Mi suposición:
Cuando un servidor de seguridad está configurado para eliminar paquetes falsificados, intenta hacer ping (no necesariamente ICMP) a la IP de origen y ve si pertenece a un host real o si está activo, y si no, elimina el paquete.
Mi pregunta:
¿Qué sucede si la IP de origen de un paquete falsificado pertenece a un host real y en línea? ¿Hay otras formas de detectar un paquete falsificado?
Aunque estoy seguro de que hay, de hecho, firewalls que pueden hacer eso, no estoy al tanto de cualquiera que funcione de esta manera. Hay mecanismos de detección de suplantación de paquetes, aunque tienden a actuar un poco diferente.
Un bogon se define como una dirección IP falsa. Específicamente, es la lista de todas las direcciones IP que no han sido asignadas por IANA, por un RIR delegado. La mejor manera de obtener esta lista es que su firewall admita la suscripción a un servicio bogon. Si habilita el filtrado de bogones en su firewall, también tiende a incluir paquetes de ingreso donde la dirección de origen aparece como RFC 1918 dirección.
También es habitual bloquear usando la misma regla, o editar localmente su lista de bogones, para incluir su asignación local. En general, se considera poco probable que sus direcciones IP internas se vean en el puerto de ingreso de su firewall. Una excepción a esto sería cualquier equipo suyo que exista fuera de su firewall. Lo más probable es que esto incluya a los modeladores de paquetes, enrutadores u otros equipos de infraestructura, pero en algunos casos, otros equipos pueden dejarse a propósito a propósito. Asegúrate de excluirlos de la lista de bogones.
Para dispositivos como cortafuegos de borde, generalmente tenemos una muy buena idea de qué dispositivos físicos pueden comunicarse directamente con ellos. Esto debería, de nuevo, ser dispositivos de infraestructura como configuradores de paquetes, enrutadores, etc. Si tiene una DMZ, entonces también puede ver esos dispositivos allí dependiendo de su arquitectura. En este caso, podemos enumerar las direcciones MAC que deberían poder hablar directamente al firewall y rechazar las que no estén en esa lista. Por cierto, esto también ayuda a detectar los sistemas que terminan en este segmento de red que no debería.
Para los cortafuegos que se pueden implementar para los departamentos, o en un modo transparente / puente dentro de una red para segmentar un subconjunto de hosts, construir estas listas puede ser mucho más difícil.
Entre dos hosts, el número de saltos generalmente permanece constante, o cambia muy poco, entre paquetes. Como tal, si el TTL cambia dramáticamente de un paquete a otro, esto podría ser fácilmente un intento de falsificación. Esto requiere mantener más información de estado, y no es infalible ya que la ruta podría cambiar, pero a menudo es lo suficientemente indicativa.
Si tiene varios enlaces ascendentes activos, también puede verificar que el paquete llegue a la interfaz correcta. Existe un estándar para esto llamado reenvío de ruta inversa ( RPF ). En resumen, cada vez que se recibe un paquete en una interfaz, el enrutador verifica sus tablas de enrutamiento y determina si esa es la interfaz correcta para esa dirección de origen. Es decir, si las tablas de enrutamiento dicen que los paquetes destinados a 144.152.10.0/24 se transmiten por la interfaz ge-0/0/18 y recibe un paquete de 144.152.10.5 en la interfaz ge-0/0/20, entonces es probable falsificado y debe ser eliminado.
En primer lugar, existe el concepto de propiedad de un rango de IP. Diré que cualquier cosa que no provenga del propietario registrado o del delegado de un bloqueo de IP de IANA (y de las subsidiarias y los ISP delegantes) es una falsificación.
Hay algunas cosas que se deben tener en cuenta cuando se habla de suplantación de identidad. La primera es que solo puede evitar la suplantación de identidad en la red donde se origina un paquete. Los proveedores de tránsito no pueden filtrar paquetes de otros proveedores de tránsito debido a la naturaleza dinámica del enrutamiento de Internet. Todo el filtrado de la fuente debe provenir de un nivel de ISP, por lo tanto, a menos que mi ISP solo me permita enviar paquetes desde la dirección que me asignaron, una vez que la saque fuera del establo, quedará fuera.
