(https://i.imgur.com/x1GgnNw.png)
El gigante de Internet Cloudflare informa que su servicio de resolución de DNS, 1.1.1.1, fue recientemente inalcanzable o degradado para algunos clientes debido a un secuestro del protocolo de puerta de enlace fronteriza (BGP) y una fuga de ruta. El incidente ocurrió la semana pasada, afectando a 300 redes en 70 países. A pesar de estos números, Cloudflare asegura que el impacto fue "bastante bajo" y que en algunos países los usuarios ni siquiera lo notaron.
Detalles del IncidenteCloudflare informó que a las 18:51 UTC del 27 de junio, Eletronet S.A. (AS267613) comenzó a anunciar la dirección IP 1.1.1.1/32 a sus pares y proveedores ascendentes. Este anuncio incorrecto fue aceptado por varias redes, incluido un proveedor de nivel 1, tratándolo como una ruta de agujero negro activado a distancia (RTBH).
El secuestro ocurrió porque el enrutamiento BGP favorece la ruta más específica. El anuncio de AS267613 de 1.1.1.1/32 fue más específico que el de Cloudflare 1.1.1.0/24, lo que llevó a las redes a enrutar incorrectamente el tráfico a AS267613. En consecuencia, el tráfico destinado a la resolución de DNS 1.1.1.1 de Cloudflare fue bloqueado/rechazado, causando la inactividad del servicio para algunos usuarios.
Un minuto después, a las 18:52 UTC, Nova Rede de Telecomunicações Ltda (AS262504) filtró erróneamente 1.1.1.0/24 aguas arriba a AS1031, que lo propagó aún más, afectando el enrutamiento global. Esta fuga alteró las rutas de enrutamiento BGP normales, provocando que el tráfico destinado a 1.1.1.1 se enrutara incorrectamente, agravando el problema de secuestro y causando problemas adicionales de accesibilidad y latencia.
Cloudflare identificó los problemas alrededor de las 20:00 UTC y resolvió el secuestro aproximadamente dos horas después. La fuga de ruta se resolvió a las 02:28 UTC.
Esfuerzo de RemediaciónLa primera línea de respuesta de Cloudflare fue interactuar con las redes implicadas en el incidente y deshabilitar las sesiones de interconexión con todas las redes problemáticas para mitigar el impacto y evitar una mayor propagación de rutas incorrectas. Los anuncios incorrectos no afectaron el enrutamiento de la red interna debido a la adopción de la Infraestructura de Clave Pública de Recursos (RPKI), que llevó a rechazar automáticamente las rutas no válidas.
Soluciones a Largo PlazoCloudflare presentó varias soluciones a largo plazo en su informe post mortem, incluyendo:
- Mejorar los sistemas de detección de fugas de ruta mediante la incorporación de más fuentes de datos y la integración de puntos de datos en tiempo real.
- Promover la adopción de la Infraestructura de Clave Pública de Recursos (RPKI) para la validación del origen de la ruta (ROV).
- Promover la adopción de los principios de las Normas Mutuamente Acordadas para la Seguridad del Enrutamiento (MANRS), que incluyen el rechazo de longitudes de prefijo no válidas y la implementación de mecanismos de filtrado sólidos.
- Alentar a las redes a rechazar los prefijos IPv4 de más de /24 en la zona libre predeterminada (DFZ).
- Abogar por la implementación de objetos ASPA (actualmente redactados por el IETF), utilizados para validar la ruta de acceso del AS en los anuncios BGP.
- Explorar el potencial de implementar la Autorización de Origen de RFC9234 y Descarte (DOA).
Cloudflare sigue comprometido en mejorar la seguridad y la fiabilidad de su red para evitar futuros incidentes de este tipo.
Fuente: https://www.bleepingcomputer.com