¿Qué son los secuestros de rutas?

En esta entrada explicaremos qué son los secuestros de rutas y cómo podemos solucionarlo activando cuando los ROA en RIPE. Y así dar mayor seguridad al servicio Internet.

Cuando una organización obtiene recursos de Internet, y nos referimos con esto a direcciones IP o número de sistema autónomo (IPv6/IPv4/ASN), le indica a su proveedor de conectividad, cuáles son los prefijos que va a anunciar vía BGP.

Esto se puede hacer de diversas formas: por e-mail, por acceso a una web o consultando el IRR (Internet Routing Registry). Esta verificación no siempre es del todo lo meticulosa que debería ser. Los proveedores de enlace BGP, verifican que la información es correcta o no a través de consultas «Whois«. Pero esta información no está firmada y, por tanto, hay pocos mecanismos para autenticar el derecho de uso.

Secuestros de rutas

A lo largo de la corta historia de Internet, se han producido lo que se denomina secuestro de rutas.

¿Qué ocurriría si una organización publicara el prefijo de red de Youtube por ejemplo? Si el proveedor de conectividad se descuida o no tiene bien configurados los filtros, puede dejar inoperativo a Youtube durante un buen rato, porque para acceder a Youtube nos iríamos a esa organización que nada tiene que ver con este último.

Esto, que puede parecer imposible, ocurrió en 2008 por la operadora Pakistan Telecom. El domingo 24 de febrero de 2008, Pakistan Telecom con el sistema autónomo 17557, anunció el prefijo 208.65.153.0/24 sin autorización. Su proveedor de conexión, PCCW Global con el sistema autónomo 3491 reenvió este anuncio al resto de Internet. El resultado fue que YouTube quedó inaccesible.

A este tipo de problemas se le denomina secuestro de rutas. Pueden producirse de forma voluntaria para provocar un ataque global hacia una compañía o bien por error humano. En cualquier caso el efecto es el mismo. La mayoría de los secuestros de rutas ocurridos hasta ahora han sido redirecciones de tráfico y este tipo de problemas se detectan por inaccesibilidad del sitio original, como el caso de Youtube comentado.

Pero no solamente pueden producirse ataques para provocar inaccesibilidades a otras empresas. También para desviar el tráfico, analizarlo/procesarlo, y devolverlo a su destino bueno sin que nadie note que puede haber sido observado o manipulado.

Empresas afectadas por secuestros de rutas

En abril de 2017, MasterCard, Visa y más de veinte compañías de servicios financieros fueron enrutados a través de una teleco rusa. Durante varios minutos, Rostelecom estuvo generando 50 prefijos para muchos otros sistemas autónomos, secuestrando su tráfico.

En abril de 2018, Amazon sufrió el secuestro de DNS para robar Crypto moneda.
La compañía eNet / XLHost (AS10297), sufrió una violación que permitió a los atacantes hacerse pasar por el servicio de DNS autorizado de Amazon. Los usuarios de redes que aceptaron las rutas secuestradas (incluido el servicio DNS recursivo de Google), enviaron sus consultas DNS a un servicio DNS impostor. Estos usuarios fueron redirigidos a un grupo de direcciones IP rusas.

Los incidentes relacionados con este tipo de ataques de routing durante el año 2017 fué de unos 14.000. Más del 10% de los sistemas autónomos (AS) de Internet estuvieron afectados. Del orden de 3.106 sistemas autónomos fueron víctimas de al menos un incidente de routing y 1.546 redes provocaron al menos un incidente.

¿Qué es RPKI y cómo influye en los secuestros de rutas?

Y aquí es donde entra el RPKI (Resource Public Key Infrastructure). Después de varios años estudiando las diferentes posibilidades de mejora, se ha llegado a esta solución para los secuestros de rutas. Básicamente, consiste en asegurar quién tiene o no derecho a propagar los prefijos de direcciones IP y desde qué sistema autónomo. Combina el modelo jerárquico de asignación de recursos a través de los RIRs, con el uso de certificados digitales basados en el estándar X.509.

Si una empresa tiene una serie de prefijos de red asignados por RIPE, pueden ser tratados como objetos firmados digitalmente para soportar seguridad del enrutamiento (ROAs). En RIPE se dan de alta los objetos ROA para cada prefijo a proteger y, automáticamente, nuestros prefijos quedan protegidos frente a un ataque de este tipo.

Claro que las operadoras que nos dan servicio deben consultar estos objetos ROA, porque si no, seguirán necesitando configuraciones manuales que pueden dar lugar a errores o ataques.