Vulnerabilidades
Las fallas o bondades de seguridad que pueden ser encontradas en un sistema de Internet de banda ancha en una red HFC de cualquier operador en todo el mundo dependerán de los siguientes factores utilizados por el proveedor de servicios, los cuales son:
•El estándar DOCSIS utilizado.
•La marca del CMTS utilizado en la cabecera junto con sus respectivas opciones de seguridad y utilización de aplicaciones.
•Scripts, plugins, herramientas de monitoreo o soluciones específicos para los ruteadores o CMTS utilizados que puedan ser implementados en los mismos.
•Parámetros especificados y utilizados en los archivos de configuración a enviar a los módems.
•El módem utilizado el cual no debería permitir que el usuario lo modifique a su conveniencia.
La especificación DOCSIS detalla los procedimientos que un módem deberían seguir para registrarse en una red de cable; esto es llamado el proceso de aprovisionamiento (provisioning).En el proceso de inicialización, en primera instancia, el cable-módem solicita al CMTS que le envíe los parámetros de configuración necesarios para poder operar en la red de cable, Inmediatamente después, el cable-módem solicita al servidor de hora del día, la fecha y hora exacta, que se utilizará para almacenar los eventos de acceso del suscriptor. Luego de esto comienza el proceso de registro haciendo efecto la privacidad de línea base(BPl) o BPI+ según sea la versión de DOCSIS, estos son certificados de seguridad usados en DOCSIS. Una ves hecho el registro el Cable-modem comienza a escanear frecuencias de bajada desde una lista que viene incorporada en el cable-modem, una ves que encuentra una frecuencia de bajada este se engancha a ella previa comprobación de la MAC del cable-modem.
Una ves enganchado al canal de bajada este escucha paquetes conocidos como Descriptores de Canal de Subida que contienen los parámetros de transmisión para el canal de subida, una ves que el canal de subida y el de bajada están sincronizados, el MODEM hace ajustes menores con la ubicación de rango. Luego el cable-modem debe de establecer conexión IP con el CMTP, luego este recibe la dirección IP del servidor TFTP y el nombre del archivo de configuración TFTP. Ahora el módem debe conectarse con el servidor TFTP y pedir el archivo de configuración TFTP.
Este archivo contiene parámetros importantes, tales como la configuración SNMP y otras configuraciones de red. Una vez que el módem ha bajado el archivo de configuración, lo procesa. Luego
manda una copia exacta de la configuración de vuelta al servidor CMTS, en un proceso conocido como transferencia de parámetros operacionales. Esta parte del proceso de registro es también usada para autenticar al módem. Si el módem está enlistado en la base de datos del CMTS como válido, el módem recibe un mensaje del CMTS que este ha pasado el registro.
En este punto, el módem ha sido autenticado y le es permitido inicializar su privacidad base, un paso adicional que le permite al módem inicializar características de privacidad que le permiten encriptar y desencriptar su propio tráfico de red desde y hacia el CMTS. La encriptación está basada en un certificado privado digital (estándar X.509) que es instalado en el módem antes de su registro. Finalmente, el módem se conecta al backbone de Internet del operador y se le permite acceder a la Web. En este punto el cable-módem está en estado operacional
- Clonación De Cable-Modems:
El cable-módem es el equipo fisco al cual el usuario tiene acceso y es mediante el que se conecta a la red HFC privada del proveedor de servicios de Internet. Para funcionar necesita de un sistema operativo llamado Vxworks el cual realiza las funciones necesarias para permitir el acceso al módem a la red El principal motivo por el cual es posible la clonación de un cable-módem y la respectiva cuenta de usuario asignado al mismo es debido a la infraestructura de las redes HFC, estas se dividen en nodos o secciones lo cual tiene la ventaja de que si un nodo cae o sale de línea, sólo se verán afectados los usuarios conectados a ese nodo y el resto de usuarios conectados a los otros nodos no se verán afectados, además esto es necesario ya que debido al tamaño y cantidad de usuarios del servicio en una región determinada puede llegar a ser tan grande que el sistema se satura obligando a dividirse en secciones teniendo un CMTS por cada nodo.
Por lo tanto este factor es inevitable ya que en grandes ciudades la cantidad de usuarios llega a ser tan grande que se llega a necesitar hasta más de una decena de nodos dependiendo de la capacidad de los CMTS utilizados.
