Comcast ahora bloquea los ataques de secuestro de BGP y enruta las fugas con RPKI

Comcast, uno de los proveedores de banda ancha más grandes de Estados Unidos, ha implementado RPKI en su red para protegerse contra el secuestro y la pérdida de rutas BGP.

Los secuestros de rutas BGP son un problema de red que ocurre cuando una red particular en Internet afirma falsamente que admite ciertas rutas o prefijos que, de hecho, no admite.

Esto ocurre debido a una actividad maliciosa o una mala configuración (a este último se le llama mejor "filtraciones de BGP" en lugar de secuestro).

Si no se marca, un secuestro o pérdida de la ruta BGP puede causar un aumento drástico en el tráfico de Internet mal dirigido, lo que finalmente conduce a una congestión global y una denegación de servicio (DoS).

Índice de contenidos()

    Comcast lanza RPKI para proteger rutas BGP

    Esta semana, en un esfuerzo por reforzar la seguridad y solidez de su red, el gigante de las telecomunicaciones Comcast lanzó Infraestructura de clave pública de recursos (RPKI) en su red.

    RPKI es un marco diseñado para proteger la infraestructura de enrutamiento de Internet, principalmente el Border Gateway Protocol (BGP).

    El mes pasado, BleepingComputer informó que una importante filtración de BGP había interrumpido miles de redes en todo el mundo.

    Algunos prefijos de Comcast también estaban presentes en los anunciados por la red Vodafone que sufrió la filtración.

    comcast tuvo un impacto en el reciente secuestro de bgp
    La fuga de BGP más reciente informada por BleepingComputer afectó algunos prefijos de Comcast
    Fuente: Anurag Bhatia

    Pero, con la introducción de RPKI de Comcast en su red, parece que el ISP ha dado un paso adelante:

    "En términos prácticos, significa que Comcast ahora firma criptográficamente la información de la ruta y valida las firmas criptográficas de la información de la ruta de otras redes".

    "Esto ayuda a garantizar que los paquetes lleguen intactos a sus destinos previstos y no se puedan desviar o divulgar a otros destinos, lo que hace que la red, y el tráfico de Internet en general, sea más seguro y resistente para todos los usuarios", dice Jason Livingood. Política y estándares tecnológicos.

    "Dado el tamaño y la diversidad técnica de nuestra red, la implementación de RPKI representó un esfuerzo significativo; sin embargo, pudimos implementar la actualización sin interrumpir el rendimiento de nuestros clientes", continuó Livingood en un entrada en el blog esta semana.

    La mudanza también fue recibido por el CEO de Cloudflare Matthew Prince, quien el año pasado expresó su preocupación acerca de que Comcast no asegura las rutas BGP:

    tweet bgp de comcast
    Las medidas de seguridad de BGP fueron muy esperadas por el CEO de Cloudflare, Matthew Prince (Gorjeo)

    ¿Qué son BGP, secuestro de BGP y fugas de BGP?

    BGP o Protocolo de puerta de enlace fronteriza es lo que hace que Internet funcione hoy.

    Es como tener un "sistema de correo" para Internet que facilita la redirección del tráfico de un sistema de redes (autónomo) a otro.

    Internet es una red de redes y, por ejemplo, un usuario de un país quiere acceder a un sitio web de otro, debe haber un sistema que sepa qué caminos tomar al redirigir al usuario a través de múltiples sistemas en la red.

    Esto es similar a una carta que pasa por varias oficinas de correos entre su origen y destino.

    Y este es el propósito de BGP: dirigir adecuadamente el tráfico de Internet en varias rutas y sistemas entre el origen y el destino para que Internet funcione.

    autopista bgp
    Explicación de secuestro o pérdida de ruta de BGP
    Credito de imagen: Cloudflare

    Sin embargo, BGP es frágil y cualquier interrupción o falla incluso en unos pocos sistemas intermedios puede tener un impacto duradero en muchos.

    Para que Internet funcione, varios dispositivos (sistemas independientes) anuncian los prefijos de IP que manejan y el tráfico que pueden enrutar. Sin embargo, este es en gran medida un sistema basado en la confianza con el supuesto de que todos los dispositivos dicen la verdad.

    Dada la enorme naturaleza interconectada de Internet, es difícil imponer la honestidad en cada dispositivo de la red.

    El secuestro de ruta de BGP ocurre cuando una entidad maliciosa logra "anunciar falsamente" a otros enrutadores que poseen un conjunto específico de direcciones IP cuando no lo tienen. Cuando eso sucede, ocurre el caos.

    Esta confusión de ruta crearía muchos problemas en Internet y provocaría retrasos, congestión del tráfico o interrupciones totales.

    Sin embargo, las fugas de rutas BGP son similares al secuestro de rutas BGP, excepto que este último se refiere más específicamente a casos de actividad maliciosa.

    Considerando que, las pérdidas de trayectoria pueden ser probablemente accidentales.

    En ambos casos de un archivo Pérdida de curso BGP o secuestro de BGP, un Sistema Autónomo (AS) anuncia que sabe "cómo" o "dónde" dirigir el tráfico destinado a ciertos destinos (AS) que no conoce realmente.

    Esto puede llevar al usuario a asumir una ruta de Internet que ofrecerá un rendimiento subóptimo o provocará interrupciones permanentes y, potencialmente, actuará como una cobertura para la interceptación o análisis del tráfico en caso de un secuestro malicioso.

    Por ejemplo, el año pasado, como informó BleepingComputer, la interrupción global de IBM fue causada por una mala configuración del enrutamiento BGP.

    Anteriormente, vimos un caso significativo de secuestro de BGP en 2008 cuando YouTube desapareció. desconectado para su audiencia global debido al hecho de que parte de su tráfico se redirige a través de servidores paquistaníes.

    En los años siguientes, hemos informado de incidentes similares.

    Las contramedidas como RPKI ayudan al agregar estructuras de validación en su lugar utilizando criptografía de clave pública.

    "RPKI permite a los operadores de red cifrar y firmar digitalmente anuncios de enrutamiento en el Protocolo de puerta de enlace fronteriza (BGP) mediante un sistema de claves públicas y privadas".

    "La información se puede cifrar y firmar con una clave privada, y solo se puede descifrar o verificar la firma, utilizando la clave pública correspondiente".

    "La información de firma digital proporciona la seguridad de que los anuncios de enrutamiento que se muestran en el sistema de enrutamiento se pueden verificar y son auténticos", dice APNIC guía es RPKI.

    Esto ayuda a las redes a confiar en la integridad de la información de enrutamiento que reciben y ayuda a prevenir un incidente de DoS debido a un incidente o pérdida de enrutamiento de BGP.

    Compruebe si su ISP está a salvo contra el secuestro de BGP

    Hace aproximadamente un año, Cloudflare lanzó un sitio web donde los usuarios de Internet podían verificar si su ISP ha agregado protecciones contra los ataques de secuestro de BGP.

    Cloudflare compartió algunas ideas sobre el asunto con BleepingComputer:

    "Cloudflare lanzó el isBGPSafeYet.com hace más de un año para ayudar a los consumidores a identificar si su proveedor de Internet ha implementado (o está en proceso de implementar) RPKI ".

    "El objetivo de este sitio es crear conciencia entre los muchos ISP que aún no han implementado RPKI y están abandonando Internet. vulnerable a fugas y secuestros"El CTO de Cloudflare, John Graham-Cumming, dijo a BleepingComputer en una entrevista por correo electrónico.

    El sitio web de BGP sigue siendo seguro
    El sitio web IsBGPSafeYet notifica a los usuarios si su ISP brinda protección contra ataques BGP

    "Cloudflare ha estado hablando con Comcast sobre la implementación de RPKI para BGP desde hace algún tiempo".

    "Nos contactaron recientemente para informarnos sobre estos próximos cambios. Este es un paso importante para mantener a las personas seguras en línea porque, de forma predeterminada, BGP no incorpora ningún protocolo de seguridad. Esto puede llevar a una práctica llamada secuestro de BGP. de redirigir el tráfico a otro sistema autónomo para robar información (mediante phishing o escucha pasiva, por ejemplo) ", continuó Graham-Cumming.

    En el lado positivo, la próxima vez que se produzca un secuestro de BGP, la autenticidad de las rutas anunciadas se puede verificar con RPKI, explica Cloudflare.

    "Una red debe implementar la validación de origen RPKI para rechazar rutas no válidas. La firma de rutas de Comcast significa que es menos probable que se vean afectadas por un secuestro de su dirección IP".

    "La implementación de Comcast RPKI Origin Validation significa que es menos probable que sus clientes se vean afectados por un secuestro de Internet como el que tuvo como objetivo myetherwallet en 2018", concluyó Graham-Cumming en su entrevista con nosotros.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir