Cloudflare presenta la herramienta de verificación de seguridad del Protocolo Border Gateway


Cloudflare dice que ya no hay excusas cuando se trata de la seguridad BGP, con la introducción de una nueva herramienta que puede hacer que los ISP rindan cuentas por sus medidas de seguridad BGP.

La semana pasada, el proveedor de servicios en la nube dijo que los problemas de seguridad del Protocolo de puerta de enlace fronteriza (BGP) han sido una parte aceptada del panorama de amenazas durante demasiado tiempo, con filtraciones de datos y secuestros de una ocurrencia común.

El protocolo BGP se utiliza para facilitar el enrutamiento del tráfico por parte de los proveedores de servicios de World wide web (ISP). El sistema ha estado en uso desde la década de 1980 y ha experimentado una evolución a lo largo de este tiempo, incluida la introducción de nuevas medidas de seguridad que incluyen TLS, DNSSEC y proyectos como Infraestructura de clave pública de recursos (RPKI) para tratar de evitar fugas y secuestro.

Sin embargo, estos ataques aún continúan a nivel de ISP. Por ejemplo, el proveedor estatal de telecomunicaciones de Rusia, Rostelecom, es sospechoso de ser un reincidente en el secuestro de BGP.

Ver también: Coronavirus: negocios y tecnología en una pandemia

A principios de este mes, el tráfico destinado a más de 200 proveedores de servicios en la nube y redes de entrega de contenido (CDN), incluidos Google, Amazon, Akamai y Cloudflare, se redirigió a través de los servidores del ISP.

El año pasado, China Telecom redirigió el tráfico europeo a través de sus propios servidores durante dos horas, aunque no se sabe si el incidente fue malicioso o debido a un mistake humano.

El secuestro de BGP puede llevar a un compromiso de datos, así como a cortes de Web.

Cloudflare dijo la semana pasada que «es hora de hacer que BGP sea seguro», y los ISP «no tienen más excusas» para no actuar. Para intentar que los ISP rindan cuentas, la compañía ha lanzado isBGPSafeYet.com, un sitio web que se puede utilizar para verificar si su ISP está utilizando RPKI o no, lo que ayuda a filtrar las rutas de tráfico no válidas.

Se utilizan dos prefijos para probar RPKI. La prueba hará que su navegador intente obtener dos páginas, valid.rpki.cloudflare.com e invalid.rpki.cloudflare.com. La primera página está detrás de un prefijo válido RPKI y la segunda está detrás de un prefijo inválido RPKI.

CNET: El juez falla en contra del esfuerzo de transparencia de Twitter, citando la seguridad nacional

Si ambas páginas se obtienen sin problemas, esto indica que el ISP ha aceptado una ruta no válida y no ha habilitado RPKI. Cloudflare dice que si valid.rpki.cloudflare.com es la única página obtenida, su ISP ha habilitado la medida de seguridad y los usuarios son «menos sensibles a las filtraciones de ruta».

Si prueba su ISP y descubre que RPKI no está en su lugar, la página internet proporciona un mensaje tuiteable:

«Desafortunadamente, mi proveedor de World wide web (XXX) NO implementa BGP de manera segura. Consulte https://isbgpsafeyet.com para ver si su ISP implementa BGP de manera segura o si deja a Online vulnerable a secuestros de rutas maliciosas».

En otras palabras, se espera que la presión pública pueda aumentar la adopción de RPKI por parte de más proveedores de servicios de Internet.

screenshot-2020-04-20-at-12-38-07.png

TechRepublic: Empresas de suscripción que demuestran resistencia a medida que la economía se contrae debido al coronavirus

RPKI no es un estándar infalible para evitar el secuestro de BGP, pero la compañía dice que las pruebas indican que aproximadamente la mitad de todas las redes que emplean la herramienta son menos susceptibles a fugas de ruta.

«Esperamos que esta iniciativa haga que RPKI sea más accesible para todos y, en última instancia, reducirá el impacto de las filtraciones de ruta», dice Cloudflare.

Los scripts utilizados por isbgpsafeyet.com se han puesto a disposición en GitHub.



Enlace a la noticia authentic