Este hecho es lo que permite a un usuario con un cable-módem conectarse a un nodo el cual se registra con su respectivo CMTS y a su vez al mismo tiempo con la misma dirección MAC o identificación de equipo, conectarse en otro nodo y registrarse con otro CMTS, lo que da a lugar a que la clonación sea efectiva o sea realizable con éxito.
Por lo tanto la clonación de un cable-módem se basa en clonar la dirección MAC de un cable-módem en un nodo distinto al cual se piensa conectar permitiendo así el acceso al servicio a un usuario no autorizado.
Modificar el sistema operativo del módem o firmware es el paso que mayores posibilidades da a un usuario para realizar un sinnúmero de actividades no permitidas normalmente con el firmware original del módem. Para que esto sea posible, primero es necesario encontrar una falla de seguridad en el mismo y explotarla, permitiendo al usuario utilizarla para acceder al sistema del módem y desde ahí tener acceso al sistema del módem ejecutando funciones y comandos para realizar cambios en el funcionamiento del mismo, como en este caso, cambiar su MAC. Para poder hacer este cambio es necesario conectarse por un puerto JTAG que el modem trae en su interior.
-UNCAP:
Otro método para alterar el modem es el uncap, uncap es el proceso de bajar un archivo de configuración vía TFTP, que no corresponde a la cuenta designada del módem, y cuya finalidad es tener un archivo de configuración que tenga mayores límites de velocidades de transferencia de bajada y subida de información a través del módem. Puede que la MAC que se esté utilizando tenga asignado un archivo de configuración no deseado por el usuario debido a su velocidad asignada; en este caso el usuario podría uncapear el módem, es decir, incrementar su velocidad de transferencia bajando un archivo de configuración que le corresponde a otra MAC.
Este método funciona sólo en sistemas DOCSIS 1.0 y no en las en las especificaciones DOCSIS superiores. Esto se debe a que, en primer lugar, la medidas de seguridad no permiten bajar estos archivos del servidor TFTP, segundo no permiten al módem ir al estado de online si este se bajo el archivo de configuración de otro medio que no sea el cable coaxial, y tercero los archivos de configuración de especificaciones DOCSIS superiores al 1.0 vienen con una verificación MD5 y encriptación con una clave dada por el ISP que impiden que registrar al módem en la red si su archivo de configuración fue editado por un usuario al no realizar satisfactoriamente la comprobación MD5.
Medidas de prevención
En lo que respecta a medidas preventivas, hay que recordar que los ingenieros de redes HFC son los responsables de asegurar y mantener la red (de banda ancha) cable-módem.
Para este efecto, los ingenieros cuentan con dos herramientas indispensables a su disposición. Estas herramientas son el hardware de enrutamiento de banda ancha (CMTS) y los softwares de administración de red. Un ingeniero de red puede trabajar con estas herramientas sin necesidad de abandonar el equipo Terminal.
Si un ingeniero debe salir a hacer trabajo de campo (en el área del subscriptor), herramientas adicionales, como módems de diagnóstico seguros, también podrían usarse. Cuando se asegura una red, el ingeniero de red debe resolver adecuadamente todos los aspectos de la seguridad de banda ancha. Este proceso de asegurar una red HFC es muy consumidora de tiempo, además de ser caro, especialmente cuando un
nuevo hardware es requerido, como cuando se migra de DOCSIS 1.0 a DOCSIS 1.1/2.0; y el esperar que un parche de firmware o de software arregle una vulnerabilidad específica no es un buen método para asegurar una red de banda ancha. Los ingenieros de banda ancha necesitan estar constantemente actualizados en lo a tecnología de hackeo concierne, ya que si existiese un hueco abierto, un hacker potencial podría tomar ventaja de este.
El permitir que formas de hackeo operen sin ninguna restricción es una receta para el desastre.
Entre algunas de las opciones que los administradores de red tienen para asegurar una red se encuentran las siguientes:
• Evitar colisiones de MAC
• Actualización de Plataformas a DOCSIS 1.1/2.0
• Deshabilitar la compatibilidad retroactiva
• Habilitar la Privacía Base (BPI/BPI+)
• Considerar utilizar firmware hecho para las necesidades de la empresa.
• Utilizar firmware firmado
• Asegurar el Protocolo de Administración Simple de Red (SNMP)
• Usar monitoreo activo
• Mantenerse actualizado
0 comentarios:
Publicar un comentario