El secuestro de BGP (a veces denominado secuestro de prefijos , secuestro de rutas o secuestro de IP ) es la toma ilegítima de grupos de direcciones IP al corromper las tablas de enrutamiento de Internet mantenidas mediante el Protocolo de puerta de enlace fronteriza (BGP). [1] [2] [3] [4] [5]
Fondo
Internet es una red global que permite a cualquier host conectado, identificado por su dirección IP única , hablar con cualquier otro, en cualquier parte del mundo. Esto se logra pasando datos de un enrutador a otro, moviendo repetidamente cada paquete más cerca de su destino, hasta que, con suerte, se entregue. Para hacer esto, cada enrutador debe recibir regularmente tablas de enrutamiento actualizadas . A nivel global, las direcciones IP individuales se agrupan en prefijos . Estos prefijos se originarán o serán propiedad de un sistema autónomo (AS) y las tablas de enrutamiento entre los AS se mantendrán utilizando el Protocolo de puerta de enlace fronteriza (BGP).
Un grupo de redes que operan bajo una única política de enrutamiento externo se conoce como sistema autónomo. Por ejemplo, Sprint, Verizon y AT&T son AS. Cada AS tiene su propio número de identificación de AS único. BGP es el protocolo de enrutamiento estándar que se utiliza para intercambiar información sobre el enrutamiento IP entre sistemas autónomos.
Cada AS usa BGP para anunciar prefijos a los que puede enviar tráfico. Por ejemplo, si el prefijo de red 192.0.2.0/24 está dentro de AS 64496, entonces AS anunciará a sus proveedores y / o pares que puede entregar cualquier tráfico destinado a 192.0.2.0/24.
Aunque las extensiones de seguridad están disponibles para BGP y existen recursos de bases de datos de ruta de terceros para validar rutas, de manera predeterminada, el protocolo BGP está diseñado para confiar en todos los anuncios de ruta enviados por los pares, y pocos ISP hacen cumplir rigurosamente las verificaciones en las sesiones de BGP .
Mecanismo
El secuestro de IP puede ocurrir deliberadamente o por accidente de una de varias maneras:
- Un AS anuncia que origina un prefijo que en realidad no origina.
- Un AS anuncia un prefijo más específico que el que puede anunciar el auténtico AS de origen.
- Un AS anuncia que puede enrutar el tráfico al AS secuestrado a través de una ruta más corta de la que ya está disponible, independientemente de si la ruta existe o no.
Común a estas formas es su interrupción del enrutamiento normal de la red: los paquetes terminan siendo reenviados hacia la parte incorrecta de la red y luego ingresan en un bucle sin fin (y se descartan), o se encuentran a merced del AS infractor .
Normalmente, los ISP filtran el tráfico BGP, lo que permite que los anuncios BGP de sus redes descendentes contengan solo espacio IP válido. Sin embargo, un historial de incidentes de secuestro muestra que no siempre es así.
La infraestructura de clave pública de recursos (RPKI) está diseñada para autenticar los orígenes de la ruta a través de cadenas de certificados criptográficos que demuestran la propiedad del rango de bloques de direcciones, pero aún no se ha implementado ampliamente. Una vez implementado, el secuestro de IP a través de problemas errantes en el origen (tanto por accidente como por intención) debería ser detectable y filtrable.
A veces, los usuarios malintencionados utilizan el secuestro de IP para obtener direcciones IP para su uso en el envío de correo no deseado o un ataque de denegación de servicio distribuido (DDoS).
Cuando un enrutador promulga información de enrutamiento BGP defectuosa, ya sea que esa acción sea intencional o accidental, el Grupo de trabajo de ingeniería de Internet (IETF) en RFC 7908 lo define como una "fuga de ruta". Dichas fugas se describen como "la propagación de anuncios de enrutamiento más allá de su alcance previsto. Es decir, un anuncio de un sistema autónomo (AS) de una ruta BGP aprendida a otro AS infringe las políticas previstas del receptor, el remitente y / o uno de los AS a lo largo de la ruta de AS anterior ". Tales fugas son posibles debido a una "... vulnerabilidad sistémica del sistema de enrutamiento del Protocolo de puerta de enlace fronteriza ..." de larga data [6].
Problemas de secuestro de BGP y tránsito-AS
Al igual que el ataque de restablecimiento de TCP , el secuestro de sesiones implica una intrusión en una sesión BGP en curso, es decir, el atacante se hace pasar con éxito como uno de los pares en una sesión de BGP y requiere la misma información necesaria para realizar el ataque de restablecimiento. La diferencia es que un ataque de secuestro de sesión puede estar diseñado para lograr más que simplemente interrumpir una sesión entre pares de BGP. Por ejemplo, el objetivo puede ser cambiar las rutas utilizadas por el par, con el fin de facilitar las escuchas clandestinas, los agujeros negros o el análisis del tráfico.
