Mapa del Tesoro

Imagina que un día te levantas y te enteras que tú, administrador de redes de un proveedor de servicios de Internet, eres el objetivo de la NSA y el GCHQ. Eso es lo que le pasó a varios administradores de redes de una pequeña operadora alemana llamada Stellar, que se dedica a ofrecer Internet por satélite a clientes donde la fibra no llega, la mayoría de sus clientes están en África y Oriente Medio.

En nuevos documentos revelados por Edward Snowden se puede ver cómo los servicios secretos espiaban a varios administradores de redes para obtener las credenciales y las topologías de red de la operadora, con el objetivo de crear un mapa de red de toda Internet en tiempo real identificando todos los dispositivos conectados a Internet. Es decir, una especie de Google Earth donde busques una dirección IP y te aparezca dónde se encuentra geográficamente dicho dispositivo además de todas sus conexiones.

Esta es la cara del administrador de red cuando se entera que ha sido espiado:

Para llevar a cabo el proyecto, la NSA y el GCHQ contrataron el servicio de Internet con este operador e instalaron servidores en lugares estratégicos que se dedicaban a realizar traceroutes, consiguiendo de entre 16 a 18 millones de operaciones de este tipo cada día. Además, comprometieron su servidor de correo y el servidor central, desde donde podían incluso cortar el acceso a Internet de sus clientes. Por otro lado, analizaban las tablas BGP de los routers, obtenían información de los sistemas operativos y de las huellas que éstos dejan en las consultas DNS, por su puesto también aprovecharían las puertas traseras que los propios fabricantes desarrollan para este tipo de “hazañas”. 

Aunque parezca mentira y alejado de la realidad, este tipo de proyecto, donde además de Stellar espiaron al gigante Deutsche Telekom, así como también a Netcologne y los proveedores Cetel y IABG, es capaz de monitorizar y visualizar todas las comunicaciones “casi en tiempo real” de toda Internet, incluyendo ordenadores, teléfonos y tabletas. Así que cuando tengamos implantado IPv6 y hasta la tostadora de mi casa esté conectada a Internet, el Centro de Operaciones de Amenazas (NTOC) me llamará por teléfono cuando se me esté quemando el pan. 

Para finalizar, siempre he pensado que los administradores de sistemas tenemos una posición “privilegiada” ya que tenemos accesos a los equipos principales donde se sustenta el negocio, es decir, donde está toda la información. Así que debemos estar despiertos y ser cautelosos estableciendo contraseñas robustas, cambiándolas periódicamente y no utilizarlas desde equipos que pudieran estar infectados, ya que un despiste podría exponer información relevante sin nuestro consentimiento. Así que … despierta y espabila, que tú también puedes estar entre los objetivos de los servicios secretos. 

Saludos amigos.

Routing Asimétrico

El routing asimétrico nos lo podemos encontrar en redes de gran tamaño como también en pequeñas redes. Este tipo de routing aparece cuando un equipo recibe tráfico por una ruta que no coincide con la ruta de envío, es decir, se puede dar el caso que el host A envíe una petición al server B por el enlace 1, y el server B conteste dicha petición al host A por el enlace 2. En un principio el routing asimétrico no es un problema en TCP/IP, pero nos puede causar ciertos dolores de cabeza en el troubleshooting si no sabemos exactamente por dónde se esta cursando el tráfico de red.

A continuación veremos algunos escenarios donde podemos encontrar routing asimétrico:

BALANCEADOR + ROUTER

Este escenario de routing asimétrico nos lo encontramos en implantaciones de balanceadores de carga en modo DSR (Direct Server Return) donde la petición del usuario va a ser respondida por el servidor desde su puerta de enlace (paso 3) sin pasar de nuevo por el balanceador. En este caso la respuesta llegaría al usuario, además no sobrecargaríamos el balanceador con tráfico de ida y vuelta.

 

BALANCEADOR + CORTAFUEGOS

Si no tenemos claro el flujo del tráfico podemos encontrarnos escenarios como el que vemos a continuación, provocando inestabilidad en los servicios de la red. En este escenario el router lo hemos sustituido por un cortafuegos que realiza funciones de Stateful Inspection, por tanto las respuestas del servidor hacia el cliente serán bloqueadas por el cortafuegos debido a que esas sesiones no se encuentran establecidas en la tabla de sesiones del cortafuegos. Para solucionar este problema debemos utilizar Proxy IP en el balanceador o cambiar la puerta de enlace de los servidores.

MENSAJES ICMP REDIRECT

Nos podemos encontrar escenarios donde existan dos routers en el mismo segmento de red que el usuario, de tal manera que para llegar a ciertos segmentos existan rutas estáticas que nos direccione hacia ellas. En este caso podemos ver que la puerta de enlace del usuario puede ser cambiada por otro router con tan solo recibir un mensaje ICMP Redirect del router. Si no se controla adecuadamente este tipo de routing asimétrico puede llegar a ser un caos para los administradores de redes.

 

BGP

En la red de redes (Internet) es muy común que el flujo del tráfico para alcanzar un servidor desde el cliente no sea el mismo que el que sigue el servidor para alcanzar al cliente, produciéndose routing asimétrico, ya que BGP se propaga por Internet y los routers eligen las rutas más cortas para alcanzar el destino, por tanto este tipo de routing asimétrico es normal. Sin embargo, como administradores de red siempre podemos influir en las rutas para llegar a nuestro sistema autónomo estableciendo métricas y prioridades, por ejemplo si tenemos dos salidas a Internet podemos decidir qué entra y sale por cada línea, compartiendo y optimizando el ancho de banda. Por supuesto, siempre estaremos expuestos a ataques ISP In The Middle.

Eso es todo amigos.

Amplification DDoS Attack

Ninguna organización quiere que sus escasos recursos sean utilizados mal-intencionadamente para realizar ataques sin su consentimiento y conocimiento, por este motivo es muy importante monitorizar y proteger adecuadamente nuestros servicios y líneas de comunicaciones.

Todos sabemos que los servidores suelen tener gran capacidad de cómputo y un acceso a Internet muy superior a cualquier usuario doméstico en su casa. Por tanto los atacantes han comenzado a explotar las vulnerabilidades de los servidores para crear botnets de servidores, en lugar de utilizar botnets de equipos de usuarios mucho menos potentes y con acceso limitado a Internet, para saturar los recursos de sus víctimas y así interrumpir sus servicios consumiendo los recursos disponibles.

Mediante una botnet de servidores podemos realizar un Ataque de DDoS, pero si queremos aumentar el ataque de DDoS de manera considerable se puede emplear la técnica del Ataque Amplificado. Mediante este ataque se puede alcanzar un uso de ancho de banda de manera notable, provocando una denegación de servicio sobre la línea de acceso a Internet de la víctima.

Amplification attack originalmente se basa en el Ataque Smurf que consiste en que el atacante con tan solo un paquete de broadcast ICMP request y realizando IP Spoofing puede hacer que la víctima reciba una gran cantidad de solicitudes:

Si en lugar de utilizar ICMP request en el ataque anterior realizamos pequeñas solicitudes a algún servicio que genere respuestas de gran tamaño, estaríamos amplificando aún más el ancho de banda y los recursos de cómputo que la víctima necesita para procesar todas las solicitudes, pudiendo provocar la denegación del servicio porque la víctima no disponga de los recursos necesarios.

 

Hasta el momento existen dos casos muy conocidos de Ataque Amplificado. El primero y más reciente NTP Amplification DDoS Attack alcanzó un throughput de 400 Gbps utilizando más de 4000 servidores NTP vulnerables y el segundo DNS Amplification DDoS Attack contra la empresa Spamhaus que alcanzó un throughput de 300 Gbps utilizando los servidores DNS del proyecto Open DNS resolver. Por ejemplo, en este último caso los atacantes con cada petición de DNS de 64 bytes conseguían amplificar la respuesta hacia la víctima en más de 3000 bytes, obteniendo un ratio de amplificación por cada petición de 50x.

Si no quieres participar en este tipo de ataques distribuidos sin saberlo, comienza por monitorizar adecuadamente tus recursos, comprueba si tus servidores NTP son vulnerables o si tu servidor de DNS responde con peticiones de gran tamaño:

dig isc.org ANY @x.x.x.x +edns=0 +notcp +bufsize=4096

Si tras realizar análisis de vulnerabilidades de tus servicios y hardening de tus servidores aún no te encuentras tranquilo, tal vez es el momento de implantar Geobalanceo para asegurar la continuidad y disponibilidad de tus servicios.

Un saludo amigos!!

