Alguien me dijo recientemente que la NSA podría hacerse pasar por cualquier persona que desee utilizando la falsificación de direcciones IP en Internet. Pero, ¿cómo funcionaría y en qué medida es cierto de todos modos?
¿Cualquier ISP en el mundo simplemente falsea cualquier dirección IP que desee o existe algún tipo de protección contra eso?
IP Spoofing es NOT IP Hijacking que está causando confusión a cualquiera que lea esto. IP Spoofing en su explicación mínima / básica también se conoce como suplantación. Hagamos una revisión ASCII de lo que hace y cómo sucede:
You (1.2.3.4) --> connect to your bank --> Bank (2.2.2.2)
En la suplantación de identidad, puedo pretender ser la persona que quiero, si estoy en su red:
Me (1.2.3.4) to you --> I am 2.2.2.2 --> You
Me (1.2.3.4) to you --> I am Google.com --> You
Este es un punto discutible porque si responde, NUNCA veré la respuesta, no soy 2.2.2.2 ni Google. Esto se llama falsificación ciega . Para suplantación , quiero fingir ser su banco sin que usted lo sepa, porque quiero robarle su dinero. Por lo tanto, necesito ver sus respuestas y la respuesta de su banco. Ahora tengo que realizar múltiples imitaciones. Tengo que fingirte que soy tu banco, y debo fingir que soy tu banco:
Me (1.2.3.5) --> to your ROUTING handler (be it a router or your routing table)
Me (1.2.3.5) --> I am 2.2.2.2 --> You
Me (1.2.3.5) --> I am 1.2.3.4 --> Your bank
Para que esto ocurra, DEBO estar en su infraestructura. Piense en esto como un servidor proxy. Usando un servidor proxy, la conexión es la misma:
Me (1.2.3.5) --> proxy server (1.2.3.10) --> Bank (2.2.2.2)
Bank responds --> proxy server --> Me
El tráfico debe fluir hacia y desde. En un escenario de secuestro de IP , los datos se retransmiten, por lo tanto, no hay falsificación (puedo hacer proxy para ver todo) El secuestro de BGP permite ver el cable. Alguien EN la red que está realizando el secuestro puede luego realizar la falsificación.
Ahora, en el caso de un ISP / NSP / NAP, un gobierno puede adoptar este enfoque:
You (1.2.3.4) --> ISP (1.2.3.1 default route) --> Bank (2.2.2.2) # Normal connection
En lo anterior, esta sería la sesión no manipulada que ocurriría. Por ejemplo, una red con NSA aprovechada es lo que ocurriría:
You (1.2.3.4) --> ISP (1.2.3.1) --> internal ISP proxy <-- NSA (1.2.4.1) --> Bank (2.2.2.2)
Desde su perspectiva, se está conectando a su ISP y luego a su banco. Usted nunca (y nunca podrá) ver cómo se produce el proxy. Este es el tipo de suplantación / enmascaramiento / personificación realizada con sistemas creados por compañías como Narus que usó un toque en AT & T para tocar conexiones principales.
Es poco lo que se puede hacer en una escala de escuchas como esta, ya que las agencias gubernamentales tienen la capacidad de usar certificados SSL y otros medios para evitar que sepa lo que está sucediendo. La tunelización VPN no lo evitará, ya que está a merced de su proveedor, y una orden es una orden.
No hay necesidad de "BGP Hijacking", el filtrado BCP para siquiera ingresar a esta discusión, ya que el filtrado BCP no contrarrestará el ejemplo de proxy anterior. El filtrado de BCP cubre la suplantación de identidad, no la representación, ni el secuestro. Si un atacante logra manipular la tabla de enrutamiento en, digamos, su sistema operativo, BCP es un punto discutible.
La suplantación de IP significa crear paquetes IP con una dirección de origen que no es suya y enviarlos a algún destino. Para poder hacerlo, los enrutadores en la ruta deben permitir el tráfico que proviene de una fuente incorrecta. BCP38 describe varias técnicas (filtrado, uRPF) que los ISP pueden usar para evitar el tráfico IP falsificado que se origina en su red.
Dado que la dirección de origen del paquete está falsificada, el tráfico de retorno no alcanzará al host falsificando los paquetes, sino que llegará al host que tiene la dirección IP falsificada. Esto hace que el protocolo como TCP se rompa, ya que requiere un protocolo de enlace de tres vías. No creo que la suplantación de IP sea una prioridad en la lista de herramientas de la NSA, ya que tiene un uso muy limitado para la observación.
La suplantación de IP se utiliza principalmente en los ataques DDoS: si puede encontrar una manera de enviar una pequeña solicitud de UDP (por ejemplo, una consulta de DNS) con la IP de un objetivo DDoS como la dirección de origen falsificada a un host que envía un Respuesta grande (por ejemplo, una gran respuesta DNS firmada por DNSSEC), puede generar fácilmente una gran cantidad de tráfico hacia el destino.
tldr: Sí, No (ambos: hasta IPSec)
Entiendo tu pregunta como
¿Puede alguien (un ISP, por ejemplo) hacerse pasar por un host de Internet en el nivel de IP? Si es así, ¿cómo y cómo puede mitigarse eso?
El término correcto para eso no es IP Spoofing, que, como dijo Teun en su respuesta, es spoofing la dirección de origen de los paquetes enviados a un host; son más inútiles con las conexiones TCP, pero se pueden usar con UDP y con frecuencia se abusa de los ataques DDoS.
El término correcto para eso es Hijacking y el resto de la respuesta supondrá que lo dijiste en serio.
Esto depende del objetivo. Existen diferentes métodos para suplantar a otro host en un nivel TCP / IP. Sin embargo, aquellos que requieren acceso a la infraestructura.
Si un host específico va a ser víctima de esto, su ISP puede redireccionar el tráfico de las direcciones IP "falsificadas" a la máquina de su elección, sin afectar a otras partes de Internet.
Por lo tanto, este ataque es difícilmente rastreable desde la red de los ISP. Si los ISP cooperan con agencias de tres letras con una orden judicial, esta sería la forma más fácil.
Si una IP específica debe ser falsificada para muchas personas, el Border Gateway Protocol se puede usar para hacer otros Los enrutadores en Internet redireccionan el tráfico para esa IP para usted, siempre que tenga suficientes recursos.
Creo que el gran cortafuegos de China (¿lo hizo / lo hace?) para algunas plataformas de Internet prominentes para establecer un MiTM a gran escala, pero no puedo encontrar enlaces a eso en este momento.
Como la tecnología TCP / IP (y el BGP) dependen principalmente de la confianza (y son bastante antiguas), no hay nada que lo impida. Sin embargo, IPSec se propone mitigar estos problemas, pero en este momento no cuenta con un amplio respaldo.
Además, TLS se puede implementar en un nivel superior para mitigar este problema en la rama TCP de la ISO / OSI modelo por encima de la capa IP.
Como han dicho otros, la falsificación de IP implica falsificar la dirección de origen de los paquetes de IP que envía. Noté que el consenso general es que no es posible obtener la respuesta a menos que esté en la misma red que la IP que se está haciendo pasar por una personificación. Pensé que valía la pena mencionar que, en el caso de piratear conexiones satelitales, esa misma red puede ser una gran región variable. enlace además enlace y enlace Disfrutar.
Lea otras preguntas en las etiquetas ip-spoofing ip nsa