Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

162

Demuestran una importante vulnerabilidad del protocolo OSPF

Un participante en la feria sobre seguridad informática Black Hat ha conseguido explotar una vulnerabilidad del protocolo de enrutamiento OSPF, uno de los más utilizados a nivel mundial. Se han logrado alterar de forma externa las tablas de encaminamiento de los routers, con las consecuencias para la seguridad que ésto puede acarrear, aunque para ello se necesita saber de antemano una contraseña.

Open Shortest Path First (OSPF por sus siglas) es quizás el protocolo que más se ejecuta entre los diferentes routers para calcular, de forma dinámica, las mejores rutas para alcanzar otras redes.

Se basa en áreas que se agrupan en sistemas autónomos. Podríamos decir, asemejándolo en un entorno empresarial, que un área define cada uno de los departamentos, y un sistema autónomo implica toda la compañía. Luego, los sistemas autónomos se comunican entre sí a través de una red troncal.

Internet se divide en aproximadamente 35.000 de estos sistemas autónomos, teniendo en cuenta las redes de los operadores, grandes empresas o universidades. Por lo tanto, el hecho de que OSPF se utilice de forma tan amplia hace que el fallo encontrado tome unas dimensiones bastante considerables.

Diseñado por Gabi Nakibly del Electronic Warfare Research and Simulation Center en Israel, el ataque se ha realizado contra un router Cisco 7200 empleando para ello un encaminador "fantasma". Sin embargo, el problema no es exclusivo de los Cisco, sino que cualquier router compatible con OSPF puede sufrir este problema, ya que se trata de un algoritmo común. Si ha usado un dispositivo de esta marca para sus pruebas, ha sido para subrayar la importancia del problema, ya que Cisco domina el mercado.

El ataque puede redirigir tráfico el tráfico de una red a gusto del atacante

OSPF construye en cada router las tablas de encaminamiento en base a los mensajes de estado de enlace que recibe, y en caso de detectar cambios en sus líneas, éstos se anuncian a los routers vecinos mediante LSAs (Link State Advertisement). El ataque utiliza precisamente estas últimas comunicaciones para alterar el funcionamiento del algoritmo.

El intruso, una vez consigue la contraseña utilizada para cifrado los mensajes OSPF, debe establecer adyacencia con el router designado en un segmento de la red (el que mantiene la información sobre la topología de la red interna y la anuncia a los demás encaminadores).

Este último será atacado generando desde el router fantasma nuevos mensajes LSA, que se admiten como válidos ya que se reciben con el número de secuencia correcto, llegan dentro del intervalo de tiempo adecuado y el cálculo del checksum es válido.

Una vez el router trata los LSA falsos, modifica su comportamiento a la hora de enviar los paquetes a través de sus enlaces. Como sus rutas se han alterado, es posible que todo el tráfico lo mande al router falso, con lo que además de que las comunicaciones pueden no establecerse, es esperable que esté siendo espiado o modificado.

Cabe volver a recalcar para que el ataque se pueda efectuar se debe haber comprometido la contraseña previamente. Sin embargo, por el momento las únicas soluciones a este fallo pasan por dejar de utilizar OSPF o modificar su funcionamiento para que no se pueda atacar de este modo.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Me uno a los comentarios de más abajo. No tiene ningún…

    Me uno a los comentarios de más abajo. No tiene ningún sentido lo que dice la noticia. Presuponen que tienes acceso a partes de la red donde se intercambian LSAs. Evidentemente si tienes acceso a esas partes la puedes liar pardísima. Pero lo normal es que las interfaces a las que pueden llegar los usuarios se hayan desactivado para que no escuchen paquetes OSPF, precisamente para evitar que algún listo enchufe rutas falsas. Desde luego, pudiendo hacer un man in the middle todos los protocolos de routing son vulnerables. No entiendo dónde está la vulnerabilidad.

    • Por cierto, incluyo el enlace a un artículo que contesta al…

      Por cierto, incluyo el enlace a un artículo que contesta al de Black Hat. Hace básicamente dos objeciones: 1) que es poco creible conseguir acceso físico entre dos routers (lo que decía yo en mi comentario de arriba) y 2) que necesitas las passwords de los routers. Vamos, que presuponen algo así como que puedes coger y pinchar el enlace entre dos routers, lo cual es cuando menos inverosimil.

      • Hago un enlace a un foro en que comentan esto:…

        Hago un enlace a un foro en que comentan esto:

        networking-forum.com/viewtopic.php?f=33&t=25768

        Y enlazan a una presentación de estos pavos en donde explican lo que han hecho:

        webcourse.cs.technion.ac.il/236349/Sprin … ntation.pptx

        La clave está en la transparencia 6:

        —Our only assumption is that we have full control over a single OSPF router. From there, we have to cause maximum damage to the AS. ¡Therefore, overcoming OSPF Authentication Protection is trivial, since the authentication key is known to us.

