¿Cómo puede una empresa reducir la exposición a la falsificación de paquetes? ¿Qué solución debería existir, pero no?

10

Me gustaría entender qué tecnología de suplantación de paquetes existe (o debería existir) para verificar un paquete entrante. Quizás esto sea tan simple como una ACL de Cisco, una regla de firewall, implementada en el límite de la red; Sin embargo, creo que el problema podría ser un poco más complicado.

En general, comenzaríamos con el bloqueo de IP de origen con estos trenes de pensamiento:

  • Eliminar intervalos de IP que no están en uso (por interfaz)
  • Eliminar los rangos de IP que están en uso, sin embargo, no debe aparecer como remitente en esa interfaz

Por ejemplo, es probable que su interfaz pública esté configurada para eliminar todas las direcciones de origen a partir de 10.x. También puede enrutar una red 192.x con una red 172.x. Dado que usted controla cada espacio de direcciones en su totalidad, puede controlar qué falsificación cruza el borde del enrutador.

  

Pero hay un problema con el bloqueo del tráfico que se origina en Internet.

El tráfico entrante de su ISP puede no aplicar reglas a la dirección de origen. Parece que la suplantación de IP está permitida por la pereza de ISP & esfuerzos de ahorro de costos, o podría haber una razón técnica legítima (para habilitar alguna característica extraña de movilidad de IP). Sin embargo, no creo que la suplantación de IP sea una tecnología relevante para la gran mayoría de los usuarios de Internet.

Si IP-Spoofing es realmente una "característica" de Internet, entonces creo que la tecnología debería depreciarse y que el software raro se reconfigurará para usar un protocolo de nivel superior. (explique por qué se necesita IP Spoofing en este enlace )

ÍNDICEQuestion◆

  • ¿Cómo puede una empresa con conexión a Internet reducir la exposición a IP Spoofing? ¿Cómo se implementaría?

  • ¿Qué alternativas deberían existir, que no?

La segunda parte de mi pregunta es que proviene de un idealista "greenfield" que tengo en el lugar donde la suplantación de la propiedad intelectual estaba paralizada o bloqueada en Internet. Creo que una reducción en la suplantación de IP también reducirá significativamente la exposición a numerosos tipos de ataques (DDOS, UDP / DNS hacks, etc.). Quizás esté aprovechando las tablas de enrutamiento en tiempo real, un servicio basado en suscripción o alguna otra tecnología.

    
pregunta random65537 08.12.2010 - 18:24
fuente

5 respuestas

7

En el caso general, puede ser muy difícil diferenciar paquetes con direcciones falsificadas. La mayoría de los sistemas (servidores o dispositivos de red) solo tendrán una única NIC, por lo que todo el tráfico entrará en el mismo puerto. Las entradas de MAC estáticas pueden ayudar a mitigar el daño colateral, pero muy rápidamente se convierten en una pesadilla para la administración. Uno de los pocos lugares donde puede detectar y filtrar el tráfico falsificado es en un enrutador.

Su borde de red es, sin lugar a dudas, el lugar más fácil para realizar este filtrado. Aquí debería tener una muy buena idea de en qué dirección deben fluir las direcciones IP. Primero bloquearía todas las direcciones de Bogon. Si está utilizando BGP, Team Cymru tiene un buen informe sobre el Bogon Route Server Project . También incluya una ACL para bloquear su propio espacio de direcciones fuera de la entrada, ejemplo de ASA (que reemplaza X.X.X.X con su asignación, y Y.Y.Y.Y con su máscara de red):

access-list outside_access_in extended deny ip X.X.X.X Y.Y.Y.Y any 

En el instituto de nivel de host reglas de firewall estrechamente confinadas. Aquí debe definir con precisión la audiencia y el servicio, seguido de un rechazo predeterminado.

    
respondido por el Scott Pack 08.12.2010 - 19:42
fuente
4

Los firewalls y enrutadores modernos pueden filtrar según diversos criterios (como han señalado otros):

  • Rangos de direcciones privadas: no se deben ver en una interfaz pública
  • Las direcciones internas no deben llegar desde el exterior (filtrado de ingreso)
  • Filtrado de egreso: una organización debe saber qué dirección interna son válidas para los paquetes que salen de la red
  • Bogons como se menciona en los paquetes.
  • Las direcciones internas deben ser fáciles de validar, ya que puede hacer coincidir la dirección MAC con la dirección IP (por dominio de subred / difusión).
  • Enrutadores: con enrutamiento simétrico, si la dirección de origen enrutaría una interfaz diferente de la que apareció, está falsificada o usted no es simétrico.
  • Protéjase contra el ataque de secuencia de DNS: asegúrese de que los números de secuencia estén aleatorizados, minimiza el efecto de la suplantación de identidad para un ataque de DNS
  • Evite el acceso externo a la dirección de transmisión (seguridad general, ataque de pitufos)
  

Parece que la suplantación de IP está permitida por la pereza de ISP & esfuerzos de ahorro de costos, o podría haber una razón técnica legítima

La razón técnica / de costo es que algunos enrutadores centrales manejan una cantidad tan grande de tráfico que perjudicaría el rendimiento del filtro (al menos hace 5 años).

