UN ESTUDIO EXPERIMENTAL DE ATAQUES INTERNOS EN EL PROTOCOLO

DE ENRUTAMIENTO OSPF
Abstract:
Es muy importante para proteger la infraestructura de la red frente a intrusiones de
seguridad, sin embargo, lidiar con los ataques internos son probablemente uno de los
problemas ms desafiantes de investigacin en las amenazas internas, para la normalizacin
de protocolo de enrutamiento OSPF. En OSPF, un grupo de routers colaborar, intercambiar
informacin de enrutamiento y reenviar paquetes entre s. Si un router est mal o en
peligro, cmo puede este dao router de toda la red? En este trabajo, se analizan OSPF e
identificar sus fortalezas y debilidades bajo ataques internos diferentes. Adems, para
confirmar nuestro anlisis, hemos implementado y experimentado un ataque, la secuencia
de ataque mximo nmero, en nuestro banco de pruebas de enrutamiento OSPF. Nuestro
ataque es muy eficaz contra dos productos desarrollados independientemente del router, ya
que bloquear las actualizaciones de enrutamiento durante 60 minutos por la simple
inyeccin de un mal OSPF protocolo de unidad de datos.
Introduccion:
El reciente aumento en el uso de Internet ha trado consigo un aumento de la dependencia
correspondiente de la infraestructura de red que hace que todo sea posible. Enrutamiento y
protocolos de gestin de red forman el corazn de esta infraestructura. Hasta hace poco, la
seguridad de estos protocolos no se ha subrayado. Sin embargo, hay una creciente
conciencia de las consecuencias de los ataques dirigidos de la infraestructura, en particular
los protocolos de enrutamiento.
La investigacin en los ataques de enrutamiento de protocolo, en especial los ataques
internos, est todava en su infancia. En este sentido, "los de adentro": una entidad de
confianza que participan del proceso de intercambio de informacin de enrutamiento. Por
ejemplo, un administrador podra configurar errneamente sistema mal un enrutador de
manera que el Rendimiento de la red se ve seriamente afectado. O bien, la contrasea de un
administrador de red comprometida podra permitir modificaciones en el software de
enrutamiento de ncleo en s.
Ataques internos no se conocen bien hoy en da, lo que sea una subestimacin de los
posibles daos causados por este tipo de ataques, o incredulidad que estos problemas
pueden ser resueltos prctica y eficiente. A menudo, cuando el diseo de un nuevo
protocolo de enrutamiento, ataques internos se considera un requisito de baja prioridad, o
son simplemente ignorados. Por lo tanto, el protocolo podra tener una buena estabilidad y
rendimiento con normalidad, pero se descomponen de manera espectacular en la cara de los
ataques internos. Se ha sealado que los enrutadores de agujero negro ser un asesino en el
rendimiento de los protocolos de enrutamiento vector distancia como RIPv2. El 27 de abril

de 1997, un router de servicios AMI de red en Virginia absorbido aproximadamente 50.000

