security - rastreado - Preocupaciones de seguridad de la aplicación: ¿Qué tan fácil es falsificar una dirección IP?
ocultar direccion ip gratis (2)
Dentro de una LAN depende de cómo estén configurados sus enrutadores / conmutadores / concentradores. Pero creo que el spoofing debería ser posible con bastante frecuencia.
No creo que la dirección IP sea inspeccionada. Por lo tanto, puede enviar paquetes UDP con IP del remitente falsificado. Pero no recibirá la respuesta, ya que el servidor la enviará al propietario real de esa IP.
Esto significa que no se puede simplemente falsificar una IP en TCP ya que establecer la conexión requiere un apretón de manos.
Puede forjar la IP de alguien si la respuesta pasará por su enrutador. De modo que un administrador de red puede falsificar todas las direcciones IP dentro de su LAN, un ISP, todas las direcciones IP dentro de su red, y un operador puede falsificar direcciones IP en muchas conexiones internacionales, siempre que sean enrutadas a través de él.
Finalmente, existe la posibilidad de abusar de BGP para modificar las rutas para que esa IP pase por su computadora. Pero no todos tienen acceso a BGP, es probable que necesites convertirte en un ISP para obtenerlo. Y luego la manipulación probablemente será detectada porque se monitorean los cambios de ruta BGP.
Estoy tratando con una aplicación que está protegida por un firewall y solo permite el acceso desde ciertas direcciones IP (que son servidores web de aplicaciones).
Es un poco delicado y sería muy complicado introducir otra capa de autenticación / protección.
Mi comprensión de las redes no es genial porque no es mi tema, pero en mi cabeza inventé el siguiente escenario:
Alguien conoce la dirección IP de uno de nuestros servidores de aplicaciones y quiere fingir para obtener acceso a la otra aplicación que conoce el socket de escucha y el protocolo de.
Así que altera el encabezado de sus paquetes de IP para tener la IP del servidor web como transmisor.
¿Qué pasa después?
R: Su ISP rechaza el paquete y dice "Oye, esa no es la dirección IP que te asignaron". - Problema resuelto
B: El ISP pasa el paquete al siguiente nivel (su enlace ascendente ...)
Supongamos que el ISP se ha visto comprometido o el paquete se transfiere sin inspección (no sé si ese es el caso)
¿Qué pasa después?
R: El operador rechaza el paquete y dice "¡Oye, esa IP no está en el rango de IP que acordamos que estás operando!" - Ahora si mi servidor web no está operado por el mismo ISP que mi atacante comprometió - Problema resuelto
B: El ISP no inspecciona el paquete o se ve comprometido y lo reenvía a su enlace ascendente.
Ahora estoy bastante seguro de que las direcciones IP SON inspeccionadas y filtradas al pasar un enrutador. De lo contrario, sería una anarquía total.
Para poner esto en claro: un atacante que quiere falsificar mi dirección IP necesita poner en peligro al mismo ISP que está a cargo del IP-Range en el que opera mi servidor web, o este ISP no hace la inspección de paquetes.
- ¿Es esto correcto?
De acuerdo, ahora me imagino que mi servidor está ubicado en una oficina y su ISP es una compañía de cable regional.
¿Cuáles serían los pasos necesarios para enviar paquetes desde mi dirección IP a otra IP de Internet?
(¡Por supuesto que solo estoy pidiendo que conozca los riesgos y elija la protección adecuada!)
Me imagino ubicando la estación de enrutamiento que a menudo está en un pequeño contenedor al costado de la calle que solo está protegido por una cerradura. Entrando ahí. Intercambiando cables o conectándose.
¿Funcionará esto probablemente si sabe lo que está haciendo o hay algún apretón de manos cifrado con las claves almacenadas en el módem de oficinas reales que se requiere para construir una conexión autenticada?
Estoy hablando de los estándares actuales en Internet por cable.
Pensé por última vez: Entonces, si mi servidor de origen no es un ISP que tenga sus estaciones vulnerables en la calle, debería estar bastante seguro, ¿verdad?
Recuerdo que los servidores NFS dependen de la autenticación de IP SOLAMENTE como valor predeterminado. Porque esto es bastante común: ¿hay algún ejemplo en el que los servidores NFS hayan sido pirateados al falsificar las direcciones IP?
Me doy cuenta de que esta pregunta es muy vagabunda. Esto es porque no estoy seguro de nada de lo que estoy diciendo aquí. Solo quería hacer algunas aportaciones donde creo que podrían ser las cavernas, para que puedan confirmarse o eliminarse.
En general, estoy agradecido por cualquier comentario y sus pensamientos personales sobre ese tema.
Ahora estoy bastante seguro de que las direcciones IP SON inspeccionadas y filtradas al pasar un enrutador.
Esta suposición es incorrecta, a pesar de su nivel de seguridad. El "filtrado de salida", que es el nombre de esto, generalmente no está hecho.
La mayor protección contra la suplantación generalizada de direcciones IP es que el atacante no recibiría ningún paquete de respuesta; todos serían redirigidos al host que legítimamente utiliza la dirección IP que se está falsificando. Este tipo de ataque se conoce como "spoofing oculto", porque el atacante está trabajando a ciegas.
Para enviar datos en una conexión TCP, debe poder terminar el "enlace de tres vías" TCP. Esto requiere conocer el número de secuencia inicial utilizado por el extremo opuesto, y dado que los números de secuencia iniciales del TCP se eligen de forma razonablemente aleatoria 1 , esto impide que un ataque de suplantación ciega pueda hacer esto. (Tenga en cuenta también que esto no se aplica a UDP, sin algún tipo de prevención de capa de aplicación, UDP corre un riesgo significativo de falsificación oculta).
Si el atacante puede ver las respuestas que regresan (por ejemplo, porque está olfateando el enlace ascendente o la red local de su servidor), entonces esto tampoco se aplica: falsificar las conexiones TCP en este caso no es solo posible sino trivial.
1. En estos días, de todos modos, este no fue siempre el caso.