Protección de BGP frente a Ataques DDoS

A primera vista, un ataque DDoS puede parecer menos sofisticado que otros tipos de ataques a la red, pero sus efectos pueden ser devastadores. La visibilidad del ataque y su mitigación es, por tanto, crítica para cualquier organización con presencia pública en Internet.

Objetivos de los ataques DDoS

Los ataques DDoS pueden afectar sitios web de acceso público e incluso contra redes de distribución de contenidos completas, pero a menudo se dirigen contra direcciones IP específicas que representan alguna infraestructura o una red corporativa.

Estos ataques dirigidos suelen tener como objetivo reducir la disponibilidad de un servicio o eliminar por completo la disponibilidad pública de una red corporativa en Internet. Las direcciones IP de estos ataques son direcciones públicas configuradas en routers orientados a Internet y utilizadas para anunciar información de enrutamiento a la Internet pública.

Una organización anuncia su información de enrutamiento al mundo utilizando un número de sistema autónomo único, o ASN, que se utiliza como identificador único en la gran red de organizaciones que también se anuncian en Internet. Tanto la información de red de la organización, en términos de direcciones IP, como su ASN, se propagan utilizando el Border Gateway Protocol, o BGP, para «anunciar» al mundo la disponibilidad y accesibilidad de la red.

Por lo tanto, la mitigación de este tipo de ataques DDoS dirigidos debe centrarse en proteger estas direcciones IP externas y el ASN único de una organización.

¿Qué tan vulnerable es una sesión BGP ante un ataque DDos?

El proceso BGP en un dispositivo de red está en el procesador de rutas. Los procesadores de rutas de datos no poseen la misma velocidad que el plano de datos. El Plano de Control (protocolos de enrutamiento y control) y el Plano de Gestión (telnet, SSH, SNMP, NetConf, etc.) están a velocidades ethernet inferiores. Algunos dispositivos tienen chips ethernet de 10 Mbps en los dispositivos de interconexión.

Fig. 1. El tráfico DDoS apunta desde el plano de datos y atraviesa los elementos internos de soporte a velocidades inferiores.

Las velocidades más bajas significan que no es necesario un ataque volumétrico a la organización. Un enlace de 400 Gbps a Internet puede ser eliminado con un ataque de 100 Mbps en el puerto 179.

Registro de eventos asociados a ataques DDos contra sesiones BGP

En junio de 2023, dos ataques DDoS Mpps de bajo nivel tuvieron como objetivo las sesiones BGP de dos organizaciones (puerto TCP 179). Ambas sesiones BGP fueron completamente saturadas, completando un DDoS contra las organizaciones. El DDoS contra la sesión BGP es un vector de ataque bien conocido, pero no común.

Es necesario mencionar que no se trata de ataques DDoS volumétricos point-&-click. Se tiene suficiente monitoreo de la estabilidad de BGP para saber si estos ataques son comunes, llegando a la conclusión de que no son habituales. Las entidades de control asumen que las organizaciones protegerían sus sesiones BGP cuando configuraran su peering. Sin embargo, estos eventos han demostrado lo contrario.

Se registró que uno de los ataques utilizó un enfoque reflexivo que no se había generado en 20 años. Este tipo de «reflexión desde dentro hacia fuera» muestra el pensamiento creativo y la planificación que hay detrás del ataque.

Las entidades Shodan y Shadowserver informan de +300K escaneos exitosos del puerto 179 de BGP. Asumiendo que cada ASN tiene un mínimo de dos sesiones BGP, esto supondría +150.000 sesiones BGP. Eso es mucha interrupción «a nivel de telecomunicaciones» y «a nivel de Internet».

Propagación de BGP

La mitigación de DDoS depende del correcto funcionamiento de BGP en la Internet pública. Esto significa que el tiempo que tarda el proveedor de mitigación y el proceso en hacerse cargo de su cliente es urgente, aunque con matices.

Para que se produzca la mitigación, la víctima debe dejar de anunciar sus redes a través de BGP a la Internet pública. Simultáneamente, el proveedor de mitigación debe hacerse cargo y anunciar esas mismas redes en nombre de su cliente. Si hay solapamiento, puede haber contención de enrutamiento en Internet. Si hay un retraso, la red de la víctima podría verse afectada negativamente por el ataque DDoS o simplemente quedar fuera de línea porque no se producen anuncios de enrutamiento durante la conmutación.

Sin embargo, el matiz es más profundo. También puede haber un filtrado establecido por otro proveedor de servicios, que se rompe cuando el proveedor de mitigación toma el relevo. Una organización puede experimentar una degradación del rendimiento de su servicio, un sitio web de comercio electrónico, por ejemplo, debido a los cambios de ruta y al filtrado que se produce en Internet.

Protección de sesiones BGP – Guía paso a paso para evitar un ataque DDoS

La buena noticia es que este riesgo de BGP puede mitigarse rápidamente con una combinación de:

  • Listas de control de acceso a la infraestructura (iACL) en el extremo de la red.
  • ACLs en el router (plano de datos).
  • Seguridad TTL de propósito general (GTSM) en el router o en la sesión BGP (RFC 5082).
  • «Control Plane Policing» del router (dependiendo del proveedor y del software).

A continuación, se brinda una serie de pasos para mitigar el riesgo de un ataque DDOs a las sesiones BGP:

Paso 1 – Configure una ACL de Infraestructura (iACL) en su Red para proteger su Plano de Control de Enrutamiento.

Las ACLs de Infraestructura (iACLs) son esenciales para proteger su red. Estas ACLs son ACLs de Permiso Explícito, lo que significa que TODO está DENEGADO POR DEFECTO. Entonces, el administrador permite explícitamente los bloques IPv4/IPv6, protocolos, IP/puerto de origen, IP/puerto de destino, y otros campos.

Históricamente las rutas tenían problemas con grandes ACLs que comprobaban todos los paquetes, sin embargo, esto ya no es válido. La mayoría de los grandes proveedores de banda ancha en EE.UU. despliegan Filtros de Puertos Explotables que combinan la iACL con el filtrado de puertos para proteger a sus clientes.

Paso 2 – Configure una ACL de infraestructura en su router/conmutador para proteger su procesador de rutas.

Los actores de amenazas DDoS pueden entrar en una red, pueden reflejarse en dispositivos o utilizar dispositivos vulnerados para atacar desde dentro. La «Defensa en Profundidad» no funciona en un mundo en el que no se puede confiar en nada. Se requiere seguridad de «punto de inmersión», donde se desconfía de todo y se ponen protecciones. La iACL del dispositivo de red protegería al router de un ataque de reflexión de puertos dentro de la red.

Sí, la «confianza cero» se extiende dentro de la red. La iACL del router permitiría todo el tráfico del plano de datos, pero tendría ACL explícitas para proteger el plano de control y gestión del router.

Paso 3 – Protección del plano de control.

Muchos routers tienen algún tipo de protección del plano de control como ACLs especializadas de «Plano de Control» y limitadores de tasa dentro del router, las cuales aplican políticas de protección antes de que el paquete llegue al proceso BGP.

Paso 4 – Mecanismo de seguridad TTL de propósito general (GTSM).

La mayoría de las sesiones BGP son de un salto. Si la sesión es de un salto, entonces el Tiempo de Vida (TTL) del paquete estaría entre 254 – 250 (dependiendo de las comprobaciones TCP). Un enfoque de seguridad simple sería comprobar el TTL del paquete. Si está entre 255 y 250, entonces el paquete es más seguro. Si el TTL del paquete es 180, entonces está a muchos saltos y lo más probable es que sea un paquete defectuoso.

Paso 5 – Implementar TCP AO (sustituye a BGP MD5).

La Opción de Autenticación TCP (TCP-AO) sustituye a la función MD5 de BGP. La mayoría de los ataques DDoS a sesiones BGP son ataques volumétricos que se centran en saturar el plano de control a la sesión BGP. Sin embargo, en el pasado se han producido ataques RST de sesión BGP. Por lo tanto, el GTSM + TCP-AO, junto con capas de ACLs, aumenta la resistencia del router y de la sesión BGP a estos ataques directos al puerto 179.

Por último – Supervisar los ataques de sesión.

Monitoriza las capas de defensa. Se necesita notificar e investigar si un atacante está intentando atacar tu Sesión BGP. BGP puede haber sido protegido, pero el actor de la amenaza puede estar intentando algo más.

Finalmente, se recomienda no utilizar la interfaz física como las IPs de BGP. Las redes más resistentes se asegurarán de que sus subredes BGP Peering no se anuncien en enlaces físicos protegidos o se diseñen de forma que no puedan ser atacadas externamente. Por ejemplo, poner su sesión BGP en un bloque IP separado de la interfaz conectada es una forma de dificultar que un actor de amenazas encuentre su objetivo. Existen múltiples enfoques que deben adaptarse a la topología de tu red, a la topología de pares y a las capacidades del proveedor. Este enfoque funciona, pero necesita ser integrado en su arquitectura BGP.

Siempre se tiene un riesgo de DDoS de sesión BGP. Los actores de amenazas DDoS están aprendiendo, aumentando sus habilidades, adquiriendo nuevos conocimientos y elaborando mejores herramientas DDoS. Debido a esto, la exploración de nuevos actores de amenazas DDoS Sesión BGP DDoS es una preocupación.

Referencia:

https://docs.google.com/document/d/1oDD5-qlu0rlHUtjNZHKrfdug99ynSXHc2vdHPktTFH4/edit

Webinars

¿Te perdiste el en vivo? ¡Míralo ahora!

Síguenos
Suscríbete

Recibe nuestro boletín para mantenerte actualizado