Embedded Files
INB COMPUTERS "Honestidad, calidad y profesionalismo"
POST ED: 3 abril, 2024. ACTUALIZADO EN: 3 abril, 2024.
¿Que es BGP?
¿Que es BGP?
El protocolo de puerta de enlace de frontera (BGP) es el protocolo de enrutamiento de Internet. De la misma manera que una oficina de correos procesa la correspondencia, el BGP elige las rutas más eficientes para entregar el tráfico de Internet.
El BGP protocol se utiliza en línea como vector de ruta y protocolo de routing. Crea la base para el intercambio de datos sobre la accesibilidad de los routers disponibles y la gestión de los paquetes de datos. BGP puede conectar sistemas autónomos internos y externos y proporciona estabilidad a la red en caso de fallos de los routers.
BGP se encuentra descrito en el RFC 1163 y utiliza el puerto TCP 179 en la capa de transporte del modelo de referencia OSI.
¿Cuándo se usa el BGP?
El Border Gateway Protocol se utiliza como BGP externo (eBGP) y como BGP interno (iBGP). Al ser el único protocolo de pasarela externa de Internet, se utiliza para el enrutamiento y la gestión del intercambio de datos entre sistemas autónomos y dentro de ellos. Al tomar decisiones basadas en políticas y reglas definidas por los administradores de la red, garantiza una mayor estabilidad de la red. Esto es posible, por ejemplo, pues permite que los routers se adapten de forma flexible en caso de fallos y que elijan otras rutas lógicas de routing disponibles a través del BGP para el intercambio de paquetes. Además, las actualizaciones de BGP permiten a los routers añadir nuevas rutas a las tablas de routing predeterminadas.
Nota: El tipo de direccionamiento IPv6 anycast está estrechamente relacionado con el BGP protocol. El BGP routing se utiliza para permitir la comunicación entre ordenadores en redes anycast.
¿Cuál es la diferencia entre el BGP externo e interno?
Las rutas se intercambian y el tráfico se transmite por Internet utilizando el BGP externo (eBGP). Los sistemas autónomos también pueden utilizar una versión interna del BGP para enrutar a través de sus redes internas, lo que se conoce como el BGP interno (iBGP). Hay que tener en cuenta que el uso del BGP interno NO es un requisito para utilizar el BGP externo. Los sistemas autónomos pueden elegir entre varios protocolos internos para conectar los enrutadores de su red interna.
El BGP externo es como un envío internacional. Hay ciertas normas y directrices que hay que seguir cuando se realizan envíos internacionales. Una vez que ese correo llega al país de destino, tiene que pasar por el servicio de correos local del país de destino para llegar a su destino final. Cada país tiene su propio servicio de correos interno que no necesariamente sigue las mismas pautas que los de otros países. Del mismo modo, cada sistema autónomo puede tener su propio protocolo de enrutamiento interno para enrutar los datos dentro de su propia red.
¿Quién opera los sistemas autónomos del BGP?
Los AS suelen pertenecer a proveedores de servicios de Internet (ISP) u otras grandes organizaciones, como empresas tecnológicas, universidades, agencias gubernamentales e instituciones científicas. Cada AS que desee intercambiar información de enrutamiento debe tener un número de sistema autónomo (ASN) registrado. La Autoridad para la asignación de números de Internet (IANA) asigna los ASN a los Registros regionales de Internet (RIR), que a su vez los asignan a los ISP y a las redes. Los ASN son números de 16 bits entre 1 y 65.534 y de 32 bits entre 131.072 y 4.294.967.294. Desde 2018, hay aproximadamente 64.000 ASN en uso en todo el mundo. Estos ASN solo son necesarios para el BGP externo.
Cloudflare, Inc. (2024). ¿Qué es el BGP? | Definición del enrutamiento del BGP. https://www.cloudflare.com/es-es/learning/security/glossary/what-is-bgp/ IONOS (30 ene, 2023). ¿Qué es el BGP (Border Gateway Protocol)? Definición y uso. https://www.ionos.mx/digitalguide/servidores/know-how/bgp-border-gateway-protocol/
Levy M. J. (19 sep, 2018). RPKI - The required cryptographic upgrade to BGP routing [Imagen]. Cloudflare, Inc. https://blog.cloudflare.com/rpki/
Algunos de los incidentes de seguridad BGP más reconocidos son:
1997 - AS7007 mistakenly (re)announces 72,000+ routes (becomes the poster-child for route filtering).
2008 - ISP in Pakistan accidentally announces IP routes for YouTube by blackholing the video service internally to their network.
2017 - Russian ISP leaks 36 prefixes for payments services owned by Mastercard, Visa, and major banks.
2018 - BGP hijack of Amazon DNS to steal crypto currency.
Levy M. J. (19 sep, 2018). RPKI - The required cryptographic upgrade to BGP routing. Cloudflare, Inc. https://blog.cloudflare.com/rpki/
Ataques BGP
Ataques BGP
BGP hijacking, que se produce cuando los hackers se hacen pasar por sistemas autónomos (AS) y fuente de enrutamiento para interceptar o redirigir el tráfico.
Defectos del BGP y cómo solucionarlos
En 2004, un ISP turco llamado TTNet anunció de manera accidental rutas BGP incorrectas a sus vecinos. Estas rutas afirmaban que el propio TTNet era el mejor destino para todo el tráfico de Internet. A medida que estas rutas se fueron extendiendo a más sistemas autónomos, se produjo una interrupción masiva que originó una crisis de un día de duración en la que muchas personas de todo el mundo no pudieron acceder a una parte o a la totalidad de Internet.
Asimismo, en 2008, un ISP paquistaní intentó utilizar una ruta del BGP para impedir que los usuarios paquistaníes visitaran YouTube. El ISP anunció entonces por error estas rutas con sus AS vecinos y la ruta se extendió con rapidez por la red del BGP de Internet. Esta ruta envió a los usuarios que intentaban acceder a YouTube a un callejón sin salida, lo que provocó que no se pudiera acceder a YouTube durante varias horas.
Otro incidente en esta línea ocurrió en junio de 2019, cuando una pequeña empresa de Pensilvania se convirtió en la ruta preferida para los enrutadores a través de la red de Verizon, provocando que gran parte de Internet dejara de estar disponible para los usuarios durante varias horas.
Estos son ejemplos de una práctica denominada secuestro del BGP, que no siempre ocurre de forma accidental. En abril de 2018, unos atacantes crearon a propósito rutas BGP erróneas para redirigir el tráfico que estaba destinado al servicio DNS de Amazon. Los atacantes pudieron robar más de 100.000 dólares en criptomoneda redirigiendo el tráfico hacia ellos mismos.
El secuestro de BGP se puede utilizar para diversos tipos de ataques:
Phishing e ingeniería social a través de la redirección de los usuarios a sitios web falsos
Denegación de servicio (DoS) a través del tráfico de agujero negro o redireccionamiento
Ataques en ruta para modificar los datos intercambiados y socavar los sistemas de filtrado basados en la reputación.
Ataques de suplantación para espiar las comunicaciones
Incidentes como este pueden ocurrir porque la función de compartir rutas de BGP se basa en la confianza, y los sistemas autónomos confían implícitamente en las rutas que se comparten con ellos. Cuando los números de sistemas del mismo nivel anuncian información de ruta incorrecta (de menara intencionada o no), el tráfico va a donde no debe ir, con resultados potencialmente maliciosos.
Cloudflare, Inc. (2024). ¿Qué es el BGP? | Definición del enrutamiento del BGP. https://www.cloudflare.com/es-es/learning/security/glossary/what-is-bgp/ IONOS (30 ene, 2023). ¿Qué es el BGP (Border Gateway Protocol)? Definición y uso. https://www.ionos.mx/digitalguide/servidores/know-how/bgp-border-gateway-protocol/ https://blog.cloudflare.com/is-bgp-safe-yet-rpki-routing-security-initiative/?_gl=1*turv79*_ga*MTQ1OTY0NTAyOS4xNjk5Mzg4MjU1*_ga_SQCRB0TXZW*MTcxMjEyODY0OC4xNS4xLjE3MTIxMzAyNzguMC4wLjA.
BGP segura RPKI
BGP segura RPKI
BGP SEGURA: https://isbgpsafeyet.com/
Cómo asegurar el BGP
Considerado como BGPsegura, en 2008 se implementó un marco de seguridad para el enrutamiento denominado Infraestructura de clave pública de recursos (RPKI) la cual se define en el RFC6480. Este protocolo ligero se define en RFC6810, y se actualiza posteriormente para incluir soporte BGPsec en RFC8210 (The Resource Public Key Infrastructure (RPKI) to Router Protocol). Este protocolo ligero recibe el apodo de "RTR". La RPKI utiliza registros firmados de forma criptográfica llamados Autorizaciones de origen de ruta (ROA) para validar qué operador de red está autorizado a anunciar las direcciones IP de una organización mediante el BGP. Esto garantiza que solo los usuarios autorizados anuncien los prefijos de una organización.
Sin embargo, la existencia de la RPKI no es suficiente. Si las grandes redes no implementan las mejores prácticas de seguridad BGP, pueden propagar ataques de secuestro a gran escala. En la actualidad, más del 50 % de los principales proveedores de Internet admiten la RPKI en cierta medida, pero se necesita una mayoría más amplia para asegurar completamente el BGP. Los operadores de red pueden proteger sus redes al implementar la RPKI y utilizando tecnología de alerta de red, como la Detección de fugas de ruta de Cloudflare. Esta función ayuda a prevenir los ataques de secuestro de BGP, ya que permite a los clientes saber cuándo usuarios no autorizadas están anunciando sus prefijos.
IONOS (30 ene, 2023). ¿Qué es el BGP (Border Gateway Protocol)? Definición y uso. https://www.ionos.mx/digitalguide/servidores/know-how/bgp-border-gateway-protocol/ Levy M. J. (19 sep, 2018). RPKI - The required cryptographic upgrade to BGP routing. Cloudflare, Inc. https://blog.cloudflare.com/rpki/
Page updated
Report abuse