En las diferentes conexiones que existen entre las redes de Internet, encontramos una infinidad de términos que, a priori, podemos desconocer e ignorar con facilidad. Sin embargo, siempre conviene conocer cada uno de los conceptos que se nos van planteando para saber cómo actuar en caso de necesitar hacerlo. Vamos a ver todo sobre el concepto BGP y cómo establecer enrutamientos seguros.
Cómo mejorar la seguridad del enrutamiento BGP
- Estrategias MANRS
- Filtrado
- Antisuplantación
- Coordinación
- Información de enrutamiento
- Otros mecanismos de defensa
- Infraestructura de clave pública de enrutamiento (RPKI)
- Objetos de autorización de ruta (ROA)
- Registro de enrutamiento de Internet (IRR)
¿Qué es el BGP en redes?
El BGP es un protocolo de enrutamiento de puerta de enlace que se utiliza para intercambiar información de enrutamiento entre routers en diferentes sistemas autónomos (AS) en Internet. Un sistema autónomo es una red o conjunto de redes bajo un único control administrativo. El BGP permite a los routers en diferentes sistemas autónomos comunicarse entre sí y tomar decisiones sobre cómo enrutar el tráfico.
¿Cómo funciona el protocolo de enrutamiento?
Los datos en cualquier red se mueven en forma de paquetes. Cada paquete tiene un encabezado que indica a dónde debe ir. Mientras un paquete se dirige a su destino, pasa por varios enrutadores que lo guían en su camino. Estos enrutadores trabajan constantemente, manejando millones de paquetes cada segundo.
Cuando un paquete llega a un enrutador, este revisa la dirección en su encabezado y luego consulta una tabla de enrutamiento para saber hacia dónde enviarlo a continuación. El enrutador actúa rápidamente, reenviando el paquete hacia el siguiente punto en la red.
Por ejemplo, al visitar un sitio web desde un ordenador en una red de oficina, los paquetes de datos primero llegan al enrutador de la red. El enrutador examina el encabezado de cada paquete para determinar su destino. Luego, basándose en su tabla de enrutamiento, envía el paquete al siguiente enrutador en la ruta o a otro dispositivo dentro de la misma red, como podría ser una impresora.
¿Qué peligros pueden existir en un router BGP?
Una vulnerabilidad crítica del Protocolo de Puerta de Enlace Fronteriza (BGP) radica en su dependencia de la confianza entre los routers de diferentes redes. BGP asume que los anuncios sobre los bloques de direcciones IP que controla cada red son siempre veraces. Sin embargo, esta suposición abre la puerta a actividades maliciosas, como la manipulación de rutas por parte de ciberdelincuentes.
Tomemos, por ejemplo, un caso hipotético donde un sistema tiene la autoridad legítima sobre un bloque de direcciones IP. Paralelamente, otro sistema, sin tener autorización, anuncia malintencionadamente el mismo bloque. Los sistemas autónomos vecinos se enfrentan a la decisión de elegir entre estas dos rutas anunciadas. Si alguna vecina opta por la ruta a través de la maliciosa, creyendo erróneamente que es la mejor opción, el tráfico destinado al bloque de las IP se desviaría hacia la incorrecta.
Este tipo de secuestro de ruta BGP por parte de la maliciosa no solo puede resultar en un aumento de la latencia y una experiencia de usuario deteriorada, sino que también da a los atacantes la oportunidad de espiar, interceptar o alterar el tráfico de datos. Además, los atacantes podrían redirigir a los usuarios a sitios web dañinos o interferir en la comunicación entre los usuarios y los sitios web legítimos. Para pasar desapercibidos, los atacantes suelen secuestrar bloques de direcciones IP inactivos, ya que estos pueden permanecer sin ser detectados durante más tiempo.
Detectar estos secuestros es un desafío. Sin embargo, el monitoreo constante de las rutas de tráfico en busca de aumentos inusuales en la latencia o cambios en las rutas puede ser un indicativo de actividad maliciosa. Identificar estos signos permite a las organizaciones tomar medidas para mitigar los riesgos asociados.
Cómo mejorar la seguridad del enrutamiento BGP
La lucha contra las amenazas del Protocolo de Puerta de Enlace Fronteriza (BGP) es una tarea compleja que requiere vigilancia constante y la colaboración entre varios participantes en el ámbito digital. Una iniciativa clave en este esfuerzo es MANRS (Normas Mutuamente Acordadas para la Seguridad de Enrutamiento). Esta iniciativa global invita a los Sistemas Autónomos (AS) a adoptar prácticas esenciales para reducir las amenazas comunes de enrutamiento.
Entre las estrategias clave promovidas por MANRS para mejorar la seguridad del enrutamiento se encuentran:
- Filtrado: Esta práctica se centra en verificar la precisión de los anuncios de enrutamiento, bloqueando aquellos que son falsos y que podrían alterar la estructura de enrutamiento de Internet.
- Antisuplantación: Consiste en validar la dirección de origen de los paquetes para evitar que aquellos con direcciones IP falsas entren o salgan de una red, reduciendo así el tráfico malicioso.
- Coordinación: Implica mantener información de contacto actualizada y accesible a nivel global, así como responder de manera proactiva a incidentes de seguridad en el enrutamiento.
- Información de enrutamiento: Los operadores de red deben publicar sus políticas de enrutamiento y los prefijos que planean anunciar para que terceros puedan validar esta información.
Además, existen otros mecanismos que contribuyen a la seguridad del enrutamiento:
- Infraestructura de clave pública de enrutamiento (RPKI): Esta herramienta asegura que solo los AS autorizados puedan anunciar rutas específicas, reforzando la autenticidad de las rutas anunciadas.
- Objetos de autorización de ruta (ROA): Parte del sistema RPKI, permiten a los propietarios de direcciones IP especificar qué AS están autorizados para anunciar sus prefijos de red.
- Registro de enrutamiento de Internet (IRR): Ofrece bases de datos con información de enrutamiento precisa y segura, sirviendo como referencia para los operadores de red.
Además, BGPsec, una extensión de BGP, añade seguridad adicional permitiendo a los routers firmar digitalmente sus anuncios de ruta. Esto dificulta que entidades no autorizadas anuncien rutas ilegítimas. La implementación global de BGPsec es un proceso en desarrollo y su adopción será gradual.
Conclusiones
El BGP desempeña un papel crucial en el funcionamiento de Internet y las redes. Es importante comprender cómo funciona este protocolo de enrutamiento y estar al tanto de los desafíos de seguridad que puede plantear. Al tomar medidas proactivas para mejorar la seguridad del enrutamiento BGP, las organizaciones pueden proteger sus redes y mantener la integridad del tráfico de datos en Internet.