[lacnog] Problemas para accesar a YouTube ayer por ruteo

asanchez en anteldata.com.uy asanchez en anteldata.com.uy
Mar Feb 26 10:04:03 BRT 2008 

Estimados:
BGP está pensado para la convivencia pacífica y responsable. 
Los operadores de vez en cuando se equivocan.
De vez en cuando alguien toma el control de una red y tiene la posibilidad de provocar DoS. 
Si por la razón que sea, error, fallo de seguridad, mala intención, etc., alguien publica algo que no corresponde, puede haber y en general hay resultados que perjudican a alguien.
Que hay mucho en juego y que el mecanismo no parece todo lo robusto que se desearía? Efectivamente. 
Que se puede mejorar? Sí, pero hay que dedicarle tiempo y esfuerzo.
Que todo esto da para meditar? Sí, sin duda. Como operadores aspiramos a dormir tranquilos, pero es tan fácil imaginarse una pesadilla factible... 
Creo que lo que dice Ricardo es bien oportuno y vale la pena repensar el tema desde ese punto de vista.
Saludos.

-----Mensaje original-----
De: lacnog-bounces en lacnic.net [mailto:lacnog-bounces en lacnic.net]En
nombre de Gustavo Lozano
Enviado el: lunes, 25 de febrero de 2008 18:59
Para: Latin America and Caribbean Region Network Operators Group;
lacnog en lacnic.net
Asunto: Re: [lacnog] Problemas para accesar a YouTube ayer por ruteo


Al mencionar seguridad tenemos que referirnos a 
los esfuerzos que esta realizando la IETF, IANA y 
los RIRs por certificar las asignaciones y delegaciones de recursos.

Una vez que sean emitidos los certificados de 
recursos los operadores podrán utilizarlos para 
validar los anuncios de BGP y tener otra capa más 
de validación que permita minimizar estos problemas.

Más información en: 
http://www.ietf.org/internet-drafts/draft-ietf-sidr-res-certs-09.txt
Grupo SIDR: http://www.ietf.org/html.charters/sidr-charter.html

Ahora bien la IETF puede generar soluciones para 
prevenir este tipo de problemas pero si los 
operadores no los utilizan no sirven de nada. Lo 
que sucedió con Youtube puede tener como 
resultado que los CEOs de muchas empresas les 
pregunten a sus subalternos como prevenir este 
tipo de incidentes lo cual puede traer como 
consecuencia que los proveedores de contenido e 
ISPs utilicen los certificados de recursos para 
validar los anuncios de BGP una vez que sean expedidos.

Esperemos que el trabajo del grupo de SIDR de la 
IETF tenga más efectividad que los RADBs.


At 01:55 p.m. 25/02/2008, Ricardo Patara wrote:

>Hugo,
>
>Estoy de acuerdo contigo, pero creo que lo quiso destacar Francisco es que el
>sistema BGP por si tiene fragilidades de seguridad.
>
>Se verifica con eso como es fácil perjudicar un sitio (mismo que esa no haya
>sido la intención de los de PCCW).
>
>uno con intención puede hacer lo mismo para secuestrar el trafico de un sitio,
>pues el bgp actual no se garantiza que quien hace un anuncio tiene derecho de
>hacerlo.
>
>saludos
>Ricardo
>
> >Yo creo que este tipo de problemas se van a
> >seguir presentando siempre que el adminstrador de un ASN haga las cosas mal.
> >
> >BGP tiene caracterisiticas que lo hacen
> >loop-free, pero no es inmune a errores graves en configuración.
> >
> >Saludos
> >
> >Hugo Zamora
> >
> >
> >At 12:57 p.m. 25/02/2008, Francisco Arias wrote:
> >
> >>          Por si no han visto la noticia del
> >>problema que tuvo ayer el sitio de YouTube por un
> >>filtrado de ruteo mal hecho, les paso un par de ligas.
> >>
> >>          En español, la reseña de Arturo Servín:
> >>http://arturo-servin.blogspot.com/2008/02/ruta 
> s-envenenadas-route-poisoning.html
> >>
> >>          En inglés con la explicación detallada de lo que sucedió:
> >>http://arstechnica.com/news.ars/post/20080225- 
> insecure-routing-redirects-youtube-to-pakistan.html
> >>
> >>          Lo interesante es que se trata del
> >>primer caso de un ataque (aunque al parecer
> >>involuntario) en el sistema de ruteo a un portal
> >>de primer nivel mostrando la fragilidad del
> >>sistema ante la falta de una opción para
> >>asegurarlo. Si esta noticia llega a los titulares
> >>de los medios masivos, quizá podríamos tener
> >>pronto apoyo verdadero a los trabajos para asegurar el ruteo en Internet.
> >>
> >>fjac
> >>
> >>
> >>_______________________________________________
> >>lacnog mailing list
> >>lacnog en lacnic.net
> >>https://mail.lacnic.net/mailman/listinfo/lacnog
> >
> >
> >_______________________________________________
> >lacnog mailing list
> >lacnog en lacnic.net
> >https://mail.lacnic.net/mailman/listinfo/lacnog
>_______________________________________________
>lacnog mailing list
>lacnog en lacnic.net
>https://mail.lacnic.net/mailman/listinfo/lacnog



_______________________________________________
lacnog mailing list
lacnog en lacnic.net
https://mail.lacnic.net/mailman/listinfo/lacnog

El   presente  e-mail   y   cualquier    posible   archivo   adjunto  está dirigido  únicamente  al destinatario  del  mensaje y contiene información que  puede ser  confidencial.  Si  Ud. no es el destinatario  correcto por favor notifique al remitente respondiendo  anexando este mensaje y elimine inmediatamente   el e-mail y los posibles archivos adjuntos al mismo de su sistema. Está  prohibida  cualquier utilización,  difusión o copia de este e-mail por   cualquier  persona  o  entidad  que  no  sean las específicas destinatarias del  mensaje.  ANTEL  no acepta  ninguna responsabilidad con respecto  a cualquier  comunicación  que  haya sido  emitida  incumpliendo nuestra Política de Seguridad de la Información.
. . . . . . . . .
This e-mail and any attachment is confidential and is  intended solely for the addressee(s).  If you are not  intended  recipient  please  inform the sender immediately,  answering  this  e-mail and  delete it as well as the attached files. Any use, circulation or copy of this e-mail by  any person or entity that is not the specific  addressee(s)  is prohibited.  ANTEL is not  responsible  for  any  communication  emitted  without respecting our Information Security Policy.

Más información sobre la lista de distribución LACNOG