direcciones de red que hace que gran parte de la Internet se desconectara de 20 minutos a 3
horas. Un fallo tcnico fue atribuido a la baha del AMI del router de red, pero el mismo
ataque es muy factible a partir de una mala informacin interna.
Se ha identificado en A. Estado de los vnculos que los protocolos de enrutamiento son ms
robustas frente a fallos simples o incluso algunos ataques internos sencillos Por lo tanto, en
este trabajo, se examina la seguridad del estndar Open Shortest Path First versin 2 del
protocolo de enrutamiento. OSPF est destinado a convertirse en el preferido de TCP / IP
protocolo de enrutamiento interior usado en el internet. En el momento de la escritura,
OSPF estaba en la pista de las normas, en la etapa zona de revisin de director de la
progresin de la norma completa.
En este trabajo, nos limitamos nuestro anlisis a las cuestiones de seguridad relativas al
protocolo de enrutamiento en s. He aqu una distincin se debe hacer entre el protocolo de
enrutamiento y el proceso de enrutamiento de paquetes. El primero es responsable de
distribuir informacin de topologa de red entre los routers en una red, mientras que el
segundo es el proceso de transmisin de un paquete en base a su direccin de destino. No
tratar los ataques directos a este proceso de reenvo, como un enrutador de reenvo
intencionalmente toma de decisiones incorrectas, eliminando selectivamente las PDU de
usuario, etc Por otra parte, no nos ocupamos de otras amenazas a la infraestructura de red,
como los ataques directos a vincular funcin o los datos de usuario en trnsito. De ninguna
manera queremos restar importancia a la gravedad de estas amenazas, que simplemente
estn fuera del mbito de aplicacin del protocolo de enrutamiento de s mismo, y puede y
debe ser la responsabilidad de los servicios de seguridad. De hecho, nuestro grupo tiene
SHANG investigacin activa en estas reas.
Con el fin de apoyar nuestro anlisis, hemos implementado y experimentado con los
ataques internos en nuestro Jinao / SHANG banco de pruebas OSPFv2 enrutamiento.
Algunos de estos ataques causar efectos insignificantes, mientras que otros daar
seriamente la red. Por ejemplo, el ataque mximo nmero de secuencia que se presenta ms
adelante puede bloquear las actualizaciones de enrutamiento durante una hora con slo el
envo de un paquete daado la informacin de enrutamiento. Este ataque se hace posible
por errores Implementacin del protocolo, posiblemente debido en parte a la especificacin
RFC claro tambin. De hecho, dos productos desarrollados independientemente del router
revelar exactamente la misma debilidad. Los experimentos de ataque restantes son para
aparecer en B.
En la siguiente seccin, revisaremos brevemente el protocolo OSPFv2. A continuacin, se
explican los modelos de amenazas, tanto de afuera y adentro. Por ltimo, se describe la
implementacin del ataque mximo nmero de secuencia y el anlisis acerca de cmo esto
puede suceder.

Related work:
El objetivo del protocolo de enrutamiento de seguridad es evitar tanto externos y ataques
internos a la infraestructura de red. Perlman, en su tesis, se propone un protocolo de
enrutamiento de estado de enlace que logra Robustez bizantino. Su protocolo es muy
robusto, pero con una sobrecarga muy alta asociada con el cifrado de clave pblica, que
hace que el protocolo slo tericamente interesantes. Murphy y Badger de TIS propuesto
diferentes esquemas de firma digital para evitar manipulados anuncios de estado de enlace
(LSA). Muy recientemente, Hauser, Przygienda y Tsudik propuesto dos enfoques
interesantes para reducir el costo de la seguridad en los protocolos de enrutamiento de
estado de enlace. Smith, Murthy y Garca-Luna-Aceves recientemente desarrollado
sistemas de seguridad para los protocolos de vector distancia informacin de enrutamiento
del predecesor (algoritmo de bsqueda de caminos (PFA)). Tenga en cuenta que los
protocolos basados en PFA estn entre estado de vnculos y vector de distancia. De hecho,
consideramos que la PFA es todava un protocolo de estado de enlace sin replicar
completamente las tablas de enrutamiento. Por otra parte, BBN desarrollado recientemente
una para la arquitectura de enrutamiento Nimrod. La mayora, si no todos, los esquemas de
seguros para la prevencin de ataques de utilizar algn tipo de cifrado de clave pblica, que
es bastante caro.
Otro enfoque consiste en detectar (en lugar de prevenir) problemas cuando la
infraestructura de la red es bajo ataques. Cheung y Levitt en UCDAVIS desarrolla
protocolos para la deteccin de la infraestructura de red. Nuestras obras son el primero en
estudiar la manera de integrar de manera eficiente el control de seguridad con deteccin de
intrusin en una arquitectura de sistema nico. El protocolo de deteccin en el plano de
gestin se implementa como parte de la Jinao, proyecto de infraestructura de red de
deteccin de intrusos.
Murphy y Barger de TIS propuso un esquema de firmado de clave pblica para proteger la
integridad de LSAs inundadas a travs de la red. Con una infraestructura de clave pblica,
el router de origen utiliza su clave privada para firmar el valor MD5 para cada LSA creado.
Dado que los routers intermedios no conoce la clave privada del router origen, no pueden
alterar las LSAs sin ser detectado. Por otro lado, cada receptor de las LSA debe usar la
clave pblica del enrutador de origen para verificar su integridad. Por lo tanto, su esquema
es muy seguro contra comprometidos routers intermedios.
Hay dos posibles problemas con este enfoque de firma de clave pblica: En primer lugar,
sistemas de claves pblicas son generalmente muy costosos para funcionar al menos en
software. En comparacin con los esquemas de autenticacin simtricos, RSA es
aproximadamente 1000 veces ms lento incluso con bajas exponentes RSA. En segundo
lugar y ms importante, con el fin de aplicar el sistema de firmado de clave pblica en
OSPF, tenemos que modificar la norma y mejorar la puesta en prctica de todos los routers.

En el actual borrador de IETF OSPFv2, no hay campo de protocolo deja de almacenar la

firma para cada LSA. (El campo de autenticacin slo es para la PDU OSPF LSAs que
podra incluir muchos.) Es de nuestro conocimiento que incluso la nueva opcin de OSPF
opaco no ayuda en este caso. Muchas personas en la preocupacin IETF OSPFv2 grupo de
trabajo que todava no est claro cuntos ataques serios y realistas se pueden prevenir
mediante el uso pblico LSAs firmado de llaves. Razonablemente, no estn dispuestos a
introducir una nueva complejidad a la ya bastante complejo protocolo OSPFv2
enrutamiento.
Antecedentes de OSPF:
OSPF es un protocolo grande y complejo, y como tal, slo proporcionan una visin general
de las propiedades del protocolo relacionado con esta discusin.
El propsito de cualquier protocolo de enrutamiento es distribuir eficientemente la
informacin topolgica dinmica entre los participantes para facilitar el enrutamiento
clculos sobre los cuales las decisiones de reenvo de paquetes A continuacin se basan. En
un protocolo de enrutamiento de estado de enlace tales como OSPF, cada router en forma
independiente responsable de describir el estado de su zona local para el resto de la red.
En OSPF, el primer paso en el intercambio de informacin de enrutamiento es la creacin
de adyacencias entre los routers vecinos. Un primer router utiliza un protocolo Hello para
descubrir sus vecinos. Una vez que los routers vecinos han "conocido" a travs de "Hello"
Protocolo, que pasan por un proceso de intercambio de base de datos para sincronizar sus
bases de datos con otros. Slo entonces puede convertirse en routers vecinos adyacentes y
el intercambio de informacin de enrutamiento de protocolo.
Informacin sobre el estado del entorno local de un router se integra en un anuncio de
estado de enlace (LSA), que se distribuye a todos los dems enrutadores por las
inundaciones inteligente confiable. El proceso de inundacin bsico es sencillo: despus de
recibir un aviso de un vecino, un router reconoce haber recibido el anuncio y, si es nuevo,
enva el anuncio a todos los dems vecinos. As, despus de un corto periodo de
convergencia, cada enrutador de la red tendr una base de datos topolgica idntica de las
LSA a ser utilizado para el encaminamiento de clculos.
OSPF es un protocolo de encaminamiento interior, diseado para ser utilizado dentro de un
nico sistema autnomo (AS). OSPF permite que el AS a ser divididos en grupos de redes
llamadas zonas. Cada rea se ejecuta una copia separada del bsico algoritmo de estado de
enlace y los datos topolgicos de la zona se ocultan al resto del AS, reduciendo el trfico de
enrutamiento. Todas las reas estn conectadas por un rea de red troncal individual, en un
concentrador lgico y habl de configuracin.

