PDF de programación - Seguridad en BGP

Seguridad en BGP

Saulo Barajas

Doctorado en Tecnologías de las Comunicaciones

Universidad Carlos III de Madrid

E-mail: saulo at saulo.net

Abstract. The autonomous systems that constitute Internet interchange their routes using BGP (Border
Gateway Protocol). BGP is responsible to determine the way that IP datagrams must follow to reach
a target address. The attacks to BGP protocol can allow a malicious person to receive IP datagrams of
another autonomous system, modify them and even, leave networks inaccessible from all Internet. The
security in BGP is a crucial aspect for the accurate operation of Internet. But attacks not only must be
considered, but also misconfigurations from the network administrators. The article explains the main
vulnerabilities of BGP protocol and the solutions to avoid them. S-BGP (Secure BGP) extensions, pro-
posed by BBN, are analyzed, describing their elements and operation. Finally, the article shows re-
lated works to S-BGP like soBGP (Secure Origin BGP).

1 Introducción a BGP

El protocolo BGP se ha constituido como el principal
protocolo de encaminamiento externo utilizado en
Internet. Prácticamente todo el tráfico que fluye entre
unos ISPs y otros es encaminado a través de BGP. La
versión actual, BGP-4, se encuentra descrita en las
RFC 1771 [1] y 1772 [2].

Con el fin de reducir el tamaño de las tablas de en-
caminamiento y de facilitar su gestión, Internet se
encuentra dividido en sistemas autónomos (AS).

Un sistema autónomo es un conjunto de redes admi-
nistradas por una misma organización que tiene defi-
nida una única política de encaminamiento [3]. Esta
política de encaminamiento decide las rutas admitidas
desde los sistemas autónomos vecinos y las rutas que
se envían hacia estos sistemas autónomos. En su
interior, el AS utiliza un protocolo interno de enca-
minamiento como, por ejemplo, OSPF. El protocolo
BGP un protocolo de encaminamiento entre sistemas
autónomos.

Cada sistema autónomo en Internet tiene un identifi-
cador (ASN) formado por 16 bits, lo que permitiría
hasta 65536 sistemas autónomos teóricos diferentes,
si bien el rango de 64512 a 65535 se encuentra reser-
vado para uso privado.

Las tablas de encaminamiento de BGP-4 almacenan
rutas para alcanzar redes, más concretamente prefijos
de cierto número de bits. Las rutas están formadas
por una secuencia de números de sistemas autónomos
que se deben seguir para alcanzar el prefijo indicado.
El último número de AS de la ruta se corresponde
con la organización que tiene registrado el prefijo. El
principal motivo para almacenar la ruta completa es
la detección y eliminación de bucles (loops), esto es,
que los paquetes se reenvíen de forma infinita entre
unos mismos sistemas autónomos (A-B-C-A-B-C-
A...) sin alcanzar nunca el destino o, dicho de otra

manera, que los mismos paquetes pasen varias veces
por un mismo sistema autónomo.

Según el número de conexiones con otros sistemas
autónomos y las políticas definidas, un sistema autó-
nomo puede ser de diferentes tipos. El más sencillo
(denominado stub AS) tiene una única conexión con
otro AS, que será normalmente su ISP. Por este sis-
tema autónomo únicamente circula tráfico local. Si el
AS tuviese más de una conexión a otros sistemas, por
motivos de redundancia generalmente, se denomina-
ría multihomed. El tráfico que circula dentro del AS
seguiría siendo local. Por último, un sistema autóno-
mo de tránsito es un sistema con varias conexiones, el
cual reenvía tráfico de una conexión a otra. Por su-
puesto, los sistemas autónomos pueden decidir y de
hecho así lo hacen los tipos de tráfico que transpor-
tan, mediante el establecimiento de políticas.
2 Aspectos de seguridad

Supongamos una organización A que utiliza BGP
para conexión redundante con dos ISPs. Esta organi-
zación se ha registrado como sistema autónomo y
dispone por tanto de un ASN, el 60500, por ejemplo.
Además, en este sistema autónomo, la organización
utiliza la red de su propiedad 200.10.4.0/23. El siste-
ma BGP anuncia el prefijo 200.10.4.0/23 a los dos
routers vecinos (uno por cada ISP). Y cada ISP pro-
paga las rutas hacia el exterior de forma que el resto
de routers BGP de Internet serán informados de la
mejor ruta para alcanzar la red 200.10.4.0/23.

Hasta aquí todo parece correcto, aunque desde el
punto de vista de la seguridad nos podemos formular
algunas preguntas
[9]: ¿realmente el prefijo
200.10.0/23 pertenece a la organización A? ¿el router
que dialoga con los routers vecinos de los ISPs es el
que la organización A ha instalado y no es un suplan-
tador que inyecte información maliciosa? ¿la ruta que
utiliza un usuario final para conectarse a un servidor
de la organización A es realmente la correcta y no ha

sido modificada durante su propagación para redirigir
el tráfico hacia un sistema autónomo comprometido
B?

