Securizando el enrutamiento: desafíos y soluciones en BGP
El protocolo de puerta de enlace de frontera (BGP) ha sido fundamental en la expansión de Internet por su flexibilidad y escalabilidad desde que nació en los años 90 para conectar sistemas autónomos (AS), esto es, una gran red o grupo de redes gestionadas por una única organización.
Se trata de un protocolo de enrutamiento de tipo dinámico, que permite que las rutas entre los nodos se calculen y se adapten de manera efectiva bajo demanda, a diferencia de los protocolos de estado de enlace, que requieren un conocimiento previo y completo de la topología de la red. Esto significa que BGP puede responder de manera eficiente a los cambios en la topología de la red, adaptando las rutas, según sea necesario, para garantizar la conectividad.
BGP opera en dos modalidades distintas: Por un lado, el BGP exterior (eBGP) se encarga del enrutamiento de información entre diferentes sistemas autónomos, mientras que el BGP interior (iBGP) maneja el intercambio de información entre routers eBGP dentro del mismo sistema autónomo. De hecho, iBGP puede ser integrado con OSPF y MPLS para implementar soluciones avanzadas de red, como túneles VPLS (servicio de LAN privada virtual) señalizados por BGP y VRF (enrutamiento y reenvío virtual) de manera rápida dentro de redes empresariales. Esta dualidad permite que BGP gestione la información de manera más efectiva, garantizando una comunicación más fluida y segura entre los diferentes nodos de la red.
- Escenario de usos de iBGP y eBGP. -
Además, su diseño se centra en identificar únicamente el camino más corto, sin tomar en consideración la estructura interna de las redes individuales. Esto significa que BGP no se preocupa por los detalles intrínsecos, ni por la configuración de las redes individuales por las que pasa la información, su objetivo principal es encontrar la ruta más eficiente entre dos sistemas autónomos.
Debido a estas características, BGP presenta unas propiedades ideales para manejar redes de gran tamaño, ya que puede manejar una cantidad enorme de rutas y adaptarse a la topología diversa y extensa de la red global de Internet, lo que permite la comunicación efectiva y la transferencia de datos entre una variedad inmensa de redes interconectadas alrededor del mundo.
A pesar de su importancia crítica y su omnipresencia en las operaciones de la red global, BGP fue concebido en una época donde la seguridad no era una preocupación prioritaria, por lo que presenta debilidades susceptibles a varios tipos de ataques, incluyendo las fugas (leaks) o el secuestro (hijacks) de rutas, que pueden provocar la interrupción de servicios, la pérdida de datos o ataques de tipo hombre en el medio (Man-in-the-Middle).
La amenaza del secuestro de rutas
La principal debilidad de BGP es que se basa en el principio de confianza absoluta, suponiendo que los routers de las redes interconectadas nunca mienten al anunciar los grupos de direcciones IP que poseen. Esto hace que los ciberdelincuentes puedan comprometer un router BGP legítimo y hacer anuncios de ruta falsos, lo que puede llevar a que el tráfico de Internet se desvíe por rutas no óptimas y posiblemente maliciosas.
Por ejemplo, imaginemos que AS1 tiene la autorización legítima para originar el prefijo 207.50.100.0/22, y en paralelo, AS3 –sin autorización– anuncia maliciosamente el mismo prefijo. Los sistemas autónomos vecinos, como AS2, recibirían ambas rutas y deberían seleccionar una de ellas, basándose en sus tablas de rutas BGP y políticas de enrutamiento. Si un sistema autónomo decide que la ruta a través de AS3 es la mejor, entonces el tráfico destinado al prefijo 207.50.100.0/22 sería desviado hacia AS3, en lugar de su destino legítimo, AS1.
- Escenario de secuestro de rutas BGP por parte de AS3. -
Este desvío no solo podría aumentar la latencia y degradación de la experiencia del usuario, sino que también permite a los atacantes monitorizar, interceptar o manipular el tráfico de datos que pasa por las rutas comprometidas. Además, pueden dirigir a los usuarios a sitios web maliciosos o interceptar y alterar la comunicación entre el usuario y los sitios web legítimos. El atacante, para evitar ser detectado, puede optar por secuestrar prefijos IP que no están en uso, ya que estos pueden pasar inadvertidos durante más tiempo.
La detección de estos secuestros es complicada, pero monitorizar constantemente las rutas de tráfico en busca de incrementos significativos en la latencia o cambios en las rutas pueden ser indicios de esta actividad maliciosa, permitiendo a las organizaciones actuar para mitigar los riesgos.
Hacia un direccionamiento seguro
Entender y contrarrestar las amenazas de BGP es un desafío considerable, que demanda un estado de alerta permanente y la colaboración entre múltiples actores en el ciberespacio. MANRS (normas mutuamente acordadas para la seguridad de enrutamiento) es una iniciativa abierta y global respaldada por Internet Society a la que pueden adherirse los AN, que busca implementar medidas vitales para minimizar las amenazas de enrutamiento más frecuentes. Algunas de las buenas prácticas que promulgan para fortalecer la seguridad del enrutamiento son:
- Filtrado (filtering): implica asegurarse de que los anuncios de enrutamiento sean correctos, deteniendo los anuncios de rutas falsas que pueden distorsionar la estructura de enrutamiento de Internet. Al implementar políticas de filtrado efectivas, se puede prevenir la propagación de información de enrutamiento incorrecta.
- Antisuplantación (antispoofing): se habilita la validación de la dirección de origen para prevenir que paquetes con direcciones IP falsificadas entren o salgan de una red. Esto ayuda a reducir la cantidad de tráfico malicioso y de suplantación (spoofing) en Internet.
- Coordinación (coordination): se refiere a mantener información de contacto accesible globalmente y responder proactivamente a los incidentes de seguridad en el enrutamiento. La cooperación y la comunicación efectiva entre los operadores de red son vitales para resolver rápidamente los posibles problemas de seguridad.
- Información de enrutamiento (routing information): los operadores de red y los propietarios de recursos de Internet deben publicar sus políticas de enrutamiento y los prefijos que tienen la intención de anunciar, permitiendo que pueda validarse dicha información por parte de terceros.
Además de estas buenas prácticas, existen mecanismos adicionales que contribuyen a la seguridad del enrutamiento en Internet y a la protección ante los posibles ataques:
- La infraestructura de clave pública de enrutamiento (RPKI): es una capa de seguridad que trabaja para asegurar que solamente los sistemas autónomos (AS) autorizados tengan la capacidad de anunciar rutas específicas. Esto refuerza la autenticidad y la validez de las rutas anunciadas, restringiendo la capacidad de entidades no autorizadas de anunciar rutas ilegítimas.
- Los objetos de autorización de ruta (ROA): son parte del sistema RPKI y permiten a los propietarios de direcciones IP especificar qué sistemas autónomos están autorizados para anunciar sus prefijos de red. De este modo, facilitan la validación de rutas por otros operadores de red, permitiendo un mayor control y seguridad en el anuncio de rutas en la red.
- El registro de enrutamiento de Internet (IRR): proporciona bases de datos que contienen información de enrutamiento correcta y segura, actuando como una referencia confiable para los operadores de red en la configuración de políticas de enrutamiento y en la toma de decisiones de reenvío.
Además, el componente de seguridad BGPsec, una extensión de BGP que añade una capa extra de seguridad, permite a los routers eBGP firmar digitalmente sus anuncios de actualización de ruta, lo que complica significativamente la tarea de los sistemas no autorizados que intenten anunciar impropiamente rutas no legítimas para los AS, ya que los anuncios falsos pueden ser fácilmente identificados y descartados. El despliegue mundial de BGPsec está en marcha; sin embargo, su adopción global será un proceso gradual debido a la extensa cantidad y variedad de AS en el mundo.
Finalmente, e independientemente de las aproximaciones previas, siempre es una buena práctica de los administradores de AS adoptar un enfoque más consciente y restrictivo respecto a las declaraciones de prefijos IP. Limitar la declaración de prefijos IP a redes específicas y aceptar los anuncios que provengan solo de redes de confianza ayudará a minimizar la exposición a actores maliciosos y fortalecerá la seguridad de las rutas, contribuyendo así a la integridad y estabilidad general de Internet.
Conclusión
Garantizar la seguridad de los protocolos de enrutamiento en Internet es crucial para mantener y fortalecer la confianza de los usuarios y empresas en los servicios digitales que hacen uso de la red global. Dado el constante aumento de amenazas y vulnerabilidades, el desarrollo y la implementación de mecanismos robustos de seguridad, como BGPsec, RPKI, IRR y ROA, es imperativo para construir y preservar un entorno en línea seguro y confiable.
Aunque la implementación y el cumplimiento de estos mecanismos de seguridad presentan desafíos significativos y a menudo complejos, desde la adaptación técnica hasta la inversión financiera, estos obstáculos no deben impedir su adopción. Es crucial superarlos para fortalecer la seguridad y la resiliencia de Internet contra ataques intencionados y errores humanos, que pueden comprometer la integridad y la disponibilidad de los servicios en línea.
La inversión en medidas de seguridad de este tipo no debe considerarse un gasto innecesario o una carga operativa, sino, más bien, como una responsabilidad compartida entre todos los actores involucrados (proveedores de servicios de Internet, empresas, gobiernos y usuarios finales) para asegurar un futuro digital resiliente y seguro para todos. La adopción proactiva de estas medidas contribuirá a crear un ecosistema de Internet donde la confianza y la seguridad sean la norma.
