it-swarm-es.com

¿Cómo puede una empresa reducir la exposición a la suplantación de paquetes? ¿Qué solución debería existir, pero no?

Me gustaría entender qué tecnología anti-spoofing de paquetes existe (o debería existir) para verificar un paquete entrante. Quizás esto sea tan simple como una Cisco ACL, Firewall Rule, implementada en el límite de la red; sin embargo, creo que el problema podría estar un poco más complicado.

En general, comenzaríamos con el bloqueo de IP de origen con estas líneas de pensamiento:

  • Eliminar rangos de IP que no están en uso (por interfaz)
  • Elimine los rangos de IP que están en uso, sin embargo, no deberían aparecer como remitentes en esa interfaz

Por ejemplo, es probable que su interfaz pública esté configurada para descartar todas las direcciones de origen que comiencen con 10.x. También puede enrutar una red 192.x con una red 172.x. Dado que usted controla cada espacio de direcciones en su totalidad, puede controlar qué suplantación de identidad cruza el borde del enrutador.

Pero existe un problema con el bloqueo del tráfico que se origina en Internet.

El tráfico entrante de su ISP puede no tener reglas aplicadas a la dirección de origen. Parece que se permite la suplantación de IP debido a la pereza del ISP y los esfuerzos de ahorro de costos, o podría haber una razón técnica legítima (para habilitar alguna característica extraña de movilidad de IP). Sin embargo, no creo que la suplantación de IP sea una tecnología relevante para la gran mayoría de los usuarios de Internet.

Si IP-Spoofing es de hecho una "característica" de Internet, entonces creo que la tecnología debería depreciarse y ese raro software reconfigurado para usar un protocolo de nivel superior. (Por favor, explique por qué se necesita la suplantación de identidad de IP en este enlace )

[Pregunta]

  • ¿Cómo puede una empresa con conexión a Internet reducir la exposición a la suplantación de identidad de IP? ¿Cómo se implementaría?

  • ¿Qué alternativas deberían existir, que no?

La segunda parte de mi pregunta proviene de una esperanza idealista "greenfield" que tengo donde la suplantación de IP fue paralizada o bloqueada en Internet. Creo que una reducción en la suplantación de IP también reducirá significativamente la exposición a numerosos tipos de ataques (DDOS, UDP/DNS hacks, etc.). Quizás esté aprovechando tablas de enrutamiento en tiempo real, un servicio basado en suscripción o alguna otra tecnología.

10

En el caso general, puede resultar muy difícil diferenciar los paquetes con direcciones falsificadas. La mayoría de los sistemas (servidores o dispositivos de red) solo tendrán una única NIC, por lo que todo el tráfico ingresará por el mismo puerto. Las entradas de MAC estáticas pueden ayudar a mitigar los daños colaterales, pero rápidamente se convierten en una pesadilla de gestión. Uno de los pocos lugares donde puede detectar y filtrar el tráfico falsificado es un enrutador.

El borde de su red es, sin duda, el lugar más fácil para hacer este filtrado. Aquí debería tener una muy buena idea en qué dirección deben fluir las direcciones IP. Primero bloquearía todas las direcciones de Bogon. Si está utilizando BGP, Team Cymru tiene una buena redacción sobre el Bogon Route Server Project . También incluya una ACL para bloquear su propio espacio de direcciones fuera de la entrada, ejemplo de ASA (reemplazando X.X.X.X con su asignación e Y.Y.Y.Y con su máscara de red):

access-list outside_access_in extended deny ip X.X.X.X Y.Y.Y.Y any 

A nivel de host, instituya reglas de firewall estrictamente limitadas. Aquí debe definir con precisión la audiencia y el servicio, seguido de una denegación predeterminada.

7
Scott Pack

Los firewalls y enrutadores modernos pueden filtrar según varios criterios (como han señalado otros):

  • Rangos de direcciones privados: estos no deben verse en una interfaz pública
  • Las direcciones internas no deberían llegar desde el exterior (filtrado de entrada)
  • Filtrado de salida: una organización debe saber qué direcciones internas son válidas para los paquetes que salen de la red.
  • Bogons según lo mencionado por los paquetes.
  • Las direcciones internas deben ser fáciles de validar, ya que puede hacer coincidir la dirección MAC con la dirección IP (por subred/dominio de transmisión).
  • Enrutadores: con enrutamiento simétrico, si la dirección de origen enrutara una interfaz diferente a la que tenía, está falsificada o no es simétrico.
  • Protéjase contra el ataque de secuencia de DNS: asegúrese de que los números de secuencia sean aleatorios; minimiza el efecto de suplantación de identidad para un ataque de DNS
  • Evitar el acceso externo a la dirección de transmisión (seguridad general, ataque pitufo)

Parece que la suplantación de IP está permitida debido a la pereza del ISP y los esfuerzos de ahorro de costos, o podría haber una razón técnica legítima

La razón técnica/de costo es que algunos enrutadores centrales manejan una cantidad tan grande de tráfico que afectaría el rendimiento de filtrar (al menos hace 5 años de todos modos).

Creo que una reducción en la suplantación de identidad de IP también reducirá significativamente la exposición a numerosos tipos de ataques (DDOS ...)

DDoS generalmente no usa suplantación de identidad. No es necesario proteger a los zombies que atacan. En mi humilde opinión, la protección contra el engaño en Internet no ha despegado porque el costo supera con creces la mitigación del ataque. Los atacantes específicos que utilizan la suplantación de identidad probablemente tengan las habilidades para utilizar otros métodos y podrían acceder fácilmente a los zombis y utilizar direcciones IP válidas. (Aunque estoy desactualizado aquí)

Referencias adicionales

4
Bradley Kreider

Si está interesado en administrar el tráfico de red a una o más interfaces, físicas o virtuales, existen varias soluciones viables, sin embargo, esto sería muy sencillo de lograr con un firewall. Si, por ejemplo, tengo una máquina con dos interfaces físicas conectadas a la misma red y solo quiero aceptar el tráfico del puerto 80 en una de ellas, entonces podría crear una regla de firewall, iptables en este caso, como:

DROP all - anywhere non-80-IP tcp dpt:80

Este es un ejemplo muy burdo, obviamente, pero no haría que se enviara ningún paquete de retorno a ninguna solicitud recibida en el puerto 80 a través de TCP a la interfaz especificada por IP.

Por supuesto, si controla o tiene acceso al enrutador ascendente para la red en cuestión, tendría más sentido simplemente no enrutar el tráfico no deseado, TCP puerto 80 en el ejemplo anterior, al interfaz (s) en cuestión. Obviamente, esto no limitaría el acceso a la red interna.

Si está interesado en el control marciano, hay algunas opciones, pero otra regla de firewall construida como:

DROP all - 10.0.0.0/8 iface-IP

que dejaría caer, no enviaría ninguna respuesta, todos los paquetes que se originan en la red 10.0.0.0/8. Obviamente, esto puede ser demasiado duro para su configuración de red particular, pero con un ajuste mínimo debería servir para eliminar los marcianos de la red en cuestión.

3
Tok

Aunque no soy muy aficionado a las redes (he olvidado la mayor parte de lo que sabía cuando estaba en el equipo que desarrollaba el firewall de uno de los grandes proveedores), parece que creo que la mayoría de los firewalls al menos (probablemente también los enrutadores ) no se enrutan automáticamente entre interfaces, a menos que se configuren explícitamente de esa manera.
Cualquier firewall o enrutador que se precie no debe enrutar paquetes que provengan de la interfaz incorrecta. Pero debería poder verificar fácilmente las reglas para eso ...

Nuevamente, esto supone que está haciendo esta detección en el borde de su red, no en el Host.

3
AviD

Una vez que el tráfico legítimo se ha mezclado con el tráfico falsificado de la misma IP de origen, es poco lo que puede hacer, excepto intentar proteger las aplicaciones contra la suplantación de identidad. Por lo tanto, el bloqueo eficaz del tráfico falsificado debe estar cerca de la fuente.

Las reglas manuales funcionan bien para evitar que el tráfico falsificado ingrese desde pequeños clientes y pares con redes simples, pero no escalan bien a grandes clientes/pares.

Una opción más automatizada es el filtrado de ruta inversa (urpf). Básicamente, verifica las direcciones de origen con sus rutas conocidas y elimina los paquetes que no provienen de donde espera que vengan.

Hay dos variantes de filtrado de ruta inversa "estricta" y "factible", ambas tienen sus problemas.

Con el modo "estricto" se compara con el "mejor" camino a la fuente. El problema es que esto es demasiado estricto para redes complejas (incluida Internet). El enrutamiento suele ser asimétrico

Con el modo "factible" se compara con cualquier ruta factible a la fuente, incluso si no es la mejor ruta actual. Es menos probable que esto elimine el tráfico legítimo, pero es difícil de implementar (los enrutadores generalmente mantienen la mejor ruta en una tabla rápida y las otras rutas factibles en una tabla más lenta).

1
Peter Green