Realmente BGP-4 no tiene forma de garantizar la
respuesta a estas preguntas. Los ataques de suplanta-
ción de prefijos, sistemas autónomos o routers pue-
den
tener
repercusiones a nivel de Internet. Necesitamos meca-
nismos de autentificación que nos garanticen que
cada elemento del sistema es quien dice ser.

realizarse con

relativa

facilidad y

BGP tiene otras carencias de seguridad como la falta
de control temporal en sus mensajes. Sin este control,
un atacante situado entre dos routers BGP vecinos
podría capturar tráfico BGP (un mensaje UPDATE
que elimine cierta ruta por ejemplo) y reproducirlo en
un instante futuro.

Además, al estar BGP basado en TCP, hereda todos
sus fallos de seguridad. Los routers vecinos mantie-
nen establecida una conexión TCP permanentemente
(sesión BGP). En caso de que esta conexión se inte-
rrumpa, el router vecino asumirá que el enlace se ha
desconectado o el router del otro extremo ha dejado
de funcionar, por lo que eliminará automáticamente
todas las rutas afectadas. Un ataque conocido es la
inyección de segmentos TCP con el bit de RST acti-
vado [6]. El router que recibe un RST considera que
el otro extremo le solicita un cierre de conexión y
cierra automáticamente la sesión. La consecuencia
para la organización A que comentamos en el ejem-
plo anterior sería que su red quedaría inaccesible,
puesto que se eliminarían todas las ruta hacia su red.
3 Soluciones parciales

Ante este abanico de problemas de seguridad, los
administradores pueden tomar en la actualidad ciertas
medidas; sin embargo, como veremos, se trata de
medidas que reducen tan sólo una parte de los pro-
blemas y, realmente, lo que buscamos son soluciones
globales de seguridad en BGP.

Mediante la utilización de reglas de filtrado podemos
definir las rutas que aceptaremos y aquellas que
anunciaremos. Un ISP debería filtrar todas las rutas
que procedan de una organización final diferentes a
las correspondientes a sus prefijos registrados. Una
organización final deberá ajustar sus filtros para no
anunciar rutas de otros sistemas autónomos (para no
hacer tránsito). Los filtros siempre han existido en
BGP y son ciertamente potentes, pero su configura-
ción pormenorizada puede resultar compleja y no se
descartan errores por parte del administrador.

La seguridad en BGP no sólo debe cubrir ataques
intencionados sino también errores de configuración
por parte del administrador. Estos últimos son en la
actualidad más numerosos que los primeros y deben
ser tenidos en cuenta en las políticas de seguridad.

Con el fin de evitar la suplantación de routers veci-
nos, una opción es la utilización de contraseñas en los
extremos de la sesión. Sin embargo, esta solución
acarrea dificultades añadidas: ¿cómo distribuir la
contraseña? Si la enviamos de forma no segura por
Internet podría ser interceptada. Pero no sólo eso:
¿cada cuánto tiempo se cambia la contraseña? ¿deben
ponerse de acuerdo los administradores vecinos para
realizar el cambio justo en el mismo instante? Como
vemos, genera demasiados inconvenientes operacio-
nales. Por otro lado, una contraseña utilizada única-
mente al inicio de una sesión BGP no impide que se
pueda interceptar una conexión ya validada y suplan-
tar a uno de los dos extremos.

Desde luego, podemos asegurar el canal completo
entre dos routers vecinos ya sea mediante una línea
dedicada o bien mediante la utilización de IPSec u
otras tecnologías. Aunque esto no haría nada contra
la propagación de rutas inválidas que hayan sido
inyectadas en algún tramo anterior.

Un método para garantizar que las rutas propagadas
por un router tienen su origen en un sistema autóno-
mo propietario de los prefijos anunciados es mediante
la utilización de registros de enrutamiento como
RADB [7]. El router puede consultar un registro para
verificar que cada ruta tiene un origen válido y no
está propagando rutas falsas. Esta opción no impide
que se pueda modificar una ruta que debería ir del
sistema autónomo 1 al 2 y hacerla pasar por un siste-
ma autónomo malicioso, 3, entre ambos.
4 S-BGP

Entre las soluciones propuestas más completas para
dotar de seguridad a BGP se destaca S-BGP (Secure
BGP), desarrollado por BBN y promovido por NSA y
DARPA. Su objetivo es dotar de autenticidad, inte-
gridad y autorizaciones a los mensajes BGP. Su últi-
mo borrador data de enero de 2003 [4].

S-BGP está formado por tres elementos:

o Certificados digitales. Se utilizan dos PKIs, una
para autentificar los prefijos I