Por defecto, los pares EBGP intentarán agregar todas las rutas recibidas por otro par en la tabla de enrutamiento del dispositivo y luego intentarán anunciar casi todas estas rutas a otros pares EBGP. Esto puede ser un problema, ya que las organizaciones con múltiples hogares pueden anunciar sin darse cuenta los prefijos aprendidos de un AS a otro, lo que hace que el cliente final se convierta en el nuevo y mejor camino hacia los prefijos en cuestión. Por ejemplo, un cliente con un enrutador Cisco que se empareja con, por ejemplo, AT&T y Verizon y no utiliza ningún filtro, intentará vincular automáticamente a los dos operadores principales, lo que podría hacer que los proveedores prefieran enviar parte o todo el tráfico a través del cliente (quizás en un T1). , en lugar de utilizar enlaces dedicados de alta velocidad. Este problema puede afectar aún más a otros que se emparejan con estos dos proveedores y también hacer que esos AS prefieran el enlace mal configurado. En realidad, este problema casi nunca ocurre con los grandes ISP, ya que estos ISP tienden a restringir lo que un cliente final puede anunciar. Sin embargo, cualquier ISP que no filtre los anuncios de los clientes puede permitir que se anuncie información errónea en la tabla de enrutamiento global, donde puede afectar incluso a los grandes proveedores de nivel 1.
El concepto de secuestro de BGP gira en torno a localizar un ISP que no esté filtrando anuncios (intencionalmente o de otro modo) o localizar un ISP cuya sesión BGP interna o de ISP a ISP sea susceptible a un ataque de intermediario . Una vez localizado, un atacante puede potencialmente anunciar cualquier prefijo que desee, haciendo que parte o todo el tráfico se desvíe de la fuente real hacia el atacante. Esto se puede hacer para sobrecargar el ISP en el que se ha infiltrado el atacante o para realizar un ataque DoS o de suplantación de identidad en la entidad cuyo prefijo se anuncia. No es infrecuente que un atacante provoque cortes graves, hasta e incluyendo una pérdida total de conectividad. A principios de 2008, al menos ocho universidades estadounidenses vieron desviado su tráfico a Indonesia durante unos 90 minutos una mañana en un ataque que los involucrados mantuvieron en su mayor parte en silencio. [ cita requerida ] Además, en febrero de 2008, una gran parte del espacio de direcciones de YouTube se redirigió a Pakistán cuando la PTA decidió bloquear el acceso [7] al sitio desde el interior del país, pero accidentalmente bloqueó la ruta en la tabla global BGP.
Si bien el filtrado y la protección MD5 / TTL ya están disponibles para la mayoría de las implementaciones de BGP (evitando así la fuente de la mayoría de los ataques), el problema surge del concepto de que los ISP rara vez filtran anuncios de otros ISP, ya que no existe una forma común o eficiente de determinar la lista de prefijos permitidos que puede originar cada AS. La penalización por permitir que se anuncie información errónea puede variar desde un simple filtrado por otros ISP / más grandes hasta el cierre completo de la sesión BGP por parte del ISP vecino (lo que hace que los dos ISP dejen de peering), y los problemas repetidos a menudo terminan en la terminación permanente de todos los acuerdos de peering. También es digno de mención que incluso provocando que un proveedor importante bloquee o cierre un proveedor problemático más pequeño, la tabla BGP global a menudo reconfigurará y redireccionará el tráfico a través de otras rutas disponibles hasta que todos los pares tomen medidas, o hasta que el ISP errante solucione el problema en la fuente.
Una derivación útil de este concepto se llama Anycasting BGP y los servidores DNS raíz lo utilizan con frecuencia para permitir que varios servidores utilicen la misma dirección IP, proporcionando redundancia y una capa de protección contra ataques DoS sin publicar cientos de direcciones IP de servidor. La diferencia en esta situación es que cada punto que anuncia un prefijo tiene acceso a los datos reales (DNS en este caso) y responde correctamente a las solicitudes del usuario final.
Incidentes públicos
- Abril de 1997: el " incidente AS 7007 " [8]
- 24 de diciembre de 2004: TTNet en Turquía se apropia de Internet [9]
- 7 de mayo de 2005: Interrupción de Google en mayo de 2005 [10]
- 22 de enero de 2006: Con Edison Communications secuestra gran parte de Internet [11]
- 24 de febrero de 2008: el intento de Pakistán de bloquear el acceso a YouTube dentro de su país acaba con YouTube por completo. [12]
- 11 de noviembre de 2008: El ISP brasileño CTBC - Companhia de Telecomunicações do Brasil Central filtró su tabla interna en la tabla BGP global. [13] Duró más de 5 minutos. Aunque fue detectado por un servidor de ruta RIPE y luego no se propagó, afectando prácticamente solo a sus propios clientes ISP y a unos pocos más.
- 8 de abril de 2010: el ISP chino se apropia de Internet [14]
- Julio de 2013: El equipo de piratería ayudó a Raggruppamento Operativo Speciale (ROS - Grupo de operaciones especiales de la policía militar nacional italiana) a recuperar el acceso a los clientes de la Herramienta de acceso remoto (RAT) después de que perdieran abruptamente el acceso a uno de sus servidores de control cuando el prefijo Santrex IPv4 46.166.163.0/24 se volvió permanentemente inalcanzable. ROS y el equipo de piratería trabajaron con el operador de red italiano Aruba SpA (AS31034) para que el prefijo se anunciara en BGP para recuperar el acceso al servidor de control. [15]
- Febrero de 2014: ISP canadiense utilizado para redirigir datos de ISP. [16] - En 22 incidentes entre febrero y mayo, un pirata informático redirigió el tráfico durante aproximadamente 30 segundos en cada sesión. Bitcoin y otras operaciones mineras de criptomonedas fueron atacadas y se robaron divisas.
- Enero de 2017: censura de la pornografía en Irán. [17]
- Abril de 2017: la empresa rusa de telecomunicaciones Rostelecom (AS12389) creó 37 prefijos [18] para muchos otros sistemas autónomos. Los prefijos secuestrados pertenecían a instituciones financieras (sobre todo MasterCard y Visa), otras empresas de telecomunicaciones y una variedad de otras organizaciones. [19] A pesar de que el posible secuestro no duró más de 7 minutos, todavía no está claro si el tráfico fue interceptado o modificado.
- Diciembre de 2017: un AS ruso, DV-LINK-AS (AS39523), anunció ochenta prefijos de alto tráfico normalmente anunciados por Google , Apple , Facebook , Microsoft , Twitch , NTT Communications , Riot Games y otros. [20] [21]
- Abril de 2018: aproximadamente 1300 direcciones IP dentro del espacio de Amazon Web Services , dedicado a Amazon Route 53 , fueron secuestradas por eNet (o un cliente de la misma), un ISP en Columbus, Ohio. Varios socios de intercambio, como Hurricane Electric, propagaron ciegamente los anuncios. [22]
- Julio de 2018: Iran Telecommunication Company (AS58224) originó 10 prefijos de Telegram Messenger . [23]
- Noviembre de 2018: el sitio de China Telecom con sede en EE. UU. Originó direcciones de Google. [24]
- Mayo de 2019: el tráfico a un DNS público administrado por el Centro de información de red de Taiwán (TWNIC) se redirigió a una entidad en Brasil (AS268869). [25]
- Junio de 2019: el gran tráfico móvil europeo se desvió a través de China Telecom (AS4134) [26] [27]
- Abril de 2021: gran fuga de enrutamiento BGP fuera de la India: más de 30,000 prefijos BGP secuestrados a través de Vodaphone Idea Ltd (AS55410) causando un aumento de 13 veces en el tráfico entrante. Los prefijos eran de todo el mundo, pero sobre todo de EE. UU., Incluidos Google, Microsoft, Akamai y Cloudflare. [28]
Ver también
- Filtrado de bogon
- Protocolo de puerta de enlace fronteriza
- Infraestructura de clave pública de recursos
Referencias
- ^ Zhang, Zheng; Zhang, Ying; Hu, Y. Charlie; Mao, Z. Morley. "Defensas prácticas contra el secuestro de prefijos BGP" (PDF) . Universidad de Michigan . Consultado el 24 de abril de 2018 .
- ^ Gavrichenkov, Artyom. "Romper HTTPS con secuestro de BGP" (PDF) . Sombrero negro . Consultado el 24 de abril de 2018 .
- ^ Birge-Lee, Henry; Sun, Yixin; Edmundson, Annie; Rexford, Jennifer; Mittal, Prateek. "Uso de BGP para adquirir certificados TLS falsos" . Universidad de Princeton . Consultado el 24 de abril de 2018 .
- ^ Julian, Zach (17 de agosto de 2015). "Una descripción general del secuestro de BGP - Bishop Fox" . Obispo Fox . Consultado el 25 de abril de 2018 .
- ^ Zetter, Kim (26 de agosto de 2008). "Revelado: Agujero de seguridad más grande de Internet" . CON CABLE . Consultado el 25 de abril de 2018 .
- ^ "Definición de problemas y clasificación de fugas de ruta BGP" . Junio de 2016 . Consultado el 27 de mayo de 2021 .
- ^ "Tecnología | Pakistán levanta la prohibición de YouTube" . BBC News . 2008-02-26 . Consultado el 7 de noviembre de 2016 .
- ^ "Copia archivada" . Archivado desde el original el 27 de febrero de 2009 . Consultado el 26 de febrero de 2008 .CS1 maint: copia archivada como título ( enlace )
- ^ "Copia archivada" . Archivado desde el original el 28 de febrero de 2008 . Consultado el 26 de febrero de 2008 .CS1 maint: copia archivada como título ( enlace )
- ^ Tao Wan; Paul C. van Oorschot. "Análisis de los orígenes del prefijo BGP durante la interrupción de Google en mayo de 2005" (PDF) . Ccsl.carleton.ca . Consultado el 7 de noviembre de 2016 .
- ^ "Con-Ed roba la red - Dyn Research | El nuevo hogar de Renesys" . Renesys.com . 2006-01-23 . Consultado el 7 de noviembre de 2016 .
- ^ "Copia archivada" . Archivado desde el original el 5 de abril de 2008 . Consultado el 31 de marzo de 2008 .CS1 maint: copia archivada como título ( enlace )
- ^ "Fuga de Brasil: si un árbol cae en la selva tropical - Dyn Research | El nuevo hogar de Renesys" . Renesys.com . Consultado el 7 de noviembre de 2016 .
- ^ Toonk, Andree (8 de abril de 2010). "ISP chino secuestra Internet" . BGPmon.net . Archivado desde el original el 15 de abril de 2019 . Consultado el 15 de abril de 2019 .
- ^ "Cómo el equipo de piratería ayudó al grupo italiano de operaciones especiales con el secuestro de enrutamiento BGP" . bgpmon.net . Consultado el 17 de octubre de 2017 .
- ^ "Hacker redirige el tráfico de 19 proveedores de Internet para robar bitcoins" . Wired.com . 2014-08-07 . Consultado el 7 de noviembre de 2016 .
- ^ Brandom, Russell (7 de enero de 2017). "La censura de la pornografía en Irán rompió los navegadores en lugares tan lejanos como Hong Kong" . The Verge . Consultado el 9 de enero de 2017 .
- ^ "Resumen de secuestro de BGP - Incidencias de secuestro de BGP recientes" . noction.com . Consultado el 11 de agosto de 2018 .
- ^ "BGPstream y el curioso caso de AS12389 | BGPmon" . bgpmon.net . Consultado el 17 de octubre de 2017 .
- ^ "Destinos populares redirigidos a Rusia" . BGPMON . Consultado el 14 de diciembre de 2017 .
- ^ "Nacido para secuestrar" . Qrator.Radar . Consultado el 13 de diciembre de 2017 .
- ^ "Evento sospechoso secuestra el tráfico de Amazon durante 2 horas, roba criptomonedas" . Consultado el 24 de abril de 2018 .
- ^ "El tráfico de Telegram de todo el mundo tomó un desvío a través de Irán" . Consultado el 31 de julio de 2018 .
- ^ "La vulnerabilidad de Internet derriba a Google" . Consultado el 13 de noviembre de 2018 .
- ^ "DNS público en Taiwán la última víctima del secuestro de BGP" . Consultado el 31 de mayo de 2019 .
- ^ "Gran fuga de enrutamiento europeo envía tráfico a través de China Telecom" . Consultado el 12 de junio de 2019 .
- ^ "Durante dos horas, una gran parte del tráfico móvil europeo se desvió a través de China" . Consultado el 12 de junio de 2019 .
- ^ Siddiqui, Aftab (26 de abril de 2021). "Una fuga importante en la ruta BGP por AS55410" . Consultado el 28 de mayo de 2021 .
enlaces externos
- Qrator.Radar : Un sistema de monitoreo de seguridad y conectividad BGP en tiempo real.
- BGPmon.net : Un sistema de monitoreo específico de BGP para detectar secuestros de prefijos, fugas de ruta e inestabilidad.
- Cyclops : una herramienta de auditoría de red BGP (secuestro de prefijo, fuga de ruta) de UCLA
- NetViews : una herramienta de detección de secuestro de IP y visualización de topología BGP en tiempo real de la Universidad de Memphis.
- AS-CRED : Un servicio de administración de confianza basada en la reputación y alerta en tiempo real (secuestro de prefijo, anuncio de prefijo inestable) para el enrutamiento entre dominios de la Universidad de Pensilvania.
- ¿Es BGP seguro todavía? : Lista de ISP que implementan la infraestructura de clave pública de recursos (RPKI).