it-swarm-es.com

¿Por qué los ISP no filtran en la dirección de origen para evitar la suplantación de identidad?

Tengo la impresión de que si se requiere que todos los ISP filtren en la dirección IP de origen de todos los paquetes salientes, esa suplantación se reduciría considerablemente.

  • ¿Hay algún ISP implementando esta práctica?
  • ¿Deberían ellos?
17

Uno de los principales problemas es el cambio rápido en el nivel de enrutamiento central. Hace mucho tiempo, cuando era ingeniero de Cisco, los enrutadores centrales de Cisco podían cambiar rápidamente de manera muy efectiva y proporcionar una latencia mínima, pero si quisieras obtener un filtro de origen, esto desactivaría la conmutación rápida y aumentaría enormemente la latencia: no hay ISP funcionando estar dispuestos a tener múltiples segundos de latencia cuando les gustan los números pequeños en la región de milisegundos.

Uno de los otros problemas puede estar relacionado con la encapsulación. Por ejemplo, si está utilizando redes enrutadas MPLS, no pudo ver el interior del paquete para realizar el filtrado de origen.

10
David Stubley

Algunos ISP están comenzando a llegar a la conclusión de que evitar la suplantación de identidad les ahorrará dinero a largo plazo. Los encontramos ahora comenzando a agrupar el anti spoofing junto con el anti DDoS en términos de cosas que les costarán dinero a corto plazo, pero aligerarán su carga de red y podrán venderse como valor agregado a largo plazo.

La infraestructura y el equipo necesarios para configurar esto es donde radica el costo principal. Tendría que haber un análisis sobre qué direcciones podrían ser necesarias para una suplantación de identidad válida (aunque esto podría ser un problema mucho menor en realidad) y el esfuerzo requerido para configurar y mantener cada enrutador (o al menos aquellos en el Edge) es bastante alto.

Potencialmente se convierte en un desafío (solo en términos de escala) con IPv6, ya que IPv4 también existirá durante mucho tiempo.

Probablemente tenga más sentido para ellos ignorar el anti-spoofing de IPv4 y comenzar a construirlo en su despliegue v6 Edge.

5
Rory Alsop

Me doy cuenta de que esta es una pregunta muy antigua, pero creo que hay información adicional relevante para compartir. Tiene razón en que la suplantación de IP es una gran fuente de problemas en Internet, principalmente debido a los ataques DDoS que utilizan UDP.

Los ISP deben implementar anti-spoofing. IETF's BCP38 (¡escrito en 2000!) Describe una mejor práctica para que las redes realicen filtros de red para reducir la suplantación de identidad y así evitar ataques DDoS, pero desafortunadamente (?) No existe una autoridad global que pueda obligarlos a hazlo.

Como otros señalaron, los costos de implementarlo pueden ser una razón para no hacerlo. Los ingresos más bajos también podrían ser un argumento para algunas redes: no reenviar el tráfico significa enviar facturas más bajas a los clientes, por lo que puede ser una decisión comercial no filtrar.

Sin embargo, en los últimos años, un número creciente de ISP se ha comprometido a implementar los controles descritos en MANRS ("Normas mutuamente acordadas para la seguridad del enrutamiento"). Uno de los controles mencionados allí es anti-spoofing . MANRS ofrece a las redes una guía extensa sobre la implementación de la suplantación de identidad de varias maneras en todo tipo de configuraciones con todo tipo de equipos.

Aunque la suplantación de identidad todavía ofrece problemas, cada vez más redes implementan controles porque se dan cuenta de que necesitan asegurarse de que no son parte del problema. Sin embargo, estoy seguro de que siempre habrá un buen número de redes que no seguirán MANRS por varias razones, y también hay un pequeño número de redes que voluntariamente no se filtran como modelo de negocio (y por lo tanto atraen más y más más abuso) La única forma de resolverlo será que todas las redes grandes (nivel 1) implementen un filtrado estricto, de modo que sea más difícil para estas redes maliciosas enrutar su tráfico falso a través de Internet.

4
Teun Vink

Respuesta básica: costo. Hacerlo no hace nada para proteger su propia red, pero agrega un costo adicional en forma de gastos generales de mantenimiento y gastos generales de enrutamiento. Debido a que las direcciones falsas salientes realmente no los afectarán, hay

3
Ryaner

IP traceback es un nombre dado a cualquier método para determinar de manera confiable el origen de un paquete en Internet. Dado que la dirección IP de origen de un paquete no está autenticada. El problema de encontrar el origen de un paquete se denomina problema de rastreo de IP. IP Traceback es una capacidad crítica para identificar fuentes de ataques e instituir medidas de protección para Internet. Hay varias técnicas propuestas más populares que son

  1. Marcado probabilístico de paquetes: marcado probabilístico de paquetes a medida que atraviesan enrutadores a través de Internet. El enrutador marca el paquete con la dirección IP del enrutador o los bordes de la ruta que el paquete atravesó para llegar al enrutador.
  2. Marcado determinista de paquetes: esta técnica intenta poner una sola marca en los paquetes entrantes en el punto de ingreso a la red. Su idea es colocar, con probabilidad aleatoria de .5, la mitad superior o inferior de la dirección IP de la interfaz de ingreso en el campo de identificación de fragmentos del paquete, y luego establecer un bit de reserva que indica qué parte de la dirección está contenida en El campo de fragmentos. Al usar este enfoque, afirman poder obtener 0 falsos positivos con probabilidad de .99 después de solo 7 paquetes.
1
Ali Ahmad