Nuevas ideas para reducir el riesgo de ataques en Internet
Las vulnerabilidades del BGP pueden aprovecharse para provocar un enrutamiento falso. Los operadores de red están adoptando ahora el BGP seguro (S*BGP), el cual es un método que aborda de un modo exhaustivo múltiples problemas de seguridad asociados al BGP. No obstante, la instalación de una variante segura del BGP de este calibre no está exenta de escollos. Para tratar este problema y sus vulnerabilidades relacionadas como la de ISP mal configurados, el proyecto financiado con fondos europeos SIRENS (Securing internet routing: Economics vs. network security) se propuso superar los principales problemas que impiden contar con un protocolo de enrutamiento seguro, a saber, la elección de un protocolo seguro y la creación de incentivos económicos para su popularización. Los socios del proyecto crearon tres modelos de seguridad para labores de enrutamiento en el que instalaron en parte S*BGP. La mayoría de los encuestados de entre cien operadores de redes eligió el modelo que favorecía una ruta segura solo si no existía otra ruta insegura más corta o rentable. A continuación se creó un modelo de amenaza y una referencia para medir su seguridad. El equipo de SIRENS ideó un marco metodológico innovador en el que se vinculan la mayor cantidad posible de mejoras de la seguridad para cada modelo de enrutamiento y escenario de instalación del S*BGP. Las simulaciones permitieron medir la seguridad en los escenarios propuestos por los investigadores y determinar la causa de las mejoras de la seguridad medidas. También se crearon algoritmos de simulación en paralelo para que gestionasen parámetros como los atacantes, los destinos, escenarios de instalación y políticas de enrutamiento. Gracias a la investigación realizada se obtuvieron varios resultados importantes. Los ataques en los que se rebaja el nivel de seguridad del protocolo son tan efectivos que lograron prácticamente inutilizar ciertas instalaciones de S*BGP. La relación entre la topología y las políticas de enrutamiento provocó que algunos sistemas autónomos cayesen ante ciertos ataques, ante los cuales podrían haber resistido si no se hubiera instalado S*BGP. La instalación de un S*BGP simplex ligero en lugar de un S*BGP completo no merma la seguridad. Los proveedores de servicios de Internet de capa 2 deberían ser los primeros en adoptar S*BGP, una afirmación que refuta la de trabajos anteriores en los que se propone los de capa 1 para esta tarea. SIRENS trató la urgencia de asegurar el enrutamiento mediante el desarrollo de una implementación prototipo instalable de código abierto de una validación final de la ruta (path-end validation). La instalación de un protocolo de enrutamiento seguro está al alcance de la mano y resultará muy interesante para los primeros en instalarlo.