La protección principal contra la suplantación de identidad en una red es que la comunicación de la mayoría se basa en un canal de dos vías. Particularmente con TCP, es un desafío con la coordinación de números de secuencia. Un documento de 1989 destaca los problemas básicos, aunque la mayoría de los sistemas modernos. Ahora genera números de secuencia completamente aleatorios.
Filtrado Bogon solía usarse para filtrar ciertos espacios de direcciones y, de hecho, se aplica a las direcciones reservadas. Sin embargo, para IPv4, ahora se asigna todo el espacio de direcciones.
Incluso con el filtrado y la comunicación bidireccional, no se garantiza que esté libre de falsificación. El enrutamiento podría cambiarse o los paquetes podrían ser insertados por cualquier persona que tenga acceso al tránsito enrutadores.
El enrutamiento asimétrico evita la comprobación de la ruta de los paquetes entrantes en comparación con la ruta de salida. Esto es particularmente cierto con la política común de enrutamiento de papa caliente . Las rutas de paquetes también pueden cambiar las redes regularmente durante una conversación, por lo que los valores TTL también pueden ser muy variables. Eso limita la capacidad de realizar la detección.
Puede evitar la suplantación de identidad para las redes que posee rechazando las direcciones que ingresan en la interfaz incorrecta. Puede evitar la falsificación por parte de quienes están en su red permitiendo solo una dirección de origen que esté dentro de su rango. La falta de capacidad de enrutamiento para el usuario final promedio evita la mayoría de los escenarios de ataque al evitar la comunicación bidireccional. Sin embargo, nada impide que uno de los "muchachos grandes" aproveche la capacidad de usar una dirección IP si está en la ruta del anuncio. Muchos de ellos también pueden influir en la ruta de anuncio.
Dado que las cosas pueden cambiar tan dinámicamente y puede recibir paquetes que no tienen ruta de inicio debido a un enrutamiento roto, no hay una forma sencilla de saber si un paquete está falsificado.
Un paquete falsificado es un paquete con una dirección IP de origen falsa. Para detectar un paquete entrante como falsificado, los firewalls intentan aplicar "reglas locales": rechazan el paquete si proviene de un enlace que es nominalmente incompatible con la supuesta dirección de origen. Por ejemplo, si un servidor de seguridad se encuentra entre una red interna, con un rango de IP conocido y la Internet amplia, entonces el servidor de seguridad rechazará un paquete que proviene del enlace a Internet pero reclama una dirección de origen en el rango de la red interna. / p>
No tengo conocimiento de ningún firewall que intente enviar solicitudes ICMP para ver si existe el supuesto host de envío. En primer lugar, no diría si dicho host realmente envió el paquete, solo si existe. Además, existen muchos hosts pero bloquean las solicitudes de ICMP. Por último, si dos firewalls aplican esta política de "ping para asegurarse de que el remitente existe", entonces es probable que entren en una furia de ping-pong increíblemente interminable.
Los números de secuencia de TCP se pueden ver como una medida contra la suplantación de identidad: la conexión se considerará "completada" solo después de el apretón de manos de tres vías se ha realizado; y esto puede funcionar solo si el cliente puede ver la respuesta del servidor, lo que significa que la dirección IP de origen no se puede falsificar "demasiado".
Línea inferior: para toda la imagen, los paquetes falsificados pueden bloquearse cerca del remitente, no cerca del destinatario. Se supone que los ISP deben bloquear los intentos de falsificación de sus clientes. El protocolo de enlace TCP de 3 vías evita los usos básicos de la suplantación de identidad.
Desde el punto de vista del informe en vivo mrtg graph o algo similar al análisis de tráfico de nagois o wireshark, puede distinguir eficazmente la falsificación real al verificar el tráfico de salida a la red de destino. La simulación no es fácil en el contexto de la predicción de los números de secuencia de tcp y el tamaño de la ventana, por lo que la dirección de la falsificación estaría recibiendo más paquetes en lugar de uno real.
Lea otras preguntas en las etiquetas firewalls network ip-spoofing