Knoppia

Wiki de Informática y otras historias

Herramientas de usuario

Herramientas del sitio


master_cs:secom:tm4_v2

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
master_cs:secom:tm4_v2 [2026/05/28 20:37] thejuanvisumaster_cs:secom:tm4_v2 [2026/05/28 21:01] (actual) thejuanvisu
Línea 148: Línea 148:
  
 ---- ----
 +\\ 
 +\\
 ====== Protegiendo el DNS ====== ====== Protegiendo el DNS ======
  
Línea 295: Línea 296:
  
 ---- ----
 +\\ 
 +\\
 ====== Problemas de Seguridad del Enrutado ====== ====== Problemas de Seguridad del Enrutado ======
  
Línea 471: Línea 473:
  
 ==== Peer Spooging y TCP Resets ==== ==== Peer Spooging y TCP Resets ====
 +  * BASE: Se inyecta tráfico en la sesión TCP entre dos peers con dirección IP false. 
 +  * Se otienen la IP de un peer (con traceroute) y se envían paquetes falsificados con información malintecionada.
 +  * Efecto:
 +    * Route churn
 +    * DoS
 +    * Redirección de Tráfico
 +  * Mitigación
 +    * Aleatorización del numero de secuencia inicial TCP
 +    * Aleatorización del puerto del cliente TCP
 +    * Uso de autenticación TCP
 +    * Uso de GTSM para e-BGP
 +    * Sesion BGP protegida con IPsec
 +
 +----
 +
 +==== TCP resets con ICMP ====
 +  * BASE: un mensaje de error ICMP puede romper conexiones TCP
 +  * Se envía un mensaje de error ICMP falsificado al servicor BGP víctima.
 +  * Efectos:
 +    * Route Churn
 +    * DoS
 +  * Mitigación
 +    * GTSM para e-BGP
 +    * Proteger la sesión BGP con IPSEC
 +    * Filtrar ICMP tipo3, code 2, 3 y 4
 +
 +----
 +
 +==== Route Flapping ====
 +  * BASE: Route Flapping con alta cadencia causa que los anuncios BGP peer to peer sean ignorados (Route flap damping)
 +  * El atacante desactiva un speakr BGP múltiples veces para que sus vecinos anuncien continuos cambios en los caminos.
 +  * Efectos
 +    * Las rutas afectadas son eliminadas de la red, lo que puede causar caidas o degradación.
 +  * Mitigación
 +    * Configuración correcta de Route Flap Campling (RTD)
 +    * Habilitar Graceful Restart en BGP
 +
 +----
 +
 +==== Malicious Route Injection / BGO Keak ====
 +  * BASE: Los pregijos anunciados por BGO suelen ser no autenticados.
 +  * Un adversario anuncia un prefijo específico más largo que el anunciado por el AS real.
 +  * Efecto:
 +    * El trafico a los prefijos anunciados va al AS adversario. El atacante puede escuchar el tráfico o realizar ataques MitM
 +  * Mitigación:
 +    * Route filtering
 +    * Resource PKI (RPKI): Login de autenticación
 +    * Despliegue de BGPsec (Autenticated advertisements)
 +
 +----
 +
 +==== Sesión BGP TCP ====
 +La seción TCP entre 2 peer BGP puede ser protegida para evitar inyección de tráfico o ataques RST. Se recomienda usar TCP-AO, implementar GTSM y considerar el uso de IPsec.
 +
 +----
 +
 +==== Filtrado de prefijos ====
 +Considerando un proveedor Tier 2, tiene muchas relaciones:
 +  * Relaciones con otros proveedores tier 2
 +  * Relación de cliente con proveedores Tier 1
 +  * Relación de proveedor con sus clientes.
 +
 +=== Filtros con clientes ===
 +  * Inbound: Solo acepta prefijos asignados acl cliente, la lista puede ser configurada manualmente
 +  * Outbound: Depende del cliente:
 +    * Muchos clientes solo necesitan recibir la ruta por defecto (0.0.0.0/0)
 +    * Si necesita la tabla completa, debe filtrar:
 +      * Prefijos no globalmente enrutables
 +      * Rutas demasiado específicas
 +      * La ruta por defecto
 +
 +=== Filtros con Proveedores upstream ===
 +
 +  * Inbound: Solo la ruta por defecto y/o prefijos no globalmente enrutables, prefijos no alocados por la IANA, rutas demasiado específicas, prefijos pertenecientes al AS local, Prefijos IXP LAN.
 +  * Outbound: Permite solo prefijos del AS local y para abajo y deniega;
 +    * Prefijos no globalmente enrutables
 +    * Rutas demasiado especificas
 +    * Prefijos IXP LAN
 +    * Ruta por defecto
 +    * Cualquier prefijo no pensado apra ser enrutado por upstream.
  
 +=== AS Path Filtering ===
 +  * Solo acepta caminos conteniendo ASN perteneciendo o transitando a través del cliente
 +  * Solo acepta caminos con logitudes apropiadas para el tipo de cliente
 +  * Rechaza caminos incluyendo ASN de upstream providers
 +  * Rechaza prefijos con números ASN privados
 +  * Rechaja prefijos si el primer ASN no es el peer del IXP
 +  * No anuncia prefijos si transmite servicios que no deben.
master_cs/secom/tm4_v2.1780000640.txt.gz · Última modificación: 2026/05/28 20:37 por thejuanvisu