Se pueden pasar por alto los firewalls basados en ASN

2

Entonces, tenemos un firewall que solo permite servidores de Akamai y Cloudflare basados en ASN. Me preguntaba si un atacante puede falsificar ASN u omitir el firewall y cómo puede hacerse.

    
pregunta crismatiq 16.11.2016 - 13:21
fuente

1 respuesta

2

Los paquetes IP no contienen un valor ASN. Entonces, lo que hace este firewall es en realidad buscar qué rangos de IP están vinculados a un ASN específico, y luego construir reglas de firewall basadas en estos rangos de IP.

Si esto se puede falsificar, todo depende de los recursos que utiliza el firewall para buscar los rangos de IP. No mencionó la marca (y no estoy familiarizado con ningún firewall que realice un filtrado basado en ASN), pero la respuesta a su pregunta realmente depende de la forma en que se implementa. Algunos registros públicos son menos estrictos en cuanto a que se pueden ingresar datos que otros, por lo que si el cortafuegos utiliza uno de estos menos estrictos, es posible que pueda hacer que el cortafuegos piense que un rango de IP específico está asociado con un ASN específico.

Otra cosa a tener en cuenta es que a veces los rangos de IP se transfieren de un ASN a otro, especialmente porque hay una escasez de direcciones IPv4 en la actualidad. Si las entradas antiguas de la base de datos que vinculan la IP y la ASN no se eliminan después de una transferencia, su firewall podría permitir direcciones IP que ya no estén vinculadas a la ASN que usted permitió.

    
respondido por el Teun Vink 16.11.2016 - 13:53
fuente

Lea otras preguntas en las etiquetas