¿Es posible falsificar la IP entrante?

3

Me gustaría incluir en la lista blanca una dirección IP en mi servidor SMTP para que los correos electrónicos no autenticados en las conexiones que se originan en esa IP puedan ser enrutados. Controlo esa otra IP, así que puedo asegurarme de que solo los correos electrónicos de los que quiero originarme se originarán en ella y nada más.

Si hago eso, ¿alguien puede aprovechar esta configuración, falsificar la dirección IP entrante y usar mi servidor smtp como un relé abierto?

Hay "internet abierto" entre los dos servidores.

    
pregunta Andrew Savinykh 10.03.2016 - 08:57
fuente

4 respuestas

6

IP spoofing es el término usado para falsificar una dirección IP, sin embargo, es muy difícil de lograr con una conexión SMTP, ya que requiere una conexión TCP establecida. La suplantación de direcciones IP funciona como un ataque cuando no necesita que el tráfico vuelva al host de envío. Usando una analogía, si envío una carta a una dirección con una dirección de devolución distinta a la mía, no recibiré ninguna respuesta, se enviará a la dirección de devolución que figura en la carta. No podría formar una correspondencia con nadie si estoy falsificando la dirección de devolución.

SMTP utiliza TCP, un protocolo que establece una conexión entre dos hosts y controla el flujo de información entre ellos. Un sistema que intente establecer una conexión utilizando una dirección IP falsificada no podrá configurar una conexión TCP, ya que los paquetes de otro host se enrutarán al servidor que realmente posee la dirección IP.

Si alguien pudo insertarse en un punto de la red entre los dos servidores auténticos, podría usar la Traducción de direcciones de red para cambiar la dirección IP de origen de los paquetes de un servidor que controlan y configurar una conexión TCP, sin embargo, esto es Muy sofisticado y extremadamente improbable. En cualquier caso, podría derrotarlo usando pares de claves públicas / privadas para verificar el host de envío. No necesita preocuparse por que alguien falsifique la dirección IP de su servidor de correo electrónico.

    
respondido por el GdD 10.03.2016 - 09:57
fuente
0

IP Spoofing

Sí,

Esto se llama IP Spoofing

Cita de wikipedia:

  

En las redes de computadoras, la suplantación de direcciones IP o la suplantación de IP es la creación de paquetes de Protocolo de Internet (IP) con una dirección IP de origen falsificada, con el fin de ocultar la identidad del remitente o hacerse pasar por otro sistema informático

Por supuesto, puede reproducir el paquete e iniciar un DDOS en el servidor de correo, pero el paquete de respuesta nunca llegará a la fuente, por lo que la conexión TCP completa no funcionará (a menos que el atacante esté ubicado en un enrutador en el medio entre usted y la ubicación real de ip spoofed.).

Pero de otra manera, la suplantación de IP en el encabezado del correo también podría hacerse, vea esta segunda cita del mismo origen:

  

El término spoofing también se usa a veces para referirse a la falsificación de encabezado, la inserción de información falsa o engañosa en los encabezados de correo electrónico o de netnews. Los encabezados falsificados se utilizan para engañar al destinatario, o las aplicaciones de red, en cuanto al origen de un mensaje. Esta es una técnica común de los spammers y los esporadores, que desean ocultar el origen de sus mensajes para evitar ser rastreados.

Por lo tanto, la falsificación de IP para la falsificación de correo se encuentra en un nivel diferente, pero podría estarlo también.

    
respondido por el F. Hauri 10.03.2016 - 09:01
fuente
0

Parece que estás intentando usar la dirección IP como medio de autenticación. Como dice GdD, la suplantación de IP es posible, pero en la práctica, difícil a través de Internet.

Las restricciones en el nivel del cortafuegos son buenas para reducir la nariz, pero en realidad probablemente deberías implementar controles más específicos y capas adicionales de controles. Pero mientras más capas, más compleja es la tarea de cambiar / extender los controles de seguridad. Además, basar el acceso en la dirección IP remota significa que los controles solo funcionan con direcciones IP fijas.

dependiendo de cuánta seguridad realmente se requiera y cuáles sean sus necesidades futuras, sugeriría que considere una VPN o SSL con certificados de cliente que manejen NAT, además de proporcionar autenticación básica y / o usar SMTP AUTH. / p>     

respondido por el symcbean 10.03.2016 - 13:47
fuente
0

Como se indicó en las respuestas anteriores, parece claro que no se puede tener una conversación SMTP significativa si se falsifica la IP, ya que SMTP es un intercambio de ida y vuelta.

Sin embargo, me pregunto si eso sigue siendo válido si su servidor admite PIPELINING ( enlace ).

En ese modo, todos los comandos se envían a la vez para reducir el impacto de la latencia de la red en la conversación de varios pasos.

Puede haber una manera de explotar esto en tu escenario.

    
respondido por el Pascal Jolin 10.03.2016 - 14:59
fuente

Lea otras preguntas en las etiquetas