Llegamos a ustedes gracias a:



Reportajes y análisis

BGP: ¿Qué es el Border Gateway Protocol y cómo funciona?

[01/03/2021] Encontrar la mejor manera de llegar del punto A al punto B es fácil si traza una línea recta en una hoja de papel. Si embargo, cuando el punto A es su computadora y el punto B es una página web en el lado opuesto del mundo, las cosas se ponen un poco más complicadas.

En el último caso, el Border Gateway Protocol (BGP), el protocolo de routing utilizado por Internet a nivel global, se utiliza para encontrar la mejor ruta sopesando las últimas condiciones de la red en función de la accesibilidad y la información de routing. El BGP gestiona cómo se entregan los paquetes de datos entre las grandes redes que componen Internet y hace posible que Internet, como la conocemos, funcione de manera eficiente.

¿Qué es el Border Gateway Protocol?

El BGP ha sido llamado el pegamento de Internet y el servicio de correo de Internet. Una comparación equipara al BGP con las aplicaciones de GPS en los teléfonos móviles. Si conduce de Boston a Los Ángeles, la aplicación GPS decide la mejor ruta posible utilizando el conocimiento existente sobre las condiciones de la carretera, los atascos de tráfico y si desea viajar por una carretera con peaje. A veces, el camino más corto no siempre es el mejor. El BGP es como tener un mapa de Internet continuamente actualizado, en el que los routers eligen la mejor ruta en ese momento.

La definición de BGP, del IETF, establece que su función principal "es intercambiar información de accesibilidad de la red con otros sistemas BGP. Cuando funciona sin problemas, el BGP hace que estos sistemas separados funcionen en armonía para crear Internet.

Internet se ha denominado la Red de Redes, en la que grupos de redes individuales, gestionados por una gran organización, se conectan con otros grupos de redes gestionados por otras grandes organizaciones. Estos grupos de redes se conocen como los Sistemas Autónomos (AS, por sus siglas en inglés); entre las grandes organizaciones con estatus de AS se encuentran los ISP, las grandes agencias gubernamentales, las universidades e instituciones científicas.

Cada AS crea reglas y políticas sobre cómo se mueve el tráfico dentro de su red. La computadora de su hogar puede ser parte del AS administrado por su ISP y maneja el tráfico hacia y desde cualquier otro nodo dentro de su AS. Pero si está intentando acceder a un sitio más allá del AS, el BGP se involucrará.

Las organizaciones AS organizan acuerdos de enlace entre ellas, los cuales permiten que el tráfico viaje entre sus redes. Los routers BGP en el borde de las redes AS anuncian a sus pares los prefijos de las direcciones IP a las que pueden enviar tráfico. Estos anuncios se realizan regularmente a través de anuncios de prefijo de red, que se utilizan para actualizar la tabla de routing de cada router.

Acuerdos de enlace entre Sistemas Autónomos

Los routers BGP utilizan algoritmos de toma de decisiones, así como políticas establecidas en acuerdos de enlace AS, para analizar los datos que recopilan a través de los anuncios de prefijo y elegir a qué par es mejor enviarle cada flujo de paquetes en un determinado momento. En su mayor parte, se selecciona la ruta con el menor número de saltos de red, pero debido a la congestión y el retraso, una ruta más larga puede ser más rápida. Una vez que el tráfico se mueve a través de un AS, y llega a otro router BGP conectado a un AS diferente, el proceso se repite hasta que los datos llegan al AS donde se encuentra el sitio de destino.

En la mayoría de los casos, para conectarse a Internet, las computadoras, los teléfonos y otros dispositivos utilizan ISPs. Las redes de estos proveedores de acceso se conectan a redes ISP, progresivamente más grandes, hasta que finalmente tienen acceso a la red troncal de Internet. El tráfico, desde un punto de partida, sube a través de la jerarquía de la red hasta la red troncal y luego vuelve a bajar a la dirección IP de destino.

(El BGP también se puede usar para el enrutamiento dentro de un AS, pero no es necesario porque hay otros protocolos de enrutamiento que sirven igual de bien. Cuando se usa, se llama Interior Border Gateway Protocol, o Internal BGP [iBGP]).

Para que los operadores de red controlen el routing dentro de sus propias redes, e intercambien información de routing con otros ISP, se utilizan números de sistema autónomo (ASN, por sus siglas en inglés). Estos números son asignados por la Internet Assigned Numbers Authority (IANA) y distribuidos a través de registros regionales de Internet a los ISP y otros operadores de red. Como es una dirección IP, un ASN incluye números de 16 bits (dos bytes) y 32 bits (cuatro bytes). A enero del 2021, hay casi 100 mil ASN en todo el mundo, y aproximadamente el 29% de ellos se encuentran en Estados Unidos.

¿Qué es el secuestro de BGP?

Con los ASN que se unen continuamente a Internet y proporcionan nuevas rutas para el tráfico, la cantidad de anuncios del BGP aumenta, creando una superficie de ataque cada vez mayor. Debido a que el BGP asume que cada AS no miente respecto a las direcciones IP que posee y la información de routing que comparte, esto ha llevado a un problema conocido como secuestro de BGP.

Con este ataque, los adversarios manipulan las tablas de routing BGP para que un router comprometido anuncie prefijos que no se le han asignado. Si esos anuncios falsos indican que existe una ruta mejor disponible que la ruta legítima, el tráfico puede dirigirse de esa manera -solo que la ruta conduce a servidores maliciosos que podrían robar credenciales, descargar malware y ejecutar otras actividades dañinas. Y mientras tanto, los usuarios finales piensan que están visitando sitios legítimos.

Un caso de alto perfil de secuestro de BGP ocurrió en el 2018 cuando un ISP ruso anunció falsamente una serie de prefijos de IP que, en realidad, pertenecían a un grupo de servidores Amazon DNS. Los usuarios que intentaban iniciar sesión en un sitio de criptomonedas fueron redirigidos a un sitio falsificado, donde los hackers pudieron robar alrededor de 152 mil dólares en criptomonedas.

En otro incidente bien documentado en el 2008, Pakistan Telecom, en su papel de ISP, intentó censurar YouTube anunciando sus propias rutas BGP al sitio para que los usuarios que intentaran acceder a él fueran bloqueados. Sin embargo, las nuevas rutas también se anunciaron a los proveedores upstream del ISP, que luego se transmitieron al resto de Internet. Como resultado, las solicitudes web de YouTube se dirigieron a Pakistan Telecom, lo que no solo provocó una interrupción masiva del sitio, sino que también abrumó al ISP.

Cómo luchar contra el secuestro de BGP

Existen varias estrategias para defenderse contra el secuestro de BGP, incluido el uso de filtrado de prefijo de dirección IP, que bloquea el tráfico de red entrante de redes conocidas por estar bajo el control de actores maliciosos. Otro es el monitoreo de detección de secuestro de BGP, que busca una latencia sospechosamente aumentada, un rendimiento de red degradado o un tráfico de Internet mal dirigido, que podría marcar intentos de secuestro.

BGPsec

BGPsec, que es una extensión de seguridad, utiliza la verificación criptográfica para las rutas anunciadas y permite que los routers de la red troncal apliquen firmas digitales a sus anuncios de actualización de rutas. Esto les dificulta a los atacantes no autorizados anunciar rutas incorrectas para un AS, así como evitar configuraciones incorrectas. Sin embargo, la implementación de esto requeriría que todo Internet lo adoptara, y casi al mismo tiempo. Imagínese anunciar que todo Internet debe dejar de funcionar durante diez minutos para actualizarse, y poder ver qué tan bien funcionará con todos.

MANRS

Sin embargo, hay esperanza. En septiembre del 2020, un grupo conocido como Mutually Agreed Norms for Routing Security (MANRS) creó un grupo de trabajo para ayudar a las redes de entrega de contenido, así como a otros servicios en la nube, a adoptar filtros y cifrado para proteger el BGP. El grupo, que se formó en el 2014, tiene como objetivo "comprometerse con la línea de base de seguridad de routing definida por un conjunto de seis acciones de mejora de la seguridad, de las cuales cinco son de implementación obligatoria.

Las acciones:

  • Evitar la propagación de información de routing incorrecta
  • Evitar el tráfico con direcciones IP de origen ilegítimo
  • Facilitar la comunicación y coordinación operativa global
  • Facilitar la validación de la información de routing a escala global
  • Fomentar la adopción de MANRS
  • Proporcionar herramientas de seguimiento y depuración a los socios de intercambio de tráfico (opcional).

MANRS promueve el uso de la infraestructura de routing de clave pública (RPKI, por sus siglas en inglés), una base de datos pública de rutas que se han firmado criptográficamente para demostrar su confiabilidad. Si bien los usuarios de RPKI publican las rutas que ofrecen y verifican la base de datos para confirmar las rutas de otros, el sistema solo puede eliminar fugas y cortes si todos lo están usando. De lo contrario, para mantener la Internet en movimiento, los routers BGP se verán obligados a aceptar anuncios que no estén validados.

Otra empresa está tomando la ruta de la vergüenza pública para tratar de convencer a las empresas de que apoyen a RPKI. En la página web "¿BGP ya es seguro?, lanzado por Cloudflare, los usuarios pueden obtener actualizaciones sobre los ISP que están implementando RPKI y leer las preguntas frecuentes sobre la situación. Más importante aún, pueden hacer clic en un botón para ver si su ISP es seguro o no.

Si bien este sitio puede parecer un truco publicitario, su existencia apunta a la gravedad del problema.