Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio

Estás aquí: Knoppia Wiki » Apuntes Master en CiberSeguridad (MUNICS) Inter-Universitario UDC y UVIGO » Seguridad en la comunicación - SCOM » Securizando la infraestrucura de internet
master_cs:secom:tm4_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
master_cs:secom:tm4_v2 [2026/05/28 17:44] thejuanvisumaster_cs:secom:tm4_v2 [2026/05/28 21:01] (actual) thejuanvisu
Línea 148: Línea 148:
  
 ---- ----
 +\\ 
 +\\
 ====== Protegiendo el DNS ====== ====== Protegiendo el DNS ======
  
Línea 295: Línea 296:
  
 ---- ----
 +\\ 
 +\\
 ====== Problemas de Seguridad del Enrutado ====== ====== Problemas de Seguridad del Enrutado ======
  
-===== Problemas de Seguridad IGP =====+===== Problemas de Seguridad Interior Gateway Routing protocol (IGP=====
 ==== Open Shortest Path First (OSPF) ==== ==== Open Shortest Path First (OSPF) ====
 Usado en empresas y redes IPS. Estandarizado por IETF. IGP basado en estado de link: Usado en empresas y redes IPS. Estandarizado por IETF. IGP basado en estado de link:
Línea 352: Línea 354:
   * LSA solo contiene elaces de 1 solo router: Los atacantes tienenq ue falsificar el LSA de muchos routers para causar daño.   * LSA solo contiene elaces de 1 solo router: Los atacantes tienenq ue falsificar el LSA de muchos routers para causar daño.
   * Enlaces de transito bidireccionales. Un enlace de tránsito es considerado solo si es anunciado por 2 routers, uno en cada extremo del enlace.   * Enlaces de transito bidireccionales. Un enlace de tránsito es considerado solo si es anunciado por 2 routers, uno en cada extremo del enlace.
 +
 +----
 +
 +=== Auntenticación de Mesnajes OSPF ===
 +  * Mecanismos disponobles:
 +    * NULL: Envia mensaje sin autenticación
 +    * Simple Password: Añade una contraseña en texto plano a cada LSU.
 +    * Criptografía MD5 o HMAC-SHA: No provee ni confidencialidad ni robusted contra ataques replay. Los ataques replay son solo posibles cuando se reusa una secuencia de números. Puede ser forzado rompiendo una adyacencia.
 +    * Claves de Autenticación Criptográficas: Deben usar una clave única por enlace. Mútiples claves para rollover.
 +
 +----
 +
 +==== Ataques comunes contra OSFP ====
 +=== MaxAge LSA ===
 +  * BASE: LSA tiene una validez máxima normalmente de unos 30 minutos y debe ser refrescada pasada dicho plazo de tiempo. 
 +  * El LSU emitido con un LSA establecido a MaxAge, hace que el LSA desaparezca de los routers.
 +  * Esto resulta en un Network Churn
 +    * Black-Holing de tráfico a las redes en LSA
 +    * Recomputación de las tablas de enrutado
 +    * Flooding de LSA
 +  * Mitigación
 +    * El roputer puede contraatacar si recibe una LSU falsificada.
 +
 +----
 +
 +=== Seq++ ===
 +  * BASE: Las SLA tienen un número de secuencia, los números de secuiencia más altos reemplazan las viejas LSA.
 +  * Un LSU con una LSA con un numero de secuencia más alto e infomración falso.
 +  * Efectos:
 +    * Modificación de la tabla de enrutado para toda la red
 +    * Loops, black-hole, redirección de tráfico...
 +  * Mitrigación:
 +    * El router original puede contraatacar si recibe un LSU falsificado.
 +
 +----
 +
 +=== Seq++ y MaxAge LSA permanentes ===
 +Bajo circusntancias normales, los mecanismos de contraataque previenen cambios permanentes por dichos ataques, pero, si un roauter nunca emite sus LSA más rápido más de una vez dada MinLSInterval (5 segundos):
 +  - En la recepción de un LSA falso el router victima contraataca.
 +  - Se ataca el router enviando de nuevo el LSA falso
 +  - Si el router atacante manda el LSA falso más rápido que el MinLSInterval los cambios son permatentes
 +
 +Esto se puede mitigar notificando al adminsitrador cada vez que ocurre un contraataque (SNMP traps), un gran numero de traps debería alertar al administrador para tomar acciones.
 +
 +----
 +
 +=== LSA Disfrazado ===
 +  * Base: un LSA se considera identico si tiene el mismo número de secunecia, checksum y edad.
 +  * Un LSA falso con la misma secuencia y checksum pero con datos diferentes. El tiempo es crítico, debe ser enviado antes de que la víctima envíe otro LSA.
 +  * Efectos
 +    * Muchos routers reciben información falsa y obtiene una tabla de enrutado invalida
 +    * Los efectos son persistentes, no hay contraataque al ser iguales los LSA.
 +  * Mitigación:
 +    * Randomizar los numeros de sevuencia para hacer más difícil la predicción del checksum.
 +
 +----
 +
 +=== Remote False Adjacency ===
 +  * BASE: el procedimiento de adyacencia no revisa las respuestas de un router descubierto.
 +  * Se envían Hellos al router existente pero con una IP de origen falsa. Es necesario saver las claves criptográficas o la autenticación NULL.
 +  * Efecto: crea un router fantasma
 +    * Nuevo enlace de transito falso entre el router real y el fantasma (Black Hole)
 +    * El router fantasma puede inyectar LSAs con información arbitraria.
 +    * Los efectos son persistentes:
 +  * Mitigación:
 +    * Habilitación de autenticación criptográfica con diferentes claves en cada enlace
 +    * Se unsa GTSM para prevenir ataques remotos.
 +
 +----
 +
 +=== Evenenamiento Persistente ===
 +  * BASE: Los routers no activan el contraataque si el ID de router de una LSA no coincide.
 +  * Un router comprometido manda un LSA al router víctima con LS ID coincidente pero no adv. Router ID.
 +  * Efectos: El cálculo de la tabla de enrutado usa el SLA envenenado en vez del LSA del router victima.
 +  * Mitigación:
 +    * Es un bug del diseño del protocolo, esta arreglado en versiones más nuevas de OSPF
 +
 +----
 +
 +==== Buenas prácticas ====
 +  * Transit-Only Networks: Oculta prefijos de enrutado de redes de tránsito internas en las tablas de enrutado
 +    * Previene atacantes remotos
 +    * Conocido como Prefix Suppression en Cisco
 +  * Unnumbered Interface: Interfaces que comaprte la IP de otra interfaz en el mismo host. No se genera ruta para estas interfaces.
 +  * Cryptographic Autentication: Previene bugs de corrupción ya que es más robusto que el checksum de OSPF. Uso de diferentes claves en cada enlace
 +  * Generalized TTL Security Mechanism: Previene la mayoría de ataques remotos.
 +  * RPF (Anti Spoofing or Ingress Filtering): Utilizado en el ingreso de una red donde se usa enrutado simétrico, se configura en todos los AS Border Routers. Revisa quel paquete IP lelga a través de una interfaz utilizada para enviar tráfico a su dirección IP de origen.
 +  * Fight-back Traps / Notification: Mecanismo apra notificar al administrador que OSPF esta activando contraataques. Muchas notificaciones juntas indican un problema, avisa de entidades maliciosas, malas configuraciones de Router-id o partición.
 +  * Consistence Check Tools: El LSA de cada router puede ser obtenido por SNMP u otras herramientas. LSA debe ser identico en todos los routers.
 +  * Misceláneo:
 +    * Se recomienda tener hardware y software de red diverso, no solo una marca.
 +    * Los fabricantes parchean las vulnerabilidades tan rárpido como se reportan, es recomendable tener siempre todo actualizado
 +    * Interfaces pasivas por defecto (No broadcasting de LSA), limita las adyacencias accidentales.
 +
 +----
 +
 +===== Problemas de Seguridad Exterior Gateway routing Protocolo (EGP) =====
 +
 +Internet es una colección de AS y un AS es una colección de prefijos IP con una política de enrutado común, hay 2 variantes:
 +  * Transit AS: Conecta múltiples AS para enviar su tráfico entre ellos.
 +  * Non-Transit AS: Conectado a uno o más AS para reenviar su tráfico.
 +
 +BGP es el único EGP en uso en internet, mantiene listas de caminos eficientes entre prefijos de redes entre los AS. Un camino es una lista rodenada de números de AS. hay 2 variantes, e-BGO e i-BGP. Los Peers BGP intercambian datos por conexión TCP al puerto conocido BGP (179). Normalmente, los peer e-BGP residen en la misma subred.
 +
 +----
 +
 +==== Precocupaciones de seguridad BGP ====
 +  * Denegación de servicio:
 +    * Starvation: Gran parte del tráfico se direcciona a nodos que no lo pueden reenviar
 +    * Blackhole: El trafico se envía a routers que lo dropean
 +    * Delay: El tráfico se envía por caminios poco optimizados
 +    * Churn: Cámbios rñapidos en la información de enrutado