  

Creo que una reducción en la falsificación de IP también reducirá significativamente la exposición a numerosos tipos de ataques (DDOS ...)

DDoS generalmente no usa spoofing. No hay necesidad de proteger a los zombies que hacen el ataque. En mi humilde opinión, Internet no ha despegado porque el costo supera con creces la mitigación del ataque. Los atacantes dirigidos que utilizan la suplantación de identidad probablemente tengan las habilidades para usar otros métodos y podrían acceder fácilmente a los zombis y usar direcciones IP válidas. (Estoy desactualizado aquí, sin embargo)

Referencias adicionales

respondido por el rox0r 10.12.2010 - 21:52
fuente
3

Si está interesado en administrar el tráfico de red a una o más interfaces, físicas o virtuales, existen varias soluciones viables, sin embargo, esto sería muy sencillo de lograr con un firewall. Si, por ejemplo, tengo una máquina con dos interfaces físicas conectadas a la misma red y solo quiero aceptar el tráfico del puerto 80 en una de ellas, podría crear una regla de firewall, iptables en este caso, como:

DROP all - anywhere non-80-IP tcp dpt:80

Este es un ejemplo muy burdo, obviamente, pero haría que no se enviara ningún paquete de retorno a ninguna solicitud recibida en el puerto 80 a través de TCP a la interfaz especificada por IP.

Por supuesto, si controla o tiene acceso al enrutador ascendente para la red en cuestión, tendría más sentido simplemente no enrutar el tráfico no deseado, el puerto TCP 80 en el ejemplo anterior, a la interfaz (es) en cuestión . Obviamente, esto no limitaría el acceso a la red interna.

Si estás interesado en el control marciano, hay algunas opciones pero otra regla de firewall construida como:

DROP all - 10.0.0.0/8 iface-IP

que eliminaría, no enviaría respuesta, todos los paquetes que se originan desde la red 10.0.0.0/8. Obviamente, esto puede ser demasiado complicado para su configuración de red particular, pero con un ajuste mínimo debería servir para eliminar a los marcianos de la (s) red (es) en cuestión.

    
respondido por el Tok 08.12.2010 - 18:45
fuente
3

Aunque no soy un tipo de redes (olvidé la mayor parte de lo que sabía de cuando estaba en el equipo que desarrollaba uno de los firewall de los grandes proveedores), me parece que al menos la mayoría de los firewalls ( probablemente los enrutadores también) no enrutan automáticamente las interfaces, a menos que se configuren explícitamente de esa manera.
Cualquier firewall o enrutador que se respete a sí mismo no debe enrutar paquetes provenientes de una interfaz incorrecta. Pero deberías poder verificar fácilmente las reglas para eso ...

Nuevamente, esto se supone que estás haciendo esta detección en el borde de tu red, no en el host.

    
respondido por el AviD 09.12.2010 - 11:13
fuente
1

Una vez que el tráfico legítimo se haya mezclado con el tráfico falsificado de la misma IP de origen, es poco lo que puede hacer, excepto intentar reforzar las aplicaciones contra la falsificación. El bloqueo tan eficaz del tráfico falsificado debe estar cerca de la fuente.

Las reglas manuales funcionan bien para evitar que el tráfico falsificado ingrese desde pequeños clientes y pares con redes simples, pero no se adapta bien a grandes clientes / pares.

Una opción más automatizada es el filtrado de ruta inversa (urpf). Básicamente, verifica las direcciones de origen en sus rutas conocidas y descarta paquetes que no provienen de donde espera que provengan.

Hay dos variantes de filtrado de ruta inversa "estricta" y "factible", ambas tienen sus problemas.

Con el modo "estricto" se compara con la ruta "mejor" a la fuente. El problema es que esto es demasiado estricto para redes complejas (incluida Internet). El enrutamiento es a menudo asimétrico

Con el modo "factible" se compara con cualquier ruta factible hacia la fuente, incluso si no es la mejor ruta actual. Es menos probable que esto reduzca el tráfico legítimo, pero es difícil de implementar (los enrutadores generalmente mantienen la mejor ruta en una tabla rápida y las otras rutas posibles en una tabla más lenta).

    
respondido por el Peter Green 10.10.2016 - 05:17
fuente

Lea otras preguntas en las etiquetas