Seguridad en un Proveedor de Servicios de Internet (ISP) Ing. Carlos Martínez - Ing. Leonardo Vidal Anteldata www.antel.com.uy
Introducción Exponer los problemas de seguridad más relevantes a los que está expuesto un ISP, su impacto en él y en sus clientes y las posibles soluciones para evitarlos o minimizar su impacto.
Problemática actual La propia esencia de un ISP de mediano y gran porte hace que su perímetro sea heterogéneo. Diferentes tecnologías Diferentes servicios Fronteras amplias
Problemática actual El crecimiento exponencial de los servicios de banda ancha (ADSL) desde la persectiva de la seguridad, puede ser un problema Miles de computadoras conectadas a Internet, en promedio varias horas por día, con velocidades importantes y con capacidades de procesamiento apreciables son tentadoras para los atacantes
Problemática actual La seguridad de las computadoras hogareñas no es una prioridad de la mayoría de la población En general, en seguridad, se es reactivo. Los sistemas operativos no son seguros. Las aplicaciones no son seguras. Desde que se conoce una vulnerabilidad hasta que se desarrolla el parche que la corrige puede pasar un tiempo apreciable (días, meses,...) y hasta que se aplica más aún ( años?)
Problemática actual Estamos rodeados de Intentos de robo de identidad Phishing Pharming Virus, spyware y otros malwares BotNets Intentos de denegación de servicio
Problemática Actual Robo de Identidad
Problemática Actual Bot Nets 1. El operador infecta PC s de usuarios 2. Los bots se conectan a una red IRC u otro canal de comunicaciones 3. Un spammer compra acceso a la botnet para enviar sus correos 4. El spammer envia comandos via IRC 5. El spam llega a otros sistemas
Problemática actual Además DoS (Denial of Service) Ataque cuyo objetivo es lograr que un recurso informático sea inaccesible para los usuarios legítimos del mismo En un entorno de ISP : distintos tipos de flooding ICMP y UDP flooding IP de origen en general falsa (spoofing) DDoS (Distributed Denial of Service) Direcciones de origen distribuidas en un rango muy amplio del espacio de direccionamiento IP
Problemática Actual Consecuencias del DoS / DDoS van mas allá del blanco específico Saturación de equipos y enlaces intermedios perjudica a otros usuarios Dirección de origen falsa Difícil de filtrar! (perímetro difuso) Ataque distribuido Muy difícil de filtrar sin empeorar la situación aun mas
Problemática actual Problemas de seguridad de los ISP Los problemas mencionados antes los sufren en general los clientes; los que veremos en las próximas diapositivas los sufren los ISPs, pero terminan perjudicando a los clientes también Protocolo de enrutamiento Interior Exterior DNS ( el servicio olvidado?)
Problemática actual Protocolo de enrutamiento interior Aquel que utiliza el ISP en su red para encaminar los paquetes de los clientes (RIP, OSPF). Si se logra envenenar una tabla de enrutamiento, se puede redirigir el tráfico de los clientes.
Problemática actual Protocolo de enrutamiento exterior Aquel que utiliza el ISP para conocer las redes de otros proveedores y hacer conocer las suyas (BGP). Si las sesiones BGP caen, vivimos la inalcanzabilidad. BGP se soporta sobre conexiones TCP. TCP tiene sus propios problemas de seguridad.
Problemática actual DNS (Domain Name System) Es un servicio casi nunca utilizado directamente por los usuarios pero sí indirectamente por todas las aplicaciones Brinda flexibilidad y comodidad Su indisponibilidad afecta a todas las aplicaciones Cada vez más involucrado en incidentes de seguridad por su impacto en las aplicaciones (principal target de los incidentes actuales)
Solución La solución no existe. Todo parece indicar que lo más adecuado es combinar soluciones, niveles de seguridad, en diferentes capas y tener varias fronteras que nos separen del enemigo. Ejemplos Autenticación: combinar métodos Más de un firewall
Solución para enrutamiento interior Integridad del dominio de routing Hablar el protocolo sólo con quien debemos Autenticar neighbors En las interfaces adecuadas Hash de los mensajes intercambiados Anilloantispoofing
Solución para enrutamiento exterior Mecanismos que chequean el campo TTL de los mensajes involucrados RFC 3682 Protección de las sesiones BGP con: shared key, MD5 RFC 2385 Filtrar por número de AS, por prefijos
Solución para DNS Split DNS Generar vistas distintas según quién realice la consulta Recursivo y no recursivo Especializar las tareas de los servidores que implementan los servicios DNS
Solución para DNS DNSSEC Proteger los mensajes Query/Response Firma de los registros de una zona y posterior verificación de la misma por parte de quien recibe el response Varios nuevos registros involucrados RRSIG, DNSKEY, NSEC, DS
Solución para DNS TSIG Autenticar el origen del mensaje y su integridad Clave secreta compartida Hash No escalable: Update dinámico y transferencia de zonas Registro TSIG: hash, algoritmo, key name, timestamp (NTP), delta de validez
Envenenando el caché del DNS Envenenar el caché de un servidor DNS Cambiar telcom2006.fing.edu.uy IN A dir_ip_verdadera por telcom2006.fing.edu.uy IN A dir_ip_falsa Si se pretende realizar un phishing, ya no se debe preocupar por confundir al usuario con la URL. Si se pretende descargarle un malware al usuario, se podrá hacer desde una URL confiable
Conclusiones La heterogeneidad de las fronteras de un SP (ISP) y de los servicios brindados condiciona fuertemente para que se deban implementar medidas de seguridad para cada caso Los incidentes de seguridad actuales obligan a implementar un conjunto de medidas de seguridad
Muchas gracias por su atención lvidal@anteldata.com.uy cmartinez@anteldata.com.uy www.antel.com.uy