Ingress RFC1918 spoofing: ¿Cómo manejarlo?

6

Últimamente he visto paquetes originados en direcciones RFC1918 de dos ISP europeos bastante grandes (ASN1257 y ASN35706) en los enlaces de tránsito eBGP, y estoy un poco sorprendido de por qué una ACL no los eliminó. primera entrada en la red de mi ISP (o, en realidad, entrada en la red de CUALQUIER ISP).

Aunque reconozco que esto no es una amenaza, me parece interesante y me gustaría saber qué experiencia tienen otras personas de esto.

En este ejemplo, 192.168.146.0/24 es una red RFC1918 mía, y el puerto 8111 aloja un servicio HTTP Push para un cliente bastante grande.

# "FINSYN" packet 
10:58:07.069638 IP 192.168.1.2.58211 > 192.168.146.101.8111: Flags [FS], seq 737341754, win 65535, options [mss 1392,nop,wscale 4,nop,nop,TS val 1648454418 ecr 0,sackOK,eol], length 0
10:59:37.115697 IP 192.168.146.101.8111 > 192.168.1.2.58214: Flags [S.], seq 49951854, ack 1797656853, win 5792, options [mss 1460,sackOK,TS val 3490717429 ecr 1648449264,nop,wscale 7], length 0

# traceroute 192.168.1.2
traceroute to 192.168.1.2 (192.168.1.2), 30 hops max, 60 byte packets
 1  192.168.146.2 (192.168.146.2)  0.142 ms  0.145 ms  0.164 ms 
 2  a.b.c.d (a.b.c.d)  1.215 ms  1.535 ms  1.713 ms
 3  * * *
 4  user7x.217-10-127.netatonce.net (217.10.127.7x)  4.723 ms  4.693 ms  4.881 ms



¿Mis expectativas son sensatas?

¿Esperaría que dichos paquetes incluso ingresen a la red de su ISP?

¿Cambiarías el ISP?

Comentarios adicionales?

    
pregunta 3molo 01.04.2012 - 21:27
fuente

1 respuesta

5

En realidad no, sí, y no. Los ISP tienden a no filtrar el tráfico de esa manera por un par de razones:

Lo primero es práctico. El equipo diseñado para procesar grandes volúmenes de paquetes ha evolucionado hasta el punto en que muchas de las decisiones de enrutamiento se toman en hardware. La imposición de ACL desvía el tráfico que se maneja en el software, que no enruta los paquetes con la misma rapidez, lo que aumenta la cantidad de equipos necesarios para enrutar el mismo volumen. Este es realmente un problema de evaluar la amenaza antes de actuar sobre ella. El nivel de tráfico que contiene direcciones falsificadas de 1918 tendría que ser suficiente para tener efectos perjudiciales en otras partes de la red antes de que un ISP pueda presentar un caso de negocios para implementar ACL e invertir en más equipos. Cuando ese equipo es un chasis de enrutador con tarjetas que cuestan seis cifras cada , la barra se establece relativamente alta.

El segundo es legal. El producto vendido por la mayoría de los proveedores de servicios de Internet a la mayoría de los clientes comerciales es el tránsito simple de paquetes vainilla. Una vez que el ISP comienza a filtrar el tráfico de clientes, corre el riesgo de ser responsable de que no haya filtrado el tráfico que un cliente considera dañino. La mayoría de los contratos indemnizan explícitamente al ISP, y en ese punto no tiene sentido agregar filtros, poniendo la responsabilidad totalmente en el cliente. Es por eso que las conexiones administradas y con cortafuegos son más caras que las tradicionales: cuesta más proporcionarlas y conlleva más responsabilidad.

Sus opciones son eliminar el tráfico en su ingreso o, en el caso de que vea una gran cantidad de tráfico, retírelo con el equipo de abuso del AS de origen.

    
respondido por el Blrfl 03.04.2012 - 16:53
fuente

Lea otras preguntas en las etiquetas