Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Apuntes Master en CiberSeguridad (MUNICS) Inter-Universitario UDC y UVIGO » Seguridad en la comunicación - SCOM » Securizando la infraestrucura de internet
master_cs:secom:tm4_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:secom:tm4_v2 [2026/05/28 17:16] thejuanvisumaster_cs:secom:tm4_v2 [2026/05/28 21:01] (actual) thejuanvisu
Línea 148: Línea 148:
  
 ---- ----
 +\\ 
 +\\
 ====== Protegiendo el DNS ====== ====== Protegiendo el DNS ======
  
Línea 295: Línea 296:
  
 ---- ----
 +\\ 
 +\\
 ====== Problemas de Seguridad del Enrutado ====== ====== Problemas de Seguridad del Enrutado ======
 +
 +===== Problemas de Seguridad Interior Gateway Routing protocol (IGP) =====
 +==== Open Shortest Path First (OSPF) ====
 +Usado en empresas y redes IPS. Estandarizado por IETF. IGP basado en estado de link:
 +  * Topología almacenada en una colección de Link-State-Advertisments (LSAs)
 +  * Todos los routers tienen una copia idéntica de la topología AS
 +  * Los routers realizan computaciones SPF individuales cuando la topología cambia.
 +
 +Vista general del procedimiento OSPF:
 +  - Los routers vecinos forman adyacencias
 +    - Los routers vecinos son los que comparten un enlace de capa 2
 +    - Una vez se forma la adyacencia, se intercambian los LSA conocidos.
 +  - Diseminación de Información
 +    - Cuando la topología cambia, el nuevo LSA se emite en todas las redes
 +    - el LSA es originado por los routers directamente afectados.
 +  - Computaciones de enrutado:
 +    - Se calcula 2 tipos de rutas:
 +      - Interna: Calculada por el SPF
 +      - Externa: Iyectada en el AS por un OSPF ASBR (AS Border Router) por que reside fuera del dominio OSPF
 +
 +----
 +
 +=== Consecuencias de ataque ===
 +  * Starvation: el tráfico de datos destinado para un nodo se pasa a una parte de la red que no lo puede entregar
 +  * Network Congestion: Se pasa más trafico del que se debería por una porción de la red que no debería transportarlo
 +  * BlackHole: Grandes cantidades de tráfico se dirigen a un solo router que no puede manejar el incremento de tráifco, lo que provoca que se dropeen parte de los paquetes o todos.
 +  * Delay: El trafico de datos destinado para un nodo se pasa por un camino que es peor al que debería toamr
 +  * Looping: El tráfico de datos se pasa por un camino que tiene un bucle, por lo que los datos no son entregados nunca.
 +  * Eavesdrop: El tráfico de datos pasa por un ruouter o red que no debería ver el tráfico, creando una oportunidad para ver los datos
 +  * partition: Una porción de la red cree que está separada del resto de la red cuando no lo está
 +  * Cut: Una porción de la redd creo que no tiene salida de red cuando si tiene
 +  * Churn: El paso de paquetes de la red cambia rápidamente, resultando en grandes variaciones en los patrones de entrega de datos.
 +  * inestabilidad: OSPF se vuelve inestable, por lo que la convergendcia de un estado globla de entrega no se alcanza
 +  * Overload: Los mensajes OSPF se vuelven una porción insifnificante del tráfico que transporta la red.
 +  * Resource exhaustion: Los mensajes OSPF causan la sobrecarga de recursos críticos del router, como el tamaó de tabla y colas.
 +
 +----
 +
 +=== Técnicas de ataque genéricas contra OSPF ===
 +  * Eavesdropping: Información de enrutado transmitida en texto plano
 +  * Message Replay: Se evitan en la mayoría de los escenarios con autenticación criptográfica
 +  * Message Insertion: Solo con autenticación criptográfica deshabiltiada o realizado por un insider
 +  * Message Deletion: Es detectado tanto para el LSI (Link-State Update) y para Hllos por adyacencia
 +  * Message Modification: Solo con autenticación criptográfica deshabilitada o realizado por un insider
 +  * Man in the Middle: solo si la autenticación criptográfica está deshabilitada o realizado por un insider.
