Seguridad en MPTCP

El estándar MPTCP (Multipath TCP) que comenté en la anterior entrada ha hecho que me interese y me preocupe aún más en su funcionamiento y en los problemas de seguridad que nos podemos encontrar en la implantación de este nuevo protocolo. Este interés me ha llevado a ver la ponencia de Kate Pearce y Patrick Thomas, de la anterior edición de Black Hat, sobre cómo las redes que conocemos actualmente pueden ser evadidas con protocolos como MPTCP.

De forma muy resumida MPTCP tiene dos puntos que afectan considerablemente a la seguridad:
  • Fragmentación del tráfico: Hasta ahora veíamos todos los datos de la capa de aplicación en un solo flujo TCP. Mientras que con MPTCP se fragmenta y divide el tráfico en distintos flujos TCP, para proporcionar mayor redundancia y ancho de banda, que serán ensamblados en el destino.

    ¿Qué problema de seguridad grave nos podemos encontrar con la fragmentación? En primer lugar, los sistemas IDS/IPS no están preparados para agrupar y correlacionar unos flujos con otros y por tanto flujos distintos los tratará como conexiones independientes, permitiéndose el tráfico en la mayoría de los casos sin saltar las alarmas. Y en segundo lugar, los flujos TCP pueden utilizar caminos distintos para llegar al destino, llegando incluso a saltarse los sensores IDS/IPS como podemos ver a continuación:
  • Cambio del direccionamiento origen y destino en medio de una conexión: Hasta ahora podíamos diferenciar los clientes de los servidores basándonos en la dirección/sentido de la conexión y además asociábamos conexiones lógicas al direccionamiento IP. Sin embargo con MPTCP las conexiones no se pueden asociar al direccionamiento IP ya que éstas pueden cambiar a lo largo de la conexión, es decir, la comunicación la puede iniciar una IP y luego no aparecer más en la conexión para finalmente terminar la conexión otra IP distinta. 
     
    ¿Qué problema de seguridad grave nos podemos encontrar? Debido a este funcionamiento del protocolo no podemos saber si la conexión la ha iniciado el cliente o el servidor, es decir, ¿cómo sabemos si se trata de una conexión de entrada o salida?

Actualmente aprovechar estas debilidades es complejo; 1º – porque existen muy pocos servicios donde los dos extremos utilicen el protocolo MPTCP y 2º porque la mayoría de cortafuegos están basados en la técnica de Stateful Inspection, manteniendo la tabla de sesiones TCP, y no permitirían este tipo de conexiones, ni legítimas ni ilegítimas, y por tanto sería imposible utilizar este tipo de servicios desde una red protegida por cortafuegos NGFW.

Desde mi punto de vista las comunicaciones Multipath van a revolucionar los modelos de seguridad y redes que conocemos hasta ahora, y por tanto cada vez más dispositivos y aplicaciones adoptarán este nuevo estándar. Así que todos los administradores de seguridad y redes nos deberíamos ir preparando para esta nueva era de la conectividad, ya que entender este tipo de protocolo será muy importante para los nuevos despliegues de redes y la protección de sus servicios.

Un saludo amigos y recuerda, deja un comentario con lo primero que te sugiera.

Commentaires