¿Qué riesgos de seguridad conlleva la falsificación de IP?

23

Al manipular el paquete TCP y al cambiar la dirección de origen, uno puede falsificar la IP. Como lo entiendo, no podrás configurar un apretón de manos completo haciendo esto, ya que nunca recibirás los paquetes devueltos.

¿Alguien sabe cómo esto representa un riesgo para la seguridad hoy?

Algunos riesgos:

pregunta Chris Dale 07.12.2010 - 11:16
fuente

6 respuestas

19

Usted tiene razón cuando dice que un atacante que falsifica IP no puede recibir tráfico de vuelta, pero puede que no quiera. Es posible que deseen que el tráfico se envíe a otra dirección IP, posiblemente por un ataque de denegación de servicio en esa IP.

Alternativamente, hay ataques que solo requieren la parte inicial del apretón de manos para eliminar tus defensas (mencionaste la inundación SYN)

Menos de un riesgo directo, pero también relevante es la carga de tráfico general. Mi opinión sobre esto es no permitir tanto como pueda en el perímetro, esto incluye los tipos de tráfico y los puertos que no usa, y también el tráfico que es efectivamente inválido. Es simple de hacer en la mayoría de los enrutadores, y significa que cualquier cortafuegos de inspección profunda debe rastrear a través de menos paquetes, lo que reduce la carga.

    
respondido por el Rory Alsop 07.12.2010 - 16:21
fuente
8

Un exploración inactiva depende de la fuente de suplantación de identidad. Sin embargo, muchos enrutadores están configurados para eliminar el tráfico con una IP de origen obviamente incorrecta. Muchos ISP bloquearán obviamente las direcciones falsificadas, tanto salientes como entrantes, por lo que el uso depende en gran medida de que el cuadro de ataque llegue al segmento de red correcto.

Usted dijo "riesgo de seguridad hoy", y lo siguiente es más aplicable a los riesgos de seguridad mañana, pero ipv6 plantea una nueva suplantación de identidad problems y solutions .

    
respondido por el user502 07.12.2010 - 14:58
fuente
5

Vale la pena considerar los riesgos de la suplantación de IP en protocolos sin conexión como UDP. Imagine un caso en el que un firewall esté restringiendo el acceso a un conjunto de direcciones IP permitidas. Un atacante con conocimiento de esas direcciones IP permitidas podría montar un ataque dirigido enviando paquetes UDP bien diseñados al servicio de escucha.

Hay muchos servicios que utilizan protocolos sin conexión, por ejemplo, DNS es prominente.

Como usted dijo, con respecto al TCP, la utilidad de la suplantación de IP se vuelve mucho más limitada ya que no puede establecer una sesión completa que requiera la especial de tres vías (o menos conocido apretón de manos de 4 vías ).

    
respondido por el Weber 07.12.2010 - 23:32
fuente
5

La suplantación de IP cubre más que solo TCP.

La vieja escuela smurf attack se basó en el envío de solicitudes de ping ICMP a una dirección de difusión utilizando una dirección de origen falsificada a DDoS una víctima con todas las respuestas de ping ICMP.

El ataque OPS más reciente y alucinante es el ataque de envenenamiento de DNS encontrado por Dan Kaminsky . Compruebe cuántos proveedores están afectados. Nota: djbdns no es vulnerable y fue diseñado específicamente para derrotar este ataque.

  

Debido a que los ataques contra estas vulnerabilidades dependen de la capacidad de un atacante para falsificar el tráfico de manera predecible, la implementación de la asignación aleatoria de puertos de origen por consulta en el servidor presenta una mitigación práctica contra estos ataques dentro de los límites de la especificación del protocolo actual. Los puertos de origen aleatorios se pueden usar para obtener aproximadamente 16 bits adicionales de aleatoriedad en los datos que un atacante debe adivinar.

     

...

     

Un atacante con la capacidad de llevar a cabo con éxito un ataque de envenenamiento de caché puede hacer que los clientes de un servidor de nombres se pongan en contacto con los hosts incorrectos, y posiblemente maliciosos, para servicios particulares .

El DNS envenenado permite atacar SSL, como se indica en las respuestas a esta pregunta SSL .

    
respondido por el rox0r 08.12.2010 - 22:39
fuente
3
  

no podrás configurar un apretón de manos completo haciendo esto

Si las máquinas están en subredes separadas, el enrutamiento de origen está deshabilitado y los enrutadores no están comprometidos, entonces no es posible.

Cualquier persona que utilice direcciones de host como medida de seguridad primaria merece lo que les sucederá.

Aunque el enrutamiento de origen suele estar deshabilitado de forma predeterminada en la mayoría de las implementaciones de IPv4, gran parte de la funcionalidad en IPv6 depende de ello.

Y mire las estadísticas: la mayoría de los incidentes de seguridad son perpetrados por "información privilegiada".

    
respondido por el symcbean 08.12.2010 - 12:01
fuente
1

Tengo que añadir que hace que la investigación de intentos de pirateo sea un poco más difícil. Si no pudiera falsificar, la dirección IP sería una conexión directa a su servicio.

    
respondido por el Dave 08.12.2010 - 17:11
fuente

Lea otras preguntas en las etiquetas