Muestra las diferencias entre dos versiones de la página.
| Ambos lados, revisión anteriorRevisión previa | |||
| master_cs:secom:tm4_v2 [2026/05/28 20:37] – thejuanvisu | master_cs:secom:tm4_v2 [2026/05/28 21:01] (actual) – thejuanvisu | ||
|---|---|---|---|
| Línea 148: | Línea 148: | ||
| ---- | ---- | ||
| + | \\ | ||
| + | \\ | ||
| ====== Protegiendo el DNS ====== | ====== Protegiendo el DNS ====== | ||
| Línea 295: | Línea 296: | ||
| ---- | ---- | ||
| + | \\ | ||
| + | \\ | ||
| ====== Problemas de Seguridad del Enrutado ====== | ====== Problemas de Seguridad del Enrutado ====== | ||
| Línea 471: | Línea 473: | ||
| ==== Peer Spooging y TCP Resets ==== | ==== Peer Spooging y TCP Resets ==== | ||
| + | * BASE: Se inyecta tráfico en la sesión TCP entre dos peers con dirección IP false. | ||
| + | * Se otienen la IP de un peer (con traceroute) y se envían paquetes falsificados con información malintecionada. | ||
| + | * Efecto: | ||
| + | * Route churn | ||
| + | * DoS | ||
| + | * Redirección de Tráfico | ||
| + | * Mitigación | ||
| + | * Aleatorización del numero de secuencia inicial TCP | ||
| + | * Aleatorización del puerto del cliente TCP | ||
| + | * Uso de autenticación TCP | ||
| + | * Uso de GTSM para e-BGP | ||
| + | * Sesion BGP protegida con IPsec | ||
| + | |||
| + | ---- | ||
| + | |||
| + | ==== TCP resets con ICMP ==== | ||
| + | * BASE: un mensaje de error ICMP puede romper conexiones TCP | ||
| + | * Se envía un mensaje de error ICMP falsificado al servicor BGP víctima. | ||
| + | * Efectos: | ||
| + | * Route Churn | ||
| + | * DoS | ||
| + | * Mitigación | ||
| + | * GTSM para e-BGP | ||
| + | * Proteger la sesión BGP con IPSEC | ||
| + | * Filtrar ICMP tipo3, code 2, 3 y 4 | ||
| + | |||
| + | ---- | ||
| + | |||
| + | ==== Route Flapping ==== | ||
| + | * BASE: Route Flapping con alta cadencia causa que los anuncios BGP peer to peer sean ignorados (Route flap damping) | ||
| + | * El atacante desactiva un speakr BGP múltiples veces para que sus vecinos anuncien continuos cambios en los caminos. | ||
| + | * Efectos | ||
| + | * Las rutas afectadas son eliminadas de la red, lo que puede causar caidas o degradación. | ||
| + | * Mitigación | ||
| + | * Configuración correcta de Route Flap Campling (RTD) | ||
| + | * Habilitar Graceful Restart en BGP | ||
| + | |||
| + | ---- | ||
| + | |||
| + | ==== Malicious Route Injection / BGO Keak ==== | ||
| + | * BASE: Los pregijos anunciados por BGO suelen ser no autenticados. | ||
| + | * Un adversario anuncia un prefijo específico más largo que el anunciado por el AS real. | ||
| + | * Efecto: | ||
| + | * El trafico a los prefijos anunciados va al AS adversario. El atacante puede escuchar el tráfico o realizar ataques MitM | ||
| + | * Mitigación: | ||
| + | * Route filtering | ||
| + | * Resource PKI (RPKI): Login de autenticación | ||
| + | * Despliegue de BGPsec (Autenticated advertisements) | ||
| + | |||
| + | ---- | ||
| + | |||
| + | ==== Sesión BGP TCP ==== | ||
| + | La seción TCP entre 2 peer BGP puede ser protegida para evitar inyección de tráfico o ataques RST. Se recomienda usar TCP-AO, implementar GTSM y considerar el uso de IPsec. | ||
| + | |||
| + | ---- | ||
| + | |||
| + | ==== Filtrado de prefijos ==== | ||
| + | Considerando un proveedor Tier 2, tiene muchas relaciones: | ||
| + | * Relaciones con otros proveedores tier 2 | ||
| + | * Relación de cliente con proveedores Tier 1 | ||
| + | * Relación de proveedor con sus clientes. | ||
| + | |||
| + | === Filtros con clientes === | ||
| + | * Inbound: Solo acepta prefijos asignados acl cliente, la lista puede ser configurada manualmente | ||
| + | * Outbound: Depende del cliente: | ||
| + | * Muchos clientes solo necesitan recibir la ruta por defecto (0.0.0.0/0) | ||
| + | * Si necesita la tabla completa, debe filtrar: | ||
| + | * Prefijos no globalmente enrutables | ||
| + | * Rutas demasiado específicas | ||
| + | * La ruta por defecto | ||
| + | |||
| + | === Filtros con Proveedores upstream === | ||
| + | |||
| + | * Inbound: Solo la ruta por defecto y/o prefijos no globalmente enrutables, prefijos no alocados por la IANA, rutas demasiado específicas, | ||
| + | * Outbound: Permite solo prefijos del AS local y para abajo y deniega; | ||
| + | * Prefijos no globalmente enrutables | ||
| + | * Rutas demasiado especificas | ||
| + | * Prefijos IXP LAN | ||
| + | * Ruta por defecto | ||
| + | * Cualquier prefijo no pensado apra ser enrutado por upstream. | ||
| + | === AS Path Filtering === | ||
| + | * Solo acepta caminos conteniendo ASN perteneciendo o transitando a través del cliente | ||
| + | * Solo acepta caminos con logitudes apropiadas para el tipo de cliente | ||
| + | * Rechaza caminos incluyendo ASN de upstream providers | ||
| + | * Rechaza prefijos con números ASN privados | ||
| + | * Rechaja prefijos si el primer ASN no es el peer del IXP | ||
| + | * No anuncia prefijos si transmite servicios que no deben. | ||