Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio


master_cs:secom:tm4_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión
Revisión previa
master_cs:secom:tm4_v2 [2026/05/28 20:22] thejuanvisumaster_cs:secom:tm4_v2 [2026/05/28 21:01] (actual) thejuanvisu
Línea 148: Línea 148:
  
 ---- ----
 +\\ 
 +\\
 ====== Protegiendo el DNS ====== ====== Protegiendo el DNS ======
  
Línea 295: Línea 296:
  
 ---- ----
 +\\ 
 +\\
 ====== Problemas de Seguridad del Enrutado ====== ====== Problemas de Seguridad del Enrutado ======
  
-===== Problemas de Seguridad IGP =====+===== Problemas de Seguridad Interior Gateway Routing protocol (IGP=====
 ==== Open Shortest Path First (OSPF) ==== ==== Open Shortest Path First (OSPF) ====
 Usado en empresas y redes IPS. Estandarizado por IETF. IGP basado en estado de link: Usado en empresas y redes IPS. Estandarizado por IETF. IGP basado en estado de link:
Línea 448: Línea 450:
 ---- ----
  
 +===== Problemas de Seguridad Exterior Gateway routing Protocolo (EGP) =====
 +
 +Internet es una colección de AS y un AS es una colección de prefijos IP con una política de enrutado común, hay 2 variantes:
 +  * Transit AS: Conecta múltiples AS para enviar su tráfico entre ellos.
 +  * Non-Transit AS: Conectado a uno o más AS para reenviar su tráfico.
 +
 +BGP es el único EGP en uso en internet, mantiene listas de caminos eficientes entre prefijos de redes entre los AS. Un camino es una lista rodenada de números de AS. hay 2 variantes, e-BGO e i-BGP. Los Peers BGP intercambian datos por conexión TCP al puerto conocido BGP (179). Normalmente, los peer e-BGP residen en la misma subred.
 +
 +----
 +
 +==== Precocupaciones de seguridad BGP ====
 +  * Denegación de servicio:
 +    * Starvation: Gran parte del tráfico se direcciona a nodos que no lo pueden reenviar
 +    * Blackhole: El trafico se envía a routers que lo dropean
 +    * Delay: El tráfico se envía por caminios poco optimizados
 +    * Churn: Cámbios rñapidos en la información de enrutado
 +  * Wedgies: BGP no es determinista, un atacante puede falsificar una tabla de estado poco nodeseada rompiendo una sesión BGP.
 +  * Eavesdroping: BGP se transmite en claro
 +  * Session Hijacking.
 +
 +----
 +
 +==== Peer Spooging y TCP Resets ====
 +  * BASE: Se inyecta tráfico en la sesión TCP entre dos peers con dirección IP false. 
 +  * Se otienen la IP de un peer (con traceroute) y se envían paquetes falsificados con información malintecionada.
 +  * Efecto:
 +    * Route churn
 +    * DoS
 +    * Redirección de Tráfico
 +  * Mitigación
 +    * Aleatorización del numero de secuencia inicial TCP
 +    * Aleatorización del puerto del cliente TCP
 +    * Uso de autenticación TCP
 +    * Uso de GTSM para e-BGP
 +    * Sesion BGP protegida con IPsec
 +
 +----
 +
 +==== TCP resets con ICMP ====
 +  * BASE: un mensaje de error ICMP puede romper conexiones TCP
 +  * Se envía un mensaje de error ICMP falsificado al servicor BGP víctima.
 +  * Efectos:
 +    * Route Churn
 +    * DoS
 +  * Mitigación
 +    * GTSM para e-BGP
 +    * Proteger la sesión BGP con IPSEC
 +    * Filtrar ICMP tipo3, code 2, 3 y 4
 +
 +----
 +
 +==== Route Flapping ====
 +  * BASE: Route Flapping con alta cadencia causa que los anuncios BGP peer to peer sean ignorados (Route flap damping)
 +  * El atacante desactiva un speakr BGP múltiples veces para que sus vecinos anuncien continuos cambios en los caminos.
 +  * Efectos
 +    * Las rutas afectadas son eliminadas de la red, lo que puede causar caidas o degradación.
 +  * Mitigación
 +    * Configuración correcta de Route Flap Campling (RTD)
 +    * Habilitar Graceful Restart en BGP
 +
 +----
 +
 +==== Malicious Route Injection / BGO Keak ====
 +  * BASE: Los pregijos anunciados por BGO suelen ser no autenticados.
 +  * Un adversario anuncia un prefijo específico más largo que el anunciado por el AS real.
 +  * Efecto:
 +    * El trafico a los prefijos anunciados va al AS adversario. El atacante puede escuchar el tráfico o realizar ataques MitM
 +  * Mitigación:
 +    * Route filtering
 +    * Resource PKI (RPKI): Login de autenticación
 +    * Despliegue de BGPsec (Autenticated advertisements)
 +
 +----
 +
 +==== Sesión BGP TCP ====
 +La seción TCP entre 2 peer BGP puede ser protegida para evitar inyección de tráfico o ataques RST. Se recomienda usar TCP-AO, implementar GTSM y considerar el uso de IPsec.
 +
 +----
 +
 +==== Filtrado de prefijos ====
 +Considerando un proveedor Tier 2, tiene muchas relaciones:
 +  * Relaciones con otros proveedores tier 2
 +  * Relación de cliente con proveedores Tier 1
 +  * Relación de proveedor con sus clientes.
 +
 +=== Filtros con clientes ===
 +  * Inbound: Solo acepta prefijos asignados acl cliente, la lista puede ser configurada manualmente
 +  * Outbound: Depende del cliente:
 +    * Muchos clientes solo necesitan recibir la ruta por defecto (0.0.0.0/0)
 +    * Si necesita la tabla completa, debe filtrar:
 +      * Prefijos no globalmente enrutables
 +      * Rutas demasiado específicas
 +      * La ruta por defecto
  
-===== Problemas de Seguridad EGP =====+=== Filtros con Proveedores upstream ===
  
 +  * Inbound: Solo la ruta por defecto y/o prefijos no globalmente enrutables, prefijos no alocados por la IANA, rutas demasiado específicas, prefijos pertenecientes al AS local, Prefijos IXP LAN.
 +  * Outbound: Permite solo prefijos del AS local y para abajo y deniega;
 +    * Prefijos no globalmente enrutables
 +    * Rutas demasiado especificas
 +    * Prefijos IXP LAN
 +    * Ruta por defecto
 +    * Cualquier prefijo no pensado apra ser enrutado por upstream.
  
 +=== AS Path Filtering ===
 +  * Solo acepta caminos conteniendo ASN perteneciendo o transitando a través del cliente
 +  * Solo acepta caminos con logitudes apropiadas para el tipo de cliente
 +  * Rechaza caminos incluyendo ASN de upstream providers
 +  * Rechaza prefijos con números ASN privados
 +  * Rechaja prefijos si el primer ASN no es el peer del IXP
 +  * No anuncia prefijos si transmite servicios que no deben.
master_cs/secom/tm4_v2.1779999773.txt.gz · Última modificación: 2026/05/28 20:22 por thejuanvisu