Seguridad en un Proveedor de Servicios de Internet (ISP) Ing. Carlos Martínez - Ing. Leonardo Vidal Anteldata www.antel.com.uy Introducción • Exponer los problemas de seguridad más relevantes a los que está expuesto un ISP, su impacto en él y en sus clientes y las posibles soluciones para evitarlos o minimizar su impacto. Problemática actual • La propia esencia de un ISP de mediano y gran porte hace que su perímetro sea heterogéneo. – Diferentes tecnologías – Diferentes servicios – Fronteras amplias Problemática actual • El crecimiento exponencial de los servicios de banda ancha (ADSL) desde la persectiva de la seguridad, puede ser un problema – Miles de computadoras conectadas a Internet, en promedio varias horas por día, con velocidades importantes y con capacidades de procesamiento apreciables son tentadoras para los atacantes Problemática actual • La seguridad de las computadoras hogareñas no es una prioridad de la mayoría de la población • En general, en seguridad, se es “reactivo”. • Los sistemas operativos no son seguros. • Las aplicaciones no son seguras. • Desde que se conoce una vulnerabilidad hasta que se desarrolla el parche que la corrige puede pasar un tiempo apreciable (días, meses,...) y hasta que se aplica más aún (¿años?) Problemática actual • Estamos rodeados de – Intentos de robo de identidad • Phishing • Pharming – Virus, spyware y otros malwares • Bot Nets – Intentos de denegación de servicio Problemática Actual • Robo de Identidad Problemática Actual • Bot Nets 1. El “operador” infecta PC’s de usuarios 2. Los “bots” se conectan a una red IRC u otro canal de comunicaciones 3. Un spammer “compra” acceso a la botnet para enviar sus correos 4. El spammer envia comandos via IRC 5. El spam llega a otros sistemas Problemática actual • Además – DoS (Denial of Service) • “Ataque cuyo objetivo es lograr que un recurso informático sea inaccesible para los usuarios legítimos del mismo” • En un entorno de ISP : distintos tipos de flooding – ICMP y UDP flooding – IP de origen en general falsa (spoofing) – DDoS (Distributed Denial of Service) • Direcciones de origen distribuidas en un rango muy amplio del espacio de direccionamiento IP Problemática Actual • Consecuencias del DoS / DDoS van mas allá del blanco específico – Saturación de equipos y enlaces intermedios perjudica a otros usuarios • Dirección de origen “falsa” – Difícil de filtrar! (perímetro difuso) • Ataque distribuido – Muy difícil de filtrar sin empeorar la situación aun mas Problemática actual • Problemas de seguridad de los ISP – Los problemas mencionados antes los sufren en general los clientes; los que veremos en las próximas diapositivas los sufren los ISPs, pero terminan perjudicando a los clientes también – Protocolo de enrutamiento • Interior • Exterior – DNS (¿el servicio olvidado?) Problemática actual • Protocolo de enrutamiento interior – Aquel que utiliza el ISP en su red para encaminar los paquetes de los clientes (RIP, OSPF). – Si se logra envenenar una tabla de enrutamiento, se puede redirigir el tráfico de los clientes. Problemática actual • Protocolo de enrutamiento exterior – Aquel que utiliza el ISP para conocer las redes de otros proveedores y hacer conocer las suyas (BGP). – Si las sesiones BGP caen, vivimos la inalcanzabilidad. – BGP se soporta sobre conexiones TCP. • TCP tiene sus propios problemas de seguridad. Problemática actual • DNS (Domain Name System) – Es un servicio casi nunca utilizado directamente por los usuarios pero sí indirectamente por todas las aplicaciones – Brinda flexibilidad y comodidad – Su indisponibilidad afecta a todas las aplicaciones – Cada vez más involucrado en incidentes de seguridad por su impacto en las aplicaciones (principal target de los incidentes actuales) Solución • “La” solución no existe. • Todo parece indicar que lo más adecuado es combinar soluciones, niveles de seguridad, en diferentes capas y tener varias fronteras que nos separen del enemigo. • Ejemplos – Autenticación: combinar métodos – Más de un firewall Solución para enrutamiento interior • Integridad del dominio de routing • “Hablar” el protocolo sólo con quien debemos – “Autenticar” neighbors • En las interfaces adecuadas • Hash de los mensajes intercambiados • Anillo antispoofing Solución para enrutamiento exterior • Mecanismos que chequean el campo TTL de los mensajes involucrados – RFC 3682 • Protección de las sesiones BGP con: shared key, MD5 – RFC 2385 • Filtrar por número de AS, por prefijos Solución para DNS • Split DNS – Generar vistas distintas según quién realice la consulta • Recursivo y no recursivo – Especializar las tareas de los servidores que implementan los servicios DNS Solución para DNS • DNSSEC – Proteger los mensajes “Query/Response” • Firma de los registros de una zona y posterior verificación de la misma por parte de quien recibe el “response” • Varios nuevos registros involucrados – RRSIG, DNSKEY, NSEC, DS Solución para DNS • TSIG • Autenticar el origen del mensaje y su integridad • Clave secreta compartida • Hash • No escalable: Update dinámico y transferencia de zonas • Registro TSIG: hash, algoritmo, key name, timestamp (NTP), delta de validez Envenenando el caché del DNS • Envenenar el caché de un servidor DNS – Cambiar telcom2006.fing.edu.uy IN A dir_IP_verdadera por telcom2006.fing.edu.uy IN A dir_IP_falsa • Si se pretende realizar un phishing, ya no se debe preocupar por “confundir al usuario con la URL”. • Si se pretende descargarle un malware al usuario, se podrá hacer desde una URL “confiable” Conclusiones • La heterogeneidad de las fronteras de un SP (ISP) y de los servicios brindados condiciona fuertemente para que se deban implementar medidas de seguridad “para cada caso” • Los incidentes de seguridad actuales obligan a implementar un conjunto de medidas de seguridad Muchas gracias por su atención [email protected] [email protected] www.antel.com.uy