        O sea, que su única suposición es que tienen control total sobre un router OSPF. A partir de ahí pueden causar el máximo daño a un Sistema Autónomo. Por tanto, prosiguen, saltarse la protección por autenticación de OSPF es trivial, puesto que tienen la clave de autenticación.

        Y si tienen tu tarjeta de crédito y tu PIN, pues es insegura o si te roban la clave privada de tu certificado digital, pues es inseguro. A mí se me ocurren otras muchas:

        1) Si tienes administración del router, empieza a anunciar rutas falsas con métrica mínima directamente desde el router y déjate de inventos.

        2) Si además puedes añadir un router fantasma a la red, es porque tienes acceso físico al equipamiento o al cable como mínimo. Corta la fibra, saca un bate de béisbol y empréndela a palos con el router o pon una bomba en el datacenter y se acabó. Eso sí que es un ataque xD.

        Vamos, que descubrir que con recursos ilimitados y tiempo infinito un sistema es vulnerable no tiene mérito.

  • BocaDePez BocaDePez
    6

    A mi lo que no me cuadra es el alcance del problema. Los…

    A mi lo que no me cuadra es el alcance del problema. Los 35.000 AS de los que habla la noticia no se comunican con OSPF, sino que el protocolo de internet es BGP. Por esto, aunque sea muy extendido, el problema siempre será interno a la red que use OSPF

    • BocaDePez BocaDePez
      6

      Os habeis preocupado alguna vez de mirar las rutas de…

      Os habeis preocupado alguna vez de mirar las rutas de encaminamiento en los moviles cuando se hace tethering o cuando no se hace? esos 35000 AS son una minucia comparado con el numero de moviles que hay. Puede que no sea OSPF pero os aseguro que hay gente manipulando rutas en los telefonos de los demas.

      Y por cierto, un man in the middle es bastante factible entre telefonos moviles y la antena de telefonia, o mas facil aun entre routers de cable conectados a la misma regleta de los cables etc...etc... como os lo diria? cuando las fuerzas de seguridad interceptan por orden judicial las comunicaciones de una persona, como creeis que lo hacen?....me recuerda al caso del asiatico contra kevin mitnick.....lo que ocurre en la realidad deja la historia del hacker a la altura de un cuento para niños.

      Y la proxima vez que pongan bombas los terroristas veamos a ver cuantas fotos, dicen los de estas fuerzas de seguridad que han analizado y como lo han hecho sacandolas directamente de los telefonos moviles de las personas, si pueden hacerlo en un movil, tambien pueden hacerlo con los routers, por eso los ISPs se preocupan de mantener una contraseña de acceso a los routers que no conocen los usuarios, pero vamos, que esto no es para creerselo verdad?.

      Que no es OSPF y es otro protocolo de enrutamiento?...piensa que la red Internet ya no es lo que era, creada para los ciudadanos, ahora esta mutada para las empresas y los gobiernos.

      • BocaDePez BocaDePez
        6

        ¿Rutas de encaminamiento en los móviles? ¿Qué tiene que ver…

        ¿Rutas de encaminamiento en los móviles? ¿Qué tiene que ver una cosa con otra? No te ofendas, pero creo que estás mezclando un poco los conceptos. Por cierto, las "fuerzas de seguridad" no tienen ninguna necesidad de hacer ningún truco en los routers, ni jugar con el protocolo de routing. Hay una cosa que se llama "interceptación legal de comunicaciones" Simplemente obtienen un mandato judicial, van al ISP correspondiente y capturan el tráfico directamente. Y por supuesto que éstos mantienen ocultas las contraseñas de acceso a los routers, a ver si es que te la van a dar a tí.

        • BocaDePez BocaDePez
          0
          Esta noticia os explica un poco mejor que es lo que os quiero…

          Esta noticia os explica un poco mejor que es lo que os quiero decir bandaancha.eu/articulo/8000/robo-trafico … ar-isp-ee-uu, efectivamente las comunicaciones se pueden interceptar, pero no solo a interceptar se dedican las fuerzas de seguridad, cuando no tienen pruebas se las inventan para llevar a los sospechosos a situaciones donde puedan parecer culpables o donde estos se declaren culpables, piensa en la noticia y luego comenta, y no confundo terminos ni por asomo, quizas tu seas un poco corto de miras ya que solo puedes ver lo que lees y no desarrollar mas haya de las propias palabras..que se le va a hacer...tanto libro leido.....

