El número de la bestia con RTBH

Cuando he estado estudiando para examinarme de nuevo del examen F5 401 (Solution Expert, Security) he aprendido un nuevo concepto que me ha parecido muy interesante. Hace un par de años cuando me examiné por primera vez de este examen me salió una pregunta sobre RTBH y yo, que no tenía ni idea sobre ello, tuve que elegir una respuesta al azar. Obviamente, me anoté la pregunta, y esta vez para la recertificación me la estudié.

RTBH o Remote-Triggered Black Hole es una técnica que se utiliza para enviar un prefijo a null utilizando el protocolo BGP, es decir, podemos decirle a los routers de nuestro operador de tránsito que un direccionamiento IP lo mande a un agujero negro. Podemos hacer que el operador de tránsito descarte los paquetes de una determinada IP o de un rango más amplio como por ejemplo un /24. Es importante destacar que la solicitud de tirar cierto tráfico al agujero negro es siempre sobre nuestro direccionamiento IP público, es decir, no vamos a solicitar tirar a null otro direccionamiento IP que no sea el nuestro.

Remotely Triggered Black Hole by Cisco

Existen otras técnicas que hacen algo parecido como por ejemplo utilizar la comunidad de BGP no_export o incluso podemos dejar de publicar el direccionamiento IP desde nuestro router de borde. Sin embargo, utilizar RTBH nos permite ser un poco más precisos al poder solicitar al operador de tránsito descartar una sola dirección IP, es decir, un /32. Además, al igual que no_export, RTBH utiliza una comunidad de BGP que nos permite realizar esta solicitud de manera automática, es decir, no hay que realizar una llamada de teléfono a nuestro operador para que empiece a descartar tráfico sino que simplemente enviando la comunidad del número de la bestia 666 nuestro operador de tránsito, si sigue el RFC 7999, empezará a descartar el tráfico que le digamos.

La técnica RTBH se suele utilizar para bloquear ataques de denegación de servicio muy grandes, es decir, normalmente se utiliza cuando un ataque de DoS está saturando nuestras líneas de comunicaciones y la volumetría recibida está provocando mucha inestabilidad en la red. En este caso, puede ser preferible que el servicio que tengamos en una determinada dirección IP pública no sea accesible a cambio de que el resto de servicios en otras IPs públicas siga operando con normalidad. Sin embargo, no deberíamos confundir la técnica RTBH con técnicas de mitigación de ataques de DoS porque hay fabricantes y servicios específicos para analizar el tráfico y bloquear solamente el acceso a las direcciones IPs de los atacantes, permitiendo el acceso a usuarios legítimos. Mientras que estos fabricantes y servicios, como puede ser F5 Distributed Cloud o los perfiles AntiDoS de BIG-IP, tienen un coste y son más complejos de configurar, RTBH es muy sencillo de configurar y normalmente no tiene ningún coste por parte del operador de tránsito.

¿Has utilizado alguna vez RTBH?

Un saludo!

Commentaires