Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Seguridad del protocolo BGP.

  • Печать
Обновлено 01.10.2025 11:26

Creo que todo el mundo entiende que Internet es vulnerable a los ataques que utilizan protocolos de enrutamiento y el protocolo BGP en este sentido no es una excepción. Las Fuentes de información de ruta defectuosas, mal configuradas o deliberadamente distorsionadas pueden distorsionar significativamente el funcionamiento de Internet insertando información de ruta falsa en las bases de datos de ruta distribuidas por BGP (modificando, suplantando o reutilizando paquetes BGP). También hay algunos métodos para interrumpir la red en general al romper las conexiones en el sistema de intercambio de información entre los nodos BGP. Las Fuentes de información falsa pueden ser tanto hosts externos (outsider) como hosts BGP legítimos.

La autenticación criptográfica del intercambio de datos entre socios no está prevista en el protocolo BGP. El protocolo BGP, al igual que la pila TCP/IP, puede servir como objetivo para todos los ataques de red de los que hablamos en publicaciones anteriores. Cualquier nodo de terceros puede incluir mensajes BGP plausibles en el intercambio de datos entre socios BGP y, por lo tanto, incluir rutas falsas en las tablas o cortar la conexión entre socios. Cualquier interrupción de la comunicación entre los socios provoca un cambio en el patrón de enrutamiento distribuido. Además, los nodos externos también pueden cortar las conexiones entre los socios BGP, cortando las sesiones TCP para ellos con paquetes falsos. Las Fuentes externas de información falsa de BGP pueden ubicarse en cualquier parte de Internet.

El requisito de que se admita un mecanismo de autenticación aún no significa que se utilice en la práctica. Por lo tanto, el mecanismo de autenticación se basa en el uso de un secreto compartido predefinido (una contraseña compartida que todos los participantes en el intercambio de datos deben usar) y no incluye la capacidad de IPsec para negociar dinámicamente este secreto. Por lo tanto, el uso de la autenticación debe ser una decisión consciente y no puede habilitarse de forma automática o predeterminada.

La especificación BGP actual también permite que las implementaciones de protocolo acepten conexiones de socios no especificados en la configuración. Sin embargo, la especificación carece de una definición clara de " no especificado en la configuración

socios " o formas de utilizar la autenticación para tales casos.

Los propios nodos BGP pueden incluir datos de ruta falsos, disfrazándose de otro nodo BGP legítimo o enviando información de ruta en su propio nombre sin la autorización adecuada. Ha habido casos en que los enrutadores mal configurados o defectuosos se han convertido en la causa de graves interrupciones en el funcionamiento de Internet. Los nodos BGP legítimos tienen el contexto y la información para crear datos de ruta plausibles pero falsos y, por lo tanto, pueden causar violaciones graves. La protección criptográfica y la protección de los dispositivos en funcionamiento no permiten excluir la información falsa recibida de un socio legítimo, por lo que se cumplirán todos los requisitos de cifrado en este caso. El riesgo de violaciones causadas por socios legítimos de BGP es real y debe tenerse en cuenta. En otras palabras, no confíe completamente en los proveedores vecinos, es necesario implementar configuraciones adicionales, que se discutirán en las siguientes publicaciones.

En caso de transmisión de información de ruta falsa, pueden surgir varios problemas. Por ejemplo, si los datos falsos eliminan la información de ruta correcta para una red individual, es posible que no esté disponible para la parte de Internet que ha aceptado los datos falsos. Y si la información falsa cambia la ruta a la red, los paquetes dirigidos a esa red pueden reenviarse por una ruta subóptima, lo que a su vez puede llevar a pérdidas financieras para el proveedor. Además, la ruta de reenvío no cumplirá con la política esperada o el tráfico simplemente se perderá. Como resultado, el tráfico a esta red puede retrasarse en un camino que será más largo que el necesario. La red puede volverse inaccesible para las áreas que aceptan datos falsos. El tráfico también se puede dirigir a lo largo de un camino en el que los datos pueden ser vistos o distorsionados. Por ejemplo, con el uso de un sniffer, del que hemos hablado anteriormente. Si la información falsa muestra que un sistema autónomo incluye redes que realmente no están incluidas en él, es posible que los paquetes para dichas redes no se entreguen desde partes de Internet que aceptaron la información falsa. Los anuncios falsos de la pertenencia de las redes a un sistema autónomo también pueden conducir a la fragmentación de los bloques de direcciones agregados en otras partes de Internet y causar problemas en el enrutamiento de otras redes.

Como puede ver, hay bastantes problemas relacionados con la seguridad del protocolo BGP. ¿Qué interrupciones de la red pueden ocurrir como resultado de estos ataques?

Las violaciones resultantes de tales ataques incluyen las siguientes.

Violación de starvation (pérdida de paquetes). El tráfico dirigido al nodo se reenvía a la parte de la red que no puede garantizar su entrega, lo que resulta en una pérdida de tráfico.

Violación de congestion de red (congestión de red). A través de cualquier parte de la red se transmitirán más datos de los que esta red puede procesar. Este es un tipo de ataque de denegación de Servicio.

Violación de blackhole (agujero negro). Se envía una gran cantidad de tráfico para reenviar a través de un enrutador que no puede manejar el aumento del nivel de tráfico y descartará parte, la mayoría o la totalidad de los paquetes.

Violación del delay (retraso). Los datos dirigidos al nodo se reenvían a lo largo de una ruta más larga de lo normal. Esta violación puede causar retrasos en la transmisión de datos, especialmente en la transmisión de contenido de video o audio, y una pérdida de tráfico, ya que algunos paquetes pueden caducar en Time to Live, tiempo de vida, debido a un viaje demasiado largo.

Romper looping (bucles). Los datos se transmiten en una ruta cerrada y nunca se entregan.

Violación de eavesdrop (intercepción). Los datos se envían a través de un enrutador o red que no debería ver estos datos, la información puede ser vista durante dicho envío. Por lo general, en este tipo de violaciones, los atacantes dirigen específicamente el tráfico a través de un segmento de red que pueden escuchar. Por lo general, de esta manera se obtiene información confidencial sobre tarjetas de crédito, contraseñas, códigos de acceso, etc.

Violación de partition (división de la red). Algunas partes parecen estar separadas de la red, aunque en realidad no lo son. Como resultado de esta violación, el tráfico puede no pasar a través de partes, lo que afectará negativamente el funcionamiento de la red en su conjunto.

Violación cut (desconexión). Algunas partes de la red pueden parecer desconectadas de la red, aunque en realidad están conectadas. Por analogía con la violación anterior, el tráfico puede no pasar por algunas partes.

Rompiendo churn (ondas). La velocidad de reenvío a la red varía rápidamente, lo que resulta en variaciones significativas en el patrón de entrega de paquetes (y puede afectar negativamente el funcionamiento del sistema de control de saturación).

Violación de instability (inestabilidad). El funcionamiento del BGP se vuelve inestable y no se puede lograr la convergencia del patrón de rutas.

Violación de overload (sobrecarga). Los mensajes BGP en sí mismos se convierten en una parte importante del tráfico que se transmite a través de la red.

Agotamiento de recursos (resource exhaustion). Los mensajes BGP por sí solos consumen demasiados recursos del enrutador (por ejemplo, espacio de tabla).

Dirección fraudulenta (Address-spoofing). Los datos se envían a través de un enrutador o red que es falso y puede servir para interceptar o distorsionar la información. Esta violación es similar a la violación de intercepción.

Oleg Petukhov, abogado en el campo del derecho internacional y la protección de datos personales, especialista en información seguridad, protección de la información y datos personales.

Canal de Telegram: https://t.me/protecciondelainformacion1

Grupo de Telegramas: https://t.me/protecciondelainformacion2

Sitio web: https://legascom.ru

Correo electrónico: online@legascom.ru

#proteccióndelainformación #seguridaddelainformación

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.