Escolar Documentos
Profissional Documentos
Cultura Documentos
A continuación listo a modo de repaso los aspectos más importantes del protocolo:
<blockquote>
Es un protocolo vector-camino (muy similar a los protocolos vector-distancia)
Por lo tanto, el cálculo de las rutas que conforman la tabla de enrutamiento se hace de
manera distribuida (el conocimiento del camino está distribuido)
Para ello, los nodos informan a sus vecinos de las redes que alcanzan {red, siguiente
salto, [lista AS]}. Véase figura.
Los mensajes de protocolo se envían sobre conexiones TCP al puerto 179
Finalmente, notar que permite el intercambio de información de subredes classless (<a
href="http://es.wikipedia.org/wiki/CIDR" target="_blank">CIDR</a>)
</blockquote>
Un primer sistema para proporcionar seguridad en el intercambio de mensajes BGP es la
autenticación de los mismos. Como ya se ha mencionado, BGP hace uso de sesiones TCP
para el intercambio de mensajes. La solución viene de la mano de la <a
href="http://www.ietf.org/rfc/rfc2385.txt" target="_blank">RFC 2385: “Protection of BGP
Sessions via the TCP MD5 Signature</a>” que propone utilizar el campo de opciones de la
cabecera TCP, para incluir en cada segmento de este protocolo un hash MD5 que complique
los ataques de spoofing y man-in-the-middle. Este MD5 se calcula utilizando una clave
previamente compartida entre los nodos finales de la conexión TCP.
Con el objetivo de minimizar los ataques de redirección de tráfico, de secuestro de prefijos
mediante publicación malintencionada de los mismos, y de DoS de los routers BGP, resulta
de vital importancia realizar un filtrado de prefijos adecuado en los routers BGP del AS, para
lo que muchas veces basta aplicar el sentido común. A continuación listo algunos aspectos
a tener en cuenta, aunque existen más:
<blockquote>
Evitar la publicación hacia otro AS de prefijos de red asociados con el espacio de IP
privadas, cualquier otro de propósito especial o incluso no asignadas aún por la <a
href="http://es.wikipedia.org/wiki/IANA" target="_blank">IANA</a>.
Los prefijos de red utilizados para direccionamiento interno del AS nunca deberían ser
publicados hacia otros AS aún cuando estén dentro del rango de IP públicas.
En caso de que el AS sea un ISP, éste no debería publicar rutas hacia redes de las que no
sea responsable.
Todo ISP debería descartar como mínimo prefijos de red mayores de 24 bits de longitud
puesto que éste es el tamaño mínimo asignado por las <a
href="http://es.wikipedia.org/wiki/Registro_Regional_de_Internet" target="_blank">entidades
de registros de Internet</a>.
</blockquote>
Con esto me despido hasta el próximo post, en el que probablemente os hablaré de las
nuevas líneas de I+D que se están llevando a cabo para mejorar la seguridad de nuestros
queridos protocolos de enrutamiento.
Fuente:
Elyoenai Egozcue
S21sec labs
<a href="http://blog.s21sec.com" target="_blank">http://blog.s21sec.com</a>
15/11/2009 : 07:50
http://www.xombra.com/go_news.php?articulo=3624