Routers pertenecientes a una misma zona se denominan

routers internos. Los routers que pertenecen a ms de
un rea se denominan Area Border Routers (ABR).
Todos ABRs pertenecen a la cadena principal por
definicin. Puede usar cualquier router que intercambia
informacin de enrutamiento con un AS externo se
denomina Router lmite de sistema autnomo (ASBR).
OSPF define cinco tipos de LSA que corresponden a los
roles respectivos router. Todos los routers generar vnculos router (Tipo 1) LSA para cada
rea a los que pertenecen, que describen el estado y el costo de un enlace routers a esa rea.
Routers designados generar vnculos de red (tipo 2) LSAs que describen todos los routers
conectados a la red de trnsito (subred). ABR generar vnculo de resumen (tipo 3 y 4) LSA,
que se inyecte en una zona en un destino nico (una red o ASBR respectivamente) fuera de
esa zona. ASBRs generar externos (Tipo 5) LSA, que describen un solo destino extrernal al
AS. De los cinco tipos, como externa LSAs slo se inundan todo el AS, todos los otros son
slo inundados dentro de una sola rea.
Para evitar los problemas causados por los "inmortales" LSAs, cada uno contiene un campo
de edad. La edad en un LSA se incrementa constantemente, tanto al ser inundada y una vez
instalados en cualquier base de datos de estado de enlace. Si la edad de un LSA alcanza el
valor MaxAge (definida como una hora), se elimina de la base de datos de estado de enlace
del router y reinundado como una seal para otros routers para eliminarlo. Un autor LSA
puede vaciar la LSA del sistema en cualquier momento antes de tiempo por fijar la edad
LSAs a MaxAge e inundndolo.
Es posible que ms de una instancia de un LSA de existir en el sistema en cualquier
momento. As, cada LSA tiene un nmero de secuencia. Cuando se enfrentan a varias
instancias, la LSA con el mayor nmero de secuencia se considera ms nueva. Si los
nmeros de secuencia son iguales, el campo de la edad y la suma de comprobacin
finalmente se utilizan como criterios de prioridad.
Seguridad, Amenazas y contramedidas:
La provisin de seguridad en un protocolo de enrutamiento implica la proteccin de la
autenticidad y la integridad de los mensajes de protocolo de enrutamiento. En nuestro
contexto, la autenticidad es una garanta de la identidad de la fuente de una pieza particular
de informacin de encaminamiento, y la integridad es una garanta de que la informacin
transmitida es consistente con la informacin recibida.
En cualquier discusin de la seguridad, debemos considerar ventajas y desventajas. Las
vulnerabilidades del protocolo deben ser identificados y los riesgos que presentan estas

vulnerabilidades se deben sopesarse frente a los costos de la proteccin. La criptografa es