Turquía

Este verano he tenido la suerte de pasar mis “vacaciones” en Turquía. Como soy incapaz de estar “tirao a la bartola”, decidí hacer un campo de trabajo como voluntario, lo que me permitiría hacer turismo, realizar una labor social, conocer a muchísima gente, practicar Inglés y desconectar. El campo de trabajo consistía en rehabilitar un colegio en un pequeño pueblo llamado Atabey al suroeste de Turquía. Entre mis tareas se encontraban pintar y limpiar, aunque también he tenido la oportunidad de visitar cuevas, playas, trekking, montar a caballo y realizar deporte.

Antes de comenzar el voluntariado visité Estambul donde conocí al coordinador del campo de trabajo, por cierto estudiante de informática. Él nos enseñó la enorme ciudad de 14 millones de habitantes donde visitamos lugares turísticos, como el Gran Bazar y las mezquitas de Europa, y otros no tan turísticos en la parte de Asia.

Durante mi estancia, Turquía se encontraba en campaña electoral para elegir nuevo presidente, así que tuve la oportunidad de preguntar e informarme sobre los electos. Erdogan fundador del partido AKP y primer ministro durante 11 años, se presentaba a la presidencia. En su curriculum se encuentran las protestas del año 2013 donde murieron 11 personas y 8000 heridos porque los ciudadanos acamparon en el Parque Taksim para evitar que la única zona verde de Estambul fuese urbanizada para construir un centro comercial. Su política está basada en el autoritarismo como la prohibición del consumo de alcohol, prohibir besarse en público o el último intento de prohibir a las mujeres reírse en público. Incluso este mismo año, tras el escándalo de corrupción del Gobierno de Erdogan, se aprobó una ley que permitía bloquear webs sin orden judicial, mediante un sistema de seguridad perimetral Palo Alto y una redirección de los DNS más de 40.000 webs fueron afectadas, entre ellas se encontraban webs que apoyaban a los Kurdos, webs de citas de homosexuales, y redes sociales como Twitter y YouTube. A pesar de ser acusado de manipular el recuento de los votos en las últimas elecciones locales, parece tener suficientes devotos conservadores y religiosos ya que este verano Erdogan ha conseguido ganar las elecciones presidenciales.

Tras pasar por Estambul, me dirigí a Atabey, un pueblo de 4000 habitantes con tres colegios. Visitamos al alcalde del pueblo que nos recalcó la importancia de la educación, aunque no llegué a entender cómo en un pueblo tan pequeño el alcalde puede tener chofer y coche oficial. También me resultó curioso la de botellas rotas que te encontrabas en el campo porque la gente salía del pueblo a beber alcohol y luego no podían entrar con las botellas vacías al pueblo, ¡primero la religión y después el medio ambiente! El colegio donde nos alojábamos estaba “inundado” de cámaras de videovigilancia como si los niños fuesen delincuentes, incluso me encontré una tienda en el pueblo que se dedicaba a vender cámaras. Con respecto al acceso a Internet, al abrir twitter me encontré con un certificado SSL de un equipo de seguridad perimetral FortiGate 1240B, por lo que deduje que estaban haciendo análisis del tráfico generado por los estudiantes, además de bloquear redes sociales como Facebook. Por otro lado, el ancho de banda dejaba mucho que desear, ya lo había dicho el estudio de Akamai que sitúa a Turquía en el puesto 53 de la Unión Europea con un ancho de banda medio de 4,3 Mbps, mientras que España está en el puesto 32 con una media de 6,6 Mbps.

Una vez finalizado el campo de trabajo, volvimos a Estambul a pasar unos días. Allí tuve la oportunidad de conocer a dos desarrolladores de aplicaciones móviles, estudiantes y trabajadores, así que estuvimos hablando sobre la situación de los informáticos. Me comentaron que en Estambul los ingenieros informáticos están muy valorados, de hecho los salarios están por encima de Extremadura mientras que el coste de vida está por debajo. Con respecto al paro, Turquía no llega al 9% de paro, mientras que en España seguimos en el 25%. Supongo que este es el motivo por el que la mayoría de Turcos no saben Inglés, porque no han tenido la necesidad de buscar trabajo en otro país, aunque sí que tienen la facilidad de recibir las clases de la Universidad en Inglés.

Para finalizar, simplemente comentar que ha sido una experiencia inolvidable, que además de conocer una nueva cultura y a mucha gente, he podido comprobar lo servicial, amables y divertidos que son nuestros amigos los Turcos.