IP Spoofing: ¿Qué tan seguro es controlar el acceso mediante la dirección IP pública del usuario?

8

Tenemos algunas máquinas virtuales de servidor Windows alojadas en la nube de Amazon. Los usuarios deben ingresar la cuenta y la contraseña de RDP a las máquinas virtuales. El RDP EndPoint (puerto IP +) de las máquinas virtuales es público en Internet. Como medida de seguridad adicional, logramos restringir el acceso al puerto RDP (disponible para el público) a direcciones IP públicas específicas.

La pregunta es: ¿qué tan fácil es falsificar una dirección IP pública? ¿Pueden los piratas informáticos falsificar nuestra dirección IP pública designada, por lo que pasan por alto nuestro cortafuegos de direcciones IP públicas? Gracias,

    
pregunta Allan Xu 16.11.2015 - 18:08
fuente

3 respuestas

9

Respuesta corta

Suponiendo una conexión TCP, es casi imposible falsificar una dirección IP de origen sin el control de la red.

Respuesta más larga

Suponiendo que no está utilizando ningún proxy (lo que puede causar problemas si obtiene su dirección IP de un encabezado X-FORWARDED-FOR), y ejecuta un servicio en TCP, es extremadamente difícil falsificar una dirección IP de origen

Para inicializar una conexión TCP, se deben enviar varios paquetes entre el servidor y el atacante. Si la dirección de origen para la solicitud inicial es falsificada, entonces el atacante no podría terminar de abrir la conexión porque la dirección falsificada no es su dirección. Por lo tanto, cuando el servidor les envía un paquete 'de vuelta', en lugar de eso, será dirigido al propietario real de la dirección y no al atacante.

Haría un diagrama en Visio para esto, pero estoy en clase, así que espero que un boceto sea suficiente.

    
respondido por el Chase Haddleton 16.11.2015 - 18:40
fuente
1

La suplantación de la dirección de origen es bastante fácil, todavía hay muchos ISP que no implementan el filtrado de direcciones de origen.

Recibir las respuestas a esos paquetes falsificados es más difícil. El atacante necesitaría ingresar a la ruta de la red entre el cliente y el servidor o modificar el enrutamiento para cambiar la ruta de la red. Esto es más difícil pero ciertamente no imposible.

Las implementaciones modernas de TCP utilizan números de secuencia aleatorios que hacen que la probabilidad de abrir con éxito una conexión TCP sin recibir la respuesta al paquete SYN sea muy baja. Los sistemas más antiguos y los protocolos basados en UDP pueden ser más vulnerables a tales ataques. El uso de "cookies SYN" por el servidor también aumenta la probabilidad de que tal ataque tenga éxito (aunque todavía es una probabilidad muy baja).

Considero que el filtrado de IP de origen es una línea de defensa adicional útil, pero no quisiera confiar en él como el único medio de protección.

    
respondido por el Peter Green 11.10.2016 - 12:37
fuente
0

La simulación a nivel local es fácil. Cuando se trata de IP pública, puede ser mucho más difícil. Encontré esto enlace

También encontré esto también Lo fácil que es realmente Cómo hacer IP spoofing?

Espero que esto ayude.

    
respondido por el Bad_Guy 16.11.2015 - 18:17
fuente

Lea otras preguntas en las etiquetas