una herramienta de seguridad de gran alcance, pero tiene un costo de rendimiento.
En primer lugar, estamos preocupados por las amenazas a la integridad y autenticidad de la
informacin de enrutamiento de protocolo. Estas amenazas en general se puede dividir en
dos clases: externos e internos.
Amenazas externas
Definimos las amenazas externas como las de los protocolos no-participantes (externos o
intrusos), como un atacante con acceso a un enlace entre los routers. Este intruso podra
suprimir, modificar, reproducir o falsificar paquetes de protocolo. Esto representa una
amenaza para el flujo y el contenido de las actualizaciones de enrutamiento (LSA), a las
relaciones de vecindad de routers existentes, y de un externo convertirse en un participante
protocolo. Las amenazas de afuera puede ser contrarrestada mediante la autenticacin, que
requiere que los routers que participan en el protocolo de poseer secretos compartidos que,
por definicin, un extrao no tiene acceso.
OSPF requiere que todos los intercambios de protocolo sean autenticados. Un tipo de
autenticacin que se utiliza es un esquema de contrasea simple, con una contrasea de
texto incluida en la cabecera OSPF. Este esquema tiene un impacto mnimo en el
rendimiento, pero por desgracia est comprometida con facilidad ya que la contrasea
secreta en s se transmite en la clara, y por lo tanto es vulnerable a que un intruso pueda
escucharlo sin permiso.
Afortunadamente, se define un tipo de autenticacin criptogrfica mucho ms fuerte, en el
cual los enrutadores OSPF en una red comn / subred compartan una clave secreta que se
utiliza para generar un resumen de mensaje criptogrfico para cada paquete de protocolo.
Adems, una secuencia de numeracin de crecimiento progresivo que se utiliza para
prevenir los ataques de repeticin. Con la autenticacin criptogrfica, la integridad y
autenticidad de los intercambios de protocolo entre routers vecinos se asegura de amenazas
externas.
Debido a que el secreto es compartido, la criptografa simtrica es muy adecuado para uso
en esta aplicacin, y por lo tanto los regmenes relativamente rpidos tales como MD5 con
clave se puede utilizar. Es ampliamente aceptado que los beneficios de seguridad
importantes obtenidos mediante la autenticacin criptogrfica justifiquen la realizacin
costos involucrados.
Mientras que la autenticacin criptogrfica s impide la formacin, repeticin y
modificacin de mensajes de protocolo por los forasteros, un intruso todava puede
bloquear (eliminar) los mensajes de protocolo de transmisin en el enlace. Este es un
ataque al enlace de funcin, y como tal se encuentra fuera del mbito de aplicacin de

protocolo de enrutamiento de seguridad y de nuestra discusin. Sin embargo, se hacen las

siguientes observaciones: si un intruso interfiere con la relacin de vecino por la
eliminacin de mensajes, el efecto es el de impedir el uso de ese enlace. Sin duda, sta es
en realidad un resultado deseable, ya que repele el trfico desde el enlace, aislando el
atacante.
Las amenazas internas:
Definimos las amenazas internas como las de los protocolos de participacion (internos),
tales como routers subvertido o defectuoso. Como hemos visto, la integridad y la
autenticidad de la informacin de enrutamiento pueden ser protegidas con mtodos
criptogrficos. Sin embargo, en el caso de las amenazas internas, las soluciones
criptogrficos convencionales no son prcticos para autenticar nicamente cada router en
un esquema simtrico, cada par de enrutadores deben compartir un secreto, que requiere O
(N2) llaves.
Han sido propuestas soluciones asimtricas que utilizan las firmas digitales de clave pblica
de cifrado, pero la gran carga computacional de la criptografa asimtrica ha limitado la
aceptacin de estas propuestas. Algunos han argumentado que la amenaza a los LSAs en
trnsito es una preocupacin menor cuando se enfrenta a un router subvertido, ya que es
slo uno de los posibles ataques en esta situacin, y por lo tanto el mayor costo de un
esquema de LSA firmado no es justificado por los beneficios. Con el fin de evaluar el costo
de este plan realista, lo primero que debe tener en cuenta las amenazas que estn intentando
prevenir, y las que no.
Un router esencialmente desempea dos papeles distintos en el protocolo de enrutamiento,
la generacin de informacin local (LSA) y la transmisin de los LSAs a otros routers. En
primer lugar, consideraremos las posibles amenazas internas para el protocolo de una
informacin modificando o suprimiendo los LSAs de otros routers.
Modificacin de la informacin:
Dado que varias instancias de un LSA son comparadas para determinar cul es ms
reciente, mediante la examinacin de su nmero de secuencia, la edad, y campos de suma
de chequeo, sabemos que los cambios realizados por un mal fallo del router intermedio a un
LSA en trnsito dar lugar a uno de los dos casos en el receptor de la LSA. La LSA
modificado ser (1) rechazado, considerado como una instancia anterior o la misma
instancia y se descartaron, o (2) aceptados, se considera como una nueva instancia o la ms
reciente y se instalar en la base de datos del receptor y se propagar por inundaciones.
Claramente, el caso (1) no representa una amenaza para el protocolo. En el caso (2), los
posibles resultados dependen de la posicin topolgica del router malo en la red.

Consideremos en primer lugar el caso en que el conjunto de routers malos no hacen

particin de rea. Es decir, debe existir por lo menos un buen camino entre dos enrutadores
buenos en la zona. Se deduce de este supuesto que existe una inundacin fiable en toda la
zona. Por lo tanto, la supresin de las LSA de enrutador mal configurado no es una
amenaza. Tambin sabemos que, debido a las inundaciones confiables existe una versin
modificada LSA (malo), que de nuevo inunda a la original (bueno) router que "posee" la
LSA. As, el buen router reconocer el mal LSA y lo tratan como un fuera de fecha LSA
auto-organizado, ya sea generando una actualizacin LSA o eliminar la mala LSA. Por lo
tanto, en este caso, cualquier LSA modificado puede ser detectado por el iniciador (o el
originador si se reivindica la LSA es una falsificacin completa), y, adems, el originador
intentar corregir el problema. Si las modificaciones del atacante contina, el autor y el
router malo va a 'discutir' ida y vuelta, y la instancia actualmente aceptada de la LSA en
cualquier otro router depender de la topologa, siempre y cuando el ataque persiste. Un
ataque persistente es ms detectable a mayores niveles de servicios de seguridad que un
golpe y ataque de ejecucin.
Hemos visto que los cambios realizados en LSAs en trnsito se pueden detectar bajo
nuestros supuestos. Podemos utilizar este resultado para aligerar la carga de las firmas
digitales. Porque un LSA es firmado una vez, pero verifica muchas veces, la idea de la
verificacin selectiva es atractiva. Entonces podramos requerir que todos los LSAs sean
firmados, pero slo se verifica por los otros routers cuando el ordenante haya detectado la
modificacin, en cuyo caso el autor "permite" la verificacin de estos LSAs a travs de una
seal de inundado. O, LSAs se podra dejar sin firma a menos que la modificacin sea
detectada, momento en el que el iniciador podra cambiar a LSAs firmado.
Consideremos ahora un router malo interno que hace la particin de la zona, es decir, el
router malo es el nico camino entre al menos dos routers buenos. En general, se puede ver
la zona, dividida en varios grupos de routers buenos, o fragmentos, entre los que el router
malo controla completamente todas las comunicaciones.

En la figura 2 anterior, el router malo (sombreadas) particiona un rea en fragmentos F1 y

F2.
Una amenaza obvia es que el router malo falla en el reenvio de los LSAs de un fragmento a
otro. Esto tiene el efecto de aislar el router malo, es decir, provoca que no se utilice para

reenviar el trfico de usuario, y observamos que la inaccesibilidad resultante debe ser

detectada por servicios de nivel superior (gestin de red).
Cuando consideramos la modificacin del LSA, lo primero que notamos es que si
introducimos el LSA modificado en el mismo fragmento que el LSA originador, tenemos el
caso de un rea no particionada que hemos discutido previamente y el propietario puede
detectar la modificacin.
Consideremos ahora un LSA originado en A para un destino existente en el fragmento F1,
el cual es modificado e introducido en el fragmento F2. Claramente, este no puede ser
detectado por A. Tambin podemos notar que este no puede afectar el encaminamiento
interno de F2.
Finalmente, podemos ver que a menos que el cambio sea eliminar eficazmente el destino,
del encaminamiento desde F2 hasta el destino en F1 ser correcto en realidad, ya que el
router malo est a lo largo de la ruta hasta el destino, slo no se anuncia el enrutamiento
dentro del fragmento. As, cualquier cambio en el encaminamiento dentro del fragmento de
nuevo, slo puede ser la de disminuir la accesibilidad. En otras palabras, es vacuamente
cierto que el router malo no puede atraer el exceso de trfico, ya que est lo largo de la
nica ruta de acceso al destino anunciado. As se sostiene que en este caso, la mayor
amenaza para el protocolo de manipulacin de LSA es que de causar inaccesibilidad, tenga
en cuenta que esto ayuda a aislar el router malo y detectar aumentos.
La generacin de informacin falsa:
Es fundamentalmente difcil para el propio protocolo proporcionar proteccin contra el
origen de informacin falsa local del router malo. Criptografa, para instantes no puede
impedir que un router vlido genere informacin incorrecta. Por suerte, la naturaleza de
OSPF s ofrece algunas protecciones inherentes a las amenazas internas.
En primer lugar, ya que el enrutamiento dentro de cada rea es independiente, la mala
informacin en un rea no puede afectar en el enrutamiento en otras reas. En segundo
lugar, la duplicacin natural de la informacin en un protocolo de enrutamiento de estado
de enlace se presta a la corroboracin. En cualquier tiempo varios routers tienen acceso al
mismo conjunto de informacin, tienen el potencial de comprobacin de cada uno y la
deteccin de problemas. Por ltimo, el clculo de SPF no considerara un enlace a menos
que la base de datos contienga un correspondiente LSA desde el otro extremo del enlace,
previniendo a un router de reclamar redes de trnsito no existentes.
El esquema de firma digital de Murphy tambin incluye un mecanismo para limitar los
destinos de un router que se puede anunciar a un rango configurable. Esta informacin de
rango legal es proporcionada por la entidad de confianza junto con las claves pblicas.
Un ejemplo de un ataque en la vida real:

Los errores de ejecucin tambin pueden suponer una grave amenaza de seguridad a un
protocolo de enrutamiento. Nuestra investigacin ha llevado al descubrimiento de una
amenaza tan slo existente en al menos dos implementaciones de OSPF. El resultado del
ataque es que un router subvertido puede modificar cualquier LSAs router y el dao no
puede ser auto-corregido durante perodos prolongados (hasta una hora).
En la especificacin OSPFv2, el campo de nmero de secuencia de la cabecera LSA es un
entero de 32 bits asignado utilizado para detectar avisos de enlaces antiguos y duplicados.
Cuando un LSA es recibido por un enrutador, se compara con cualquier instancia existente
LSA para determinar cul es ms reciente. Si los nmeros de secuencia difieren, el ejemplo
con los nmeros de secuencia mayor se mantiene.
Un router utiliza 0x80000001 como nmero de la primera instancia de cualquier LSA
originado (el valor 0x80000000 es reservado y no se utiliza). Cuando una nueva instancia
de un determinado LSA se genera, su nmero de secuencia se incrementa en uno, por lo
tanto sucesivas instancias de un LSA tienen nmeros de secuencia sucesivos. Cuando se
hace un intento para incrementar el nmero de secuencia ms all del valor mximo
(0x7fffffff), la instancia actual de la primera LSA debe estar vaca desde el dominio de
encaminamiento antes que la nueva instancia LSA sea generada con el nmero de secuencia
de 0x80000001. Si el router no elimina primero el existente LSA, una instancia recin
creada de la LSA sera rechazado por otros routers porque el obsoleto LSA tiene el nmero
de secuencia ms grande y por lo tanto, por definicin, es el ms "nuevo".
En funcionamiento normal, la probabilidad de un router que alcance efectivamente el
nmero de secuencia mximo es extremadamente pequea.
El protocolo manda que un router no genere instancias de un LSA particular ms
frecuentemente que cada MinLSIntervarlo=5 segundos. Por lo tanto deberas tomar un
minimo de 5*231 segundos o unos 340 aos para que el nmero de secuencia del LSA
llegue hasta 0x7fffffff. Sin embargo, un router defectuoso o malicioso sin duda podra
acelerar este proceso, como lo hemos hecho en nuestros experimentos.
En OSPF, es posible para un router recibir una instancia obsoleta de su propia LSA con un
nmero de secuencia mayor que el de la instancia actual. Esto podra ocurrir si el router
pierde estados o si la red ha sido particionada. El enrutador debe generar una nueva
instancia de ese LSA con un nmero de secuencia mayor, o si la LSA ya no es necesaria,
eliminar el LSA del sistema. As, es posible que un router pueda recibir su propia obsoleto
LSA con 0x7fffffff como nmero de secuencia, en cuyo caso se debe eliminar antes de que
una nueva instancia con un "mayor" nmero de secuencia se genere. Hemos encontrado que
en dos implementaciones de OSPF, este proceso no se ha implementado correctamente. En
concreto, el router no elimina primero LSA obsoleto.

