El tema del routing y 'las maldades' que se pueden hacer no es un asunto nuevo, el hecho de que habitualmente se usen protocolos de routing como BGP que no es especialmente seguro (de hecho existe un S-BGP, de Secure-BGP) hace que implementar ataques a ese nivel sea algo que lleva sucediendo desde hace tiempo.
Lo último que ha saltado a la palestra ha sido la supuesta redirección de tráfico de organismos militares y gubernamentales de EEUU hacia (sorpresa!) China.
Evidentemente este tipo de ataques son complejos de mitigar y evaluar, más desde el punto de vista de un usuario/cliente que necesariamente en algún punto tiene que 'entregar' su tráfico a un router y cruzar los dedos para que haga el camino correctamente.
Lo que si se puede hacer es monitorizar las rutas que un paquete toma y averiguar si hay cambios significativos.
Con esta premisa, hemos desarrollado otro 'juguetito' más, disponible en el repo de SbD en Google. Su nombre: route-ids.
Esta herramienta permite monitorizar la ruta que toma un paquete desde tu equipo hasta otro servidor (como ejemplo, www.facebook.com, pero vale cualquiera) e identificar en qué momento cambia el Path. Adicionalmente, y usando la base de datos GeoIP de MaxMind, se localiza la procedencia geográfica del nuevo router.
Por defecto route-ids te avisará cuando aparezca un nuevo país en el camino que toma un paquete desde tu equipo hasta Facebook, es decir, si el camino es España --> Francia --> UK --> EEUU y de repente cambia a España --> Francia --> Ukrania --> Rusia --> EEUU te avisará que ha cambiado el path y los nuevos paises por los que transita tu tráfico.
Requisitos:
- Tener instalado TcpTraceroute
- Instalar el modulo Perl Geo::IP
- Descargar la base de datos GeoLiteCity
- Ejecutarlo como root (necesario para usar tcptraceroute)
Ejemplo de ejecución:
# perl route-ids.pl
Ruta inicial
Hop [213.229.84.141] United Kingdom Windsor and Maidenhead Maidenhead
Hop [94.76.244.25] United Kingdom Windsor and Maidenhead Maidenhead
Hop [92.48.95.10] United Kingdom Windsor and Maidenhead Maidenhead
Hop [195.66.225.69] United Kingdom London, City of London
Hop [74.119.78.182] Canada Ontario Oshawa
Hop [204.15.23.111] United States California Palo Alto
Hop [74.119.77.45] Canada Ontario Oshawa
Hop [69.63.190.14] United States California Palo Alto
Ruta inicial
Hop [213.229.84.141] United Kingdom Windsor and Maidenhead Maidenhead
Hop [94.76.244.25] United Kingdom Windsor and Maidenhead Maidenhead
Hop [92.48.95.10] United Kingdom Windsor and Maidenhead Maidenhead
Hop [195.66.225.69] United Kingdom London, City of London
Hop [74.119.78.182] Canada Ontario Oshawa
Hop [204.15.23.111] United States California Palo Alto
Hop [74.119.77.45] Canada Ontario Oshawa
Hop [69.63.190.14] United States California Palo Alto
Y si algo cambia ..
Alerta nuevo Pais en la ruta: Germany en Hop 3 IP 77.67.67.137
Fuente:http://www.securitybydefault.com/2010/11/quien-esta-tocando-las-rutas.html
Sin duda una gran herramienta para saber donde se mueven nuestros datos ;) aun que cada cual lo usara como crea :P
Fuente:http://www.securitybydefault.com/2010/11/quien-esta-tocando-las-rutas.html
Sin duda una gran herramienta para saber donde se mueven nuestros datos ;) aun que cada cual lo usara como crea :P
No hay comentarios:
Publicar un comentario