RIPE RIS y Duke casi rompen Internet :)

El día 27 de Agosto, el grupo RIS de RIPE y la Duke University hicieron un experimento en el que anunciaron un prefijo en la tabla BGP usando una serie de atributos transitivos no reconocidos por las implementaciones actuales de BGP. El objetivo del experimento era comprobar el funcionamiento de un desarrollo realizado por la Universidad de Duke en la que se implementan mecanismos de seguridad y certificados en BGP usando, precisamente, los atributos transitivos.

Este tipo de anuncio de atributos transitivos no reconocidos por las implementaciones es perfectamente conforme con el estándar de BGP (así se ha hecho, por ejemplo, para el soporte de sistemas autónomos de 4 bytes) pero lo que nadie esperaba es que los routers Cisco tuviesen un bug que provocó que muchas de las sesiones BGP empezasen a desconectarse, montándose un baile de flappings como hacía tiempo que no se veía.

Según los datos publicados por RIPE, el impacto no fue tan importante como se pensó en un primer momento, pero podía haber sido mucho peor. Por ejemplo, durante la duración del experimento, se multiplicó por 20 el número de actualizaciones de la tabla BGP, en el momento más problemático desaparecieron de la tabla BGP un 1,4% de los prefijos (unos 4500) y se vieron afectados algunos de los servidores DNS de TLDs como .si y .fr .

La duración del experimento (tiempo en el que se anunció el prefijo con los atributos especiales de la Universidad de Duke) fue de 27 minutos… tiempo suficiente para liarla parda! 😀 . En el momento en que se detectaron los problemas y la coincidencia de que todos los routers afectados eran Cisco, se pusieron en contacto con el fabricante y el mismo día Cisco publicó un security advisory y una versión de IOS en la que se solucionaba el problema. La versión de IOS afectada es la XR, precisamente la que usan los routers de gama más alta de Cisco, lo que explica el impacto tan importante.

RIPE ha publicado un report con información sobre este incidente.

En fin, esto es lo que tienen los experimentos y el avance de la ciencia, que a veces las cosas no van como uno espera!.

This entry was posted in varios. Bookmark the permalink.

4 Responses to RIPE RIS y Duke casi rompen Internet :)

  1. Elio Rojano says:

    ¿Es que nadie le dijo a esta gente que las pruebas, en casita y con gaseosa?

  2. Jose L. Villalon says:

    Probando las cosas a lo grande 🙂

  3. jesusr says:

    Siempre he pensado que si hay que liarla, lo mejor es liarla realmente gorda 🙂

  4. Victor Pascual says:

    +1

Leave a Reply

Your email address will not be published. Required fields are marked *