En el actual protocolo OSPF, un router subvertido puede montar un ataque que se

aprovecha de este error de la siguiente manera. Un router subvertido puede modificar los
contenidos de cualquier LSA que este recibir, poniendo su nmero de secuencia a
0x7fffffff, e inundando de nuevo al remitente. Basados en el nmero de secuencia, todos los
dems routers aceptarn este mal LSA como nuevo y reemplazar el buen LSA en la
topologa de base de datos. Cuando el verdadero creador LSA recibe la mala LSA, se
generar un LSA corregida con nmero de secuencia 0x80000001. Sin embargo, debido al
error, no eliminar el mal LSA antes de transmitir el LSA nuevo, el cual de este modo es
rechazado por los otros routers como los "mayores". Por lo que la mala LSA permanecer
en el sistema hasta que se envejece naturalmente, en un mximo de una hora. Notamos que
el router malo slo necesita enviar una copia de cada LSA que se desea atacar. Observamos
tambin que con el fin de corregir la red antes de que los malos LSA salgan de forma
natural, todos los enrutadores dentro de un rea tendra que tomar un descanso simultneo
para eliminar el mal LSA del sistema por completo, de lo contrario, simplemente se
volveria a propagarse a travs del sistema.
Hemos implementado este ataque en el laboratorio en nuestro banco de pruebas OSPF, y
hemos comprobado que dos implementaciones independientes y bien conocidas son
susceptibles. La figura 3 muestra esquemticamente este ataque. Un diagrama de la
plataforma de pruebas OSPF (Figura 4) es tambin incluido. Registro detallado del ataque y
anlisis disponibles en lnea. Lamentamos que no podamos revelar pblicamente las
implementaciones especficas defectuosas en este momento. Estaremos encantados de
hacerlo despus de que los vendedores han sido contactados.

OBSERVACIONES:
Aunque OSPF ha sido considerado como un protocolo de enrutamiento muy robusto frente
a varios modelos de fallo, hemos demostrado que un router malo (interno) viable podra
causar un dao global a la red con muy poco esfuerzo. Peor an, cuando el ataque de

mxima secuencia es lanzado, es difcil rastrear la fuente del ataque. El problema

fundamental es que en el diseo del protocolo de enrutamiento OSPF no consideramos el
caso de los ataques internos. Tambin hemos aprendido que, una vez que el protocolo ha
sido estandarizada o incluso estabilizado, es tcnicamente y polticamente difcil aadir
nuevos mecanismos para mejorar la seguridad del protocolo. OSPF es un ejemplo tpico, y
nuestro ataque demostr que es slo la punta del iceberg. De hecho, el protocolo de
enrutamiento existente es ms vulnerable de una manera u otra, a los ataques internos.
Tenga en cuenta que incluso en IPv6 estos ataques internos seguirn siendo vlidos como
IPSEC es designado para los externos. La leccin que hemos aprendido es que debemos
tener en cuenta los ataques internos desde el principio del proceso de desarrollo del
protocolo. Anlisis de seguridad no puede ser un proceso complemento.
Una posible (y prctico) solucin es detectar y aislar los atacantes internos con los sistemas
de deteccin de intrusos y firewalls de nivel de aplicacin. En otras palabras, la solucin
que se ofrece en el plano de gestin de la red y sin modificar nada relacionado con el
protocolo de control de red (por ejemplo OSPF). Nuestros resultados preliminares de
investigacin indican que esto es posible de lograr. Por favor, consulte nuestro sitio web
investigacin http://shang.csc.ncsu.edu para obtener ms informacin sobre esta lnea.