it-swarm-es.com

¿Qué riesgos de seguridad trae la falsificación de IP?

Al manipular el paquete TCP y cambiar la dirección de origen, uno puede falsificar la IP. Según tengo entendido, no podrá configurar un apretón de manos completo haciendo esto, como lo hará Nunca reciba los paquetes que regresan.

¿Alguien sabe cómo esto plantea un riesgo de seguridad hoy?

Algunos riesgos:

25
Chris Dale

Tiene razón cuando dice que un IP de suplantación de identidad de un atacante puede no recibir tráfico de regreso, pero es posible que no lo desee. Es posible que deseen que el tráfico se envíe a otra dirección IP, posiblemente por ataque de denegación de servicio en esa IP.

Alternativamente, hay ataques que solo requieren la parte inicial del apretón de manos para derribar tus defensas (mencionaste la inundación SYN)

Menos de un riesgo directo, pero también relevante es la carga de tráfico general. Mi opinión sobre esto es no permitir todo lo que pueda en el perímetro, esto incluye los tipos de tráfico y los puertos que no usa, y también el tráfico que es efectivamente inválido. Es fácil de hacer en la mayoría de los enrutadores, y significa que cualquier firewall de inspección profunda debe rastrear menos paquetes, reduciendo así la carga.

20
Rory Alsop

Un exploración inactiva depende de la suplantación de origen. Sin embargo, muchos enrutadores están configurados para eliminar el tráfico con una IP de origen obviamente incorrecta. Muchos ISP bloquearán direcciones obviamente falsificadas tanto de salida como de entrada, por lo que usar esto depende en gran medida de llevar el cuadro de ataque al segmento de red correcto.

Dijiste "riesgo de seguridad hoy", y lo siguiente es más aplicable a los riesgos de seguridad mañana, pero ipv6 plantea algunas falsificaciones novedosas problemas y soluciones .

8
user502

Vale la pena considerar los riesgos de falsificación de IP en protocolos sin conexión como UDP. Imagine un caso en el que un firewall está restringiendo el acceso a un conjunto de direcciones IP permitidas. Un atacante con conocimiento de esas direcciones IP permitidas podría lanzar un ataque dirigido enviando paquetes UDP bien diseñados al servicio de escucha.

Hay muchos servicios que utilizan protocolos sin conexión, DNS es uno de los más destacados, por ejemplo.

Como dijiste, con respecto a TCP) la utilidad de la suplantación de IP se vuelve mucho más limitada ya que no puedes establecer una sesión completa que requiera la especial de 3 vías (o menos conocido 4- camino ) apretón de manos.

5
Weber

La suplantación de IP cubre más que solo TCP.

La vieja escuela ataque de pitufo dependía del envío de solicitudes de ping ICMP a una dirección de difusión utilizando una dirección de origen falsificada a DDoS una víctima con todas las respuestas de ping ICMP.

El ataque más reciente y alucinante en mi humilde opinión es el DNS Poisoning Attack encontrado por Dan Kaminsky . Verifique cuántos proveedores están afectados. Nota: djbdns no es vulnerable y fue diseñado específicamente para derrotar este ataque.

Debido a que todos los ataques contra estas vulnerabilidades dependen de la capacidad del atacante para engañar de manera predecible el tráfico, la implementación de la aleatorización de puertos de origen por consulta en el servidor presenta una mitigación práctica contra estos ataques dentro de los límites de la especificación de protocolo actual. Los puertos de origen aleatorizados se pueden usar para obtener aproximadamente 16 bits adicionales de aleatoriedad en los datos que un atacante debe adivinar.

...

Un atacante con la capacidad de realizar un ataque exitoso de envenenamiento de caché puede hacer que los clientes de un servidor de nombres se contacten con los hosts incorrectos y posiblemente maliciosos para servicios particulares .

El DNS envenenado permite atacar SSL, como se señala en las respuestas a esta pregunta SSL .

5
Bradley Kreider

no podrá configurar un apretón de manos completo haciendo esto

Si las máquinas están en subredes separadas, el enrutamiento de origen está deshabilitado y los enrutadores no están comprometidos, entonces no es posible.

Cualquiera que use direcciones de Host como medida de seguridad primaria merece lo que les sucederá.

Si bien el enrutamiento de origen generalmente está deshabilitado de forma predeterminada en la mayoría de las implementaciones de IPv4, mucha de la funcionalidad en IPv6 depende de él.

Y mire las estadísticas: la mayoría de los incidentes de seguridad son perpetrados por "expertos".

3
symcbean

Tengo que agregar que hace que la investigación de intentos de pirateo sea un poco más difícil. Si no pudo falsificar, la dirección IP sería una conexión directa a su servicio.

1
Dave