SEGURIDAD | Noticias | 27 ABR 2012

Los ingenieros reflexionan sobre la espinosa gestión del tráfico en Internet

Tags: Actualidad
Los ingenieros informáticos están estudiando la forma de eliminar la debilidad mostrada desde hace tiempo por los sistemas de enrutado de tráfico Internet, tecnología que ya ha demostrado su capacidad para provocar grandes caídas del servicio y permitir a los hackers espiar datos.
PCWORLD PROFESIONAL

El problema afecta a los routers utilizados en muchas organizaciones y compañías que disponen de bloques de direcciones IP. Estos routers comunican constantemente con otros, y actualizan su información interna (con frecuencia, superando las 400.000 entradas), para mejorar la forma de llegar a otras redes, con el protocolo denominado Border Gateway Protocol (BGP).

Este protocolo permite a los routers encontrar el mejor camino para el tráfico, cuando, por ejemplo, se cae la red que gestiona el tráfico en Corea del Sur. Los cambios necesarios para redirigir la información son distribuidos a otros equipos de todo el mundo en cuestión de minutos.

Pero los routers no verifican que los “anuncios” de enrutado (como se les denomina) son correctos. Los errores al introducir la información, o peor todavía, un ataque malicioso, puede provocar que una red deje de estar disponible.

También puede ocasionar, por ejemplo, que el tráfico Internet de una compañía sea cortocircuitado y reenviado a otra red, con lo que cabe la posibilidad de que el tráfico pueda ser interceptado. El ataque es conocido como “route hijacking” (pirateo de enrutado) y no puede detenerse con ningún producto de seguridad.

Con los problemas de enrutado que vemos, “es muy difícil saber si se trata de un error de tecleo en un router o se trata de un ataque”, asegura Joe Gersch, COO de Secure64, compañía que desarrolla software DNS de servidor. “Puede ser una prueba de ciberguerra”.

Los datos muestran que mucho más de un tercio del mundo no puede acceder a Internet durante un tiempo determinado, debido a problemas de enrutado, comenta Gersch.

En febrero pasado, un error de enrutado causó que el tráfico del operador australiano Telstra se redirigiera a la red de uno de sus competidores, Dodo, que no era capaz de soportar el tráfico que recibía. En un incidente bien conocido, Pakistan Telecom cometió un error con BGP, después de que el gobierno de este país ordenara en 2008 que se bloqueara YouTube, lo que terminó dejando sin servicio a Google.

En marzo de 2011, un investigador alertó que el tráfico destinado a Facebook sobre una red AT&T se había dirigido extrañamente a China durante un tiempo, a la red de China Telecom, y después a la de SK Broadband, en Corea del Sur, antes de llegar a su destino en Facebook. Aunque se consideró este incidente como un error, cabía la posibilidad de que el tráfico de Facebook no encriptado hubiera sido espiado por terceras personas.

“El gran problema es que muchas de las infraestructuras críticas simplemente se comportan correctamente cuando los usuarios tienen un comportamiento normal”, asegura Dan Massey, profesor de informática asociada de la Universidad estatal de Colorado. “En un sistema realmente global, como Internet, debes asumir que las organizaciones provocarán algunos errores no intencionados”. Pero,” imagina que un adversario concreto puede ser capaz de hacerlo también”, asegura Massey. Eso podría suponer ataques a infraestructuras clave, como plantas eléctricas que cada vez más utilizan Internet.

La solución es disponer de routers verificados. Un método de verificación es la infraestructura de clave pública (RPKI) que utiliza un sistema de certificados criptográficos que verifica que una dirección IP pertenece realmente a cierta red.

RPKI es complejo y su despliegue ha sido lento. Los expertos propusieron recientemente un sistema alternativo que puede ser más sencillo y utiliza el nombre clave Rover, siglas correspondientes a verificación de enrutado original.

Rover almacena la información de enrutado original, dentro del DNS, la enorme base de datos distribuida para traducir un nombre de dominio a dirección IP, y que puede incluirse en un browser. Esta información de enrutado puede ser suscrita con DNSSEC, el protocolo de seguridad que permite a los registros DNS ser firmados criptográficamente y que está siendo adoptado de forma masiva.

Las ventajas de Rover son que no se necesitan cambios en los actuales routers y que puede trabajar junto a RPKI. “Toda la infraestructura necesaria para asegurar la respuesta (o si el router es legítimo) ya existe” afirma Gersch, quien ha autorizado dos especificaciones, para nombrar a un router y para que el tecleo de registro pueda ser insertado dentro del DNS.

Estas especificaciones están siendo analizadas actualmente en el Internet Engineering Task Force.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información