IP ¿Está falsificando una amenaza?

4

Tenemos un sistema de intranet interno al que solo se puede acceder desde unas pocas VLAN internas. Nuestro servidor de seguridad externo principal bloquea todos los accesos al servidor web interno, o más bien, ¡no tiene reglas para permitir el acceso!

Tenemos cientos de sucursales en el Reino Unido que se encuentran en una red privada, la mayoría tiene redes privadas virtuales (VPN, por sus siglas en inglés) en la oficina central & acceda a nuestra intranet de esa manera, sin embargo, hay casos en los que no podemos organizar una VPN (política, costos, recursos, etc.) & estamos considerando abrir nuestro servidor web interno a Internet con reglas estrictas de firewall para permitir solo el tráfico de las direcciones IP estáticas de las sucursales en cuestión (llamemos a esto la lista blanca).

Todo el mundo sabe que existe suplantación de IP, y es casi imposible cuando estás en la misma subred. ¿Se puede falsificar una IP a través de Internet de manera que nuestro servidor web interno sea accesible desde las IP que no coinciden con la lista blanca de la sucursal?

Para aclarar, sé que es posible falsificar una IP a través de Internet, pero nunca he visto ejemplos de comunicación bidireccional, es decir, el servidor web intentaría enviar paquetes a la IP falsificada, no a la IP de la persona falsificando la IP. Entonces, ¿la falsificación es realmente una amenaza para nuestro escenario?

    
pregunta HeavenCore 02.05.2012 - 15:45
fuente

3 respuestas

1

La falsificación de IP en Internet se basa en una configuración errónea de tantos enrutadores y cortafuegos que un paquete tiene que viajar todo esto (todo a su vez, administrado por diferentes partes) que la posibilidad de que funcione es 0. Los enrutadores normalmente filtran las IP entrantes / salientes según lo que esperan ver.

    
respondido por el jippie 02.05.2012 - 16:12
fuente
1

No entiendo cómo puedes tener:

1) una conexión a internet

2) equipo terminal

en una sucursal pero no puede tener una conexión VPN. Ciertamente no tiene nada que ver con los costos y recursos. De hecho, el hecho de que estas supuestamente tengan direcciones estáticas hace que este argumento sea aún más absurdo.

Aparte de eso, este es un duplicado de ¿Puedo confiar en la IP de origen de una solicitud HTTP?

Si bien sería complicado acceder a su servidor falsificando la dirección IP, esto no impide, por ejemplo. SYN ataques de inundación de una dirección falsificada. Y lo que te hace pensar que no serás atacado por personas en la misma subred que las sucursales (donde es posible que se puedan falsificar direcciones).

    
respondido por el symcbean 02.05.2012 - 16:32
fuente
1

El término para buscar es " secuestro de BGP ".

El riesgo es bajo pero no es cero. Si un atacante puede encontrar un ISP suficientemente descuidado, puede anunciar su propia ruta para el bloque de rango de IP que contiene la IP de sus clientes. Con suficiente sofisticación, pueden incluso configurar las cosas para que secuestren el tráfico de HQ a la sucursal y luego devuelvan la mayor parte a la sucursal.

Ahora puede ser difícil encontrar un ISP suficientemente descuidado y es probable que la laguna se cierre una vez que se descubra la ruta falsa, pero sin duda hay una ventana de oportunidad allí.

    
respondido por el Peter Green 26.06.2018 - 21:33
fuente

Lea otras preguntas en las etiquetas