security – ¿Son las direcciones IP "triviales de falsificar"?

Pregunta:

Estaba leyendo algunas de las notas sobre el nuevo servicio público de DNS de Google :

Noté en la sección de seguridad este párrafo:

Hasta que se implemente universalmente una solución estándar en todo el sistema para las vulnerabilidades de DNS, como el protocolo DNSSEC2, los solucionadores de DNS abiertos deben tomar de forma independiente algunas medidas para mitigar las amenazas conocidas. Se han propuesto muchas técnicas; consulte IETF RFC 4542: Medidas para hacer que el DNS sea más resistente frente a respuestas falsas para obtener una descripción general de la mayoría de ellas. En Google Public DNS, hemos implementado y recomendamos los siguientes enfoques:

  • Aprovisionar en exceso los recursos de la máquina para protegerse contra los ataques DoS directos a los propios resolutores. Dado que las direcciones IP son triviales para que los atacantes las falsifiquen, es imposible bloquear consultas basadas en direcciones IP o subredes; la única forma efectiva de manejar tales ataques es simplemente absorber la carga.

Esa es una comprensión deprimente; Incluso en Stack Overflow / Server Fault / Super User, usamos frecuentemente direcciones IP como base para prohibiciones y bloqueos de todo tipo.

¡Pensar que un atacante "talentoso" podría usar trivialmente cualquier dirección IP que desee y sintetizar tantas direcciones IP falsas únicas como desee, es realmente aterrador!

Entonces mi pregunta (s):

  • ¿Es realmente tan fácil para un atacante falsificar una dirección IP en la naturaleza?
  • Si es así, ¿qué mitigaciones son posibles?

Respuesta:

Como han dicho muchos otros, los encabezados de IP son triviales de falsificar, siempre y cuando a uno no le importe recibir una respuesta. Esta es la razón por la que se ve principalmente con UDP, ya que TCP requiere un protocolo de enlace de 3 vías. Una excepción notable es la inundación SYN , que utiliza TCP e intenta inmovilizar recursos en un host receptor; de nuevo, como se descartan las respuestas, la dirección de origen no importa.

Un efecto secundario particularmente desagradable de la capacidad de los atacantes para falsificar direcciones de origen es un ataque de retrodispersión . Hay una excelente descripción aquí , pero brevemente, es la inversa de un ataque DDoS tradicionales:

  1. Obtenga el control de una botnet.
  2. Configure todos sus nodos para que utilicen la misma dirección IP de origen para paquetes maliciosos. Esta dirección IP será su eventual víctima.
  3. Envíe paquetes desde todos sus nodos controlados a varias direcciones a través de Internet, apuntando a puertos que generalmente no están abiertos o conectándose a puertos válidos (TCP / 80) que afirman ser parte de una transacción ya existente.

En cualquiera de los casos mencionados en (3), muchos hosts responderán con un ICMP inalcanzable o un restablecimiento de TCP, dirigido a la dirección de origen del paquete malicioso . El atacante ahora tiene potencialmente miles de máquinas no comprometidas en la red que realizan un ataque DDoS a su víctima elegida, todo mediante el uso de una dirección IP de origen falsificada.

En términos de mitigación, este riesgo es realmente uno que solo los ISP (y en particular los ISP que brindan acceso al cliente, en lugar de tránsito) pueden abordar. Hay dos métodos principales para hacer esto:

  1. Filtrado de entrada : garantiza que los paquetes que ingresan a su red provienen de rangos de direcciones que se encuentran en el extremo más alejado de la interfaz de entrada. Muchos proveedores de enrutadores implementan funciones como el reenvío de ruta inversa de unidifusión , que utilizan las tablas de enrutamiento y reenvío del enrutador para verificar que el siguiente salto de la dirección de origen de un paquete entrante es la interfaz entrante. Esto se realiza mejor en el primer salto de capa 3 en la red (es decir, su puerta de enlace predeterminada).

  2. Filtrado de salida : garantiza que los paquetes que salen de su red solo se originen en los rangos de direcciones de su propiedad. Este es el complemento natural del filtrado de entrada y es esencialmente parte de ser un "buen vecino"; asegurándose de que incluso si su red se ve comprometida por tráfico malintencionado, ese tráfico no se reenvíe a las redes con las que comparte.

Ambas técnicas son más efectivas y fáciles de implementar cuando se realizan en redes de "borde" o "acceso", donde los clientes interactúan con el proveedor. La implementación del filtrado de entrada / salida por encima de la capa de acceso se vuelve más difícil debido a las complejidades de las múltiples rutas y el enrutamiento asimétrico.

He visto que estas técnicas (particularmente el filtrado de entrada) se utilizan con gran efecto dentro de una red empresarial. Quizás alguien con más experiencia en proveedores de servicios pueda brindar más información sobre los desafíos de implementar el filtrado de entrada / salida en Internet en general. Me imagino que el soporte de hardware / firmware será un gran desafío, además de no poder obligar a los proveedores upstream en otros países a implementar políticas similares …

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım