Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Documentan una vulnerabilidad en protocolos básicos de Internet

Bajo el título NISCC Vulnerability Advisory 236929 el National Infrastructure Security Co-Ordination Centre (UK) advierte de un problema en el protocolo TCP que permitiría que un atacante malicioso cerrara una conexión TCP existente entre dos máquinas.

Parece que esta nueva posibilidad de ataque (TCP Resest Spoofing), que puede desembocar en una denegación de servicio, podría tener un impacto especial en los ISP por el uso del protocolo BGP. Si se atacara de forma coordinada varios enrutadores, las consecuencias podrían ser muy graves.

Esta posibilidad no es nueva, ya existe un RFC que comenta esta clase de ataque sobre BGP y aporta una solución (basada en MD5), pero sólo ahora se empieza a tener en cuenta porque las implementaciones actuales de pilas TCP permiten que este ataque teórico sea viable en ciertas circunstancias.

En la página del NISCC se van publicando las respuestas de los principales fabricantes afectados.

Enlace: www.uniras.gov.uk/vuls/2004/236929/index.htm

Por reidrac.

Actualizado: Según Zdnet ya existe código para explotar la vulnerabilidad. Code exists to exploit TCP flaw. Actualizado 24/04/04: Microsoft publica un parche para sistemas Windows: Microsoft Security Bulletin MS04-011, también disponible a través de WinUpdate.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
    • Cerrado

      No tiene en cuenta ese análisis que las direcciones de…

      No tiene en cuenta ese análisis que las direcciones de interconexión entre ISP no son públicas. Si esa direccion IP se conoce, el ataque es inmediato, pero conocerlas no es tan fácil.

      Sólo en redes poco protegidas pueden tener el problema de descubrir sus IP de salida a través de traceroute (si, es tán fácil como eso), pero si el gestor de red tiene dos dedos de frente sólo tiene que desactivar/filtrar los ICMP originados en la red no cliente y con destino distinto a su red de gestion.

      Así de fácil.

      Otro cantar es para hacer ataques DoS a servidores, puesto que su IP es muy bien conocida y no se puede proteger su anonimato. Ahí la vulnerabilidad si es más seria. Pero en cuanto a los BGP, hay muchas maneras de protegerlos sin comerse demasiado el coco.

      • Cerrado

        ...que para proteger la red de ataques basados en…

        ...que para proteger la red de ataques basados en suplantación de direcciones IP existe una cosa que verifica que el origen IP ha entrado por el interfaz por el que saldría si fuera el destino (verficacion de camino inverso creo que se llama).

        En fin, que poniendo filtros en acceso y en salida a internet se puede controlar perfectamente la suplantación de IP y el localizar las IP del BGP.

        Sólo hay que tomarse un poco (sólo un poquito) en serio la seguridad de red.

        • Cerrado

          BocaDePez BocaDePez
          0
          Que cosas controlan que?? Haber los paquetes TCP tienen unas…

          Que cosas controlan que?? Haber los paquetes TCP tienen unas cabeceras donde se indica la direccion IP destiono origen y sus respectivos puertos. Como sabras, con un analizador de protocolos o un sniffer puedes capturar el trafico de la red, es decir esos paquetes. Con lo cual no es muy dificil conocer la IP destino ni origen de un paquete ni sus puertos, lo chungo hasta ahora era tener como dice el articulo un numero de sequencia correto que se utiliza para validar los paquetes segun los ACk recividos. Los ACK, son los paquetes que confirman la recepcicion de un paquete TCP e influyen en el tamaño de la ventana de transmision segun el control de flujo que se utilize (slow start, colision avoidance, fast restransmit, etc). Si el numero de sequencia no coincide se entiende que el paquete es de una conexion anterior y se descarta. Este numero de sequencia es de 32 bits (2^32 numeros posibles) por ello la probabilidad de acertarlo es de 1/2^32 . Sin embargo segun dice el articulo esta probabilidad solo se produciria en el envio del SYN (paquete de establecimiento de una conexion TCP mediante thre way handshake), en el resto de la conexion el numero de sequencia de un paquete cualquiera con el falg RST activado simplemente tendra que estar dentro del rango de ACK de la ventana. Ademas en una conexion establecida este ataque se puede realizar mediante el envio de un SYNs con el flag RST que su numero de sequencia este en la ventana tambien. En conexiones largas la ventana de transmision puede tener un valor muy elevado, de hasta 65536 bytes (524288), con lo cual la probabilidad se eleva considerablemente.

          BGP es un protocolo externo a diferencia de RIP u OSPF (internos) y establece conexiones TCP largas debido al intercambio de tablas de enrutamiento, lo cual hace de este tipo de routers un blanco perfecto. Y realmente ya puedes tener los filtros que quieras que si te snifean una conexion y te empiezar a inyectar paquetes SYN con cabeceras similares a estos routers puedes resetar la conexion aislando a los routers y por tanto incomunicandoles quedando la red dividida y sin el acceso por parte del usuario final a todo su conjunto.

          ph4t3

  • Cerrado

    No es para tanto la gravedad

    En una red decentemente construida los usuarios no deberían poder alcanzar ningún router del core. Tan fácil como poner unos bonitos y simples filtros y planificar como Dios manda los direccionamientos. Además, tienen que saber qué IP origen y destino tienen las conexiones formadas. Es decir, sólo tienen que distinguir entre unos 1000 millones de posibilidades. Ahí es ná.

    A mi no me preocuparía en exceso.

    • Cerrado

      No me malinterpreteis el post anterior, evidentemente, si…

      No me malinterpreteis el post anterior, evidentemente, si pillan un par de direcciones adecuadas, pueden tirar perfectamente la salida a internet de todo un ISP. A lo que me refería es que es muy poco probable que pase, y humildemente, sigo creyendo la máxima que me explicaron en el cole de que la preocupación hacia algo es parecido al producto de lo grave que sería si pasara y la probabilidad de que pase.

      • Cerrado

        BocaDePez BocaDePez
        0

        Y es que el BGP se implementa en Routers frontera (así q no…

        Y es que el BGP se implementa en Routers frontera (así q no sé q tiene q ver el núcleo de la red), tal y como indican las propias iniciales de BGP (Border Gateway Protocol). Y weno, t aseguro q en un momentito puedes sacar una lista jugosa desde casa de los routers adecuados ;) la cuestión es q tienes q saber cosas de las q no se hablan en el cole.

        • Cerrado

          Tiene que ver con el nucleo de la red en el sentido de que no…

          Tiene que ver con el nucleo de la red en el sentido de que no sirve de nada si no lleva a ninguna parte.

          La mayor parte de las redes usan el núcleo de la red para absorver todo el tráfico y mandarlo fuera (y recibirlo, claro), el tráfico interno es menor que el externo habitualmente.

          Tambien, en redes grandes, es razonable usar BGP para llevar rutas internas (no internet) porque escala mucho mejor en entornos de túneles PPP (oE, oA, ...) que acaban siendo resumidos en otro punto de agregación pero no pueden serlo en locales.

          En fin, sin mas rollos, lo que quería expresar es que no sirve de mucho un motor en pleno rendimiento si el coche no tiene puertas. Es decir, si el BGP cae el tráfico no va a ninguna parte y el core se vacía (o cursa tráfico que se descarta al llegar a las salidas internet).

1