 +  * Wedgies: BGP no es determinista, un atacante puede falsificar una tabla de estado poco nodeseada rompiendo una sesión BGP.
 +  * Eavesdroping: BGP se transmite en claro
 +  * Session Hijacking.
 +
 +----
 +
 +==== Peer Spooging y TCP Resets ====
 +  * BASE: Se inyecta tráfico en la sesión TCP entre dos peers con dirección IP false. 
 +  * Se otienen la IP de un peer (con traceroute) y se envían paquetes falsificados con información malintecionada.
 +  * Efecto:
 +    * Route churn
 +    * DoS
 +    * Redirección de Tráfico
 +  * Mitigación
 +    * Aleatorización del numero de secuencia inicial TCP
 +    * Aleatorización del puerto del cliente TCP
 +    * Uso de autenticación TCP
 +    * Uso de GTSM para e-BGP
 +    * Sesion BGP protegida con IPsec
 +
 +----
 +
 +==== TCP resets con ICMP ====
 +  * BASE: un mensaje de error ICMP puede romper conexiones TCP
 +  * Se envía un mensaje de error ICMP falsificado al servicor BGP víctima.
 +  * Efectos:
 +    * Route Churn
 +    * DoS
 +  * Mitigación
 +    * GTSM para e-BGP
 +    * Proteger la sesión BGP con IPSEC
 +    * Filtrar ICMP tipo3, code 2, 3 y 4
 +
 +----
 +
 +==== Route Flapping ====
 +  * BASE: Route Flapping con alta cadencia causa que los anuncios BGP peer to peer sean ignorados (Route flap damping)
 +  * El atacante desactiva un speakr BGP múltiples veces para que sus vecinos anuncien continuos cambios en los caminos.
 +  * Efectos
 +    * Las rutas afectadas son eliminadas de la red, lo que puede causar caidas o degradación.
 +  * Mitigación
 +    * Configuración correcta de Route Flap Campling (RTD)
 +    * Habilitar Graceful Restart en BGP
 +
 +----
 +
 +==== Malicious Route Injection / BGO Keak ====
 +  * BASE: Los pregijos anunciados por BGO suelen ser no autenticados.
 +  * Un adversario anuncia un prefijo específico más largo que el anunciado por el AS real.
 +  * Efecto:
 +    * El trafico a los prefijos anunciados va al AS adversario. El atacante puede escuchar el tráfico o realizar ataques MitM
 +  * Mitigación:
 +    * Route filtering
 +    * Resource PKI (RPKI): Login de autenticación
 +    * Despliegue de BGPsec (Autenticated advertisements)
 +
 +----
 +
 +==== Sesión BGP TCP ====
 +La seción TCP entre 2 peer BGP puede ser protegida para evitar inyección de tráfico o ataques RST. Se recomienda usar TCP-AO, implementar GTSM y considerar el uso de IPsec.
 +
 +----
 +
 +==== Filtrado de prefijos ====
 +Considerando un proveedor Tier 2, tiene muchas relaciones:
 +  * Relaciones con otros proveedores tier 2
 +  * Relación de cliente con proveedores Tier 1
 +  * Relación de proveedor con sus clientes.
 +
 +=== Filtros con clientes ===
 +  * Inbound: Solo acepta prefijos asignados acl cliente, la lista puede ser configurada manualmente
 +  * Outbound: Depende del cliente:
 +    * Muchos clientes solo necesitan recibir la ruta por defecto (0.0.0.0/0)
 +    * Si necesita la tabla completa, debe filtrar:
 +      * Prefijos no globalmente enrutables
 +      * Rutas demasiado específicas
 +      * La ruta por defecto
 +
 +=== Filtros con Proveedores upstream ===
 +
 +  * Inbound: Solo la ruta por defecto y/o prefijos no globalmente enrutables, prefijos no alocados por la IANA, rutas demasiado específicas, prefijos pertenecientes al AS local, Prefijos IXP LAN.
 +  * Outbound: Permite solo prefijos del AS local y para abajo y deniega;
 +    * Prefijos no globalmente enrutables
 +    * Rutas demasiado especificas
 +    * Prefijos IXP LAN
 +    * Ruta por defecto
 +    * Cualquier prefijo no pensado apra ser enrutado por upstream.
 +
 +=== AS Path Filtering ===
 +  * Solo acepta caminos conteniendo ASN perteneciendo o transitando a través del cliente
 +  * Solo acepta caminos con logitudes apropiadas para el tipo de cliente
 +  * Rechaza caminos incluyendo ASN de upstream providers
 +  * Rechaza prefijos con números ASN privados
 +  * Rechaja prefijos si el primer ASN no es el peer del IXP
 +  * No anuncia prefijos si transmite servicios que no deben.
master_cs/secom/tm4_v2.1779990243.txt.gz · Última modificación: 2026/05/28 17:44 por thejuanvisu

Herramientas de la página

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki