (1 Byte) Mensaje Mensaje FUENTE: Elaboración propia Formato KEEPALIVE Los mensajes KEEPALIVE [2] se intercambian entre un router y su par para que el Hold-Timer no expire. Hay un tiempo máximo razonable entre mensajes KEEPALIVE y este sería un tercio del intervalo del Hold-Timer. Los mensajes KEEPALIVE no se deben enviar con mayor frecuencia que uno por segundo. La decisión del intervalo entre cada KEEPALIVE se debe ajustar como una dependencia total del Hold-Timer. Si por ejemplo, el Hold-Timer es 0, no se deberían enviar KEEPALIVE periódicamente. 11

31 2.2.2 Formato OPEN Cuando se establece una sesión BGP, el primer mensaje que se envía es un OPEN [2] (ver Figura 11). Si el receptor acepta el OPEN, se intercambiarán mensajes del tipo UPDATE, KEEPALIVE, y NOTIFICATION. FIGURA 11: Formato mensaje OPEN Version = 4 Autonomous System Hold-TIme BGP Identifier Parameter Length Operational Parameter Marker Length BGP Type = 1 Open Data FUENTE: Elaboración propia La cabecera de un mensaje OPEN contiene los siguientes campos: Version: Un octeto del tipo entero que especifica la versión del protocolo que se está usando (4 en la actualidad). Autonomous System: Dos octetos del tipo entero que indican el número de sistema autónomo del emisor. Hold-Time: Dos octetos del tipo entero que indican los segundos que propone el emisor para este valor. Es el tiempo de espera establecido entre un router y su par. BGP Identifier: Cuatro octetos del tipo entero que indican el identificador BGP del emisor. Un emisor BGP puede establecer este valor como una dirección IP asignada a ese emisor BGP. Parameter Length: Un octeto del tipo entero que indica la longitud total del Optional Parameters. Optional Parameters: Este campo puede contener una lista de parámetros opcionales, los cuales se cifran de tal manera: <Parameter Type, Parameter Length, Parameter Value> 12

32 2.2.3 Formato UPDATE Los mensajes UPDATE [2] (ver Figura 12) se usan para intercambiar información de rutas entre pares BGP. La información en un paquete UPDATE se puede usar para construir un grafo describiendo las relaciones entre varios sistemas autónomos. FIGURA 12: Formato mensaje UPDATE Unfeasible Routes Length Witdrawn Routes Total Path Attribute Length Patht Attributes Network Layer Reachability Information Marker Length BGP Type = 1 Open Data FUENTE: Elaboración propia La cabecera de un mensaje UPDATE contiene los siguientes campos: Unfeasible Routes Length: Dos octetos del tipo entero indica la longitud del campo withdrawn routes. Un 0 en este campo signifia que se está quitando ninguna ruta. Withdrawn Routes: Este campo es variable y contiene una lista de todos los prefijos cuyas direcciones IP se están quitando por el servidor. <length, prefix> Length: Este campo contiene la longitud en bits de los prefijos. Un 0 indica un prefijo que vale para todas las direcciones IP. Prefix: Este contiene los prefijos de las direcciones. Total Path Attribute Length: Este atributo son dos octetos del tipo entero contiene la longitude total de los octetos del atributo del Path Attributes. Path Attribute: Un campo variable cuya presencia es necesaria en todos los UPDATE. Este campo contiene los siguientes tres elementos: <attribute type, attribute length, attribute value> 13

33 2.2.4 Formato NOTIFICATION Un mensaje de NOTIFICATION [2] (ver Figura 13) se envía cuando se ha detectado un error o una condición anómala. La sesión BGP se cerrará inmediatamente una vez se haya enviado este mensaje. FIGURA 13: Formato mensaje NOTIFICATION Error Code Error Sub-Code Error Data Marker Length BGP Type = 1 Open Data FUENTE: Elaboración propia La cabecera de un mensaje NOTIFICATION contiene los siguientes campos: Error Code: Este octeto del tipo entero indica el tipo de NOTIFICATION. Los error code que existen son los siguientes: 1. Error en la cabecera 2. Error en el OPEN 3. Error en el UPDATE 4. Tiempo de espera terminado 5. Error en la máquina final 6. Terminar Error Sub-Code: Este octeto del tipo entero provee información más específica sobre la naturaleza del error. Cada error tendrá uno o más Error Sub-Code asociados. Data: Este octeto variable se usa para especificar la razón de la NOTIFICATION. La información en este campo depende del Error Code y del Error Sub-Code. 14

34 2.3 Sesión BGP Establecimiento de una sesión La característica primordial de este protocolo es la configuración entre peers (vecinos). Para que una comunicación BGP sea llevada cabo, dos routers deben establecer su vecindad. Para que dos routers sean vecinos necesitan enviarse la siguiente información: Número de versión BGP Número de AS Router ID (RID) de BGP Dos vecinos BGP pueden establecer dos tipos de peering, ibgp y ebgp. Dentro de un mismo SA, dos routers vecinos establecen un peering ibgp. Este tipo de BGP también puede ser usado en los sistemas autónomos de tránsito. Los SA de tránsito reenvían el tráfico desde un SA a otro. Una buena configuración de ibgp evita bucles de routing ya que un router ibgp no retransmite la información en otros vecinos ibgp. Entre diferentes SA, dos vecinos BGP establecerían un peering ebgp, estos vecinos deben tener una subred común. Los routers ebgp no tienen por qué estar conectados físicamente, sino que pueden estar conectados saltando varias redes (ebgp Multihomed). Un enlace BGP pasa por diferentes estados conocidos como, neighbor states. Estos estados se trasmiten a lo largo de una sesión/comunicación BGP, mediante la interactuación de los enlaces que participan en la sesión. Estos se generan automáticamente siguiendo un bucle, (Ver figura 14), los cuales se enumeran a continuación para su posterior análisis: IDLE: El vecino no responde. ACTIVE: Esperando conexión. CONNECT: Sesión TCP establecida. OPEN SENT: Mensaje OPEN enviado. OPEN CONFIRM: Respuesta recibida. ESTABLISHED: Adyacencia establecida. 15

35 FIGURA 14: Neighbor state FUENTE: Dos sistemas que estén conectados (ver figura 15) entre sí, intercambian un mensaje de inicio de sesión y confirma los parámetros de conexión. La primera trama de información que correrá en el establecimiento de sesión será toda la información de rutas de BGP. Si surge algún cambio, se enviaran solo el cambio, es decir, BGP no necesita de actualizaciones periódicas de sus tablas de rutas. Los mensajes KEEPALIVE se envían para saber si la conexión sigue activa. Los mensajes de notificación son respuestas a posibles errores o condiciones especiales. Si durante la conexión se detecta un error, se envía un mensaje de notificación y se cierra la conexión. En el interior de un sistema autónomo, los protocolos de encaminamiento interno se encargan de proveer a los routers internos de las tablas de rutas. En cambio, las tablas de rutas externas, dentro de un sistema autónomo, se propagan teniendo todos los routers del sistema conectados vía BGP. Las políticas de seguridad establecerán que router se usará como entrada/salida del sistema. Antes de activar BGP dentro del sistema, es importante que todos los routers internos tengan la información de tránsito actualizada. Las conexiones entre enlaces BGP pertenecientes a diferentes sistemas autónomos se conocen como enlaces externos. Las conexiones BGP entre enlaces BGP dentro del mismo sistema autónomo se conocen como enlaces internos. Igualmente, un enlace dentro del mismo sistema autónomo se denominará vecino interno, y entre diferentes sistemas autónomos, se denominaran vecino externo. 16

36 FIGURA 15: Inicio de una sesión BGP BGP TCP TCP BGP Listen Idle Connect Open Request Open Request Idle Connect Initializing Syn Syn Sent Initializing Syn Ack Established Ack Established Opened Opened Open Open Sent Established KeepAlive Open Confirm Open Open Sent Established KeepAlive Open Confirm Update Update FUENTE: GILES, ROOSEVET. All-in-one CCIE study guide. 2nd Edition (McGraw-Hill technical expert series)

37 Los pasos enumerados a continuación con los que BGP utiliza para activar una sesión entre dos routers: 1. Dos routers que quieran intercambiar información BGP, establecen una conexión a nivel de transporte TCP. Una conexión de transporte se establece para que BGP pueda crear una comunicación fiable con su par. 2. Una vez se ha establecido la conexión a nivel de transporte, el par de routers intercambian mensajes para abrir y confirmar los parámetros de la sesión BGP. Estos parámetros incluyen el número de la versión BGP que se está utilizando, el número del sistema autónomo, los valores de timeout de los mensajes del protocolo, y la información de autenticación. 3. Una vez la sesión BGP está abierta, inicialmente los routers intercambian las tablas de rutas con su par. La información de cada ruta incluye una lista de los sistemas autónomos que tendrían que atravesar para llegar al destino. 4. Terminado el intercambio de información, las actualizaciones se envían cuando haya algún cambio en las tablas de rutas. Para enviar estos cambios, se necesita un servicio a nivel de transporte. Esta es la razón por la que BGP necesita trabajar sobre TCP. 5. Los mensajes KEEPALIVE para saber el estado de la conexión. 6. Si ocurre algún error, se envía un mensaje de NOTIFICATION, y la conexión se cierra Estados BGP Como ya se ha anunciado previamente, un enlace BGP pasa por diferentes estados durante una sesión BGP, también conocido como neighbor states [2]. Cabe mencionar que todo enlace BGP inicialmente se encuentra en el Idle State. A continuación se explicará con mayor detenimiento los estados por los que pasa un enlace durante la sesión. 18

38 a) Idle State (Estado Paralizado) En este estado, BGP desecha todas las conexiones BGP entrantes. En un principio, todas las comunicaciones empiezan por el Idle State, posteriormente se inicia la conexión en la capa de transporte y si esta se realiza con éxito, cambiaría su estado a Connect. Si un vecino BGP detecta un error, cierra la conexión y cambia su estado a Idle. Para volver a cambiar su estado se debería iniciar otra vez la conexión. Este proceso no se debe automatizar nunca. El valor del temporizador para iniciar una sesión son 60 segundos. Para cada denegación consecutiva se doblará el valor del temporizador. Cualquier evento recibido durante este estado se ignora. b) Connect State (Estado Conectado) En este estado, BGP está esperando a que termine la conexión en la capa de transporte. Si esta conexión termina satisfactoriamente borra el temporizador del ConnectRetry, completa la inicialización, manda un OPEN a su par, y cambia su estado a OpenSent. Si la conexión en la capa de transporte falla, el emisor reinicia el ConnectRetry, sigue a la espera de una conexión y cambia su estado a Active State. Mientras el enlace este en Active State, cualquier evento de inicio será ignorado. c) Active State (Estado Activo) En esta estado, BGP está intentando que el enlace inicie una conexión en la capa de transporte. Si esto ocurre, borraría el temporizador del ConnectRetry, enviaría un OPEN a su par, establecería su Hold-Timer (tiempo de espera) a un valor muy grande y cambiaría su estado a OpenSent. Si expira el tiempo del ConnectRetry, se reiniciaría, e iniciaría una sesión en la capa de transporte con otro vecino, continuaría a la espera de una conexión y en tal caso cambiaría su estado a Connect. Si el sistema local detecta que un vecino remoto está intentando establecer una conexión BGP, y la dirección IP del mismo no se conoce, reiniciaría el ConnectRetry, rechazaría el intento de conexión, seguiría a la espera de una conexión que podría iniciarse por un enlace BGP remoto, y seguiría en Active State. 19

39 d) OpenSent State (Estado Open Enviado) Durante este estado, BGP está a la espera de un mensaje del tipo OPEN de su par. Cuando se recibe, se analizan los campos y si detecta algún error, el sistema local enviaría una NOTIFICATION al enlace y cambiaría a Idle State. Si no se detecta ningún error en el mensaje, BGP enviaría un KEEPALIVE e inicia un temporizador Keepalive. El tiempo de espera, que inicialmente se estableció con un valor muy grande, se reemplazaría con un tiempo de espera acordado. Si se recibe un mensaje de desconexión en la capa de transporte, el sistema local cerraría la conexión BGP, reiniciaría el temporizador del ConnectRetry, se pondría a la espera de otra conexión, y cambiaria su estado a Active State. Si el tiempo de espera acordado se termina, el sistema local enviaría una NOTIFICATION con el código de error 4 (Hold Timer Expired) y se cambiaría a Idle State. Ante cualquier otro evento, el sistema local enviaría una NOTIFICATION con el código de error 5 (Finite State Machine Error) y se cambiaría a Idle State. Cuando un sistema BGP cambiar su estado de OpenSent State a Idle State, cierra la conexión BGP (y en la capa de transporte) y desecha todas la información asociada a esa conexión. e) OpenConfirm State (Estado Confirmación de un Open) Durante este estado, BGP está a la espera de un mensaje KEEPALIVE o de NOTIFICATION. Si el sistema local recibe un KEEPALIVE, cambiaría su estado a Established. Si el tiempo de espera expira antes de que se reciba algún KEEPALIVE, el sistema local enviaría una NOTIFICATION con el código de error 4 (Hold Timer Expired) y se cambiaría a Idle State. Si el sistema local recibe una NOTIFICATION, cambiaría su estado Idle State. Si el tiempo del KeepAlive expira, el sistema local enviaría un KEEPALIVE y reiniciaría el temporizador del KeepAlive. Si se recibe una notificación de desconexión en la capa de transporte, el sistema local cambiaría su estado a Idle State. Cualquier inicio de sesión sería desechado durante este estado. En respuesta a cualquier otro evento, el sistema local enviaría una NOTIFICATION, con el código de error 5 (Finite State Machine Error) y se cambiaría a Idle State. 20

40 Si BGP cambia su estado de OpenConfirm State a Idle State, BGP cerraría la conexión BGP, incluida en la capa de transporte y desecharía toda la información de la conexión f) Established State (Estado Establecido) En el Established State, BGP puede intercambiar mensajes del tipo UPDATE, NOTIFICATION y KEEPALIVE con su par. Si el sistema local recibe un UPDATE o un KEEPALIVE, este reiniciaría el Hold-Timer si el Hold-Timer acordado fuese mayor que 0. Si el sistema local recibe un NOTIFICATION, este cambiaría su estado a Idle State. Si el sistema local recibe un UPDATE, y en este se detecta un error, el sistema local enviaría un mensaje de NOTIFICATION con el código de error 4 (Hold Timer Expired) y cambiaría su estado a Idle State. Si el tiempo del KeepAlive se agota, el sistema local enviaría un KEEPALIVE y reiniciaría dicho temporizador. Siempre que el sistema local enviar un KEEPALIVE o un UPDATE, este reinicia el tiempo del KeepAlive, siempre y cuando el valor del Hold-Timer acordado sea distinto de 0. Los eventos de inicio de sesión durante este estado se ignoran. En respuesta a cualquier otro evento, el sistema local enviaría una NOTIFICATION con el código de error 5 (Finite State Machine Error) y cambiaría su estado Idle State. Siempre que BGP cambia su estado de Established State a Idle State, se cierra la conexión BGP, capa de transporte incluida, y desecha toda la información relacionada con esa conexión y elimina todas las rutas recibidas durante la misma. 21

41 2.4 Reglas de filtrado Los errores en BGP más comunes son fallos de configuración. Un buen administrador de red puede establecer filtros de red en sus tablas de rutas BGP. Existen diferentes tipos de filtros BGP, se realizará un estudio detallado de cada filtro BGP. A nivel conceptual se presenta lo siguiente: Communities de BGP: un atributo global voluntario y transitivo entre 1y (tipos: internet, no-export, no-advertise, local-as) BGP prefix lists: filtran envíos y entradas de rutas que se envían o se reciben de otros vecinos. BGP distribute lists: filtran las listas de rutas que se reciben o se emiten. Filtros de BGP as path: filtrado por sistema autónomo, tiene operadores de comparación para establecer los filtros. (.; ^; $; _, *). Un ejemplo de filtrado BGP as path sería el siguiente: Se quiere filtrar todo el tráfico que venga de cualquier sistema autónomo que comience por 458: ^458_ En la actualidad solo existen 2 maneras de configurar un tráfico BGP seguro y fiable. Por un lado, un administrador de red, configurando adecuadamente los filtros tanto de entrada como de salida, descartaría los prefijos reservados recibidos. Asimismo, tratándose de una organización final, evitaría ser transitada, modelando el correcto control de acceso para obviar información no autorizada (spoofing). Por otro lado, promovería el uso de contraseñas al establecimiento de una sesión pero este genera demasiados problemas y lo convierte poco práctico. Ésta opción abre un nuevo abanico de problemas, como son: Distribución de contraseñas: si las claves son interceptadas, no sirven. Tiempo establecido para cambiar contraseñas: los administradores de red de los enlaces periféricos deben saber cada cuanto tiempo cambiar las claves y hacerlo en el instante exacto. 22

42 Como se aprecia, el establecimiento de claves, genera inconvenientes operacionales. Aun así, una clave utilizada únicamente al inicio de una transmisión BGP no impide que esta pueda ser interceptada y que uno de los dos extremos sea suplantado Configuración de MD5 Message-Digest Algorithm 5 (Algoritmo de Resumen del Mensaje 5) es un algoritmo de encriptación de 128 bits. Se entiende por encriptación: (Fuente: La encriptación es el proceso para volver ilegible información considerada importante. La información una vez encriptada sólo puede leerse aplicándole una clave. Configurar MD5 en BGP es bastante sencillo. Un administrador de red que establezca un algoritmo de encriptación como MD5 entre dos routers se asegurará que cada segmento enviado en una sesión TCP estará verificado previamente. El inconveniente de usar MD5 es que ambos routers tendrán que tener la misma contraseña, sino, la conexión nunca se llevará a cabo. Véase el siguiente ejemplo: Ejemplo de configuración de MD5 En este ejemplo se va a configurar MD5 entre dos routers del mismo sistema autónomo. Datos de interés: Véase Figura 16 Contraseña MD5: EjemploMD5 23

43 AS 150 FIGURA 16: Filtrado por MD5 R1 R2 Loopback1: / 32 Loopback2: / / /24 FUENTE: Elaboración propia Las 3 líneas a tener en cuenta en las configuraciones de los dos routers están marcadas a continuación (Véase figura 17). En estas 3 líneas se está haciendo lo siguiente: neighbor x.x.x.x password contraseña: configuración IBGP usando la dirección de Loopback. neighbor x.x.x.x update-source Loopback: Invocar a MD5 en una session TCP con un vecino BGP. ip route x.x.x.x y.y.y.y: Establecer ruta estática para saber que se puede llegar a ella. FIGURA 17: Configuración MD5 FUENTE: Elaboración propia 24

44 2.4.2 Filtrar usando Router-Map Las instrucciones del Route-Map son un conjunto de listas de comandos y set asociados para filtrar el tráfico BGP entrante/saliente. Los comandos más importantes a la hora de configurar este tipo de filtro son los siguientes: Match: especifica el criterio de verificación. Set: especifica las acciones. Siguiendo con el ejemplo anterior, la configuración Route-Map de R2 sería la siguiente: FIGURA 18 Configuración Router-Map FUENTE: Elaboración propia 25

45 2.4.3 Filtrar usando Filter-List Filter-List provee diferentes tipos de filtro. En el ejemplo que se ha ido elaborando a lo largo de este apartado, supóngase, que se quieren filtrar todas las rutas que venga del exterior. Es decir, en el router 2 se quieren filtrar todas las rutas que no sean locales, la sintaxis sería la siguiente: ip as-path access-list 10 permit ^$ Imagine que el router 2 está conectado a un proveedor de servicio. Este pertenece al sistema autónomo 200. En el router 1, se quiere desechar todas las rutas que no provengan de este SA. La sintaxis en este caso es la siguiente: ip as-path access-list 10 permit ^200$ 2.5 BGP-4 La versión actual de BGP, BGP-4, está definida en la RFC BGP-4 es un protocolo de encaminamiento entre sistemas autónomos. Un sistema autónomo es un conjunto de redes dentro de una misma organización, como por ejemplo, una red universitaria. Este conjunto de redes tienen definida una única política de encaminamiento. Los sistemas autónomos tienen un identificador de 16 bits (de 0 a 65536) pero al igual que en direcciones IP, este rango es teórico ya que del al se encuentran reservados para uso privado (Ver figura 16). BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantación de prefijos, sistemas autónomos o routers, pueden realizarse con mucha facilidad. También es crucial la buena configuración de BGP, ya que un error en su configuración puede emblandecer la seguridad de la organización. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un fallo de configuración se mantengan local y no se propaguen por todo Internet. 26

46 FIGURA 19: Conexión entre sistemas autónomos AS: AS: R 1 R 6 R 4 R 5 Enlaces interno R 2 AS: R 3 Enlaces externos Router BGP FUENTE: Elaboración propia BGP-4 tiene conocidas vulnerabilidades muy difíciles de solventar, si bien estas deficiencias deben ser estudiadas en detalle. Dos puntos clave deben ser tomados en referencia a los riesgos del protocolo: Cualquiera que se conecte a internet, sin las medidas de protección apropiadas está expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que pueden derivar en una denegación de servicio (DoS), secuestro de sesión, o intercepción de las transacciones realizadas. Un riesgo añadido, es que hoy en día no todos los técnicos desempeñando misiones en infraestructura de red disponen de una capacidad técnica y de conocimientos para cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración realizados por los técnicos y administradores de la red. 27

47 2.6 Seguridad en BGP Cada vez hay un mayor número de gestiones y dependencias a nivel de usuario realizadas en Internet. Un fallo en BGP sería fatal para la comunicación en la World Wide Web (www). El desarrollo de un sistema en seguridad BGP que cubra las principales vulnerabilidades conocidas, y que equilibre el grado de seguridad y factores de complejidad, rendimiento y costes, debería ser un objetivo primordial para todas las organizaciones. Estas no ven una mejora inmediata que pueda repercutir en sus clientes y probablemente hasta que no se reciban varios ataques al protocolo BGP no se considerará la necesidad de asegurar sus sistemas. Existen propuestas formales para hacer BGP seguro tales como: TCP/MD5 [RFC 2385]: Es una extensión a TCP que incluye firma MD5. sobgp (Secure Origin BGP): Verifica el origen de cada mensaje, utiliza certificados y un nuevo tipo de mensaje. S-BGP I (Secure BGP): Propuesta para incluir autentificación, integridad y autorizaciones en los mensajes BGP. Entre las alternativas más satisfactorias presentadas para dotar de seguridad a BGP, cabe destacar Secure BGP (S-BGP) desarrollado por BBN Technologies y promovido por la National Security Agency (NSA) y por la Defense Advanced Research Projects Agency (DARPA). El objetivo de S- BGP es el de garantizar la autenticidad, integridad y autorizaciones a los mensajes BGP. Secure BGP se basa en 3 elementos: Certificados digitales: 2 Public Key Infrastructure (PKIs) para autentificar los prefijos IP y sistemas autónomos. Attestations: de direcciones y de rutas IPSec: aportar autenticidad e integridad entre pares de routers. La implantación de S-BGP requiere de grandes inversiones para la actualización software como de hardware. Los routers no solo harían función re-lee, sino que también deberían tener mayor memoria para almacenar certificados digitales y mayor capacidad de proceso para realizar funciones criptográficas. 28

48 Considerable obstáculo para la implantación de S-BGP, es la colaboración de las entidades de registro para hacerse cargo de las necesidades básicas de usar PKIs, tales como: Emisión de los certificados Renovación de los certificados Mantenimiento y publicación de listas de revocación En seguridad BGP se han estudiado diferentes propuestas, la excesiva complejidad de estas soluciones las convierte en poco prácticas. Invertir en seguridad es determinante para satisfacer un grado de seguridad necesario. Aún no cubriendo todas las vulnerabilidades conocidas, una propuesta que cubra las principales con un menor coste sería puesta en marcha de inmediato. 2.7 Resumen El administrador de una organización puede solucionar parcialmente los ataques intencionados hacia su sistema autónomo. Estas opciones de seguridad eliminan en parte las posibles agresiones pero se necesitan soluciones globales de seguridad en BGP. Los fallos de configuración son más comunes que los ataques al protocolo BGP. Estos errores deben ser estudiados en las políticas de seguridad. Una correcta documentación de la infraestructura de red ayudará a corregir y localizar posibles fallos de configuración. En el siguiente apartado se va a realizar una configuración completa de un caso real BGP recogiendo toda la información necesaria para limitar el rango de error y facilitar el correcto mantenimiento de la red. 29

49 CONFIGURACIÓN SIMPLE DE BGP 3.1 Introducción El número de fallos de configuración [1] potenciales que un administrador de red puede introducir a una interconexión de redes es ilimitado. A la hora de configurar un router, los Internetwork Operating System, de ahora en adelante IOS, de Cisco, envían numerosos avisos durante el proceso para evitar que estos fallos echen abajo toda una infraestructura de red. Cuando se vaya a realizar una configuración de una red, toda la documentación debe estar recogida en un mismo documento. Esto facilitara el mantenimiento y su correcta configuración. El documento se podría dividir en los siguientes puntos: Administrativos: nombre de los routers, contraseñas, servicios y nombres de usuarios. Interfaces: ancho de banda, métrica, autenticación y encapsulación. Protocolos de encaminamiento: IGRP, EIGRP, OSPF, RIP y BGP. Gestión del tráfico: listas de control de accesos. (ACLs) Políticas de encaminamiento: mapa de las rutas. Las tres secciones que pueden ayudar a entender o localizar un fallo de configuración serán el/(los) protocolo(s) que se esté usando, la gestión del tráfico, o la lista de control de accesos. Siempre que se vaya a hacer un cambio en la configuración de la red, este deberá estar recogido en el documento que contenga toda la instalación y/o configuración previa. Una vez se tiene documentada toda la información que se ha calificado como necesaria para una correcta política de seguridad, es necesario saber como la red/organización se va a comunicar con el exterior. Internamente se puede estar usando cualquier IGP (como OSPF) e incluso interconectar varios IGPs (como IGRP o RIP), el problema de estos protocolos es que sus orígenes no fueron diseñados para soportar un número elevado de rutas. Es necesario usar otro protocolo para transportar todas las rutas que son el resultado de interconectar todos los dominios que forman Internet. Estos protocolos son conocidos Exterior Gateway Protocols (EGP). El protocolo más popular de esta rama de los protocolos de encaminamiento es BGP. 30

50 El encaminamiento en BGP no es un protocolo basado en buscar el camino más corto entre una fuente y un destino. Cuando un router BGP tiene más de un camino por el que puede enviar un paquete, el proceso de encaminamiento se convierte, en cierta manera, muy complejo. La elección de la ruta requiere de un análisis y comparación de hasta 12 parámetros. En cualquier otro protocolo interno de encaminamiento (IGP), el proceso de encaminar queda reducido a un simple numero, este número puede ser una función de otras muchas variables dependiendo del protocolo que se esté usando. En BGP esto cambia, el llegar a un destino establecido, puede estar determinado por muchos atributos, tales como: AS_path Preferencias locales Origen Peso Comunidad Para entender las diferentes problemáticas que pueden surgir a la hora de configurar un router en BGP, supóngase que se plantea el siguiente caso (Ver figura X). En este escenario se tiene un cliente, denominado C1, y dos proveedores de enlaces P1 y P2. Para configurar la presente situación se van a usar una serie de comandos preestablecidos e identificados en el protocolo BGP. Este proceso de configuración se activa y se procesa e un router Cisco mediante el siguiente comando: Router bgp as_number Donde el as_number es el número del sistema autónomo al que el router que se quiere configurar pertenece. Los sistemas autónomos BGP son los bloques que constituyen toda la infraestructura de internet, son colecciones de routers y redes con políticas de encaminamiento que son guiadas por consideraciones económicas, políticas y de seguridad. La activación de un proceso BGP en un router requiere de un número de sistema autónomo (ASN), este número que se usara para activar el proceso BGP identifica unívocamente el sistema autónomo al que el router pertenece. 31

51 3.2 Estado de la cuestión Supóngase que el cliente C1 se dedica a la compra/venta de productos por Internet. C1 tiene multitud de clientes y para poder darles servicio debe ser capaz de admitir cientos de accesos diarios a su página web. Debido a esto, decide ser multihomed, lo que significa que C1 usará más de un proveedor de servicio para poder ofrecer tales servicios. Teniendo varios niveles de multihoming, C1 se asegura que si uno de sus proveedores deja de prestar servicio, el acceso a su página web está garantizado. En la figura se puede ver que a C1 se puede llegar desde el proveedor P1 y desde el proveedor P2, además P1 y P2 están conectados entre sí por lo que a C1 se puede acceder vía P1-P2 o desde P2-P1. Para realizar una correcta configuración del caso que se ha planteado en este proyecto, se va a recaudar toda la información necesaria ya explicada en el punto anterior. Considérese el administrador de red del Cliente. Según los puntos que se han comentado en el apartado anterior, se debería implementar un modelo de configuración optimizado y lo más preciso posible Aspecto administrativos El cliente necesita dar servicio a centenares de visitas diarias, por lo que ha decidido ser multihomed. Los routers que ha decidido implantar en su infraestructura de red son dos routers Cisco 3640 (las características de dichos routers se pueden ver más abajo). Ambos routers están conectados mediante un switch por Fast Ethernet. Solo uno de ellos (RC1) servirá de enlace con el exterior. Se va a establecer MD5 entre los dos routers para asegurar la seguridad de la conexión, la contraseña que se va a usar es PassPFC. A continuación se han dividido los aspectos administrativos en dos bloques: a) Características routers 3640 b) Resumen 32

52 a. Características routers 3640 FIGURA 20: Características de un router Cisco 3640 FUENTE: Elaboración propia, con datos de b. Resumen Routers: Dos routers Cisco 3640 RC1 RauxC1 Conexión entre routers: Fast Ethernet Contraseña MD5: PassPFC 33

53 3.2.2 Interfaces El router RC1 tendrá tres interfaces externos, 2 al proveedor 2 y uno al proveedor 1. En cambio, solo tendrá un enlace interno para comunicarse con RauxC1, este enlace será mediante un switch. a. Interfaces RC1 S0/0: /30 PROVEEDOR 2 (R1P2) S0/1: /30 PROVEEDOR 1 (R1P1) S0/2: /30 PROVEEDOR 2 (R2P2) Fe0/0: /24 ENLACE A SWITCH Loopback0: /24 LAN DEL CLIENTE b. Interfaces RauxC1 Fe0/0: /24 ENLACE A SWITCH Loopback0: /24 LAN DEL CLIENTE 3.2.3Protocolos de encaminamiento El router RC1 se va a comunicar con los dos proveedores vía BGP. Se configurará su router para que establezca una sesión ebgp con P1 y P2. Por último, el router RC1 usará Routing Information Protocol para conectarse con el switch, y RauxC1, idem Gestión del tráfico El enlace principal que va a dar servicio a RC1 será el router denominado R1P2 (s0/0), por esta razón se le dará más peso a esta salida del router. A los otros dos enlaces externos se les atribuirá el mismo peso, el router elegirá por orden en la ejecución. Ejemplo ip as-path access-list 10 permit ^200$ 34

54 3.2.5 Políticas de encaminamiento El gráfico que se muestra a continuación sería el equivalente al caso que se ha planteado en apartados anteriores. FIGURA 21: Caso real de configuración BGP S3 FUENTE: Elaboración propia 35

55 3.4 Graphical Network Simulator Situación inicial A continuación, se va configurar el caso planteado (ver figura 22) previamente con el simulador Graphical Network Simulator (GSN-3). El simulador GSN-3 permite crear y diseñar complejas topologías de red para su posterior estudio y configuración. Se trata de un simulador tan preciso y completo que es usado por ingenieros y administradores de red para realizar pruebas unitarias en sus redes. En el anexo B de este documento se encuentran las plantillas de configuración de routers Cisco sobre las cuales se han fundamentado las siguientes actuaciones desarrolladas en este epígrafe. En el caso que se ha planteado en este apartado, y al no disponer de los medios suficientes para realizar una configuración al nivel de este proyecto, se van a estudiar los pasos enumerados en el apartado anterior. El estado inicial de la tipología de red estudiada sería el siguiente: FIGURA 22: Simulación caso real GSN3 FUENTE: Elaboración propia usando GSN3 36

56 Esta tipología consta de 6 routers Cisco Los sistemas autónomos y son proveedores de servicios de internet (ISP) y se simulará como el cliente 1 configura el router de tal manera para obtener el servicio de los dos proveedores, el router RauxC1 del cliente ha sido añadido a la topología para poder dar un ejemplo de ibgp. El router del cliente será multihomed, es decir, se podrá acceder al router RC1 (ver figura 23) por tres diferentes enlaces, dos de ellos por el AS y el restante por el AS Teniendo tres posibles enlaces, se podrá configurar BGP para decidir en todo momento que AS se quiere atravesar. Esto se debe a BGP AS path attribute. En una configuración predeterminada de BGP el router del cliente elegirá el enlace por el número de saltos. FIGURA 23: Estado RC1 FUENTE: Elaboración propia usando GSN3 37

57 En resumen, inicialmente los routers, tanto de los dos ISP como del cliente estarían conectados de la siguiente manera: FIGURA 24: Estado enlaces FUENTE: Elaboración propia usando GSN3 38

58 La configuración de los routers se va a dividir en 5 pasos que serán analizados para comprender las posibles problemáticas que pueden surgir cuando a un administrador se le plantee una situación parecida. Se recuerda que no hay una metodología propia a la hora de configurar BGP, por lo que la subdivisión de esta actividad se ha realizado para una mayor facilidad de comprensión y posible solución ante los fallos de configuración que se verán más adelante. Los 5 pasos principales que se han detectado en esta situación serian los siguientes: 1. Configuración previa a la activación del protocolo BGP de cada uno de los enlaces de los routers. 2. Comprobación de las tablas de rutas de cada uno de los routers. 3. Configuración del protocolo BGP Activación del protocolo Definir vecindad entre los routers (ebgp) Definir que rutas serán inyectadas en BGP. 4. Establecer vecindad de los routers pertenecientes al mismo SA (ibgp) 39

59 3.5 Metodología de configuración del protocolo 3.5.1Configuración previa de los routers Los proveedores de servicio son proveedores de tránsito, por lo que tendrán millones de clientes como RC1 y ellos forman la estructura de Internet. La única politica que tienen estos proveedores de servicio es la de dejar pasar todo el tráfico que necesita pasar por sus sistemas. La configuración que se presta a continuación, es previa a la activación del protocolo BGP e incluso a la declaración de vecindad entre los enlaces. Las siguientes configuraciones establecen que direcciones IPs van a ser utilizadas por los routers. El primer router que se va a configurar, es el router del cliente (RC1). La siguiente figura muestra que direcciones IP han sido asignadas para cada tipo de enlace: FIGURA 25: Enlaces RC1 FUENTE: Elaboración propia usando GSN3 40

60 Con la asignación de direcciones de la figura anterior, la configuración es la siguiente: FIGURA 26: Fichero de configuración de RC1 FUENTE: Elaboración propia El siguiente router que se va a configurar, es el router del proveedor 1. Este va a tener dos conexiones ebgp (ver Figura 27), una para prestar servicio al cliente y la otra conexión sera un enlace contratado entre los dos ISPs. FIGURA 27: Enlaces R1P1 FUENTE: Elaboración propia usando GSN3 41

61 Con la asignación de direcciones de la figura anterior, la configuración es la siguiente: FIGURA 28: Fichero de configuración de R1P1 FUENTE: Elaboración propia El siguiente router que se va a configurar, es el router 1 del proveedor 2. Este va a tener dos conexiones ebgp (ver Figura 29), una para prestar servicio al cliente y la otra conexión será un enlace contratado entre los dos ISPs. FIGURA 29: Enlaces R1P2 FUENTE: Elaboración propia usando GSN3 42

62 FIGURA 30: Enlaces R2P2 FUENTE: Elaboración propia usando GSN3 Con la asignación de direcciones de la figura anterior, las configuraciones de los dos routers del proveedor 2 serían las siguientes: FIGURA 31: Fichero de configuración de P2 FUENTE: Elaboración propia 43

63 3.5.2 Comprobación de las tablas de rutas En el siguiente apartado se va a comprobar que la configuración del router cliente ha sido realizada correctamente [5]. Para saber si el router ha reconocido los enlaces que se le han configurado en el fichero, se va a abrir el simulador de redes (GSN3) y a continuación se abre la consola. En dicha consola, se escribe el siguiente comando (Ver figura 32): RC1# sh ip route FIGURA 32: Comando sh ip route FUENTE: Elaboración propia usando la consola de GSN3 El resultado a la ejecución de este comando sería el siguiente: FIGURA 33: Comprobación de tabla de rutas FUENTE: Elaboración propia usando la consola de GSN3 44

64 El resultado puede parecer erróneo [8], fijándose en cada enlace, se aprecia que de cada enlace que se ha configurado en el router nacen dos subredes. En principio, esto puede parecer un fallo de configuración, pues la razón de esto sería la siguiente: La explicación de este resultado es por como Cisco IOS clasifica las rutas de las tablas de rutas. Básicamente hay dos tipos de rutas: Rutas nivel 1 Rutas nivel 2 A su vez las rutas de nivel 1 se subdividen en: Rutas finales de nivel 1 Rutas padre de nivel 1 Para poder seguir explicando este concepto de Cisco, se debe explicar previamente el concepto de clases (Ver figura 34): Valor mínimo que puede tener una dirección IP: Valor mínimo que puede tener una dirección IP: FIGURA 34: Clases de direcciones IP FUENTE: 45

65 Se entiende por rutas de nivel 1 a aquellas rutas que tienen una salida en su interfaz o siguiente salto y una máscara de subred por debajo o igual que la clase por defecto: Por ejemplo: / / /16 Supóngase el siguiente caso: RC1(config)#interface loo RC1(config)#interface loopback 1 RC1(config-if)#ip address RC1(config-if)#exit RC1(config)#do show ip route output ommited Gateway of last resort is not set C /24 is directly connected, Loopback1 La ruta se ha sido añadida y ninguna ruta adicional se ha creado por defecto. Esto confirma lo que se explicaba previamente acerca de las rutas finales de nivel 1. Las rutas de nivel 2 son aquellas rutas que tienen una máscara mayor que la que le correspondería por su clase. Véase el siguiente ejemplo: R1(config-if)#exit R1(config)#int lo3 R1(config-if)#ip address R1(config-if)#do show ip route output ommited Gateway of last resort is not set C /25 is subnetted, 1 subnets is directly connected, Loopback3 46

66 Esta red es de tipo nivel 2 ya que la máscara de la subred es mayor que la de su propia clase por defecto, fíjese que una segunda ruta fue creada al añadir una ruta de nivel dos. C /25 is subnetted, 1 subnets is directly connected, Loopback3 Este tipo de red es una red de tipo 1 padre. Una ruta padre de nivel 1 no tiene siguiente salto o salida de la interfaz. Estas se crean automáticamente cuando se añade una ruta de nivel Configuración del protocolo BGP A continuación, se va configurar el protocolo BGP. Llegados a este punto, hay que realizar tres pasos clave simultáneamente. Estos tres pasos son los siguientes: Activación del protocolo Definir vecindad entre los routers (ebgp) Definir que rutas serán inyectadas en BGP. El objetivo de esta configuración es la de permitir que el router del cliente pueda establecer vecindad con los routers de los proveedores. a. Activación del protocolo La activación del protocolo se va a llevar a cabo con un comando en el propio fichero de configuración. El comando que activaría el protocolo es el siguiente: router bgp [Número de sistema autónomo] Donde el número del sistema autónomo es el propio número del cliente, es decir, aquel sistema autónomo al que pertenece el RC1. router bgp

67 El router del cliente propaga la dirección de loopback , por lo que: network b. Definir vecindad entre los routers (ebgp) Como ya se vio anteriormente (Ver figura 35), el router RC1 tendrá 4 enlaces. Tres de los cuales son enlaces externos, y el restante interno. Para definir un vecino externo en BGP se usa el siguiente comando: neighbor [Dirección IP] remote-as [Número de sistema autónomo] Donde el número del sistema autónomo es el número del sistema autónomo del proveedor, y la dirección IP es la dirección del router destino (proveedor) FIGURA 35: Vecindad entre routers FUENTE: Elaboración propia usando GSN3 c. Configuración final A continuación se añade a lo ya configurado hasta ahora la configuración del protocolo BGP. Este último fragmento de código sería el siguiente: FIGURA 36: Configuración vecinos BGP en el fichero FUENTE: Elaboración propia 48

68 Configuración total del router en este momento FIGURA 37: Configuración RC1 FUENTE: Elaboración propia 49

69 d. Comprobación vecinos BGP En este último paso, se va a ver el estado de la conexión BGP [7]. Llegados a este punto, los routers deben tener conexión entre ellos. Para ver el estado de la configuración se introducirá el siguiente comando: RC1# sh ip bgp neighbors FIGURA 38: comando sh ip bgp neighbors FUENTE: Elaboración propia usando la consola de GSN3 El resultado a la ejecución de este comando sería el siguiente: FIGURA 39: Comprobación de tabla de rutas FUENTE: Elaboración propia usando la consola de GSN3 50

70 Esta conexión BGP corresponde a la que viene a continuación (RC1-R1P2): FIGURA 40: Neighbor R1P2 FUENTE: Elaboración propia usando la consola de GSN3 Todo administrador que haya llegado a este punto configurando un router cisco, debería fijarse en tres cosas para saber si está realizando la configuración correctamente. Estos tres puntos se muestran infra: FIGURA 41: Comprobación vecindad R1P2 FUENTE: Elaboración propia usando la consola de GSN3 Lo más importante llegados a este punto es tener: BGP state = Established BGP neighbor is (la dirección IP del router vecino) Router ID

71 La siguiente conexión corresponde al cliente - proveedor 1 (RC1-R1P1) al cliente-proveedor2 (RC1-R2P2): FIGURA 42: Neighbor R1P1 y R2P2 RC1-R1P1 RC1-R2P2 FUENTE: Elaboración propia usando la consola de GSN3 A continuación se verifica que el protocolo BGP esté correctamente configurado con los enlaces del proveedor 1 y del proveedor 2. FIGURA 43: Comprobación vecindad R1P1 y R2P2 RC1-R1P1 RC1-R2P2 FUENTE: Elaboración propia usando la consola de GSN3 52

72 3.5.4 Configuración Interior-BGP En este apartado de configuración se va a configurar el router del cliente para que se comunique con el router auxiliar que se definició en su infraestructura de red. Interior-BGP se define de la siguiente manera: neighbor [Dirección IP] remote-as [Número de sistema autónomo] Donde el número del sistema autónomo es el número del sistema autónomo al que pertenece el cliente FIGURA 44: Configuración Interior-BGP LoopBack /24 LoopBack /24 Fa0/ /24 Fa0/ /24 FUENTE: Elaboración propia usando GSN3 FIGURA 45: Comandos configuración Interior-BGP FUENTE: Elaboración propia 53

73 ATAQUES EN BGP 4.1 Introducción En este apartado, se va a realizar un análisis de los posibles ataques centrados en BGP. Se van a estudiar posibles ataques, presentando su lógica y el impacto que tendrían en un sistema distribuido con routers BGP. Será importante saber el comportamiento de quienes realizan estos ataques locales y la identificación y evaluación de posibles nuevos escenarios BGP. BGP-4 no garantiza la autenticidad de los routers. Los ataques de suplantación de prefijos, sistemas autónomos o routers, pueden realizarse con mucha facilidad. También es crucial la buena configuración de BGP, ya que un error en su configuración puede emblandecer la seguridad de la organización. El objetivo de la seguridad en BGP es que, tanto un ataque intencionado, como un fallo de configuración se mantenga local y no se propaguen por todo Internet. BGP funciona sobre TCP por lo que es sensible a sus ataques (SYN Flooding, TCP RST/FIN/FIN- ACK, TCP SYN ACK, TCP ACK, RST falsos). Se pueden quedar redes inaccesibles o redirigidas a un suplantador. Al no haber control temporal en los mensajes BGP, estos pueden ser capturados, eliminados, modificados o reenviados. Un router puede suplantar a otro e inyectar información inválida a sus vecinos. La información en los mensajes BGP no se encripta ya que los routers no tienen capacidad de proceso suficiente para realizar funciones básicas de encriptación, es decir, la información de encaminamiento es difundida en texto claro. Los ataques conocidos de BGP se pueden enumerar en una amplia clasificación. Esta clasificación es la siguiente: Establecer una sesión BGP no autorizada con un extremo. Originar un cambio no autorizado en las tablas de rutas de un extremo. Cambiar el enlace predeterminado de un prefijo. Llevar a cabo un ataque conocido como negación/degradación de servicio (DoS) en un proceso BGP. Inyectar segmentos TCP con el bit de RST activado. 54

74 4.2 Vulnerabilidades y errores de concepto El diseño de BGP asume que redes operando autónomamente son fiables y aquí lamentablemente no es así, ya que siempre habrá quien se encargue de hacer ver la realidad. BGP se utiliza para el intercambio de información de enrutamiento de cómo alcanzar un destino a través de de un protocolo vectorial de ruta. Cada Router anuncia el mejor camino a un destino a sus routers vecinos y en turnos cada router determina el mejor camino basado en las rutas recibidas (ver figura 34). Igualmente, anuncia solo los prefijos que origina y solo la mejor ruta a sus vecinos. En la práctica se puede decir que los sistemas autónomos tasados de maliciosos pueden secuestrar prefijos de otros sistemas autónomos., Agregar falsos prefijos, Spoofing (es decir utilizar la IP o el nombre falso de un router autentico), Alterar o incluso falsificar rutas, agregar o desagregar prefijos no autorizados, etc. FIGURA 46: Mejor camino basado en rutas recibidas FUENTE: Elaboración propia 55

75 En cuanto a la infraestructura lógica se refiere, si los routers no puede dirigir y realizar apropiadamente un enrutamiento del trafico, Internet presentará una falta de conectividad que puede afectar tanto localmente a nuestra infraestructura como globalmente en nuestra capacidad de comunicarnos con otros nodos, aparte de otras consideraciones esto puede se provocado, por ejemplo, errores de configuración o de implementación de seguridad. Ejemplo: secuestro de sesión, ataques, etc.. Uno de los puntos vitales es la implementación de la Defensa contra ataque de hombre en medio (Man-in-The-Middle Attacks ) La forma como está organizada la conectividad externa se basa en que cada organización confía su conectividad a Internet al protocolo BGP4, no hay otro modo y BGP4 Tiene conocidas vulnerabilidades muy difíciles si no imposibles de solventar, si bien estas amenazas deben ser monitorizadas con suma atención. Dos puntos clave que deben ser tomados como referencia en los riesgos del protocolo BGP son: Cualquiera que se conecte a Internet, sin las medidas de protección apropiadas está expuesto a determinados riesgos en los parámetros obtenidos para enrutamiento que pueden derivar en una denegación de servicio, secuestro de sesión, o intercepción de las transacciones realizadas. Un riesgo añadido es que hoy en día no todos los técnicos desempeñando misiones en infraestructura de red disponen de una capacidad técnica y de conocimientos para cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo de analizarlos y remediarlos. Así mismo debemos añadir a las amenazas externas y sus ataques intencionados, aquellos errores que aun no siendo intencionados, incrementan sensiblemente el vector de riesgo y son todos aquellos fallos o errores de configuración realizados por los técnicos y administradores de la red. 56

76 Puntos básicos a definir para enrutamiento y de sus amenazas inherentes son: Actualizaciones de los enrutamientos Atributos de las rutas Prefijos ASN,s Vulnerabilidades e historia de ataques típicos a BGP A lo largo del tiempo, se han propuesto una serie de soluciones de seguridad, para que la debida integridad de las rutas se mantenga. Igualmente, la implementación de estas soluciones de seguridad implica la utilización de técnicas y mecanismos criptográficos para realizar una autenticación de las rutas y/o los prefijos recibidos, es decir se debe verificar que el origen de quien dice ser este validado y que la información no haya sido alterada durante su tránsito por la red. En un estudio inicial se podría pensar que si el plano de datos han sido verificados y la autenticación de la ruta ha sido así mismo obtenida, la seguridad está garantizada pero no es así, en este estudio de vulnerabilidades se va a ver que se está bastante lejos de garantizar una solución global al protocolo BGP. En la actualidad, incluso con enlaces autenticados y verificación de reenvío de datos, BGP sigue siendo vulnerable a la presencia de sistemas autónomos falsos o maliciosos, y sigue siendo vulnerable a ataques a su sistema operativo por medio de malware diseñado para modelos y marcas de routers específicos. A modo de ejemplo en el mundo de sistemas operativos existe un mayor número de malware para productos Microsoft que para otros sistemas operativos más minoritarios como MAC o Unix. Esto quiere decir que en el mercado del Hacking hay un mayor número de productos malware contra routers CISCO y sus IOS (sistema operativo) que otros modelos de routers más minoritarios. 57

77 Otro punto que se debe considerar en este estudio, son aquellos ataques que van dirigidos a producir una denegación de servicio, es decir, sobrecargar un router con tantas peticiones de conexión o conexiones incompletas que hacen reaccionar al router con una sobrecarga de trabajo que lo deja fuera de servicio. A continuación, se presenta un estudio más pormenorizado realizado en este proyecto de los diferentes ataques y sus soluciones, teniendo en cuenta que las soluciones propuestas siempre serán parciales. 4.3 Antecedentes Históricos En esta sección se van a tratar los Incidentes de BGP desde un pasado reciente hasta nuestros días. Sus vulnerabilidades y los errores de configuración están plenamente vigentes por tanto pueden ayudar a entender y eliminar vulnerabilidades tanto en los sistemas autónomos como en los routers de infraestructura. Así mismo, debe hacer hincapié en aquellas vulnerabilidades de BGP que van ligadas muchas veces a las de los DNS (Domain Name Systems) y aunque estas queden fuera del análisis de este proyecto, el proveer de más seguridad a las infraestructuras de Internet pasa por solucionar las vulnerabilidades de ambos servicios. Para entender las vulnerabilidades de BGP se debe hacer un estudio de los mayores incidentes a través de la historia en los que se ha visto envuelto el principal protocolo de encaminamiento de Internet. Se empezará analizando aquellos incidentes voluntarios (ataques reales) con la intención de manipular algún tipo de sistema de enrutamiento, y aquellos que fueron configuraciones erróneas con nefastas consecuencias. Dejando a un lado las implicaciones legales, cabe evidenciar que el resultado puede producir grandes daños operacionales y por tanto, a efectos de consecuencias sobre Internet, un fallo de configuración puede tener similares características a un ataque malintencionado al interrumpir tráfico legítimo incluso a nivel mundial. 58

78 4.3.1 Año 2012, Australia sin acceso a Internet El día 27 de Febrero de 2012 aproximadamente durante unos 30 minutos, muchos australianos se encontraron sin acceso a Internet [16]. Muchos de ellos tenían contrato directo o indirecto con Telstra Network, la cual en ese momento se quedo aislada a la red de Internet. Telstra es uno de los mayores proveedores de Internet de Australia, normalmente origina aproximadamente 500 prefijos Ipv4 y 3 prefijos Ipv6. Telstra también es proveedor de tránsito para muchos ISPs, como por ejemplo, (AS38285) Dodo un ISP Australiano y (AS10235) National Australia Bank. Este hecho, como estudiante de Ingeniería Técnica en Informática y escritor de este proyecto, me lleva a plantear al lector la siguiente pregunta: Como un proveedor así puede irse abajo, cuando seguramente dispone de ingentes cantidades de hardware y conexiones múltiples dentro y fuera del país? La causa fue un error de routing que hizo que todo el tráfico eligiera como Best Route al Proveedor de Servicio de Internet Dodo (el cual era un cliente de Telstra Network). Difundir rutas en BGP accidentalmente es desafortunadamente tan fácil que hay que configurarlo siempre definiendo filtros que prevengan que esto suceda. En este caso, Dodo debería haber establecido filtros para asegurar que ellos solo anunciasen sus prefijos y Telstra debería haber tenido esos filtros también para prevenir secuestros (hijacks) y para proteger su propia infraestructura, lo cual es aun más importante. En este suceso se ve que los filtros no estaban implementados lo cual permitió que sucediera esta difusión de rutas y sus inherentes consecuencias. Sin embargo, esto solo no debería haber echado abajo todas las conexiones internacionales de Telstra. Lo que pasó seguramente es que Telstra asumió todas las rutas aprendidas de Dodo (todas las ) como rutas del cliente y las certifico anunciadas a todos sus peers y proveedores de bucle (upstream). A continuación se puede ver las terribles consecuencias que tuvo este fallo de configuración [17] para el servicio de Telstra. 59

79 FIGURA 47: AS1221 Telstra Pty Ltd FUENTE: Año 2011, Egipto sin acceso a Internet Durante las protestas de Egipto y por órdenes gubernamentales, en un principio las redes sociales (Facebook, Twitter, etc) fueron bloqueadas [16]. Un paso más adelante en la intención del gobierno de controlar las comunicaciones de internet fue el bloquear el enrutamiento de Internet de los proveedores de servicio. Un 88% por ciento de las redes estaban fuera de servicio. Véase a continuación las siguientes figuras: FIGURA 48: Egipto redes afectadas I Días del Incidente Num. de prefijos Num. de ASN de origen 27-Enero Enero Desaparacen FUENTE: Elaboración propia 60

80 La siguiente tabla muestra los 10 principales proveedores de Internet en Egipto. Se ella puede ver que la mayoría de los Sistemas Autónomos (AS) no muestran ningún anuncio o número significativamente menor. FIGURA 49: Egipto redes afectadas II Prefijos el 28 de Enero Prefijos al inicio de la semana AS de Origen Nombre del proveedor TE-AS TE-AS LINKdotNET-AS ETISALAT-MISR RAYA Telecom Egypt Internet-Egypt Noor Data Networks Vodafone-EG Nile Online eg-auc IDSC FUENTE: Elaboración propia Nota: cabe mencionar que el único proveedor sin impacto fue AS20928 (Noor Data Networks) Lista de proveedores que continuaron anunciando redes (basado en datos de routeviews): FIGURA 50: Egipto redes afectadas III Red Nombre Numero de rutas AS36992 Etisalat-Misr 104 AS20928 Noor Data Networks 83 AS24835 RAYA Telecom Egypt 38 AS15475 Nile Online 23 AS8524 AUCEGYPT 14 AS2561 Egyptian Universities Network (EUN) 14 AS8452 TE-AS TE-AS 12 FUENTE: Elaboración propia 61

81 a. Los inicios del incidente Observando Internet en Egipto se pudo tener una idea aproximada en el momento de inicio del incidente. 27 de Enero a las 22:28 UTC: La pagina web egypt.gov.eg está fuera de servicio la IP: /24 fue bloqueada. 27 de Enero a las 22:28 UTC: La página web periódico Egipcio. La IP: /24, se convierte en inaccesible al misma hora exacta. b. 28 de Enero, PM En este momento solo 239 redes Egipcias son accesibles, esto significa que el 91% de las rutas egipcias están bloqueadas. Noor Networks permanece como el único proveedor que parece no verse afectado por esta disrupción. Vodafone confirma en su página web que han recibido instrucciones de apagar sus servicios en ciertas partes del país. A continuación, todos los operadores móviles en Egipto reciben instrucciones para clausurar sus servicios en determinadas áreas. La legislación Egipcia permite a las autoridades ordenar el cierre de servicios de comunicaciones y las compañías proveedoras están obligadas a cumplirlo. c. 28 de Enero, PM Los servicios móviles han sido restaurados. La página web de Vodafone publica este mensaje: Vodafone restored voice services to our customers in Egypt this morning, as soon as we were able. We would like to make it clear that the authorities in Egypt have the technical capability to close our network, and if they had done so it would have taken much longer to restore services to our customers. It has been clear to us that there were no legal or practical options open to Vodafone, or any of the mobile operators in Egypt, but to comply with the demands of the authorities. Moreover, our other priority is the safety of our employees and any actions we take in Egypt will be judged in light of their continuing wellbeing. 62

82 Hasta este momento, no se aprecian cambios en la conectividad de Internet en Egipto. Sim embargo, Internet lleva corta en Egipto 36 horas. La semana laboral en Egipto se inicia mañana (29 de Enero) se espera una restauración de los servicios. d. 29 de Enero, PM Existe a disposición del lector una lista de las rutas/prefijos que siguen siendo enrutadas. En esta lista se ven 243 redes. Nota: Estos datos son extraídos de routeviews data (rib ). Cabe destacara que aun siendo anunciada una ruta no significa necesariamente que sea accesible. El formato de la lista es: Número AS Prefijo Descripción del prefijo Estos son algunos ejemplos de las rutas que en ese momento continúan anunciadas: Rutas de: AT-Financial Holding Biblioteca de Alejandría (http://www.bibalex.org/) Rutas del Banco Central de Egipto Rutas del Egyptian National Scientific & Technical Information e. 31 de Enero, PM Hoy hasta trece sistemas autónomos pertenecientes al proveedor de servicio de Internet han desaparecido, afectando incluso a Noor Data Networks. Esta red desaparece el 31 de Enero de 2011 a las PM. En paralelo más rutas desaparecen y a las solo 12 sistemas autónomos y 134 rutas permanecen accesibles. Lo cual significa que solo el 5% de las rutas egipcias prestan servicio. La lista de los que permanecen puede ser consultada aquí: 63

83 En la siguiente gráfica se puede ver la situación de las redes en Egipto el 31 de Enero a las 23.00: FIGURA 51: Egipto gráfico redes afectadas/tiempo FUENTE: Elaboración propia Año 2011, Siria sin acceso a Internet En 2011, el caso que se plantea en Siria [16] tiene muchos parecidos con lo sucedido en Egipto. Igualmente se realizará un estudio temporal de los incidentes. a. 3 de Junio Internet en Siria está controlado por The Syrian Telecommunications Establishment, esta se encarga de enrutar sus redes desde AS29256 a AS A su vez, existen otras dos compañías proveedoras de servicio tales como Tata Communications (AS 6453), la cual enruta 6 prefijos sirios y la Red Siria de Educación Superior (AS 39154). El 3 de Junio de 2011, el gobierno de Siria cierra todas las conexiones a Internet. Solo 19 de los normalmente 56 prefijos Sirios son enrutados. Interesante que los prefijos que no son ya enrutados tienen origen en AS29256 y AS29386, The Syrian Telecommunications Establishment. Los 6 prefijos pertenecientes a Tata communication asi como los de Syrian Higher Education no han sido afectados.la tabla posterior muestra cuantos prefijos se enrutan en situación normal y como ha cambiado en las últimas horas. 64

84 FIGURA 52: Siria redes afectadas/sistemas autónomos FUENTE: Elaboración propia b. Comparación del 1 de Junio con el 3 de Junio En este apartado se va a ver la distribución de prefijos por sistema autónomo. El gobierno de sirio cerró todas las conexiones el 3 de Junio, se verá como estaba la situación anteriormente (el 1 de Junio, ver figura X) y una vez cerradas las conexiones (3 de Junio, ver figura 53). FIGURA 53: Siria prefijo 1 de Junio, 2011 FUENTE: Elaboración propia 65

85 Situación el 1 de Junio: AS 29256: (STE-AS) se tiene constancia de que Syrian Telecommunications Establishment enruta hasta 44 prefijos conocidos. AS 29386: (STE-AS2) pertenece también a Syrian Telecommunications Establishment y enruta hasta 30 prefijos. AS 6453: Este sistema autónomo corresponde a TATA Communications y enruta 6 prefijos. AS 39154: Este sistema autónomo depende de la organización Syrian Higher Education Network AS Number y se le conoce solo 1 prefijo. FIGURA 54: Siria prefijo 3 de Junio, 2011 FUENTE: Elaboración propia Situación el 3 de Junio: AS 29256: (STE-AS) 9 prefijos. AS 29386: (STE-AS2) 3 prefijos. AS 6453: 6 prefijos. AS 39154: 1 prefijo. 66

86 Conclusiones Es realmente llamativo la diferencia en distribución de prefijos entre estas dos fecha. Se insta al lector a que preste atención a las dos gráficas y establezca su propia opinión. Como redactor de este PFC, es de gran agrado poder mostrar esto a los lectores y en última instancia a interesados en redes y/o seguridad informática. c. Actualización del 4 de Junio 2011 El día 4 de Junio, aproximadamente, a las 8.00 PM todas las redes sirias pertenecientes a Syrian Telecommunications Establishment vuelven a la normalidad. Algunos de estos prefijos regresaron a la normalidad antes de dicha hora Año 2010, Google y servicios asociados redirigidos El 23 de agosto del 2010, Google [14] y otros servicios asociados fueron redirigíos a Rumania y Austria. Lo que pasó en términos de funcionalidad es que durante 7 minutos el prefijo /24 fue secuestrado (este prefijo sirve a algunos Open DNS de Google). La mayoría de las redes afectadas recibieron el anuncio de actualizaciones desde el AS Esta es la segunda vez en el mismo mes (30 días naturales aproximadamente) que Google es atacado accidentalmente o por un secuestro de direcciones (hijack). En Julio de 2010 un proveedor de servicios de Internet localizado en Austria (AS42473), Anexia, anunció un prefijo con una máscara de subred mayor de la que le correspondía, es decir: El prefijo AS anunció el prefijo /24 y el que debía anunciar era el /23. Este último prefijo (el /23) aloja la mayoría de los servicios públicos de Google. Este hecho fue identificado posteriormente como un error de configuración y fue rápidamente corregido por los ingenieros de red del AS Más detalles se pueden ver en la figura que se expone a continuación. 67

87 68

88 4.3.5 Año 2010, un ISP Chino secuestra Internet El 8 de Abril de 2010 se empezaron a recibir alertas sobre un secuestro BGP [24] localizados en el AS Este sistema autónomo es uno de los centros de datos operados por China Telecom, el cual es el mayor ISP de China originando hasta 40 prefijos. Sin embargo, ese día aproximadamente durante 15 minutos se originaron alrededor de prefijos de tipo único que no tenían asignados. Esto es lo que normalmente se denomina como secuestro de prefijos (prefix hijack). Afortunadamente, aunque se había difundido una tabla completa, solo un 10% se propagó fuera de las redes chinas, afectado a organizaciones muy conocidas, entre otras: Amazon Geocities CNN Rapidshare Dell También se vieron afectadas páginas web muy populares chinas, como por ejemplo: Este incidente fue detectado a nivel global por conexiones en Holanda, Reino Unido, Rusia, Italia, Suecia, Estados Unidos, Japón y Brasil. Según BGPMon, un 28% de las sondas en el mundo detectaron este evento, lo cual implica un gran número de redes afectadas. Probablemente, más de 51 peers detectaron el prefijo, pero no lo eligieron como mejor ruta (best path) seguramente debido a la longitud del ASpath u otras políticas de configuración. Debido al gran número de prefijos implicados detectados en un intervalo tan corto de tiempo, posiblemente, la causa que mejor se ajusta a este acontecimiento sea un fallo de configuración. 69

89 4.3.6 Año 2008, Pakistán Telecom bloquea YouTube El 24 de Febrero de 2008 el gobierno de Pakistán intentó bloquear el acceso a la página web de videos Youtube. La finalidad de tal imposición es censurar cualesquiera videos que pudieran perjudicar sus intereses. Pakistán Telecom intentó filtrar el acceso a Youtube, sin embargo, envió información errónea de enrutamiento por medio de BGP un ISP en Hong Kong (PCCW). Este proveedor difundió falsa información de enrutamiento a través de Internet. En consecuencia dejo inaccesible la página de Youtube al resto del mundo durante dos horas. Finalmente, consiguieron arreglarlo restaurando las rutas originales y replicándolas a nivel mundial. Véase las siguientes imágenes sacadas de BGPlay, herramienta diseñada y escrita por Computer Networks Research Group at Roma Tre University. FIGURA 55: Pakistan Telecom bloquea Youtube SOY /24 SOY /22 FUENTE: Elaboración propia 70

90 a. Antes del domingo (24 de Febrero del 2008) El sistema autónomo (www.youtube.com) anuncia la dirección IP /22. FIGURA 56: Estado Youtube 24 de Febrero FUENTE: BGPlay 71

91 b. Domingo a las El sistema autónomo (Pakistán Telecom) lleva anunciando la ruta /24 los últimos 5 minutos. Los vecinos RIS por todo el mundo reciben el cambio en sus rutas y el tráfico de Youtube empieza a ser redirigido a Pakistan. FIGURA 57: Estado Youtube FUENTE: BGPlay 72

92 c. Domingo a las El sistema autónomo (www.youtube.com) lleva anunciando la ruta /24 desde las El anuncio erróneo del sistema autónomo (Pakistán Telecom) ha sido desechado, y ahora los vecinos RIS solo tienen rutas al sistema autónomo FIGURA 58: Estado Youtube FUENTE:http://www.ripe.net/internet-coordination/news/industry-developments/youtube-hijacking-a-ripe-ncc-ris-case-study 73

93 4.3.7 Año 2008, Brasil difunde una tabla BGP En Noviembre del 2008, Companhia de Telecomunicações do Brasil (CTBC ISP de Brasil) transfirió por error una tabla completa de rutas. Esta acción podría haber tenido como resultado un secuestro accidental de las rutas de otros ISP o routers, afortunadamente, el servicio BGPMon (organismo voluntario de monitorizado de BGP) descubrió el problemas enviando alertas a través de Internet, lo cual hizo que el impacto fuera minimizado y afectara a solo un pocos routers. A continuación, se puede observar un ejemplo de las alertas que BGPMon [16] envía cuando detecta un percance en Internet. FIGURA 59: Mensaje alerta BGPMon ==================================================================== Possible Prefix Hijack (Code: 10) ==================================================================== Your prefix: /21: Prefix Description: Update time: :09 (UTC) Detected by #peers: 4 Detected prefix: /21 Announced by: AS23724 (CHINANET-IDC-BJ-AP IDC, China Telecommunications Corporation) Upstream AS: AS4134 (CHINANET-BACKBONE No.31,Jin-rong Street) ASpath: Alert details: Mark as false alert: FUENTE: Año 2007, La ICANN pone en riesgo un servidor DNS La Internet Corporation for Assigned Names and Numbers (ICANN) [15], en Noviembre de 2007, inició trabajos de actualización de uno de sus Domain Name System (DNS) root-servers L ( ), el cual es propiedad de ICANN y, en consecuencia, también sometido a su control y manejo. Este servidor se trata de un servidor distribuido, y como se puede ver en la siguiente figura, se encuentra entre Miami y Los Ángeles (Estados Unidos). Los ingenieros de la ICANN no detectaron varios root-servers L no autorizados operando en Internet hasta 6 meses más tarde de las actualizaciones. 74

94 FIGURA 60: Root-Servers FUENTE: En Mayo del 2008, ICANN consiguió tener todos los root-servers L falsos deshabilitados y fuera de servicio. En la actualidad, existen 13 DNS root-servers, cuyos propósitos es asignar direcciones de texto entendibles para los usuarios de Internet basadas en direcciones IP usadas entre ordenadores y routers (ver figura 61). La estructura de todo root-server es jerárquica, y actúa como traductor entre direcciones IP y nombres de dominio. FIGURA 61: Comando nslookup FUENTE: Elaboración Propia 75

95 a. Resumen A los root-servers DNS se les ha asignado una letra entre A y M. El root-server L pertenece, maneja y controla la ICANN. Desde el 1997 hasta el 2007 la dirección IP era y estaba registrada a nombre de Bill Manning (ep.net) En noviembre del 2007 cambian la dirección IP a Este prefijo se asignó a la ICANN. Durante 6 meses la ICANN decide seguir utilizando sus root-servers L, tanto el antiguo como el nuevo. Aparecen root-servers DNS no autorizados (falsos): Diciembre 2007 Community DNS (England) Marzo 2008 EP.NET (US Bill Manning) Abril 2008 Diyixian (Hong Kong) b. Acciones tomadas El 16 de Mayo de 2008, la ICANN decide definitivamente apagar su servidor L antiguo y el 16 de Mayo todos los servidores falsos (o no autorizados) L. La vigente legalidad y la ICANN presionan a sus propietarios a apagar los root-servers que van detectando a lo largo del tiempo (Ver figura 62). c. Conclusiones Acciones que podrían haberse realizado con un servidor DNS root-server no autorizado o falso aunque no existen evidencias de que esto se hiciera o no: 1. Redirigir rutas con intención de censurar contenidos. 2. Registrar o monitorizar todos los accesos y búsquedas. 3. Dar NS (negación de servicio) actualizados para todos los TLDs. 4. Realizar recursión por defecto. 5. Dar actualizaciones personalizadas de la lista de todos los servidores DNS root. 6. Poner (time to leave) TTL=0 76

96 FIGURA 62: Root-Servers falsos FUENTE: ICANN Año 2004 En el año 2004 se registraron diferentes [14] incidentes en las tablas de rutas de Internet: ISP en Malasia bloquea Yahoo ISP turco bloquea Internet. Northrop Grumman atacado por spammers a. ISP en Malasia bloquea Yahoo En Mayo del 2004, el prefijo de Yahoo en el Data Center de Santa Clara (US-CA) fue secuestrado por DataOne, un ISP en Malasia. Expertos en seguridad informática lo determinaron como malicioso y fueron secuestrados dos de los tres prefijos asignados. Se verificó que DataOne había intentado bloquear premeditadamente el tráfico desde Yahoo en origen. b. ISP turco bloquea Internet. El 24 de Diciembre del 2004, el proveedor de servicio TTNet envió una tabla completa de rutas de Internet vía BGP. Como consecuencia a desvió todo o la mayoría del tráfico mundial a través de Turquia a lo largo de la toda la mañana. TTNet la había marcado como BestPath (mejor ruta) en su tabla de rutas. En el foro Renesys, según expertos en BGP: 77

97 El caso produjo que todo el tráfico desde sitios Microsoft, Yahoo, Amazon, Fox, News CNN hacia TTNet. Las consecuencias fueron menores de las que podrían haber sido al ser un día (víspera de navidad) en el que el trafico relativo a negocios y organismos oficiales es notoriamente más reducido. c. Northrop Grumman atacado por spammers En Mayo del 2004, Northrop Grumman un contratista dedicado principalmente a contratos de ente militar y defensa detecto que un bloque de direcciones IP no utilizadas habían sido secuestradas en el tablas de enrutamiento de sus propios routers y anunciadas como legitimas. El siguiente paso fue el envió masivo de spam ( s no deseados). Al ser IPs inicialmente detectadas como propias era más difícil efectuar un filtrado de spam,tardaron dos meses detectar el origen del incidente y reclamar las direcciones IP como propias así como conseguir que los anuncios de enrutamiento falsos fueran bloqueados a través de internet, En este tiempo, Northrop Grumman's y sus direcciones IP fueron incluidas en listas de spammers (black list),lo cual les produjo sustanciales considerables daños económicos así como los provocados contra su reputación como empresa líder mundial en su campo. 4.4 Ataques al protocolo Partiendo de la premisa de que en Internet no existe una política imperativa que verifique que cada sistema autónomo es quien dice ser, que no verifica la integración de la información y que las relaciones entre sistemas autónomos están basadas en la confianza. El protocolo de comunicación entre sistemas autónomos y routers está basado en TCP/IP y por tanto hereda todas sus vulnerabilidades. Igualmente se debe pensar que los comunes errores de configuración de los administradores y técnicos son un valor añadido a las vulnerabilidades. Secuestro o Hijack (MiT) MiT (man in the middle) o su variante Meet in the Middle. Replay Attacks DoS o DDoS Malware Rootkits,Bios,EEProms,etc 78

98 4.4.1 Ataques DoS o DDoS (denegación de servicio) Al igual que los ordenadores, los router también tienen un límite para procesar y almacenar la información. Alcanzar el límite de uno o ambos de estos recursos finitos tendrá como resultado dejar fuera de servicio al router, también conocido como Denial of Service. Uno de los ataques más comunes con este objetivo es el llamado SYN Flood. En esta variante del DoS, se inician un gran número de sesiones TCP/IP utilizando el paquete SYN (sincronización), sin continuar con la secuencia de sincronización. Esto provoca que el sistema reserve recursos para esta sincronización, sin la recepción de estas conexiones. La segunda modalidad de DoS, es atacar directamente al protocolo BGP. En este caso, se intenta echar abajo la ejecución del protocolo. Se puede decir que estos ataques DoS contra el protocolo BGP son de fácil y rápida ejecución. Se realiza enviando paquetes dirigidos al puerto 179, los cuales son enviados al proceso BGP, ya que normalmente, este reside en un procesador más lento o de menor capacidad. Una tercera variante de DoS (Denial of service) contra BGP, se caracteriza por la recepción de datos falsos de enrutamiento pudiendo afectar: Los sistemas de fin de ruta intentando transmitir datos a través de la red. La infraestructura de red en sí misma. Cierta información falsa puede representar un ataque DoS al protocolo BGP en sí mismo, a modo de ejemplo: advertir un numero excesivamente grande de mas rutas especificas puede causar que el trafico BGP y la dimensión de las tablas de enrutamiento colapse el trafico o el sistema. Se puede afirmar que potencialmente el mayor riesgo para BGP es cuando un router es bombardeado con más paquetes de los que puede manejar, este tipo de ataque se denomina DDoS. El ataque generalmente envuelve un gran número de ordenadores comprometidos con malware, de todas formas, existen diferentes formas por las cuales se puede realizar un DDoS; tales como: 79

99 Insuficiencia (Starvation): Un nodo recibe menos paquetes de los que debería por que el tráfico es desviado a nodos que no pueden gestionar ese tráfico. Agujero negro (Blackhole): El tráfico es enviado a routers que descartan todos o parte de los paquetes. Retardo (Delay): El tráfico es enviado a rutas menos óptimas (suboptimnal paths) Bucle (Looping): Los paquetes entran en un bucle (loop path), lo cual implica que el tráfico nunca llega a su destino. Partición de red (Network partition): Una porción de la red parece separada del resto de la red debido a información de rutas malformada. Agitación (Churn): Cambios muy rápidos en el reenvío de paquetes altera la entrega de paquetes, y posiblemente afecte al control de congestión de red. Inestabilidad: La convergencia a un estado de sencillo el reenvio global no se realiza. Sobrecarga de Red (Network overload): La red comienza a transportar un número excesivo de mensajes BGP, sobrecargando el procesador de control del router y reduciendo el ancho de banda asignado para el tráfico de datos. Sobrecarga de los recursos del router en los ciclos de almacenaje o procesado por un excesivo número de mensajes BGP. Acceso no autorizado: puede suceder cuando se mantienen las contraseñas por defecto y las community strings utilizadas para control de acceso a SNMP (Simple Network Management Protocol) no se hayan cambiado o sean obtenidas por ingeniería social, métodos de cálculo o criptográfico. Asimismo la explotación de errores de software o vulnerabilidades pueden permitir accesos no autorizados. Captura de datos de BGP por medio de sniffers y otras herramientas: puede realizarse en cualquier lugar del recorrido entre routers, teniendo en cuenta que los mensajes BGP no están encriptados o que BGP podría ser utilizado para permitir una captura de datos. Métodos de manipulación de paquetes: incluye insertar direcciones IP falsas para acceder a los sistemas, inyectar datos falsos a las tablas de rutas o re enrutar paquetes de datos con propósitos de meterlos en agujeros negros, monitorizar el trafico, etc. 80

100 4.4.2 Secuestro o Hijack Se pueden distinguir tres tipos de secuestro de la dirección IP [18]. En las dos primeras todo el tráfico asignado al espacio de direcciones es redirigido al atacante. Utilización de un dirección IP del rango asignado a la victima pero que aunque asignada no está utilizando, este ataque en principio no tiene en si unos efectos más de reputación que realmente de daño al tráfico legitimo en Internet. Secuestro de una dirección IP en uso, esta modalidad tiene un obvio daño operacional, todo el tráfico es desviado al atacante pudiendo dejar a la victima sin conexiones externas y por tanto fuera de Internet. Por último, existe una variante de secuestro en el que el atacante se dedica a ver todo el tráfico. FIGURA 63: Secuestro de sesión FUENTE: https://www.owasp.org/index.php/session_hijacking_attack Man in the Middle (o Meet in the Middle) La realidad presente es que no hay vulnerabilidades, no hay errores en el protocolo, tampoco hay en estos ataques problemas de software (software bugs). El origen del problema surge de la gran necesidad de interconectividad necesaria a día de hoy para mantener el tráfico en Internet. 81

101 Este problema surge como ya se ha comentado en que la arquitectura y diseño de BGP está basada en la confianza. A modo de ejemplo cuando un es enviado desde un usuario en Europa a otro usuario en Asia, las redes para cada usuario se comunican siempre con y a través de routers BGP indicando cual es la ruta más eficiente para que los datos alcancen el buzón de destino, claro que BGP asume siempre que cuando un router informa de cuál es la mejor ruta nos está diciendo la verdad, este abuso de confianza puede ser utilizada para aquellos que quieren capturar nuestros datos engañando a los routers para que les envíen el trafico con fines maliciosos. FIGURA 64: Conexión MITM FUENTE: https://www.owasp.org/index.php/man-in-the-middle_attack Proceso Completo MITM Un usuario cuando teclea la URL de una página web en su navegador o envía un , un servidor DNS la traduce a una dirección IP como destino [20]. El router del ISP del usuario toma esta petición y entonces consulta una tabla de rutas BGP para encontrar la mejor ruta al destino seleccionado, esta tabla es dinámica y se actualiza. Mientras tanto un SA declara el rango o espacio de direcciones IP, también conocidos como prefijos IP, a los que cada uno entrega/envía el tráfico. La tabla de enrutamiento busca la IP destino entre estos prefijos. Si existen dos SA anunciando la dirección IP deseada, escoge siempre aquella con la dirección mas específica. 82

102 Ejemplo El SA X en sus tablas anuncia que sirve a un grupo de direcciones IP, mientras tanto otro llamado AS Y, sirve a un subred de 24,000 de estas direcciones. Si la IP de destino está reflejada en ambos anuncios BGP enviará siempre al más concentrado (pequeño), es decir, al más especifico. Cuando un hacker u elemento hostil quiera interceptar datos enviara un anuncio de un rango de direcciones IP en la que esté contenida la de su objetivo y obviamente será más específica que las otras que envían otras redes. Este falso anuncio, en cuestión de minutos, será propagado por internet, cuya finalidad será que los datos dirigidos a esas direcciones IP se dirigirían a la red del atacante. Este ejemplo recuerda a lo sucedido entre Pakistan Telecom y Youtube, en cuestión de minutos Youtube se quedó inaccesible (ver epígrafe 4.3.6). SOY /24 SOY / Ataques de sesión (TCP) y Replay Attacks Como ya se ha comentado previamente en este documento, BGP trabaja sobre TCP por lo que BGP hereda todas sus vulnerabilidades. SYN es un bit de control dentro del segmento TCP, se usa para poder sincronizar los números de secuencia iniciales al establecer una conexión. Este bit puede derivar en dos tipos de ataques que afectarán a BGP, ambas variantes se mencionan a continuación: 83

103 FIGURA 65: Sincronización al inicio de una sesión FUENTE: a. Ataque TCP SYN También conocido como SYN flooding, este ataque consiste en enviar un SYN de sesión, y una secuencia de paquetes BGP para establecer una sesión BGP, haciendo que una sesión legítima parezca defectuosa y obligará a anularla. b. TCP SYN ACK: Un atacante intercepta un SYN antes que el router destino, el cual recibiría ACK vacío como respuesta cuya finalidad resultaría en una RST que finalizaría la sesión inicial Ataque Route Flapping Route flapping referencia [27] cambios repetitivos en las tablas de rutas BGP. Hay ocasiones en las que estos cambios se realizan con una frecuencia de varias veces por minuto. Route flap sucede cuando una ruta es eliminada y entonces re anunciada en un espacio muy breve de tiempo. Una razón alta de esta secuencia puede causar un problema serio para los routers, debido a que cada flap produce cambios o eliminaciones de rutas que se propagan a través de los sistemas autónomos. Si la velocidad es lo suficientemente rápida, a un nivel por ejemplo de entre 30 a 50 veces por segundo, el router sufre una sobrecarga que puede inducir a una no convergencia sobre rutas válidas. El Impacto potencial para los usuarios es una ralentización en la entrega de mensajes, e incluso en algunos casos la recepción inválida de algunos paquetes de datos. Route flapping puede derivar en una denegación de servicio. 84

104 Route flap damping, RFD, es un método para reducir los flaps de rutas por medio de un algoritmo que ignora al router enviando actualizaciones flapping durante un periodo de tiempo configurable. Cada vez que sucede un evento categorizado como flapping, los routers peer añaden un valor de penalización al total del router haciendo flapping. La penalización se adquiere de una forma exponencial en el tiempo. Si el flapping de rutas persiste, y excede el total (ver figura 66), las rutas aprendidas del router flapping serán desechadas y los vecinos propagarán las actualizaciones a través de la red. A medida, que el tiempo pasa el valor de la penalización pierde valor, en el momento en el que no se ven más flaps, se alcanzará el umbral de re utilización y desde ese momento el vecino empezará a aceptar rutas del router que previamente había tasado de flapping router. FIGURA 66: Route Flapping Penalización/tiempo FUENTE: Mientras que este mecanismo ayuda a reducir la inestabilidad causada por fallos espontáneos en la red, puede ser objeto de mal uso por parte de un atacante. Si un router se puede deshabilitar, incluso temporalmente, sus sesiones BGP serán perturbadas y los routers vecinos empezarán a enrutar evitándolo asumiendo que esta fuera de servicio. 85

105 Este proceso puede activar cambios a través de la red, apuntando a un incremento de la carga de trabajo, y posiblemente causando que el tráfico se ralentice dado que los cambios de enrutamiento serán transmitidos a través de rutas consideradas menos óptimas. De esta forma un router que de una forma intermitente sea desconectado al sufrir repetidos ataques puede causar un mal funcionamiento que podría causar más interrupciones que si ese router fuera sencillamente desconectado. Ya que si fuera así, los otros routers encontrarían rápidamente caminos bordeando ese router problemático. Una repetición de ataques de sesión peering de BGP (por ejemplo, vía TCP RST o por medio de mensajes de error ICMP spoofed) puede ser utilizado también para causar un flapping de rutas. Debido al problema descrito previamente e igualmente considerando que en nuestros días se ha producido un notable incremento de la capacidad en los procesadores de los routers de última generación, muchos técnicos de sistemas han decidido obviar esta contramedida. También definida en algunos manuales técnicos como contramedida RFD o simplemente RFD. Se debe hacer un estudio muy detallado analizando todos los pros y los contras de la implementación de RFD teniendo en cuenta su utilidad en el caso de que se desee aislar partes de la red para mitigar los daños de un ataque Ataque Routes Desegregation La desagregación [23] de rutas se produce cuando un prefijo más específico es advertido por vecinos BGP. Por ejemplo si el prefijo /8 y el prefijo /16 son ambos anunciados, los algoritmos de BGP seleccionarán la segunda (para cualquier dirección dentro del rango /16) ya que es más específica. En algunos casos, esta acción es normal y una operación apropiada debido a los cambios de configuración, pero puede suceder que sea resultado de un error o fruto de una actividad maliciosa. El primer impacto de este evento es una degradación del servicio que en algunos casos puede ser ampliamente difundido y producir un gran daño. Dando BGP preferencia a las rutas más especificas, si se producen un gran número de actualizaciones con miles de nuevas rutas y estas se difunden rápidamente, causaría al router una denegación de servicio a sí mismo y puede provocar como daño colateral el cierre de los ISPs más grandes al ser los más involucrados. Este problema puede ser resultado de un error de configuración así como de una actividad maliciosa, cuando un router falso que simula ser un SA válido. 86

106 Como solución a este ataque o problema podemos implementar algunas medidas como establecer un límite máximo de prefijo (maximum prefix limit), este límite puede ser pre configurado para terminar o deshabilitar una sesión y enviar un mensaje de alerta cuando un router vecino transfiera un número excesivo de prefijos predefinidos. Una desagregación de rutas activaría la capacidad de limitar prefijos, y la sesión con el par sería deshabilitada hasta ser activada manualmente, dando a los operadores la capacidad de analizar el problema y prevenir su difusión por Internet Ataque de Inyección de Rutas Maliciosas BGP existe para difundir la información de enrutamiento a través de internet. Los Routers se trasmiten información entre ellos sobre aquellos prefijos a los que se pueden conectar y de la eficiencia de cómo llegar a las direcciones IP deseadas dentro de esos prefijos. En situaciones benignas y cooperativas estas acciones funcionan bien, pero una vez más, existen intenciones maliciosas pudiendo empezar a enviar actualizaciones de información de enrutamiento incorrecta. El anuncio de rutas más especificas, podría desviar el tráfico a la máquina del atacante, que podría observar y grabar los paquetes de datos y analizar la información de esa dirección bajo el ataque. La víctima no tendría ningún control sobre las rutas anunciadas por el atacante, siendo su única opción, contactar con el ISP del delincuente para solicitar una corrección de los datos erróneos de las rutas anunciadas por el agresor. Una vez hecho esto, sería muy difícil demostrar si detrás de esta redirección errónea había intenciones maliciosas o pudiendo alegar un error de configuración accidental. De hecho la victima posiblemente no podría ver el anuncio de rutas del atacante, ya que seguramente habría sido desechada localmente por BGP para prevenir bucles de ruta (looping routes). BGP no dispone de un medio de autenticación para garantizar la identidad de los vecinos, ni tampoco de un mecanismo de autorización para otorgar a un par BGP la potestad de actualizar rutas a prefijos particulares. Filtros de rutas y la realización de autenticación con MD5 inicialmente soluciona simplemente la autenticación del enlace BGP. 87

107 4.4.8 Ataque de Inyección de Rutas no Asignadas Un variante de inyección de rutas maliciosas es la transmisión de rutas de prefijos no asignados, estos prefijos son direcciones IP específicas que todavía no han sido asignadas. Es decir, nadie debería utilizar estas direcciones, lo cual implica que nadie debería enrutar tráfico a esas direcciones. A su vez, cualquier información de rutas para esos prefijos es claramente errónea o maliciosa, y debe ser desechada Malware Rootkits, IOS, Bios, EEProms A día de hoy no se puede realizar un estudio de seguridad sin contemplar la posibilidad de una infección por malware específicamente diseñado para atacar un sistema operativo determinado, un hardware en concreto, o un protocolo especifico en particular. La primera consideración sobre los routers que soportan y/o dan soporte a infraestructuras criticas, cuya función que les da un valor añadido y los hacen especialmente interesantes para lo que se ha denominado la Ciberguerra. Una segunda consideración es que hay una antes y un después de Stuxnet y Duqu, malware diseñado para atacar procesos industriales. En un principio orientado a centrales nucleares, por ser muy atractivo por aquellos encargados de desarrollarlo. Hace relativamente poco, ha sido descubierto un gusano diseñado como un rootkit que se auto replica en IOS, también dispone de capacidad de invisibilidad (stealh capabilities), y de un mecanismo de autodefensa. El diseño es con código auto adaptado a cada modelo de plataforma. Las capacidades conocidas de este malware son: Captura de paquetes de red Conexiones de reverse Shell: con esta función evita ser detectado o bloqueado ante la posibilidad de encontrar sistemas de protección de fronteras (BPS). Capacidad de franquear posibles Intrusion Detection Systems (IDS) o Firewalls en el camino ya que establece la conexión desde dentro hacia fuera 88

108 Dispone de un modulo de spam, y un mini malware httpd server.este software malicioso se ejecuta en la memoria flash del router, que dicho sea de paso, contiene los primeros comandos que utiliza en el proceso de arranque (Boot-Up). Ante estas ocurrencias un administrador de routers debe prevenir su infraestructura. Las actualizaciones del IOS son obligatorias pero siguiendo pautas de seguridad, tales como: Solo instalar actualizaciones de reputadas y contrastadas fuentes. Estas deberán estar firmadas digitalment La capacidad emular situaciones reales de routers sugiere disponer de un banco de pruebas virtual lo más parecido a sistemas en uso, donde analizar cualquier cambio o actualización como fase previa del despliegue en sistemas con alta carga de trabajo. 4.5 Resumen En este epígrafe del documento se han analizado los fallos de configuración con mayor repercusión a nivel mundial del siglo XXI, también, se han analizados todos los posibles ataques conocidos sobre el protocolo en cuestión. Existen multitud de recomendaciones técnicas al respecto, pero recientemente han aparecido noticias en la prensa internacional de haberse descubierto manufacturas de Cisco [8] del tipo router o switches que no son originales. La gravedad de la noticia es que estos equipos habían sido adquiridos por el departamento de defensa de los Estados Unidos e incluso el FBI. Esta noticia no solo es grave por el hecho de que este material no habría pasado los controles de calidad debidos, y que además pueden contener dispositivos de activación remota con capacidades maliciosas que podrían poner en grave riesgo infraestructuras criticas o vitales de los Estados Unidos, y cabe preguntarse si este material no estará funcionando en infraestructuras de carácter vital en otros países u organismos internacionales. Es difícil, como redactor de este proyecto, sugerir medidas de seguridad para no sufrir un ataque o para no perjudicar a otras infraestructuras mediante errores de configuración si a su vez se descubren productos falsos sobre los cuales se deben implantar dichas normas. 89

109 BIBLIOGRAFIA Las referencias que se han usado en este documento son: REFERENCIAS BIBLIOGRÁFICAS [1] Peter Rybazyk, Cisco Router TroubleShooting Handbook. New York: M & Books, 2000 [2] Rob Payne y Kevin Manweiler, CCIE: Cisco Certified Internetwork Expert Sudy Guide Routing and Switching [2º edición]. [3] Giles Roosevelt, All-in-one CCIE Study Guide [1º Edición] [4] Giles Roosevelt, All-in-one CCIE Study Guide [2º Edición] [5] Tim Boyles, Cisco CCNP Certification Library [6] Todd Lammle, CCNA Cisco Certified Network Associate Study Guide [7] William R. Parkhurst, Cisco BGP-4 Command and Configuration Handbook [8] Iljitsch van Beijnum, Building Reliable Networks with the Border Gateway Protocol REFERENCIAS DIGITALES [9] CISCO, [10] CISCO,http://www.cisco.com/en/US/tech/tk365/tk80/tsd_technology_support_sub-protocol_home.html [11] CISCO, [12] LACNIC, [13] Institute e Internet Storm Centre, [14] National Institute of Standards and Technology, [15] Instituto Nacional de las Tecnologías de la comunicación, [16] BGP monitoring and analyzer, [17] BGP monitoring and analyzer, [18] Packet Clearing House, [19] Cyber Operations Center Dashboard, [20] Team Cymru Community Services, [21] BGPTables, [22] Hurricane Electric, 90

110 [23] Trac, [24] RIPE Network Coordination Center, [25] Saulo Barajas, [26] Whois DomainTools, [27] Arizona Computer Science, 91

111 ANEXO A. MANUAL DE USUARIO ROUTER ANALYZER 92

112 ROUTER ANALYZER 6.1 Introducción Router analyzer surge con la idea de poder configurar un router de manera fiable y segura. En apartados anteriores en este documento se ha podido ver la importancia de una buena configuración para tener un router robusto ante ataques y funcionalmente correcto. Esta aplicación va a analizar en tiempo real los enlaces que tenga el router que se consideran peligrosos. Se va a establecer un enlace directo entre la configuración del router y herramientas web para saber en todo momento que se está haciendo en el dispositivo y tener un interfaz gráfico que muestre la información de una manera más entendible por aquel administrador de red que decida usar la aplicación. Durante el desarrollo de la aplicación se ha de mencionar que no se ha visto nada como esta aplicación en el mercado informático. No es tarea fácil configurar un router y con Router Analyzer se ha disminuido el grado dificultad utilizando herramientas de dominio público que se verán más adelante. Aplicación para la configuración un BGP analizando en tiempo real direcciones peligrosas y sistemas autónomos ROUTER ANALYZER suplantadores. 93

113 6.1.1 Internet Storm Center Existen diversas páginas que se actualizan diariamente y que muestran públicamente aquellas direcciones IP que han sido denunciadas por numerosos ataques. En esta aplicación se va a usar la información de la siguiente página: ISC (Internet Storm Center) [13] se creó en 2001 con la aparición del gusano Lion. ISC es mundialmente conocida por su labor de detección, análisis y estudios de los diferentes malware que han ido apareciendo desde la existencia de internet. Lo que viene a continuación son comentarios encontrados en algunos foros de seguridad informática como el de ISC. Un peligroso gusano, llamado Lion (león), está propagándose por Internet e infectando los servidores Linux, ha advertido SANS Institute. Entre sus nefastas peculiaridades, el gusano es capaz de robar claves de acceso, instalar y instalar y ocultar otras herramientas en sistemas infectados; usar aquellos sistemas para buscar otros sistemas que pueda atacar. En la página ISC se pueden encontrar diferentes herramientas para defenderse contra algún tipo de malware. Router analyzer se conectará a la página web, y contrastará la información del fichero de configuración del router con la tabla la cual se actualiza diariamente. La tabla tiene los siguientes atributos: Direcciones IP: Direcciones IP origen de los paquetes detectados por sus sensores. Ataques: Número de los diferentes ataques conocidos con esta dirección IP origen. Informes: Número de paquetes conocidos desde esta dirección IP origen. Localizada por primera vez: Primer informe de un paquete malicioso. Localizada por última vez: Última denuncia de un paquete malicioso. 94

114 95

115 6.1.2 Domain Tools La seguridad en BGP tiene un objetivo en común. Saber si un prefijo pertenece a la organización a la que dice pertenecer, si el router que dialoga con los routers vecinos de los ISPs es el que la organización ha instalado y no es un suplantador, si la ruta para conectarse a un servidor de la organización es realmente la correcta y no ha sido modificada, si el trafico ha sido redirigido a un sistema autónomo comprometido, y demás interrogantes, es la base que guiará el proyecto. Domain Tools [26] es líder reconocido en el ámbito de investigación y seguimiento de paquetes en Internet. A la hora de configurar los enlaces del router, la aplicación pedirá la dirección IP y el sistema autónomo al que el peer dice pertenecer, se conectará a la página de domain tolos (whois.domanintools.com) para sacar toda la información posible del router vecino. Si la dirección IP no perteneciese al sistema autónomo al que dice pertenecer la aplicación no dejará configurar ese enlace en el fichero de configuración del router que se quiere configurar. En la página de Domain Tools se pueden encontrar diferentes herramientas online gratuitas. Exactamente, la aplicación usará el apartado whois. Lo que viene a continuación es literalmente lo que pone en la página web de Domain Tools sobre la herramienta: In 2006, WHOIS.SC (Whois Source) became DomainTools to reflect our expanded toolset for domain research beyond WHOIS. In addition to a simple availability check and registration information, we now offer Domain Name Suggestions, Trademark Monitoring for Brand Protection, Domains For Sale, DNS Tools and more. 96

116 6.1.3 Router Analyzer Router Analyzer ha sido desarrollada en Microsoft Visual Studio 2010, (Microsoft.NET Framework 4). La finalidad de esta herramienta es implantar infraestructuras de red lo más integras y seguras posible. Router Analyzer es un centro de control de la red que se esté monitorizando, ha sido diseñada para poder configurar BGP analizando en tiempo real direcciones peligrosas y sistemas autónomos suplantadores. Los fallos de configuración, la suplantación de prefijos, los ataques al protocolo y la gestión de procesos han sido las directrices que han guiado este proyecto, pues esta herramienta abarca la totalidad de las mismas. La aplicación se puede resumir en tres grandes puntos: Análisis del router: Un estudio de los enlaces del dispositivo examinándolos con la tabla de direcciones IP peligrosas ya mostrada anteriormente. (Ataques al protocolo y suplantación de prefijos) Configuración del router: Una composición de las entradas/salidas del dispositivo en 5 pasos, que acota el margen de error. Una vez finalizada la configuración, rastrea la dirección IP a la que se esté conectando y avisará al usuario en el caso en el que la dirección no pertenezca al sistema autónomo que se ha introducido. El usuario podrá habilitar un asistente de configuración que le notificará en qué punto se encuentra del proceso y proporcionará las aclaraciones necesarias durante el mismo. (Fallos de configuración y suplantación de prefijos). Estado actual: Una interfaz que destaca por la facilidad que da al usuario para entender el estado del dispositivo, proporcionando toda la información posible del fichero de configuración del router. (Gestión de procesos). En los apartados de análisis y configuración se le proveerá al usuario de toda la información recogida en Domain Tools sobre el enlace que se quiera y/o necesite saber como por ejemplo: La dirección de correo del administrador. La organización a la que pertenece el router. Información geográfica del ubicación del router: 97

117 6.2 Análisis del router Internet es un conjunto de asunciones engañosas y arriesgadas. Los dispositivos establecen una asociación voluntaria sin saber realmente con quien se está constituyendo esa vinculación. Cuando se vaya a configurar los enlaces de un router, el administrador de la red debería plantearse la siguiente pregunta: A quién me estoy conectando? Será seguro? Con esta herramienta, esto ya no será ningún dilema. Una vez se suba a la aplicación la configuración del router, esta buscará qué vecinos se han configurado y se conectará a la página de ISC para saber si el enlace es peligroso. El análisis del router cuya interfaz se verá más adelante se realizará en tres pasos. Es necesario que el usuario disponga del archivo de configuración del router. Una vez se ha localizado el archivo, los pasos para realizar el análisis de enlaces son los siguientes: a) Subir el archivo de configuración del router. b) Analizar y ver resultados. c) Actuar Archivo de configuración El usuario deberá subir el fichero de configuración del router a la aplicación, un fichero de configuración es un archivo de texto con la extensión.cfg. 98

118 6.2.2 Analizar y ver resultado Una vez ha subido el archivo en la herramienta, Router Analyzer le dará la opción de analizar el router. La aplicación se conectara a la página de ISC y se bajará la tabla de direcciones IP peligrosas y comparará los elementos de la tabla con los enlaces que haya detectado en el fichero. 99

119 Una vez terminado el análisis, mostrará los resultados por pantalla. Si la aplicación detecta algún enlace dañino mostrará un mensaje de advertencia al usuario. A continuación mostrará en una pantalla aparte los resultados del análisis. A modo de ejemplo se ha analizado un fichero de configuración y se ha insertado una dirección IP tasada por ISC como peligrosa, el resultado sería el siguiente: 100

120 6.2.3 Actuar Una de las grandes ventajas de esta herramienta es que dará al usuario toda la información disponible en Internet sobre el enlace que desee en todo momento. La aplicación se bajará los datos de la página de whois Domain Tools, proporcionará los datos de contacto del administrador de la otra red. El usuario tendrá la opción de bloquear cualquier red en cualquier momento y si esta deja de ser peligrosa o el usuario consigue contactar con el administrador de la red, el usuario podrá volver a permitir enlaces del router con dicha dirección. La información del enlace que dará la aplicación ha sido dividida en tres grupos: Datos de la organización: Nombre ID Dirección Código Postal Ciudad Estado País Datos de contacto: Teléfono Dirección de correo Otro Información General Rango de la red Prueba Nombre de la red Fecha de actualización Red padre Fecha de registro 101

121 La dirección que se ha puesto a modo de ejemplo, la perteneciente al sistema autónomo 4837, daría la siguiente información: Datos de la organización: Datos de contacto: 102

122 Información General 6.3 Configuración del router En este tab de la herramienta, aparecen dos botones cada uno con una funcionalidad distinta. Estado actual: muestra por pantalla información relevante que ha detectado en el fichero de configuración. Configurar: permite al usuario configurar un router desde 0 y establecer vecindad y filtros de acceso. 103

123 6.3.1 Estado Actual Anteriormente en este proyecto se ha hablado de la importancia de mantener todos los aspectos necesarios de una configuración de red en un mismo documento. Esto facilitaría el mantenimiento y su correcta configuración. Una vez se ha terminado la instalación es necesario seguir documentando el estado del router? Ciertamente sí. Archivar documentos temporales del estado del router es vital para un buen sostenimiento de la red. Router Analyzer dará la opción al usuario de crear estos archivos. La herramienta pedirá al usuario el fichero de configuración del router y elaborará una ficha con los datos relevantes del router. Los datos que recogerá en la ficha son los siguientes: Descripción: o Número de enlaces detectados. o Estado de BGP y enlaces. o Sistema autónomo al que pertenece. o Dirección IP del router. Enlaces: o Identificador. o Dirección IP. 104

124 Ejemplo Esta ficha la podrá exportar a Word. Al clicar en el botón de EXPORTAR saldrá un cuadro de diálogo y al guardar, la exportación a Word se guardará por defecto con el nombre del router y la fecha que se ha realizado. Una vez se ha guardado la exportación, el botón de EXPORTAR cambiará a VISUALIZAR y desde la misma herramienta podrá abrir el fichero.doc. 105

125 La exportación la realizará sobre una plantilla que pertenece a las resources del programa. Router Analyzer abrirá Microsoft Word e irá cambiando la información del router por unos campos que como se han programado para que los busque. El código para introducir en Word el nombre del router es el siguiente: Introducirá la variable host cuando encuentre en la plantilla el campo %%nombrehost%%. WordApp = CreateObject("Word.Application") WordDoc = WordApp.Documents.Open(pathFicheroword) Dim xrange = WordDoc.Range xrange = WordDoc.Range xrange.find.execute("%%nombrehost%%",,,,,,,,, host, True) El documento que se abrirá viene a continuación. 106

126 107

127 6.3.2 Opciones de configuración El botón de configuración abrirá al usuario la pantalla que viene a continuación: Puede elegir entre dos opciones de configuración: Un enlace BGP: en cuyo caso podrá permitir o filtrar accesos a enlaces. Un router BGP: en este caso el usuario tendrá la opción de generar un fichero de configuración después de contestar unas preguntas que le generará la aplicación. A esta ventana se le ha habilitado la opción de ayuda, si el usuario no supiese que contestar y clicase en el botón de ayuda le saldría lo siguiente: 108

128 Configuración de enlaces a) Introducción A lo largo de la historia de Internet, se han producido diferentes situaciones de alto riesgo derivados de fallos en BGP. En este documento se han recogido los episodios más relevantes del siglo XXI. Estos incidentes proceden, en su mayoría, de fallos de configuración. Con esta herramienta se ha logrado acotar al máximo el margen de maniobra de un administrador a la hora de configurar un enlace. En 5 sencillos pasos, Router Analyzer, recauda suficiente información para añadir o bloquear un enlace. Esta información la guardará en el fichero.cfg. Los 5 pasos son los siguientes: Paso 1: Tipo de permiso Paso 2: Tipo de enlace / tipo de filtro Paso 3: Máscara de red Paso 4: Dirección IP Paso 5: Descripción del enlace 109

129 b) Diagrama de flujo CONFIGURACIÓN ENLACE TIPO DE PERMISO LEER OPCIÓN 1 SI OPCION 1= Permitir NO TIPO DE PERMISO TIPO DE ENLACE LEER OPCIÓN 2 LEER OPCIÓN 2 TIPO DE MÁSCARA LEER OPCIÓN 3 SI OPCION 3= Otra NO 0 VERIFICAR OCTETOS 1 DIRECCIÓN IP LEER IP SI OPCION 2 = Externo o OPCION 1 = Filtrar 1 NO VERIFICAR OCTETOS 0 SISTEMA AUTÓNOMO DESCRIPCION LEER SA LEER DESC FINALIZAR PROCESO 110

130 111

131 c) Pasos de configuración Paso1. El usuario deberá facilitar al a aplicación el tipo de permiso que quiere dar al enlace. Hay dos tipos de permiso: Filtrar: Permitir En el caso de filtrar, el usuario está denegando el acceso a una ruta. Los tipos de filtro que puede elegir el usuario se verán en el paso 2. Si el usuario decide permitir un enlace, estará estableciendo vecindad con otro router, podrá ser dentro o fuera de la red, IBGP y EBGP respectivamente. Paso2. En el paso 2 habrá hasta 4 opciones 2 y 2, dependiendo de la opción elegida en el paso 1. Si ha elegido filtrar saldrá lo siguiente: Route Filtering: Filtro basado en dirección de rutas Path Filtering: Filtro según SA En cambio, si en el paso 1 decidió establecer un enlace con otro router, tendrá estas dos opciones: Interno: enlace entre dos routers dentro de la misma organización Externo: enlace enter ds routers pertenecientes a diferentes organizaciones. Paso 3. En este caso, independientemente de lo que el usuario haya establecido previamente, es decir, ya sea un filtro o un permiso, el usuario deberá proporcionar a Router Analyzer, la máscara de la dirección IP del enlace que se está configurando. El rango de valores que aceptará la aplicación será desde a , si los valores introducidos por el usuario no se encuentran en este rango, saldrá un mensaje de error y no le dejará avanzar al siguiente paso. 112

132 Paso 4. En el paso 4 la herramienta pedirá al usuario la dirección IP del enlace. En aquellos casos en los que sea necesario conocer el sistema autónomo al que pertenece el router vecino, la aplicación pedirá el ASN al usuario. Los casos en los será necesario son los siguientes: Enlace externo Route Filtering Path Filtering Paso 5. Llegados a este punto, la configuración del enlace se ha prácticamente terminado. El usuario dará una breve descripción para facilitar futuras actualizaciones. Si en el paso 1 el usuario decidió establecer una vecindad, ya sea interna o externa, también deberá nombrar el interfaz del enlace. La sintaxis de la descripción es la siguiente: Nombre Interfaz Descripción del enlace Ejemplo Serial0 Enlace al proveedor 1 d) Verificar configuración Una vez terminados los 5 pasos establecidos para la configuración de un enlace, Router Analyzer verificará los datos introducidos. Para un enlace interno, el router comprobará que todos los datos sean correctos. Para los enlaces externos y filtros esta situación cambia. 113

133 Router Analyzer se conectará a whois Domain Tools para comprobar que la dirección IP introducida en el paso 4 pertenezca al sistema autónomo proporcionado por el usuario. En caso de error, saldrá el siguiente mensaje por pantalla: En este caso, Router Analyzer no dejará guardar el enlace y posibilitará solo aquellos campos que el administrador deba corregir. Podrá cambiar la dirección IP o el sistema autónomo y también tendrá acceso a toda la información sacada de whois Domain Tools que ya se vio en el apartado 3.2 de este anexo. Si Router Analyzer considera que el enlace está bien configurado y este pertenece a quien dice ser, dará la opción de guardar en el enlace y pedirá al usuario el fichero de configuración del router al que se le quiere agrupar este enlace. Una vez finalizada la configuración el usuario será redirigido a la pantalla de inicio de la aplicación. 114

134 Configuración de un router BGP Para la configuración predeterminada de Router Analyzer, el usuario deberá responder a 10 preguntas. Una vez contestadas, la herramienta abrirá directamente la ventana de configuración de enlaces. Router Analyzer ha sido diseñada para facilitar las labores de administradores de red. La semántica usada para configurar routers BGP puede ser confusa y no todos los responsables de routers conocerán la totalidad de los comandos necesarios para una configuración robusta. La imagen mostrada a continuación son las 10 preguntas que el usuario deberá contestar para llevar a cabo la configuración predeterminada: Nota: Cada pregunta y/o comando vienen explicados en el anexo B de este proyecto en las plantillas de configuración. Una vez contestadas las 10 preguntas, el usuario podrá guardar el fichero de configuración (.cfg) y será dirigido a la configuración de enlaces explicada en el epígrafe anterior. 115

135 6.4 Configuración Helper Introducción Al iniciar una configuración de un router, la aplicación mostrará una opción la cual solo será visible al principio. Una vez se comience la configuración habrá que dar a borrar para poder activar dicha opción. La opción se denomina Configuración Helper y se habilita con un checked ítem que pone habilitar ayuda. Esta opción es un asistente de configuración, ayudará a aquellos administradores que lo necesiten. Como ya se ha mencionado anteriormente en este proyecto, hoy en día no todos los técnicos desempeñando misiones en infraestructura de red disponen de una capacidad técnica y de conocimientos para cuantificar y analizar todos los riesgos, lo cual implícitamente es determinante en el modo de analizarlos y remediarlos. Configuración Helper funciona mientras se está configurando un enlace. Estimado lector, recuerde los pasos de configuración (véase supra), los cuales se enumeran brevemente: Paso 1: Tipo de permiso 1. Filtrar 2. Permitir Paso 2.1: Tipo de Filtro Route Filtering Path Filtering Paso 2.2: Tipo de Enlace Interno Externo 116

136 Paso 3: Máscara Paso 4: Dirección IP (y en cuyos casos sea necesario el sistema autónomo Dirección IP y Sistema autónomo. Paso 5: Descripción y nombre del enlace a. Configuración Helper Paso 1 En el primer paso, toda configuración de un enlace pedirá al usuario introducir el tipo de permiso que quiere darle a tal enlace. Dispondrá de dos opciones, filtrar esa red (o bloquear) y permitirla (establecer vecindad BGP), el asistente de configuración mostrará un mensaje por pantalla advirtiendo o informando al usuario de lo que está haciendo. Filtrar. Permitir. 117

137 b Configuración Helper Paso 2 En el segundo paso, el Configuración Helper tiene hasta 4 posibles mensajes. Todo depende de la opción que haya elegido el usuario en el paso 1. a. Filtrar El usuario tendrá la opción de hacer dos tipos de filtro en la configuración de su router: Route Filtering Path Filtering 118

138 b. Permitir Si el usuario elige permitir un enlace, es decir, establecer un peering con otro router, le aparecerán dos nuevas opciones: Interno Externo 119

139 c. Configuración Helper Paso 3 El tercer paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la máscara de red, en consecuencia, el Configuración Helper mostrará el siguiente mensaje: d. Configuración Helper Paso 4 El cuarto paso, como ya se ha visto anteriormente, es común para todos, ya sea un filtro de una dirección o un establecimiento de vecindad. En este paso, el usuario tiene que introducir la dirección IP, en consecuencia, el Configuración Helper mostrará el siguiente mensaje: 120

140 e. Configuración Helper Paso 5 En el quinto paso, la herramienta necesita que se le ponga un nombre al interfaz de conexión que se quiere configurar. Es opcional adjuntar una descripción del enlace que la herramienta escribirá en el fichero de configuración. En este paso el Configuración Helper muestra el siguiente mensaje: 121

141 ANEXO B. PLANTILLAS PLANTILLAS DE SEGURIDAD BGP CISCO IOS E IOS XR 122

142 123

143 124

SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIÓN. ROUTER ANALYZER

SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIÓN. ROUTER ANALYZER SEGURIDAD EN BGP, ATAQUES AL PROTOCOLO Y FALLOS DE CONFIGURACIÓN. ROUTER ANALYZER Autor: Jorge Pérez Calleja Director: Jose Luis Gahete Diaz Entidad Colaboradora: Universidad Pontificia Comillas RESUMEN

Más detalles

Encaminamiento en Internet 4. BGP

Encaminamiento en Internet 4. BGP Encaminamiento en Internet 4. BGP Redes I Departamento de Sistemas Telemáticos y Computación (GSyC) Octubre de 2010 GSyC - 2010 Encaminamiento en Internet: 4. BGP 1 c 2010 Grupo de Sistemas y Comunicaciones.

Más detalles

Sistemas autónomos BGPv4. Peering. Autonomous Systems and BGPv4. Protocolo interno y externo Mensajes Atributos Reflectores y confederaciones

Sistemas autónomos BGPv4. Peering. Autonomous Systems and BGPv4. Protocolo interno y externo Mensajes Atributos Reflectores y confederaciones Sistemas autónomos BGPv4 Protocolo interno y externo Mensajes Atributos Reflectores y confederaciones Peering Tipos de peering Puntos neutros Multihoming Sistema Autónomo (AS): conjunto de routers con

Más detalles

Protocolos de enrutamiento dinamico RIP, OSPF, BGP

Protocolos de enrutamiento dinamico RIP, OSPF, BGP BGP dinamico,, BGP Facultad de Ciencias Matemáticas - UNMSM EAP. Computación Científica 23 de octubre de 2012 BGP Introduccion Un protocolo de es un software complejo que se ejecuta de manera simultánea

Más detalles

Introduccion a BGP 1

Introduccion a BGP 1 Introduccion a BGP 1 Border Gateway Protocol Protocolo de enrutamiento usado para intercambiar información de enrutamiento entre diferentes redes Exterior gateway protocol (protocolo externo) Descrito

Más detalles

Diseño y configuración de redes IP

Diseño y configuración de redes IP Contenido Tema 8 Diseño y configuración de redes IP Protocolos de encaminamiento Características Sistemas autónomos IGP: RIP y OSPF EGP: BGP Segunda parte 1 Ampliación interconexión de redes: Conmutadores

Más detalles

INTRODUCCION Y ENUNCIADO

INTRODUCCION Y ENUNCIADO INTRODUCCION Y ENUNCIADO Ingeniería de Red La finalidad de ejercicio es que se pueda enrutar tráfico entre las redes 192.168.3.0/24 y la red 192.168.4.0/24 (Sucursal de BSAS y TUC) configurando el protocolo

Más detalles

REDES DE COMPUTADORES Laboratorio

REDES DE COMPUTADORES Laboratorio 1nsloo.cl REDES DE COMPUTADORES Laboratorio Práctica 3: Protocolos de enrutamiento dinámico RIP y OSPF 1. OBJETIVO El objetivo de esta práctica es conocer el modo de operar de los protocolos de enrutamiento

Más detalles

BGP (Border Gateway Protocol) Análisis y simulación

BGP (Border Gateway Protocol) Análisis y simulación BGP (Border Gateway Protocol) Análisis y simulación Pantelis, Pablo Federico Monte de Oca, Victor Martin Galleguillo, Juan Facultad de Ingeniería Instituto Universitario Aeronáutico Av. Fuerza Aérea 6500,

Más detalles

01/10/2010. 15. Conjunto de protocolos TCP/IP IP. Contenido. Enrutamiento Intradomain y enrutamiento Interdomain routing

01/10/2010. 15. Conjunto de protocolos TCP/IP IP. Contenido. Enrutamiento Intradomain y enrutamiento Interdomain routing 15. Conjunto de protocolos TCP/IP IP Contenido i. Programación de enrutadores Enrutamiento Intradomain y enrutamiento Interdomain routing El enrutamiendo dentro de un sistema autónomo (AS) es referido

Más detalles

CCNA 2 Conceptos y Protocolos de Enrutamiento

CCNA 2 Conceptos y Protocolos de Enrutamiento CCNA 2 Conceptos y Protocolos de Enrutamiento 1 Objetivos Desarrollar un conocimiento sobre la manera en que un router aprende sobre las redes remotas Como un router determina la mejor ruta hacia dichas

Más detalles

Sistemas de Transporte de Datos (9186). Curso 2010-11 Ingeniería Informática

Sistemas de Transporte de Datos (9186). Curso 2010-11 Ingeniería Informática Sistemas de Transporte de Datos (9186). Curso 2010-11 Ingeniería Informática Carlos A. Jara Bravo (cajb@dfists.ua.es) Grupo de Innovación Educativa en Automática 2010 GITE IEA Sistemas de Transporte de

Más detalles

Redes LAN y WAN UNIDAD. Redes WAN. Routing. Clase 3 Clase 4 Clase 5 Clase 6

Redes LAN y WAN UNIDAD. Redes WAN. Routing. Clase 3 Clase 4 Clase 5 Clase 6 Redes LAN y WAN UNIDAD 5 Redes WAN. Routing Clase 3 Clase 4 Clase 5 Clase 6 Exposición 2.11. Routing La determinación de la ruta óptima para alcanzar un destino requiere un conocimiento profundo por parte

Más detalles

WALC2012 Track 2: Despliegue de IPv6 Día - 2 Panamá 15-19 Octubre 2012

WALC2012 Track 2: Despliegue de IPv6 Día - 2 Panamá 15-19 Octubre 2012 WALC2012 Track 2: Despliegue de IPv6 Día - 2 Panamá 15-19 Octubre 2012 Alvaro Vives (alvaro.vives@consulintel.es) - 1 Agenda 1. Encaminamiento con IPv6 PRÁCTICA: Encaminamiento - 2 1. Encaminamiento con

Más detalles

Universidad de Antioquia Juan D. Mendoza V.

Universidad de Antioquia Juan D. Mendoza V. Universidad de Antioquia Juan D. Mendoza V. El router es una computadora diseñada para fines especiales que desempeña un rol clave en el funcionamiento de cualquier red de datos. la determinación del mejor

Más detalles

Cartilla resumida de comandos y parámetros Cisco para la configuración de BGP

Cartilla resumida de comandos y parámetros Cisco para la configuración de BGP Cartilla resumida de comandos y parámetros Cisco para la configuración de BGP Introducción Daremos un resumen de los comandos que pueden resultar útiles para configurar y utilizar BGP, con especial énfasis

Más detalles

Capítulo 4: Capa Red - IV

Capítulo 4: Capa Red - IV Capítulo 4: Capa Red - IV ELO322: Redes de Computadores Agustín J. González Este material está basado en: Material de apoyo al texto Computer Networking: A Top Down Approach Featuring the Internet 3rd

Más detalles

University of Castilla-La Mancha

University of Castilla-La Mancha University of Castilla-La Mancha A publication of the Department of Computer Science Protocolos de Encaminamiento en Internet by Rafael Casado, Francisco J. Quiles, and José Duato Technical Report #DIAB-0-0-

Más detalles

Qué es BGP? Problemas de seguridad de BGP Soluciones parciales actuales S-BGP Alternativas a S-BGP Conclusiones Preguntas y comentarios

Qué es BGP? Problemas de seguridad de BGP Soluciones parciales actuales S-BGP Alternativas a S-BGP Conclusiones Preguntas y comentarios Universidad Carlos III de Madrid Integración de redes y servicios de banda ancha Saulo Barajas Qué es BGP? Problemas de seguridad de BGP Soluciones parciales actuales S-BGP Alternativas a S-BGP Conclusiones

Más detalles

Capítulo 4: Capa Red - IV

Capítulo 4: Capa Red - IV Capítulo 4: Capa Red - IV ELO322: Redes de Computadores Tomás Arredondo Vidal Este material está basado en: material de apoyo al texto Computer Networking: A Top Down Approach Featuring the Internet 3rd

Más detalles

Internet: TCP/IP Transmisión de datos y redes de ordenadores Internet: TCP/IP La familia de protocolos TCP/IP La capa de red en Internet El protocolo IP Protocolos auxiliares La capa de transporte en Internet

Más detalles

Introducción a los protocolos de enrutamiento dinamico.

Introducción a los protocolos de enrutamiento dinamico. CICLO: 02/2012 UNIVERSIDAD DON BOSCO FACULTAD DE ESTUDIOS TECNOLÓGICOS ESCUELA DE COMPUTACION PRACTICA 5 NOMBRE DE LA MATERIA: Redes de área amplia NOMBRE DEL PROFESOR: Ing. Mauricio Figueroa, Ing. Edwin

Más detalles

Carácterísticas del enrutamiento dinámico en Internet Tema 4.- Enrutamiento con IP

Carácterísticas del enrutamiento dinámico en Internet Tema 4.- Enrutamiento con IP Clase 2 Carácterísticas del enrutamiento dinámico en Internet Tema 4.- Enrutamiento con IP Dr. Daniel Morató Redes de Ordenadores Ingeniero Técnico de Telecomunicación Especialidad en Sonido e Imagen,

Más detalles

Examen Febrero 2002 Test Resuelto Temas 9-13

Examen Febrero 2002 Test Resuelto Temas 9-13 Exámenes de Redes de Ordenadores Examen Febrero 2002 Test Resuelto Temas 9-13 Uploaded by Ingteleco http://ingteleco.iespana.es ingtelecoweb@hotmail.com La dirección URL puede sufrir modificaciones en

Más detalles

1.Introducción. 2.Direcciones ip

1.Introducción. 2.Direcciones ip 1.Introducción El papel de la capa IP es averiguar cómo encaminar paquetes o datagramas a su destino final, lo que consigue mediante el protocolo IP. Para hacerlo posible, cada interfaz en la red necesita

Más detalles

INTERCONECTIVIDAD DIRECCIONAMIENTO. Direccionamiento Protocolos de Internet Ruteo

INTERCONECTIVIDAD DIRECCIONAMIENTO. Direccionamiento Protocolos de Internet Ruteo INTERCONECTIVIDAD Direccionamiento Protocolos de Internet Ruteo DIRECCIONAMIENTO En comunicaciones, el direccionamiento (a veces conocido por el anglicismo ruteo) es el mecanismo por el que en una red

Más detalles

REPORTE PRÁCTICA ROUTEADOR ALUMNA: BRIZEIDA DEL CARMEN LEDEZMA OLIVAS N CONTROL: 10040342 MAESTRO: M.C.C. JOSE RAMON VALDEZ GUTIERREZ

REPORTE PRÁCTICA ROUTEADOR ALUMNA: BRIZEIDA DEL CARMEN LEDEZMA OLIVAS N CONTROL: 10040342 MAESTRO: M.C.C. JOSE RAMON VALDEZ GUTIERREZ REPORTE PRÁCTICA ROUTEADOR ALUMNA: BRIZEIDA DEL CARMEN LEDEZMA OLIVAS N CONTROL: 10040342 MAESTRO: M.C.C. JOSE RAMON VALDEZ GUTIERREZ OCTUBRE DEL 2012 Tabla de Contenido Tabla de Contenido... 2 Índice

Más detalles

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED Dolly Gómez Santacruz dolly.gomez@gmail.com CAPA DE RED La capa de red se ocupa de enviar paquetes de un punto a otro, para lo cual utiliza los servicios

Más detalles

ROUTERS MÓDULO 2 PARTE 1

ROUTERS MÓDULO 2 PARTE 1 ROUTERS MÓDULO 2 PARTE 1 Interconexión de Redes Bibliografía: Tanenbaum Andrew - Computer Networks 4ta Edición Perlman Radia - Interconnections Bridges and Routers 2da Edición Cisco Networking Academy

Más detalles

Top-Down Network Design. Tema 7

Top-Down Network Design. Tema 7 Top-Down Network Design Tema 7 Selección de Protocolos de Conmutación y Enrutamiento Copyright 2010 Cisco Press & Priscilla Oppenheimer Traducción: Emilio Hernández Adaptado para ISI: Enrique Ostúa. 7-1

Más detalles

Enrutamiento Básico Talleres para ISP/IXP

Enrutamiento Básico Talleres para ISP/IXP Enrutamiento Básico Talleres para ISP/IXP 1 Conceptos de Enrutamineto IPv4 Enrutamiento Reenvío Algunas Definiciones Opciones de políticas Protocolos de Enrutamiento 2 IPv4 Internet utiliza IPv4 Direcciones

Más detalles

Enrutamiento. Emilio Hernández. Carlos Figueira

Enrutamiento. Emilio Hernández. Carlos Figueira Enrutamiento Emilio Hernández Carlos Figueira Introducción Una vez más: cuál es la diferencia entre enrutamiento y reenvío? (routing( vs forwarding) Por qué no podemos configurar las tablas en los enrutadores

Más detalles

Router Teldat. Protocolo BGP

Router Teldat. Protocolo BGP Router Teldat Protocolo BGP Doc. Dm763 Rev. 10.61 Marzo, 2008 ÍNDICE Capítulo 1 Protocolo BGP...1 1. Introducción... 2 1.1. Mecanismos del Protocolo... 2 1.2. Tipos de mensajes... 3 a) Cabecera del mensaje

Más detalles

Bloque IV: El nivel de red. Tema 13: Enrutamiento IP avanzado

Bloque IV: El nivel de red. Tema 13: Enrutamiento IP avanzado Bloque IV: El nivel de red Tema 13: Enrutamiento IP avanzado Índice Bloque IV: El nivel de red Tema 13: Enrutamiento avanzado Introducción Estructura de un router Tabla de enrutamiento ICMP máquina o red

Más detalles

Nivel de Red: Funciones Enrutamiento en Internet Tema 4.- Nivel de Red en Internet

Nivel de Red: Funciones Enrutamiento en Internet Tema 4.- Nivel de Red en Internet Nivel de : Funciones Enrutamiento en Internet Tema 4.- Nivel de en Internet Dr. Daniel Morató es de Computadores Ingeniero Técnico en Informática de Gestión, 2º curso Material parcialmente adaptado del

Más detalles

Servicio host to host. Conectar millones de LANs?

Servicio host to host. Conectar millones de LANs? Capa de Red Administración de Redes Locales Introducción Servicio host to host Conectar millones de LANs? Cómo encontrar un path entre dos hosts? Cómo reenviar paquetes a través de ese host? Introducción

Más detalles

PROTOCOLOS DE ENRUTAMIENTO

PROTOCOLOS DE ENRUTAMIENTO PROTOCOLOS DE ENRUTAMIENTO Los protocolos de enrutamiento son el conjunto de reglas utilizadas por un router cuando se comunica con otros router con el fin de compartir información de enrutamiento. Dicha

Más detalles

Universidad de Costa Rica Escuela de Ingeniería Eléctrica Redes de Computadores

Universidad de Costa Rica Escuela de Ingeniería Eléctrica Redes de Computadores Universidad de Costa Rica Escuela de Ingeniería Eléctrica Redes de Computadores Proyecto de Investigación: Protocolos Avanzados de Subredes, VLSM (Variable Length Subnet Masks) Ronald Caravaca / A91329

Más detalles

BGP. Clase 10 Emilio Hernández

BGP. Clase 10 Emilio Hernández BGP Clase 10 Emilio Hernández 1 Recordar: Sistemas Autónomos (SA) SA 100 A Conjunto de redes con una política unificada Protocolo de enrutamiento único Usualmente bajo la misma administración Sistemas

Más detalles

Configuración de ACL IP utilizadas frecuentemente

Configuración de ACL IP utilizadas frecuentemente Configuración de ACL IP utilizadas frecuentemente Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Ejemplos de configuración Permiso de acceso a la red para un

Más detalles

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II

Nombre: Francis Ariel Jiménez Zapata. Matricula: 2010-0077. Tema: Trabajando con Windows Server 2008 Módulo 6. Materia: Sistema Operativo II Nombre: Francis Ariel Jiménez Zapata Matricula: 2010-0077 Tema: Trabajando con Windows Server 2008 Módulo 6 Materia: Sistema Operativo II Facilitador: José Doñe Introducción En este trabajo estaremos tratando

Más detalles

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL.

EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. EVALUACIóN DE LA ACTIVIDAD 5.8: Configuración router ADSL. 1.- Qué diferencia hay entre NAT y PAT? NAT: Network Adress Translation. El router enmascara la dirección IP origen de los paquetes poniendola

Más detalles

Aspectos de Seguridad en BGP LACNIC XII

Aspectos de Seguridad en BGP LACNIC XII Aspectos de Seguridad en BGP LACNIC XII Problemas de BGP Corre en TCP y hereda todos los problemas de TCP IP Spoofing Session Hijacking Problemas de BGP Posibilidad de inyección de información errónea

Más detalles

Seguridad en BGP. Saulo Barajas Doctorado en Tecnologías de las Comunicaciones Universidad Carlos III de Madrid E-mail: saulo at saulo.

Seguridad en BGP. Saulo Barajas Doctorado en Tecnologías de las Comunicaciones Universidad Carlos III de Madrid E-mail: saulo at saulo. Seguridad en BGP Saulo Barajas Doctorado en Tecnologías de las Comunicaciones Universidad Carlos III de Madrid E-mail: saulo at saulo.net Abstract. The autonomous systems that constitute Internet interchange

Más detalles

TELECOMUNICACIONES Y REDES

TELECOMUNICACIONES Y REDES TELECOMUNICACIONES Y REDES Redes Computacionales I Prof. Cristian Ahumada V. Unidad V: Capa de Red OSI 1. Introducción. 2. Protocolos de cada Red 3. Protocolo IPv4 4. División de Redes 5. Enrutamiento

Más detalles

ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE II. CONCEPTOS Y PROTOCOLOS DE ENRUTAMIENTO

ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE II. CONCEPTOS Y PROTOCOLOS DE ENRUTAMIENTO ACADEMIA LOCAL CISCO UCV-MARACAY CONTENIDO DE CURSO CURRICULUM CCNA. EXPLORATION V4.0 SEMESTRE II. CONCEPTOS Y PROTOCOLOS DE ENRUTAMIENTO Módulo 1: Introducción al enrutamiento y envío de paquetes 1.1

Más detalles

YO SÉ NETWORKING. Juan Zambrano BGP. Teleccna.cl 08/01/2014

YO SÉ NETWORKING. Juan Zambrano BGP. Teleccna.cl 08/01/2014 2014 YO SÉ NETWORKING BGP Juan Zambrano 08/01/2014 ÍNDICE Proyecto YO SÉ NETWORKING... 3 BGP... 4 Tipos de conexiones a ISPs... 5 Singlehomed ISP Connectivity.... 5 Dual-Homed ISP Connectivity... 5 Multihomed

Más detalles

Enrutamiento (2) Area de Ingeniería Telemática http://www.tlm.unavarra.es

Enrutamiento (2) Area de Ingeniería Telemática http://www.tlm.unavarra.es Enrutamiento (2) Area de Ingeniería Telemática http://www.tlm.unavarra.es Arquitectura de Redes, Sistemas y Servicios 3º Ingeniería de Telecomunicación Basadas en el material docente de Lawrie Brown sobre

Más detalles

Universidad Católica de Temuco Escuela de Ingeniería Informática

Universidad Católica de Temuco Escuela de Ingeniería Informática Universidad Católica de Temuco Escuela de Ingeniería Informática Sistemas de Comunicación El Protocolo TCP/IP Alejandro Mauricio Mellado Gatica Revisión Diciembre de 2010 1 Índice de contenido Protocolos

Más detalles

Historia de la Internet

Historia de la Internet Historia de la Internet Año 1960: ARPA comienza un programa de investigación en universidades y corporaciones para crear una red de ordenadores que permita compartir datos Redes de ordenador en aquel tiempo:

Más detalles

Seguridad en redes y protocolos asociados

Seguridad en redes y protocolos asociados Seguridad en redes y protocolos asociados Ingeniería de Protocolos Curso 2002/2003 MariCarmen Romero Ternero mcromero@dte.us.es Sumario Introducción ACLs (Access Control Lists) VLAN (Virtual LAN) Criptografía

Más detalles

- ERouting Final Exam - CCNA Exploration: Routing Protocols and Concepts (Versión 4.0)

- ERouting Final Exam - CCNA Exploration: Routing Protocols and Concepts (Versión 4.0) 1 of 20 - ERouting Final Exam - CCNA Exploration: Routing Protocols and Concepts (Versión 4.0) 1 Cuáles son las afirmaciones verdaderas con respecto al encapsulamiento y desencapsulamiento de paquetes

Más detalles

TEMA 29 LOS PROTOCOLOS DE GESTIÓN. TCP/IP Y SNMP. OSI Y CMIS/CMIP. RMON.

TEMA 29 LOS PROTOCOLOS DE GESTIÓN. TCP/IP Y SNMP. OSI Y CMIS/CMIP. RMON. TEMA 29 LOS PROTOCOLOS DE GESTIÓN. TCP/IP Y SNMP. OSI Y CMIS/CMIP. RMON. Introducción... 1 TCP/IP Y SNMP... 2 Administración...3 Seguridad...3 Ventajas de SNMP...3 Desventajas de SNMP...3 Las versiones

Más detalles

CCNA EXPLORATION CONCEPTOS Y PROTOCOLOS

CCNA EXPLORATION CONCEPTOS Y PROTOCOLOS CCNA EXPLORATION CONCEPTOS Y PROTOCOLOS DE ENRUTAMIENTO COMPARACIÓN DEL NUEVO PROGRAMA DE ESTUDIOS CON EL PROGRAMA ACTUAL Preparada por Cisco Learning Institute 25 de junio, 2007 Resumen de conceptos y

Más detalles

Encaminamiento en redes con infraestructura

Encaminamiento en redes con infraestructura Encaminamiento en redes con infraestructura Departamento de Sistemas Telemáticos y Computación (GSyC) gsyc-profes (arroba) gsyc.es Noviembre de 2013 GSyC - 2013 Encaminamiento en redes con infraestructura

Más detalles

Introducción a los protocolos de enrutamiento dinámico

Introducción a los protocolos de enrutamiento dinámico Introducción a los protocolos de enrutamiento dinámico Conceptos y protocolos de enrutamiento. Capítulo 3 1 Objetivos Describir la función de los protocolos de enrutamiento dinámico y ubicar estos protocolos

Más detalles

Qué son los protocolos de enrutamiento Dinámico?

Qué son los protocolos de enrutamiento Dinámico? Sistemas Operativos SISTEMAS OPERATIVOS 1 Sesión No. 4 Nombre: Protocolos de enrutamiento dinámico Contextualización Qué son los protocolos de enrutamiento Dinámico? Los protocolos de enrutamiento dinámico

Más detalles

TEMA 25: El Protocolo TCP/IP.

TEMA 25: El Protocolo TCP/IP. Tema 25 Protocolo TCP/IP TEMA 25: El Protocolo TCP/IP. Índice 1 INTRODUCCIÓN 1 1.1 Historia 1 2 CAPAS DEL PROTOCOLO 2 2.1 La capa de aplicación 2 2.2 La capa de transporte 3 2.2.1 El protocolo TCP Protocolo

Más detalles

DIPLOMADO EN TECNOLOGIAS AVANZADAS DE INTERNET

DIPLOMADO EN TECNOLOGIAS AVANZADAS DE INTERNET DIPLOMADO EN TECNOLOGIAS AVANZADAS DE INTERNET Este diplomado aborda los temas más avanzados de configuración de protocolos como OSPF, EIGRP, RIPv2, BGP, etc. Se explican los temas más excitantes de diseño

Más detalles

Práctica de laboratorio 4.5.2: Protocolos de la capa de Transporte TCP/IP, TCP y UDP Diagrama de topología

Práctica de laboratorio 4.5.2: Protocolos de la capa de Transporte TCP/IP, TCP y UDP Diagrama de topología Práctica de laboratorio 4.5.2: Protocolos de la capa de Transporte TCP/IP, TCP y UDP Diagrama de topología Este documento es información pública de Cisco. Página 1 de 10 Tabla de direccionamiento Dispositivo

Más detalles

CAPITULO 2. Organismos de Control de asignación de direcciones IP

CAPITULO 2. Organismos de Control de asignación de direcciones IP CAPITULO 2 Estructuras de Asignación de Direcciones IP y Organismos de Control Direccionamiento IP En esta sección se explicará cómo se realiza la comunicación en una red de computadores, la diferencia

Más detalles

TCP/IP. IRI 2 do cuatrimestre 2015

TCP/IP. IRI 2 do cuatrimestre 2015 TCP/IP IRI 2 do cuatrimestre 2015 Redes y Protocolos Una red es un conjunto de computadoras o dispositivos que pueden comunicarse a través de un medio de transmisión en una red. Los pedidos y datos de

Más detalles

CCNA 1 - Examen final

CCNA 1 - Examen final CCNA 1 - Examen final 1. Se refieren a la exposición. B acogida a los intentos de establecer una red TCP / IP con el período de sesiones de acogida C. Durante este intento, uno fue capturado en el marco

Más detalles

GUÍAS FÁCILES DE LAS TIC

GUÍAS FÁCILES DE LAS TIC GUÍAS FÁCILES DE LAS TIC del COLEGIO OFICIAL DE INGENIEROS DE TELECOMUNICACIÓN Trabajo Premiado 2006 Autor: Router IP D. José María Jurado García-Posada 17 de Mayo 2006 DIA DE INTERNET Guía fácil Router

Más detalles

Universisdad de Los Andes Facultad de Ingeniería Escuela de Sistemas. Capa de Red. Mérida - Venezuela Prof. Gilberto Díaz

Universisdad de Los Andes Facultad de Ingeniería Escuela de Sistemas. Capa de Red. Mérida - Venezuela Prof. Gilberto Díaz Universisdad de Los Andes Facultad de Ingeniería Escuela de Sistemas Capa de Red Mérida - Venezuela Prof. Gilberto Díaz Capa de Red Gestión de tráfico entre redes Direcciones IP Las direcciones de red

Más detalles

PUERTO DE SALINA CRUZ OAXACA, 16 DE MARZO DEL 2015.

PUERTO DE SALINA CRUZ OAXACA, 16 DE MARZO DEL 2015. INSTITUTO TECNOLÓGICO DE SALINA CRUZ ACTIVIDAD: TRABAJO DE INVESTIGACION SOBRE ENRUTAMIENTO ESTATICO Y DINAMICO. DOCENTE: M.C. SUSANA MÓNICA ROMÁN NÁJERA. MATERIA: REDES DE COMPUTADORAS. NOMBRE DEL ALUMNO:

Más detalles

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.- Cuál es la forma predeterminada en la que el tráfico IP se filtra en un router Cisco? bloqueado hacia adentro y hacia afuera de todas las interfaces bloqueado en todas las interfaces entrantes, pero permitido

Más detalles

Características del enrutamiento dinámico en Internet

Características del enrutamiento dinámico en Internet aracterísticas del enrutamiento dinámico en Internet Dr. Daniel Morató Area de Ingeniería Telemática Departamento de Automática y omputación Universidad Pública de Navarra daniel.morato@unavarra.es Laboratorio

Más detalles

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida

Módulo Nº 7. Aspectos de Seguridad en Redes de Área Extendida Módulo Nº 7 Aspectos de Seguridad en Redes de Área Extendida Bibliografía W. Stalling, Fundamentos de seguridad en redes, 2º edición, Prentice Hall. A. V. Herta, Seguridad en Unix y Redes, Versión 1.2

Más detalles

Universidad de Costa Rica. Protocolo de Enrutamiento RIP

Universidad de Costa Rica. Protocolo de Enrutamiento RIP Universidad de Costa Rica Facultad de Ingeniería Escuela de Ingeniería Eléctrica IE-0425 Redes de Computadoras I ciclo 2015 Trabajo Final Protocolo de Enrutamiento RIP Josué David Vargas Andrés Sánchez

Más detalles

Práctica de laboratorio 6.2.5 Configuración de BGP con el enrutamiento por defecto

Práctica de laboratorio 6.2.5 Configuración de BGP con el enrutamiento por defecto Práctica de laboratorio 6.2.5 Configuración de BGP con el enrutamiento por defecto Loopback 0 192.168.100.1/24 Objetivos Configurar el router del cliente con una red interna que se publicará a través de

Más detalles

Práctica 4: Configuración de los protocolos de IGRP y EIGRP.

Práctica 4: Configuración de los protocolos de IGRP y EIGRP. Práctica 4: Configuración de los protocolos de IGRP y EIGRP. Material necesario: maqueta de routers, cables de red y consola y ordenadores de consola. Destacar que en los ejemplos utilizados se hace mención

Más detalles

Router Teldat. Facilidad NAPT

Router Teldat. Facilidad NAPT Router Teldat Facilidad NAPT Doc. DM735 Diciembre, 2002 ÍNDICE Capítulo 1 Introducción...1 1. Introducción a la facilidad NAPT...2 2. Excepciones al NAPT...3 2.1. Puertos visibles...3 2.2. Subredes visibles...3

Más detalles

1.4 Análisis de direccionamiento lógico. 1 Elaboró: Ing. Ma. Eugenia Macías Ríos

1.4 Análisis de direccionamiento lógico. 1 Elaboró: Ing. Ma. Eugenia Macías Ríos 1.4 Análisis de direccionamiento lógico 1 Se lleva a cabo en la capa de Internet del TCP/IP (capa de red del modelo OSI) la cual es responsable de las funciones de conmutación y enrutamiento de la información

Más detalles

Capítulo 11: Capa 3 - Protocolos

Capítulo 11: Capa 3 - Protocolos Capítulo 11: Capa 3 - Protocolos Descripción general 11.1 Dispositivos de Capa 3 11.1.1 Routers 11.1.2 Direcciones de Capa 3 11.1.3 Números de red únicos 11.1.4 Interfaz/puerto del router 11.2 Comunicaciones

Más detalles

ARQUITECTURA DE REDES

ARQUITECTURA DE REDES ARQUITECTURA DE REDES Boletín 4: RIP Contenidos: 1. Introducción... 2 2. Distancia administrativa... 2 3. Configuración básica de RIP... 3 4. Información de depuración... 4 5. Rutas por defecto... 6 6.

Más detalles

Capa de red en Internet

Capa de red en Internet Capa de red en Internet Una colección de Sistemas Autónomos (AS) Algunos backbones (espina dorsal, corazón de la red) formados por proveedores de nivel más alto Lo que los une es el Protocolo IP Necesidad

Más detalles

Práctica de laboratorio 2.3.4 Configuración de la autenticación OSPF

Práctica de laboratorio 2.3.4 Configuración de la autenticación OSPF Práctica de laboratorio 2.3.4 Configuración de la autenticación OSPF Objetivo Configurar un esquema de direccionamiento IP para el área Primero la ruta libre más corta (OSPF). Configurar y verificar el

Más detalles

Configuración de una Red BGP Básica

Configuración de una Red BGP Básica Configuración de una Red BGP Básica Descargue este capítulo Configuración de una Red BGP Básica Descargue el libro completo Routing IP: Guía de configuración BGP, Cisco IOS Release 12.2SR (PDF - 4 MB)

Más detalles

Universidad de Costa Rica Facultad de Ingeniería Escuela de Ingeniería Eléctrica

Universidad de Costa Rica Facultad de Ingeniería Escuela de Ingeniería Eléctrica Universidad de Costa Rica Facultad de Ingeniería Escuela de Ingeniería Eléctrica IE 0502 Proyecto Eléctrico Análisis y simulación de los protocolos de enrutamiento OSPF y RIP para redes de datos utilizando

Más detalles

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos.

Gran número de usuarios accediendo a un único servicio y con un único protocolo. Servidores y clientes con distintos protocolos. 1RWD7pFQLFD,(OSURWRFRORGHFRQH[LyQ1HW La función principal del protocolo Net 8 es establecer sesiones de red y transferir datos entre una máquina cliente y un servidor o entre dos servidores. Net8 debe

Más detalles

Tabla de Contenido. Cisco Configurando ACLs de IP Comúnmente Usadas

Tabla de Contenido. Cisco Configurando ACLs de IP Comúnmente Usadas Tabla de Contenido Configurando ACLs de IP Comúnmente Usadas...1 Introducción.....1 Prerrequisitos...2 Versiones de Hardware y Software...3 Ejemplos de Configuración...3 Permitir a un Host Seleccionado

Más detalles

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización

CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL. Nivel 2. Versión 5 Situación RD 1201/2007 Actualización Página 1 de 16 CUALIFICACIÓN OPERACIÓN DE REDES DEPARTAMENTALES PROFESIONAL Familia Profesional Informática y Comunicaciones Nivel 2 Código IFC299_2 Versión 5 Situación RD 1201/2007 Actualización Competencia

Más detalles

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED Mario Alberto Cruz Gartner malcruzg@univalle.edu.co CONTENIDO Direcciones privadas Subredes Máscara de Subred Puerta de Enlace Notación Abreviada ICMP Dispositivos

Más detalles

Módulo 9 Puntos de Intercambio de Internet (IXP)

Módulo 9 Puntos de Intercambio de Internet (IXP) ISP/IXP Networking Workshop Lab Módulo 9 Puntos de Intercambio de Internet (IXP) Objetivo: Módulo opcional para demostrar el uso de BGP en los Puntos de Intercambio de Internet (IXP). Prerrequisitos: Módulos

Más detalles

Fig.1 Redes conectadas a Internet a través de routers IP

Fig.1 Redes conectadas a Internet a través de routers IP PRACTICA 4 EL PROTOCOLO IP Hasta ahora hemos visto aspectos relacionados con el hardware de red de nuestras máquinas: Acceso al adaptador de red y un mecanismo para la resolución de direcciones hardware.

Más detalles

Seguridad en un Proveedor de Servicios de Internet (ISP) Ing. Carlos Martínez - Ing. Leonardo Vidal Anteldata. www.antel.com.uy

Seguridad en un Proveedor de Servicios de Internet (ISP) Ing. Carlos Martínez - Ing. Leonardo Vidal Anteldata. www.antel.com.uy Seguridad en un Proveedor de Servicios de Internet (ISP) Ing. Carlos Martínez - Ing. Leonardo Vidal Anteldata www.antel.com.uy Introducción Exponer los problemas de seguridad más relevantes a los que está

Más detalles

Mecanismos de protección. Xavier Perramon

Mecanismos de protección. Xavier Perramon Mecanismos de protección Xavier Perramon 50 Mecanismos de protección 3. Protección del nivel de red: IPsec. En los apartados anteriores hemos visto los mecanismos básicos de protección, que proporcionan

Más detalles

UNIVERSIDAD PRIVADA CIENCIAS E INFORMATICA PROTOCOLO BGP PROTOCOLO BGP

UNIVERSIDAD PRIVADA CIENCIAS E INFORMATICA PROTOCOLO BGP PROTOCOLO BGP INTRODUCCION BGP: ebgp e ibgp LAN 1 LAN 2 Sistema Autónomo Sistema Autónomo LAN 4 LAN 5 Se como Se como llegar a llegar LAN a, b y LAN a, 4,5,6 Se como llegar a LAN a, b y 1,2,3 LAN 3 Sesión TCP Cada router

Más detalles

Instalación: Instalación de un agente en una máquina cliente y su registro en el sistema.

Instalación: Instalación de un agente en una máquina cliente y su registro en el sistema. HERRAMIENTA DE MONITORIZACIÓN DE SISTEMAS Autor: Sota Madorrán, Iñaki. Director: Igualada Moreno, Pablo. Entidad Colaboradora: Evotec Consulting, S.L. RESUMEN DEL PROYECTO El proyecto consiste en el diseño,

Más detalles

TEMARIO DE TEORIA. Módulo 1: WAN y Routers. Módulo 2: Introducción a los routers. Módulo 3: Configuración del router

TEMARIO DE TEORIA. Módulo 1: WAN y Routers. Módulo 2: Introducción a los routers. Módulo 3: Configuración del router 1 TEMARIO DE TEORIA Módulo 1: WAN y Routers 1.1 Redes WAN 1.1.1 Introducción a las redes WAN 1.1.2 Introducción a los routers de una WAN 1.1.3 Los routers en las LAN y WAN 1.1.4 La función del router en

Más detalles

Introducción al Tema SISTEMAS OPERATIVOS 2

Introducción al Tema SISTEMAS OPERATIVOS 2 Sistemas Operativos SISTEMAS OPERATIVOS 1 Sesión No. 12 Nombre: OSPF Contextualización Qué son los OSPF? El OSPF es normalmente usado y configurado como un área sólo para las pequeñas empresas o también

Más detalles

Lab. 4 - Inter-Domain Routing: BGPv4

Lab. 4 - Inter-Domain Routing: BGPv4 Lab. 4 - Inter-Domain Routing: BGPv4 Lab. 4 - Inter-Domain Routing: BGPv4 4.1. Introducción a BGPv4 (RFC 4271) Las características básicas son: Es un protocolo de encaminamiento externo que permite crear

Más detalles

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior. Listas de control de acceso o ACL. Listas de control de acceso o ACL. Una ACL es una lista secuencial de sentencias de permiso o denegación que se aplican a direcciones IP o protocolos de capa superior.

Más detalles

Configuración del acceso a Internet en una red

Configuración del acceso a Internet en una red Configuración del acceso a Internet en una red Contenido Descripción general 1 Opciones para conectar una red a Internet 2 Configuración del acceso a Internet utilizando un router 12 Configuración del

Más detalles

Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática

Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática Universidad Interamericana de Puerto Rico Recinto de Bayamón Departamento de Informática IPSEC Internet Protocol Security Profesor: Luis M. Cardona Hernández Seguridad en las Redes Introducción TCP/IP

Más detalles

2003 Cisco Systems, Inc. All rights reserved.

2003 Cisco Systems, Inc. All rights reserved. Access Control Lists (ACLs) CCNA 2 v3.0 Session Number Presentation_ID 2 of 942 Conceptos Básicos de ACL Session Number Presentation_ID 3 of 943 Configuración de Laboratorio: Topología y Scripts La Topología

Más detalles

Implementación de Software de Administración de Redes basado en Java

Implementación de Software de Administración de Redes basado en Java Implementación de Software de Administración de Redes basado en Java GestionRedesCisco2.0 Jorge Rabanal García, Electronic Engineer Student Francisco Alonso Villalobos, Electronic Engineer Escuela de Ingeniería

Más detalles