 +  * Denial of service
 +
 +----
 +
 +=== Defensas integradas ===
 +  * Autenticación por link: La contraseña comaprtida por todos los routers en el enlace debe ser diferente en cada enlace. Dificil ya que no hay función de gestión de claves
 +  * Flooding: los LSU se emiter por fooding. Un adversario no puede prevenir la propagación de LSUU en presencia de caminos alternativos
 +  * Fight-Back: Si un router recibe un LSU con un LSA que solo el puede originar, contraataca con una LSU actualizada y corregida.
 +  * LSA solo contiene elaces de 1 solo router: Los atacantes tienenq ue falsificar el LSA de muchos routers para causar daño.
 +  * Enlaces de transito bidireccionales. Un enlace de tránsito es considerado solo si es anunciado por 2 routers, uno en cada extremo del enlace.
 +
 +----
 +
 +=== Auntenticación de Mesnajes OSPF ===
 +  * Mecanismos disponobles:
 +    * NULL: Envia mensaje sin autenticación
 +    * Simple Password: Añade una contraseña en texto plano a cada LSU.
 +    * Criptografía MD5 o HMAC-SHA: No provee ni confidencialidad ni robusted contra ataques replay. Los ataques replay son solo posibles cuando se reusa una secuencia de números. Puede ser forzado rompiendo una adyacencia.
 +    * Claves de Autenticación Criptográficas: Deben usar una clave única por enlace. Mútiples claves para rollover.
 +
 +----
 +
 +==== Ataques comunes contra OSFP ====
 +=== MaxAge LSA ===
 +  * BASE: LSA tiene una validez máxima normalmente de unos 30 minutos y debe ser refrescada pasada dicho plazo de tiempo. 
 +  * El LSU emitido con un LSA establecido a MaxAge, hace que el LSA desaparezca de los routers.
 +  * Esto resulta en un Network Churn
 +    * Black-Holing de tráfico a las redes en LSA
 +    * Recomputación de las tablas de enrutado
 +    * Flooding de LSA
 +  * Mitigación
 +    * El roputer puede contraatacar si recibe una LSU falsificada.
 +
 +----
 +
 +=== Seq++ ===
 +  * BASE: Las SLA tienen un número de secuencia, los números de secuiencia más altos reemplazan las viejas LSA.
 +  * Un LSU con una LSA con un numero de secuencia más alto e infomración falso.
 +  * Efectos:
 +    * Modificación de la tabla de enrutado para toda la red
 +    * Loops, black-hole, redirección de tráfico...
 +  * Mitrigación:
 +    * El router original puede contraatacar si recibe un LSU falsificado.
 +
 +----
 +
 +=== Seq++ y MaxAge LSA permanentes ===
 +Bajo circusntancias normales, los mecanismos de contraataque previenen cambios permanentes por dichos ataques, pero, si un roauter nunca emite sus LSA más rápido más de una vez dada MinLSInterval (5 segundos):
 +  - En la recepción de un LSA falso el router victima contraataca.
 +  - Se ataca el router enviando de nuevo el LSA falso
 +  - Si el router atacante manda el LSA falso más rápido que el MinLSInterval los cambios son permatentes
 +
 +Esto se puede mitigar notificando al adminsitrador cada vez que ocurre un contraataque (SNMP traps), un gran numero de traps debería alertar al administrador para tomar acciones.
 +
 +----
 +
 +=== LSA Disfrazado ===
 +  * Base: un LSA se considera identico si tiene el mismo número de secunecia, checksum y edad.
 +  * Un LSA falso con la misma secuencia y checksum pero con datos diferentes. El tiempo es crítico, debe ser enviado antes de que la víctima envíe otro LSA.
 +  * Efectos
 +    * Muchos routers reciben información falsa y obtiene una tabla de enrutado invalida
 +    * Los efectos son persistentes, no hay contraataque al ser iguales los LSA.
 +  * Mitigación:
 +    * Randomizar los numeros de sevuencia para hacer más difícil la predicción del checksum.
 +
 +----
 +
 +=== Remote False Adjacency ===
 +  * BASE: el procedimiento de adyacencia no revisa las respuestas de un router descubierto.
 +  * Se envían Hellos al router existente pero con una IP de origen falsa. Es necesario saver las claves criptográficas o la autenticación NULL.
 +  * Efecto: crea un router fantasma
 +    * Nuevo enlace de transito falso entre el router real y el fantasma (Black Hole)
 +    * El router fantasma puede inyectar LSAs con información arbitraria.
 +    * Los efectos son persistentes:
 +  * Mitigación:
 +    * Habilitación de autenticación criptográfica con diferentes claves en cada enlace
 +    * Se unsa GTSM para prevenir ataques remotos.
 +
 +----
 +
 +=== Evenenamiento Persistente ===
 +  * BASE: Los routers no activan el contraataque si el ID de router de una LSA no coincide.
 +  * Un router comprometido manda un LSA al router víctima con LS ID coincidente pero no adv. Router ID.
 +  * Efectos: El cálculo de la tabla de enrutado usa el SLA envenenado en vez del LSA del router victima.
 +  * Mitigación:
 +    * Es un bug del diseño del protocolo, esta arreglado en versiones más nuevas de OSPF
 +
 +----
 +
 +==== Buenas prácticas ====
 +  * Transit-Only Networks: Oculta prefijos de enrutado de redes de tránsito internas en las tablas de enrutado
 +    * Previene atacantes remotos
 +    * Conocido como Prefix Suppression en Cisco
 +  * Unnumbered Interface: Interfaces que comaprte la IP de otra interfaz en el mismo host. No se genera ruta para estas interfaces.
 +  * Cryptographic Autentication: Previene bugs de corrupción ya que es más robusto que el checksum de OSPF. Uso de diferentes claves en cada enlace
 +  * Generalized TTL Security Mechanism: Previene la mayoría de ataques remotos.
 +  * RPF (Anti Spoofing or Ingress Filtering): Utilizado en el ingreso de una red donde se usa enrutado simétrico, se configura en todos los AS Border Routers. Revisa quel paquete IP lelga a través de una interfaz utilizada para enviar tráfico a su dirección IP de origen.
 +  * Fight-back Traps / Notification: Mecanismo apra notificar al administrador que OSPF esta activando contraataques. Muchas notificaciones juntas indican un problema, avisa de entidades maliciosas, malas configuraciones de Router-id o partición.
 +  * Consistence Check Tools: El LSA de cada router puede ser obtenido por SNMP u otras herramientas. LSA debe ser identico en todos los routers.
 +  * Misceláneo:
 +    * Se recomienda tener hardware y software de red diverso, no solo una marca.
 +    * Los fabricantes parchean las vulnerabilidades tan rárpido como se reportan, es recomendable tener siempre todo actualizado
 +    * Interfaces pasivas por defecto (No broadcasting de LSA), limita las adyacencias accidentales.
 +
 +----
 +
 +===== Problemas de Seguridad Exterior Gateway routing Protocolo (EGP) =====
 +
 +Internet es una colección de AS y un AS es una colección de prefijos IP con una política de enrutado común, hay 2 variantes:
 +  * Transit AS: Conecta múltiples AS para enviar su tráfico entre ellos.
 +  * Non-Transit AS: Conectado a uno o más AS para reenviar su tráfico.
 +
 +BGP es el único EGP en uso en internet, mantiene listas de caminos eficientes entre prefijos de redes entre los AS. Un camino es una lista rodenada de números de AS. hay 2 variantes, e-BGO e i-BGP. Los Peers BGP intercambian datos por conexión TCP al puerto conocido BGP (179). Normalmente, los peer e-BGP residen en la misma subred.
 +
 +----
 +
 +==== Precocupaciones de seguridad BGP ====
 +  * Denegación de servicio:
 +    * Starvation: Gran parte del tráfico se direcciona a nodos que no lo pueden reenviar
 +    * Blackhole: El trafico se envía a routers que lo dropean
 +    * Delay: El tráfico se envía por caminios poco optimizados
 +    * Churn: Cámbios rñapidos en la información de enrutado
 +  * Wedgies: BGP no es determinista, un atacante puede falsificar una tabla de estado poco nodeseada rompiendo una sesión BGP.
 +  * Eavesdroping: BGP se transmite en claro
 +  * Session Hijacking.
 +
 +----
 +
 +==== Peer Spooging y TCP Resets ====
 +  * BASE: Se inyecta tráfico en la sesión TCP entre dos peers con dirección IP false. 
 +  * Se otienen la IP de un peer (con traceroute) y se envían paquetes falsificados con información malintecionada.
 +  * Efecto:
 +    * Route churn
 +    * DoS
 +    * Redirección de Tráfico
 +  * Mitigación
 +    * Aleatorización del numero de secuencia inicial TCP
 +    * Aleatorización del puerto del cliente TCP
 +    * Uso de autenticación TCP
 +    * Uso de GTSM para e-BGP
 +    * Sesion BGP protegida con IPsec
 +
 +----
 +
 +==== TCP resets con ICMP ====
 +  * BASE: un mensaje de error ICMP puede romper conexiones TCP
 +  * Se envía un mensaje de error ICMP falsificado al servicor BGP víctima.
 +  * Efectos:
 +    * Route Churn
 +    * DoS
 +  * Mitigación
 +    * GTSM para e-BGP
 +    * Proteger la sesión BGP con IPSEC
 +    * Filtrar ICMP tipo3, code 2, 3 y 4
 +
 +----
 +
 +==== Route Flapping ====
 +  * BASE: Route Flapping con alta cadencia causa que los anuncios BGP peer to peer sean ignorados (Route flap damping)
 +  * El atacante desactiva un speakr BGP múltiples veces para que sus vecinos anuncien continuos cambios en los caminos.
 +  * Efectos
 +    * Las rutas afectadas son eliminadas de la red, lo que puede causar caidas o degradación.
 +  * Mitigación
 +    * Configuración correcta de Route Flap Campling (RTD)
 +    * Habilitar Graceful Restart en BGP
 +
 +----
 +
 +==== Malicious Route Injection / BGO Keak ====
 +  * BASE: Los pregijos anunciados por BGO suelen ser no autenticados.
 +  * Un adversario anuncia un prefijo específico más largo que el anunciado por el AS real.
 +  * Efecto:
 +    * El trafico a los prefijos anunciados va al AS adversario. El atacante puede escuchar el tráfico o realizar ataques MitM
 +  * Mitigación:
 +    * Route filtering
 +    * Resource PKI (RPKI): Login de autenticación
 +    * Despliegue de BGPsec (Autenticated advertisements)
 +
 +----
 +
 +==== Sesión BGP TCP ====
 +La seción TCP entre 2 peer BGP puede ser protegida para evitar inyección de tráfico o ataques RST. Se recomienda usar TCP-AO, implementar GTSM y considerar el uso de IPsec.
 +
 +----
 +
 +==== Filtrado de prefijos ====
 +Considerando un proveedor Tier 2, tiene muchas relaciones:
 +  * Relaciones con otros proveedores tier 2
 +  * Relación de cliente con proveedores Tier 1
 +  * Relación de proveedor con sus clientes.
 +
 +=== Filtros con clientes ===
 +  * Inbound: Solo acepta prefijos asignados acl cliente, la lista puede ser configurada manualmente
 +  * Outbound: Depende del cliente:
 +    * Muchos clientes solo necesitan recibir la ruta por defecto (0.0.0.0/0)
 +    * Si necesita la tabla completa, debe filtrar:
 +      * Prefijos no globalmente enrutables
 +      * Rutas demasiado específicas
 +      * La ruta por defecto
 +
 +=== Filtros con Proveedores upstream ===
 +
 +  * Inbound: Solo la ruta por defecto y/o prefijos no globalmente enrutables, prefijos no alocados por la IANA, rutas demasiado específicas, prefijos pertenecientes al AS local, Prefijos IXP LAN.
 +  * Outbound: Permite solo prefijos del AS local y para abajo y deniega;
 +    * Prefijos no globalmente enrutables
 +    * Rutas demasiado especificas
 +    * Prefijos IXP LAN
 +    * Ruta por defecto
 +    * Cualquier prefijo no pensado apra ser enrutado por upstream.
 +
 +=== AS Path Filtering ===
 +  * Solo acepta caminos conteniendo ASN perteneciendo o transitando a través del cliente
 +  * Solo acepta caminos con logitudes apropiadas para el tipo de cliente
 +  * Rechaza caminos incluyendo ASN de upstream providers
 +  * Rechaza prefijos con números ASN privados
 +  * Rechaja prefijos si el primer ASN no es el peer del IXP
 +  * No anuncia prefijos si transmite servicios que no deben.
master_cs/secom/tm4_v2.1779988596.txt.gz · Última modificación: 2026/05/28 17:16 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki