La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid

Publicada porRodolfo Benito Modificado hace 9 años

Presentaciones similares

Presentación del tema: "Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid"— Transcripción de la presentación:

1 Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid
3 de febrero de 2004

2 Contenido ¿Qué es BGP? Problemas de seguridad de BGP Soluciones parciales actuales S-BGP Alternativas a S-BGP Conclusiones Preguntas y comentarios

3 ¿Qué es BGP? Protocolo de encaminamiento externo.
Es la base del encaminamiento en Internet entre sistemas autónomos. Un sistema autónomo (AS) es una colección de redes (prefijos) gestionadas por una misma organización. Tienen números únicos. Es muy vulnerable a errores de configuración (involuntarios) y a ataques (intencionados). Las medidas de seguridad deben evitar que los errores repercutan en todo Internet.

4 Distribución de prefijos BGP

5 Principales vulnerabilidades
Un AS puede anunciar como suyos prefijos que no lo son. Un router puede suplantar a otro router e inyectar información inválida a sus vecinos (peers). Se pueden capturar mensajes enviados entre dos vecinos, eliminarlos, modificarlos o reenviarlos una o más veces (replay). No hay control temporal. Pueden quedar redes inaccesibles (agujeros negros) o redirigidas a un suplantador. BGP funciona sobre TCP por lo que es sensible a sus ataques: inundación de SYN, RST falsos...

6 Cómo mitigar estos problemas en la actualidad
Configurando adecuadamente filtros tanto de entrada como de salida (p. ej. para evitar que hagamos tránsito si somos organizaciones finales o para descartar prefijos reservados recibidos). Utilizando contraseñas para el establecimiento de sesión. Pero, ¿cómo distribuir las contraseñas? ¿y si se suplanta una sesión ya iniciada? Consultando registros de enrutamiento para comprobar los propietarios reales de los prefijos ( u otros). Se necesita una solución global 

7 S-BGP Propuesta (draft) para incluir autentificación, integridad y autorizaciones en los mensajes BGP. Esmeralda, mascota de S-BGP Promovido por NSA y DARPA. Desarrollado por BBN (los creadores de ARPANET y del correo electrónico). Tres elementos: Certificados digitales  2 PKIs, una para prefijos IP y otra para sistemas autónomos. Attestations  Autorizaciones emitidas. 2 tipos: de direcciones y de rutas. IPSec  Proporciona seguridad en los enlaces.

8 S-BGP: Certificados digitales
Se utilizan dos PKIs: PKI para asignación de direcciones. Certificados que asocian un conjunto de prefijos (redes) como propiedad de una organización. La jerarquía de CAs es la misma de la asignación de direcciones: Ej.: ICANN  RIPE  ISP  ... (¡estos organismos deben colaborar!)

9 S-BGP: Certificados digitales
PKI para asignación de ASs y routers asociados Certificados que asocian: un sistema autónomo como propiedad de una organización routers como autorizados para representar un AS La jerarquía de CAs es la misma de la asignación de ASNs (podría variar respecto a la asignación de redes).

10 S-BGP: Attestations Attestation de direcciones (AA)
Son autorizaciones emitidas por alguien para hacer algo. Se definen dos tipos: Attestation de direcciones (AA) Lo firma la organización para que un AS de su propiedad pueda recibir el tráfico de unos prefijos anunciados. Cada router que recibe un UPDATE verifica que el 1er AS está autorizado a recibir los prefijos que anuncia. Apenas varían. Se obtienen de un repositorio externo, no se envían en los UPDATES.

11 Envío de un UPDATE anunciando prefijos de AS1
S-BGP: Attestations Attestation de rutas (RA) Lo firma un router S-BGP para autorizar al siguiente AS vecino a distribuir un UPDATE. Son muy cambiantes. Se envían como un atributo (opcional y transitivo) dentro del UPDATE. Se incluye un RA por cada AS que forma la ruta. Cada RA lleva un tiempo de vida. RA de AS1 RA de AS2 RA de AS1 AS 1 AS 2 AS 3 Envío de un UPDATE anunciando prefijos de AS1

12 Envío de un mensaje BGP de AS1 a AS2
S-BGP: IPSec Proporciona integridad y autentificación en las sesiones entre pares BGP, mediante ESP e IKE. No se utiliza encriptación (no es necesario y sería lento). Además, soluciona las vulnerabilidades de TCP (como inundación de SYN y RST falsos). Router de AS1  IPSec  Router de AS2 Envío de un mensaje BGP de AS1 a AS2

13 ¿Es factible implementar S-BGP?
Requiere la colaboración de ICANN, registros regionales (RIPE, ARIN...), registros locales, ISPs, etc. para implantar las PKIs. Requiere actualizaciones de routers (tanto software) como hardware (mayor memoria para almacenar certificados). Las organizaciones finales deben valorar costes. Problema: nadie actualiza hasta que lo hagan los demás o lo vean necesario. Los autores demuestran que el mayor procesamiento, cantidad de memoria y ancho de banda utilizado no es significante.

14 Otros trabajos relacionados
TCP/MD5 [RFC 2385]. Es una extensión a TCP que incluye firma MD5. Proporciona autentificación e integridad en BGP para cada salto. Problemas: Distribución de claves y falta de seguridad global. soBGP (Secure Origin BGP). Utiliza certificados y un nuevo tipo de mensaje BGP “Security Message”. Verifica el origen de cada mensaje pero no considera ataques a mitad de una ruta. Estado: IETF draft.

15 Conclusiones BGP es esencial para el funcionamiento global de Internet. Los sistemas de seguridad deben proteger a la Red globalmente de ataques o fallos de seguridad aislados. S-BGP soluciona la mayor parte de problemas de seguridad pero su puesta en marcha es compleja.

16 Preguntas y comentarios
Seguridad en BGP Preguntas y comentarios

Descargar ppt "Seguridad en BGP Saulo Barajas Universidad Carlos III de Madrid"

Presentaciones similares

Certificados X.509 Federico García

Certificados X.509 Federico García
Sistemas Peer-To-Peer La plataforma JXTA

Sistemas Peer-To-Peer La plataforma JXTA
SEGURIDAD EN REDES DE DATOS

SEGURIDAD EN REDES DE DATOS
TELECOMUNICACIONES II

TELECOMUNICACIONES II
Switches, routers, hubs & “patch panels”

Switches, routers, hubs & “patch panels”
Enrutamiento Básico Talleres para ISP/IXP.

Enrutamiento Básico Talleres para ISP/IXP.
PROTOCOLO SEGURO HTTPS

PROTOCOLO SEGURO HTTPS
RIP Routing Information Protocol (Protocolo de Información de Enrutamiento). Es un protocolo de puerta de enlace interna o IGP (Internal Gateway Protocol)

RIP Routing Information Protocol (Protocolo de Información de Enrutamiento). Es un protocolo de puerta de enlace interna o IGP (Internal Gateway Protocol)
Enginyería de Xarxes Alberto Guerrero Raúl Moreno Carlos Rodríguez

Enginyería de Xarxes Alberto Guerrero Raúl Moreno Carlos Rodríguez
Introducción a los protocolos de enrutamiento dinámico

Introducción a los protocolos de enrutamiento dinámico
E NRUTAMIENTO E STÁTICO Prof.:Sergio Quesada Espinoza Conf. Dispositivos de Red.

E NRUTAMIENTO E STÁTICO Prof.:Sergio Quesada Espinoza Conf. Dispositivos de Red.
Enrutamiento con un protocolo de Link-State

Enrutamiento con un protocolo de Link-State
¿Cómo conectamos nuestra red a Internet?

¿Cómo conectamos nuestra red a Internet?
Conceptos y protocolos de enrutamiento. Capítulo 7

Conceptos y protocolos de enrutamiento. Capítulo 7
Seguridad del protocolo HTTP

Seguridad del protocolo HTTP
© 2003 Cisco Systems, Inc. All rights reserved.. 2 Session Number Presentation_ID Troubleshooting de Protocolos de Enrutamiento.

© 2003 Cisco Systems, Inc. All rights reserved.. 2 Session Number Presentation_ID Troubleshooting de Protocolos de Enrutamiento.
Direccionamiento IP Clases de direcciones. 01 de octubre de 2004Cesar Guisado2 TCP/IP La familia de protocolos TCP/IP fue diseñada para permitir la interconexión.

Direccionamiento IP Clases de direcciones. 01 de octubre de 2004Cesar Guisado2 TCP/IP La familia de protocolos TCP/IP fue diseñada para permitir la interconexión.
FIREWALL.

FIREWALL.
ROUTER.

ROUTER.
Auditoría de Sistemas y Software

Auditoría de Sistemas y Software

Presentaciones similares

Anuncios Google