Investigación del despliegue y las características de los middlebox en los sistemas autónomos holandeses
En resumen:
- Un estudio revela que el 4% de las rutas de la red holandesa están afectadas por middleboxes; casi la mitad se encuentran fuera del país.
- Los proveedores de servicios de Internet son los mayores usuarios, mientras que los puntos de intercambio de Internet mostraron la menor interferencia global.
- La auditoría y el control regulares de la actividad de los middlebox son fundamentales para mantener la resistencia, la transparencia y la responsabilidad.
Internet se compone de innumerables redes interconectadas que trabajan juntas para enrutar, gestionar y entregar tráfico en todo el mundo. Pero no todas las partes de su infraestructura son visibles para los usuarios.
Una de esas partes ocultas son las "middleboxes", dispositivos de red como cortafuegos, IDS/IPS y proxies que se sitúan entre los puntos finales. Estos dispositivos desempeñan un papel importante a la hora de reforzar la seguridad, mejorar el rendimiento y ayudar a los operadores a gestionar sus redes a escala.
Sin embargo, también pueden alterar el tráfico de formas que los usuarios, e incluso los desarrolladores, podrían no esperar. Esta mano invisible de las middleboxes puede complicar la resolución de problemas y las actualizaciones de protocolos, plantear cuestiones sobre la supervisión y la soberanía digital y, en última instancia, desafiar los esfuerzos por mantener Internet abierta, fiable y segura.
Recientemente, mis colegas y yo llevamos a cabo una campaña de medición activa en 989 sistemas autónomos holandeses (o ASes, por sus siglas en inglés) y unos 5,1 millones de direcciones IP para validar cómo afectan los middleboxes a la integridad de la infraestructura y a la transparencia general.
El 4% de los trayectos mostraron signos de interferencia de la caja intermedia
Tras validar nuestros resultados, identificamos 310 middleboxes registrados a AS holandesas y ubicados físicamente en los Países Bajos.
También descubrimos un importante matiz jurisdiccional: 286 candidatas a middlebox vinculadas a AS holandesas parecían estar ubicadas fuera de Holanda, en 34 países. Los cinco primeros eran Estados Unidos (35,7%), Japón (8,0%), Gran Bretaña (7,9%), Italia (5,9%) y Australia (5,9%).
Las rutas Traceroute respaldaron estos resultados de geolocalización, mostrando a menudo salidas tempranas de las redes holandesas, un mayor número de saltos y tránsito a través de operadores regionales o internacionales. En otras palabras, "holandés" sobre el papel no siempre significa "en los Países Bajos" en la práctica.
Diferentes sectores, diferentes interferencias
Para ver cómo se despliegan las middlebox en la práctica, agrupamos las AS en cuatro grandes categorías (Tabla 1).
| Category | Percentage | Subcategory | Count | Most common modification |
|---|---|---|---|---|
| Digital Infrastructure | 88.1% |
ISP Hosting IXP |
127 135 11 |
NOP Addition Urgent Pointer/Receiver Window Modification Broad Interference |
| Governmental | 2.3% |
Ministries Municipalities |
6 1 |
MP Capable Modification Urgent Pointer/Receiver Window Modification |
| Education | 4.5% |
Institutional Personal |
10 4 |
Sequence Number Modification Urgent Pointer/Receiver Window Modification |
| Private Sector | 5.1% | _ | 16 | Sequence Number Modification |
Al analizar estas categorías, descubrimos que la forma en que utilizan los middleboxes depende de lo que una red intenta hacer y a quién sirve. Por ejemplo:
- La infraestructura digital es la mayor usuaria de middleboxes (alrededor del 88%), lo que tiene sentido porque estas redes transportan tráfico para muchas otras y operan a escala. Dentro de esta categoría, observamos diferencias en las estrategias de despliegue. En los proveedores de servicios de Internet (ISP), los middleboxes suelen colocarse cerca del borde orientado al cliente y están orientados a la seguridad perimetral y la gestión del tráfico. Por otro lado, los proveedores de alojamiento parecen utilizar middleboxes con distintas funcionalidades, principalmente como herramientas operativas para gestionar grandes volúmenes de conexiones y mantener los servicios estables bajo carga. Los puntos de intercambio de Internet (IXP) mostraron la menor interferencia general, en consonancia con su papel de lugares de interconexión neutrales.
- Las redes gubernamentales y educativas son más pequeñas pero distintas. Las AS gubernamentales mostraron modificaciones estrechas y coherentes que se alinean con el cumplimiento de las políticas. En las redes de educación e investigación, identificamos un pequeño conjunto de middleboxes con patrones distintivos de interferencia de tráfico y colocación que diferían de otras categorías. También detectamos unas pocas middleboxes en redes de investigación más pequeñas que mostraban un manejo del tráfico heredado que aún podría afectar al rendimiento de la conexión.
- Las redes del sector privado combinan enfoques. Las redes comerciales combinan enfoques; algunos despliegues se parecen a la seguridad perimetral clásica, mientras que otros se asemejan a retoques en la gestión del tráfico destinados a mejorar el rendimiento o a hacer cumplir las preferencias operativas locales. El punto clave en el sector privado es la variabilidad en el despliegue. Dado que los despliegues de middlebox son diversos y a menudo se adaptan a las necesidades locales, una documentación y una gobernanza sólidas son especialmente importantes para la rendición de cuentas, la resolución de problemas y la respuesta a incidentes.
Mirando detrás del telón: Servicios, proveedores y exposición
Para comprender mejor cuáles eran los middleboxes detectados y su exposición potencial, enriquecimos nuestras mediciones con datos de Censys y Shodan sobre puertos abiertos, servicios y huellas de proveedores. La cobertura fue parcial; muchos dispositivos no tenían listados utilizables, por lo que los resultados deben leerse como una instantánea inicial y no como un inventario completo.
A menudo encontramos servicios de administración orientados a Internet (especialmente interfaces de gestión web) y, en algunos casos, protocolos de gestión remota que pueden aumentar el riesgo si se configuran mal o se dejan sin seguridad. Además, la atribución de proveedores indica una concentración entre un pequeño número de grandes proveedores (Tabla 2), muchos de ellos con sede en EE.UU., con implicaciones para la dependencia y la soberanía digital.
| Vendor | Count | Percentage |
|---|---|---|
| Check Point | 16 | 18.8% |
| pfSense | 9 | 10.6% |
| Cisco | 8 | 9.4% |
| Mikrotik | 8 | 9.4% |
| Palo Alto Networks | 6 | 7.1% |
También encontramos indicios de software y protocolos heredados, así como exposiciones ocasionales de mayor riesgo (como servicios de VPN o de sincronización horaria obsoletos), que apuntan a lagunas en los parches o a la dependencia de infraestructuras más antiguas.
En general, la combinación de la medición activa con conjuntos de datos externos ayuda a hacer visibles las middleboxes como parte de una vista de la superficie de ataque procesable para el inventario, el endurecimiento y la supervisión.
Recomendaciones
Para los operadores de redes:
- Realice un inventario de las middleboxes y trátelas como una infraestructura crítica: mantenga un registro preciso de los activos (incluidos los dispositivos virtuales que comparten IP), documente el comportamiento previsto de gestión del tráfico y realice auditorías rutinarias de las configuraciones y la colocación en los bordes de la red.
- Reduzca la exposición y refuerce las superficies de gestión: elimine o restrinja los servicios de administración orientados a Internet (consolas web, SSH, SNMP), aplique controles de acceso y autenticación sólidos y realice un seguimiento de los niveles de parches y del estado de fin de vida útil para evitar ejecutar software obsoleto o no compatible.
- Detectar y disuadir el reconocimiento selectivo: utilice un escaneado periódico y focalizado para validar lo que es accesible desde Internet.
Para responsables políticos y reguladores:
- Mejorar la transparencia y la rendición de cuentas en los puntos críticos de estrangulamiento: fomentar o exigir una documentación clara de los dispositivos/funciones que interfieren en el tráfico y sus ubicaciones de despliegue, especialmente en las redes del sector público y de infraestructuras digitales críticas.
- Refuerce la garantía básica para la adquisición y el funcionamiento: establezca expectativas para la configuración segura, la gestión de vulnerabilidades y la planificación del final de la vida útil de los dispositivos de seguridad y los sistemas adyacentes expuestos en los puntos de entrada.
- Abordar la jurisdicción y las dependencias de la cadena de suministro: incorporar la concentración de proveedores y las realidades del despliegue transfronterizo en los marcos de resistencia y supervisión para que la responsabilidad legal, el control de la gestión y las obligaciones de seguridad sigan siendo exigibles.
Puede leer nuestro documento completo para obtener más información. También agradecemos la colaboración de investigadores, responsables políticos y tecnólogos interesados en medir y mejorar la infraestructura de Internet.
Bulut Ulukapies doctorando en la Universidad de Twente. Su investigación actual se centra en la medición de Internet y la mejora de la transparencia de la infraestructura de red. Anteriormente trabajó en el análisis de malware/ofuscación.
____________________________________________________________________________
Las opiniones expresadas por los autores de este blog son suyas y no reflejan necesariamente los puntos de vista de la Internet Society.