          Y por otro lado dices que

          Y por supuesto que éstos mantienen ocultas las contraseñas de acceso a los routers, a ver si es que te la van a dar a tí


          Es verdad, para que me ivan a dar a mi la contraseña del router que me obligan sutilmente a comprar, por la sencilla razon que tu cuando compras una casa, un coche, un movil etc....les das una copia de la llave, del numero pin de tu tarjeta, del numero pin del movil....claaaaaro...por que me la ivan a decir a mi? espera, como dices?... que es una entrada solo usada por ellos? entonces que pasa que mi casa es mia y de ellos? que mi movil es mio y de ellos, que mi tarjeta es mia y de ellos? entonces que paguen de manera proporcional y luego decidire si comprar o no, no sea que usen esas contraseñas y entradas y luegan digan que he sido yo. Que contentos estarian las empresas y los gobiernos si todos fueran como tu...el perfecto ejemplo de lo que es un ciudadano con un criterio correcto, todos los demas estamos por debajo de tu nivel.

          Sabes que ademas de la "interceptacion legal de comunciaciones" tambien existe el "abuso de autoridad" asi como la "interceptacion ilegal de las comunicaciones" y otros conceptos? anda leete la ley sinde un poquito y luego comentas de la manera que comentas.

          • BocaDePez BocaDePez
            6
            Aun no entiendo que tiene que ver la noticia que pegaste con…

            Aun no entiendo que tiene que ver la noticia que pegaste con OSPF.

  • ¿ que noticia es esta ?

    Amigos, creo que habéis metido la pata con esta noticia.

    Esta noticia es un corta y pega de la original donde se transcriben las barbaridades que dice la nota original. Un tio dice que con la clave adecuada y conectandose a un pc que hable OSPF contra cualquier otro equipo es capaz de inyectar rutas si tiene el password... Pues claro!!! así es como funciona el protocolo.

    En el articulo original habla de que no hay parches y que como alternativas puedes usar RIP ( AGGGGGGG, ) EIGRP o ISIS. Pero si a estos protocolos les pasa lo mismo !!!!!!! Rip es incluso peor que no necesita establecer adyacencias!.

    Lo unico que han probado con este artículo es la calidad periodística de el periodico y por extensión del moderador que ha subido la noticia.

    • BocaDePez BocaDePez
      6

      Esta claro que el que ha escrito esto no tiene ni idea de lo…

      Esta claro que el que ha escrito esto no tiene ni idea de lo que dice. Es increible que se incluya esta "noticia" en este medio.

  • BocaDePez BocaDePez
    6

    Hay que estudiar mas para hablar de estas cosas. Como ya…

    Hay que estudiar mas para hablar de estas cosas. Como ya habeis comentado, muchas afirmaciones del articulo carecen de sentido.

  • Esta noticia no me acaba cuadrar, es inviable por ejemplo en…

    Esta noticia no me acaba cuadrar, es inviable por ejemplo en un router cisco, inyectarle rutas si previamente no hemos configurado una adyacencia, solo con saber la clave de intercambio de rutas no es posible inyectar nada a no ser que se usurpe la dirección de un router legitimo, cosa que no veo complicado, pero primero hay que conocer estos datos, dicho esto, me huele raro, hasta que no lo vea con mis ojos no me lo creo.

    • BocaDePez BocaDePez
      6

      Estoy de acuerdo, en el caso de que supieras la contraseña…

      Estoy de acuerdo, en el caso de que supieras la contraseña debes crear vecindad/adyacencia. Puede que me equivoque, pero hasta donde recuerdo, yo no podía forzar a un router a que fuera mi vecino.

      Lo que entiendo que dicen es que conectan un ordenador al router (via switch,hub o directamente) y este simula un router y cambia las tablas de enrutamiento? Muy mala configuración de seguridad debes de tener para poder hacerlo..., si tú no quieres, tu router no crea adyancencia (no envía paquetes ospf!) por las interfaces elegidas, por lo general donde conectas hosts.

      Y a pesar de que fuera así tienes que saber la contraseña. Para saber una contraseña tienes dos opciones:

      1.- te la dicen

      2.- la descifras, y para descifrarla necesitas paquetes ospf (ojo, a todo esto si se puede descifrar, que no lo se). Y para tener paquetes OSPF estamos en las mismas que antes, necesitas estar entre routers...

      Tampoco me parecería un grave problema de seguridad, a no ser que la contraseña estuviera sin cifrar y la enviarás a cualquier sitio.

      • BocaDePez BocaDePez
        6

        O sea, que te hace falta la password. Es como decir…

        O sea, que te hace falta la password. Es como decir "encontrada una vulnerabilidad en Linux. Cuando alguien conoce la password de root puede hacer lo que le de la gana"

  • BocaDePez BocaDePez
    -24

    Pole!! jajaja. Ale, pues como todo. La debilidad en la clave

    POLE!!

    Y qué opina la SGAE de todo esto? Seguro que a esta vulnerabilidad le echan la culpa al P2P.

    Y sino a Robalcaba. A disfrutar de lo votado, y sino Linux, la madre de la paciencia, jejeje.

1