Quando falamos em mecanismos de segurança em protocolos de roteamento IP, é necessário considerar quais são as vulnerabilidades inerentes às trocas de informações entre roteadores e os métodos utilizados para mitigar possíveis ataques.
Esse é o novo tema do webinar gratuito da ESR “Mecanismos de Segurança em Protocolos de Roteamento IP”, que aborda com detalhes as seguintes pautas:
- Componentes do Roteamento;
- Tipos de Roteamento;
- Ameaças aos Protocolos de Roteamento;
- Autenticação em Protocolos de Roteamento;
- Proteção contra Ataques de Injeção de Rotas Maliciosas;
- Criptografia na Comunicação entre Roteadores.
Neste artigo, você confere os principais pontos desse evento on-line, além de poder conferi-lo na íntegra a qualquer tempo.
Trata-se de um resumo sobre os pontos essenciais para uma proteção de redes eficiente.
Boa leitura!
Quais são os componentes do roteamento?
Na prática, o roteamento descreve a atividade de encaminhar determinada mensagem, da origem ao destino, passando por um ou mais roteadores, em um caminho chamado rota.
Trata-se, portanto, da entrega de pacote de dados de um ponto ao outro, por meio de topologias e redes complexas, com o objetivo de tornar a interconexão entre dispositivos mais eficiente e ágil.
Esse processo conta com dois componentes principais:
- Determinação de rotas – pode ser manual (rotas estáticas) ou dinâmica, usando protocolos específicos;
- Encaminhamento de pacotes – roteadores tomam decisões em tempo real, com base nas tabelas de roteamento.
Enquanto o primeiro componente ocorre no plano de controle do roteador, o segundo faz parte do plano de dados. Ao trabalharem juntos, eles buscam os melhores caminhos para os pacotes de dados trafegarem, observando aspectos importantes como largura de banda disponível, congestionamento e topologia de rede. Além disso, a prática conta com os roteadores, que recebem, processam e direcionam pacotes de dados entre redes ou sub-redes distintas e com os protocolos de roteamento.
| Os protocolos de roteamento são definidos como um conjunto de regras e padronizações de formatação de dados usado para direcionar a identificação ou o anúncio de caminhos de rede. Ou seja, por meio de um protocolo de roteamento, os roteadores “conversam”, descobrem e escolhem os melhores caminhos para enviar pacotes de dados dentro de uma rede. |
Para que servem os protocolos de roteamento?
Os protocolos de roteamento estão conectados diretamente à evolução da internet. Em linhas gerais, foram idealizados como uma resposta ao crescimento da rede e à sua demanda por comunicação efetiva entre diversos dispositivos, diferente do que era necessário nos primórdios dessa tecnologia.
No começo, a internet representava uma rede experimental, chamada Arpanet, que continha um núcleo único para toda a sua operação, com roteadores do núcleo e roteadores externos, representada pelas instituições de ensino, que se comunicavam por meio de Gateway to Gateway Protocol (GGP). Quando a rede expandiu e abandonou a modalidade originária “acadêmica”, o núcleo centralizado passou a não fazer sentido. Assim, o crescimento exigiu uma descentralização da rede.
Nesse contexto, a solução para driblar o desafio do aumento da rede e a necessidade de comunicação entre ela foi criar um sistema autônomo. Em relação a esse assunto, o documento em formato acadêmico que registra como funciona a internet – o RFC 1930 – é responsável por discriminar o que é um Sistema Autônomo (AS) de forma bastante detalhada, de modo que seu conhecimento é imprescindível para o profissional de TI. Com isso, a comunicação entre o AS deu origem ao que conhecemos hoje como internet.
Para que os dados sejam transmitidos entre esses sistemas, também foi necessária a existência de uma política de roteamento capaz de definir como essa atividade ocorreria.
Assim, os ASs se comunicavam por intermédio do Exterior Gateway Protocol (EGP). Entretanto, por ser fruto de um desenvolvimento inédito, o protocolo apresentou deficiências, como loops de roteamento e pouca flexibilidade para os ASs definirem suas políticas de roteamento. Por isso, outros protocolos foram desenvolvidos e passaram a se destacar no mercado, como o Border Gateway Protocol (BGP).
Tipos de roteamento
Há essencialmente dois modelos de roteamento:
- Roteamento estático – as rotas são configuradas manualmente pelo administrador da rede;
- Roteamento dinâmico – os roteadores aprendem as rotas automaticamente e se ajustam conforme a rede muda. Trocam informações por meio de um protocolo em comum.
Diante de qualquer mudança – como, por exemplo, uma interface corrompida – há a notificação aos demais roteadores da rede, fazendo com que a adaptação seja muito mais rápida do que aquela encontrada na rota estática, na qual o administrador teria que remover a falha manualmente. Assim, as rotas entram e saem da tabela dinamicamente, sem intervenção externa. Com isso, fica mais fácil fazer uma configuração, com menos intervenção do administrador de redes.
Contudo, há uma desvantagem: maior utilização de recursos de roteador (CPU, memória e largura de banda). Ainda assim, com o poder computacional de hoje em dia, isso já não se apresenta como um grande prejuízo, com as vantagens sobressaindo à limitação.
Entre os protocolos de roteamento dinâmicos, encontram-se ainda duas categorias:
- Protocolos internos de gateway – rodam dentro de um sistema autônomo; uma organização que tem competência para administrar os próprios recursos de numeração e políticas de roteamento, como provedores de internet; grandes empresas; grandes provedores de conteúdo; órgãos públicos etc. Estes, por sua vez, se subdividem em protocolos de roteamento de vetor de distância, como o RIP e o EIGRP, e protocolos de roteamento link-state (estado de enlace), como o OSPF e o IS-IS.
- Protocolos externos de gateway – aqueles que rodam na internet, entre os sistemas autônomos, com somente um protocolo, chamado BGP – um estilo de vetor de caminhos.
Veja as especificações de cada um deles a seguir:
1) Routing Information Protocol (RIP)
Trata-se do protocolo mais antigo e limitado, cuja métrica é a quantidade de saltos (não necessariamente o caminho mais rápido).
- RIPv2
Uma versão mais moderna do protocolo para o IPv4 (1994/1998), atualizado por meio da RFC 2453.
Roda em cima de UDP (porta 520).
Limitado a 15 saltos (roteadores) e sujeito a loops de roteamento.
- RIPng (faz alusão ao IPng)
Versão para o IPv6 (1997) – atualizada pela RFC 2080, baseada no RIPv2.
Roda em cima de UDP (porta 521).
Possui as mesmas limitações do RIPv2.
2) Open Shortest Path First (OSPF)
É o protocolo de roteamento interno mais utilizado pelas organizações, tendo em vista que é aberto e mais robusto. Atua de forma hierárquica, podendo ser dividido em áreas, o que torna mais eficiente o processo, uma vez que os roteadores de determinada área só precisam conhecer e trocar informações com aqueles roteadores, limitando o número de mensagens entre aquelas redes.
Nesse modelo, os roteadores montam e compartilham entre si uma base de dados topológica (troca de Link State Advertisements – LSAs, anúncios de estado de enlace).
Métrica: custo (quanto menor, melhor a rota, sem levar em consideração a quantidade de saltos).
- OSPFV2
Sofreu algumas atualizações ao longo dos anos (1991/1994/1997/1998), sendo uma versão apenas para as rotas IPv4.
Roda em cima do protocolo IPv4 (tipo 89 – campo Protocol).
Possui 5 tipos de mensagem e 7 LSAs.
- OSPFv3 Tradicional
Versão apenas para as rotas IPV6 (1999/2008), atualizada por meio da RFC 5340.
Roda em cima do protocolo IPv6 (tipo 89 – campo Next Header).
Possui 5 tipos de mensagem e 9 LSAs (1 foi descontinuado).
- OSPFv3 com Famílias de Endereços (AF)
Versão atualizada para as rotas IPv4 e/ou IPv6 (2010), por meio da RFC 5838.
Roda em cima do protocolo IPV6 (tipo 89 – campo Next Header), mesmo que anuncie apenas as rotas IPv4.
Possui 5 tipos de mensagem e 9 LSAs (1 foi descontinuado).
| Leia também: Como funciona o protocolo OSPF? |
3) Border Gateway Protocol (BGP)
O Border Gateway Protocol (BGP) é a tecnologia que permite que a internet funcione plenamente, ou seja, é um protocolo de integração de sistemas e informação e o protocolo único e padrão entre Sistemas Autônomos (AS).
Métrica: número de saltos de AS, e não de roteadores – por quantos sistemas autônomos o pacote precisa passar para chegar ao destino? Possui diversos outros atributos que podem ser manipulados para realizar o roteamento baseado em políticas.
- BGPv4
Versão mais moderna do protocolo (1994/1995/2006), atualizada por meio da RFC 4271.
Roda em cima de TCP (porta 179), para mais confiabilidade por causa de característica da rede.
Possui 7 atributos básicos (ORIGIN, AS_PATH, NEXT_HOP, LOCAL_PREF etc.).
- MP-BGP
Extensão (2007, atualizada pela RFC 4760) que permitiu utilizar o IPv6 e outros protocolos de rede junto com o BGPv4 (não há versão específica do BGP para o IPv6).
Foram acrescentados 2 atributos novos (MP_REACH_NLRI e MP_UNREACH_NLRI).
Trabalha com o conceito de famílias de endereços (IPv4 Unicast, IPv6 Unicast etc.).
Ameaças aos protocolos de roteamento
Para se falar dos mecanismos de segurança em protocolos de roteamento IP, é necessário compreendermos três conceitos principais que perfazem os pilares da segurança da informação: confidencialidade, integridade e disponibilidade.
- Confidencialidade: a informação só deve estar acessível a quem for autorizado acessá-la.
- Integridade: a informação tem que se manter inalterada, seja na transmissão, seja no armazenamento.
