Seguridad en un

Proveedor de Servicios de Internet (ISP)

Ing. Carlos Martnez - Ing. Leonardo Vidal
Anteldata

www.antel.com.uy

Introduccin
Exponer los problemas de seguridad ms
relevantes a los que est expuesto un ISP, su
impacto en l y en sus clientes y las posibles
soluciones para evitarlos o minimizar su
impacto.

Problemtica actual
La propia esencia de un ISP de mediano y gran
porte hace que su permetro sea heterogneo.
Diferentes tecnologas
Diferentes servicios
Fronteras amplias

Problemtica actual
El crecimiento exponencial de los servicios de
banda ancha (ADSL) desde la persectiva de la
seguridad, puede ser un problema
Miles de computadoras conectadas a
Internet, en promedio varias horas por da,
con velocidades importantes y con
capacidades de procesamiento apreciables
son tentadoras para los atacantes

Problemtica actual
La seguridad de las computadoras hogareas no
es una prioridad de la mayora de la poblacin
En general, en seguridad, se es reactivo.
Los sistemas operativos no son seguros.
Las aplicaciones no son seguras.
Desde que se conoce una vulnerabilidad hasta
que se desarrolla el parche que la corrige
puede pasar un tiempo apreciable (das,
meses,...) y hasta que se aplica ms an
(aos?)

Problemtica actual
Estamos rodeados de
Intentos de robo de identidad
Phishing
Pharming

Virus, spyware y otros malwares

Bot Nets

Intentos de denegacin de servicio

Problemtica Actual
Robo de Identidad

Problemtica Actual
Bot Nets
1. El operador infecta
PCs de usuarios
2. Los bots se conectan a
una red IRC u otro canal
de comunicaciones
3. Un spammer compra
acceso a la botnet para
enviar sus correos
4. El spammer envia
comandos via IRC
5. El spam llega a otros
sistemas

Problemtica actual
Adems
DoS (Denial of Service)
Ataque cuyo objetivo es lograr que un recurso
informtico sea inaccesible para los usuarios
legtimos del mismo
En un entorno de ISP : distintos tipos de flooding
ICMP y UDP flooding
IP de origen en general falsa (spoofing)

DDoS (Distributed Denial of Service)

Direcciones de origen distribuidas en un rango
muy amplio del espacio de direccionamiento IP

Problemtica Actual
Consecuencias del DoS / DDoS van mas all del
blanco especfico
Saturacin de equipos y enlaces intermedios
perjudica a otros usuarios
Direccin de origen falsa
Difcil de filtrar! (permetro difuso)
Ataque distribuido
Muy difcil de filtrar sin empeorar la
situacin aun mas

Problemtica actual
Problemas de seguridad de los ISP
Los problemas mencionados antes los sufren
en general los clientes; los que veremos en
las prximas diapositivas los sufren los ISPs,
pero terminan perjudicando a los clientes
tambin
Protocolo de enrutamiento
Interior
Exterior

DNS (el servicio olvidado?)

Problemtica actual
Protocolo de enrutamiento interior
Aquel que utiliza el ISP en su red para
encaminar los paquetes de los clientes (RIP,
OSPF).
Si se logra envenenar una tabla de
enrutamiento, se puede redirigir el trfico de
los clientes.

Problemtica actual
Protocolo de enrutamiento exterior
Aquel que utiliza el ISP para conocer las
redes de otros proveedores y hacer conocer
las suyas (BGP).
Si las sesiones BGP caen, vivimos la
inalcanzabilidad.
BGP se soporta sobre conexiones TCP.
TCP tiene sus propios problemas de seguridad.

Problemtica actual
DNS (Domain Name System)
Es un servicio casi nunca utilizado
directamente por los usuarios pero s
indirectamente por todas las aplicaciones
Brinda flexibilidad y comodidad
Su indisponibilidad afecta a todas las
aplicaciones
Cada vez ms involucrado en incidentes de
seguridad por su impacto en las aplicaciones
(principal target de los incidentes actuales)

Solucin
La solucin no existe.
Todo parece indicar que lo ms adecuado es
combinar soluciones, niveles de seguridad, en
diferentes capas y tener varias fronteras que
nos separen del enemigo.
Ejemplos
Autenticacin: combinar mtodos
Ms de un firewall

Solucin para enrutamiento interior

Integridad del dominio de routing
Hablar el protocolo slo con quien debemos
Autenticar neighbors
En las interfaces adecuadas
Hash de los mensajes intercambiados
Anillo antispoofing

Solucin para enrutamiento exterior

Mecanismos que chequean el campo TTL de los
mensajes involucrados
RFC 3682
Proteccin de las sesiones BGP con: shared key,
MD5
RFC 2385
Filtrar por nmero de AS, por prefijos

Solucin para DNS

Split DNS
Generar vistas distintas segn quin realice
la consulta
Recursivo y no recursivo
Especializar las tareas de los servidores que
implementan los servicios DNS

Solucin para DNS

DNSSEC
Proteger los mensajes Query/Response
Firma de los registros de una zona y posterior
verificacin de la misma por parte de quien
recibe el response
Varios nuevos registros involucrados
RRSIG, DNSKEY, NSEC, DS

Solucin para DNS

TSIG
Autenticar el origen del mensaje y su integridad
Clave secreta compartida
Hash
No escalable: Update dinmico y transferencia de
zonas
Registro TSIG: hash, algoritmo, key name,
timestamp (NTP), delta de validez

Envenenando el cach del DNS

Envenenar el cach de un servidor DNS
Cambiar
telcom2006.fing.edu.uy

IN A

dir_IP_verdadera

por
telcom2006.fing.edu.uy

IN A

dir_IP_falsa

Si se pretende realizar un phishing, ya no se debe

preocupar por confundir al usuario con la URL.
Si se pretende descargarle un malware al usuario, se
podr hacer desde una URL confiable

Conclusiones
La heterogeneidad de las fronteras de un SP
(ISP) y de los servicios brindados condiciona
fuertemente para que se deban implementar
medidas de seguridad para cada caso
Los incidentes de seguridad actuales obligan a
implementar un conjunto de medidas de
seguridad

Muchas gracias por su atencin

lvidal@anteldata.com.uy
cmartinez@anteldata.com.uy

www.antel.com.uy