- Disponibilidade: a informação precisa estar disponível para quem precisar acessá-la.
Cada um desses pilares pode ser desequilibrado individual ou simultaneamente pelas ameaças aos protocolos de roteamento, sendo as mais comuns:
- Ataques de Negação de Serviço (DoS) – sobrecarregam a rede ou os roteadores com tráfego excessivo, tornando os serviços indisponíveis;
- Ataques de falsificação de mensagens (Spoofing) – enviam pacotes falsificados para enganar os roteadores e redirecionar o tráfego de forma maliciosa;
- Injeção de rotas maliciosas – insere informações de roteamento falsas para desviar pacotes ou criar falhas na comunicação;
- Vazamento de rotas – divulga as rotas internas indevidamente, expondo redes privadas a acessos não autorizados.
Nesse contexto, os mecanismos de segurança em protocolos de roteamento IP são implementados exatamente para evitar as ameaças citadas.
Mecanismos de segurança em protocolos de roteamento IP: quais são?
Os mecanismos ajudam a validar a autenticidade das informações trocadas entre os roteadores e a mitigar os riscos que podem comprometer o funcionamento da rede. No webinar da ESR, Alan Tamer Vasques, especialista em gerenciamento e segurança de redes, destaca alguns deles:
1) Autenticação: garante a integridade das informações trocadas entre os roteadores
A autenticação impede que atores mal-intencionados insiram rotas falsas na rede, protegendo a integridade dos anúncios de roteamento. Os métodos de autenticação variam desde senhas simples (pouco seguras) até técnicas mais robustas, como HMAC-SHA e PKI (infraestrutura de chave pública).
- RIPv2: suporta autenticação por senha simples, MD5 e HMAC-SHA (RFC 4822).
- RIPng: utiliza IPSec para autenticação, independentemente do protocolo RIP.
- BGP: suporta autenticação por MD5 e RPKI, um dos principais mecanismos para a validação de prefixos.
- OSPFv2: permite senha simples (em texto claro), MD5 e HMAC-SHA (RFC 5709).
- OSPFv3: utiliza IPSec para a autenticação, sem depender do protocolo OSPF.
2) Proteção contra ataques de injeção de rotas maliciosas
Também relacionado com autenticação, esse mecanismo de segurança em protocolos de roteamento IP visa combater as injeções de rotas maliciosas. Estas ocorrem quando um agente não autorizado anuncia informações de roteamento falsas, desviando o tráfego para redes controladas pelo atacante. O tráfego direcionado para quele destino é deslocado para outra rede, ocasionando sequestro de tráfego e interceptação de dados. Sequestro de tráfego e interceptação de dados são os resultados comuns dessa prática, que afeta, consequentemente, a confidencialidade das informações.
Para mitigar esse tipo de ataque, duas abordagens principais são utilizadas:
- BGP com BGPSec (RFC 8207) – garante a validação da origem dos anúncios BGP, impedindo que atores não autorizados manipulem as rotas;
- RPKI (RFC 8210) – associa prefixos IP a Sistemas Autônomos (AS) legítimos, permitindo que os roteadores validem a autenticidade das rotas antes de aceitá-las.
3) Criptografia na comunicação entre roteadores
Garante a confidencialidade e integridade das informações de roteamento trocadas entre os roteadores. Além disso, evita ataques de interceptação e manipulação de pacotes (MitM) e reduz o risco de ataques de replay, em que um invasor tenta retransmitir pacotes antigos para comprometer a rede.
Métodos existentes
- IPSec: atualmente adotado apenas no OSPFv3 para proteger as trocas de informação de roteamento, oferece criptografia forte para garantir comunicação segura entre os roteadores.
Melhores práticas de segurança
Para reduzir os impactos dos danos às redes, os profissionais de TI ainda podem contar com boas práticas de segurança, tais quais:
- Filtragem de prefixos (rotas);
- Listas de controle de acesso (ACLs);
- IDS/IPS;
- Monitoramento contínuo (SNP, Netflow, sFlow etc.);
- Planos de resposta a incidentes e realizar testes de penetração periódicos.
Confira detalhes acerca da sua implementação no webinar gratuito da ESR: Mecanismos de Segurança em Protocolos de Roteamento IP
Como entender essas diferenças na prática?
Se você é um profissional de TI preocupado com o aprendizado contínuo, a Escola Superior de Redes é uma verdadeira aliada. Focada no ensino de qualidade de tecnologia, a instituição ajuda você a construir uma carreira de sucesso e que conquiste espaço no mercado.
Para discriminar o funcionamento dos protocolos de roteamento, a ESR convidou o especialista Luiz Carlos Lobato para liderar um evento on-line focado nas explicações práticas sobre as aplicações da tecnologia, as diferenças entre OSPF e BGP e os usos comuns de ambos, além de outras curiosidades.
Assista ao vídeo gratuitamente aqui!
Curte tecnologia ou é profissional da área? Compartilhe o conteúdo com um amigo. Logo depois, siga conosco por esse universo: