La mia ipotesi:
Quando un firewall è configurato per eliminare pacchetti contraffatti, tenta di eseguire il ping (non necessariamente ICMP) dell'IP di origine e vede se appartiene a un host reale o se è attivo, e in caso contrario, rilascia il pacchetto.
La mia domanda:
Cosa succede se l'IP di origine di un pacchetto di spoofing appartiene a un host reale e online? Esistono altri modi per rilevare un pacchetto contraffatto?
Mentre sono sicuro che ci sono, in effetti, firewall che possono farlo, non sono consapevole di nessuno che operi in questo modo. Esistono meccanismi di rilevamento dello spoofing dei pacchetti, sebbene tendano a comportarsi in modo leggermente diverso.
Un bogon è definito come indirizzo IP fasullo. In particolare, è la lista di tutti gli indirizzi IP che non sono stati assegnati da IANA, da un RIR delegato. Il modo migliore per ottenere questo elenco è che il firewall supporti l'iscrizione a un servizio di bogon. Se abiliti il filtro bogon sul tuo firewall, tende a includere anche i pacchetti di ingresso in cui l'indirizzo di origine è elencato come RFC 1918 indirizzo.
È anche consuetudine bloccare l'utilizzo della stessa regola o modificare localmente l'elenco dei bogon, per includere l'allocazione locale. È generalmente considerato improbabile che i tuoi indirizzi IP interni vengano visualizzati sulla porta di ingresso del firewall. Un'eccezione a questa sarebbe l'eventuale apparecchiatura che esiste al di fuori del firewall. Questo probabilmente includerebbe shapers di pacchetti, router o altre apparecchiature dell'infrastruttura, ma in alcuni casi altre apparecchiature potrebbero essere lasciate intenzionalmente all'esterno. Assicurati di escludere quelli dall'elenco dei bogon.
Per dispositivi come i firewall di confine, generalmente abbiamo una buona idea di quali dispositivi fisici sono in grado di comunicare direttamente con loro. Ciò dovrebbe, ancora una volta, essere dispositivi di infrastruttura come shaper di pacchetti, router, ecc. Se si dispone di una DMZ, è possibile che tali dispositivi vengano visualizzati anche a seconda dell'architettura. In questo caso possiamo enumerare gli indirizzi MAC che dovrebbero essere in grado di parlare direttamente con il firewall e negare quelli che non sono in quella lista. Per inciso, questo aiuta anche a catturare i sistemi che finiscono in questo segmento di rete che non dovrebbero.
Per i firewall che possono essere distribuiti per i dipartimenti o in una modalità trasparente / bridge all'interno di una rete per segmentare un sottoinsieme di host, la compilazione di questi elenchi può essere molto più difficile.
Tra due host il numero di hop generalmente rimane costante, o cambia molto poco, tra i pacchetti. Come tale se il TTL cambia radicalmente da un pacchetto all'altro, questo potrebbe facilmente essere un tentativo di spoofing. Ciò richiede di tenere più informazioni sullo stato, e non è infallibile poiché la rotta potrebbe cambiare, ma è spesso abbastanza indicativa.
Se disponi di più uplink attivi, puoi anche verificare che il pacchetto entri nell'interfaccia corretta. Esiste uno standard per questo chiamato Reverse Path Forwarding ( RPF ). In breve, ogni volta che un pacchetto viene ricevuto su un'interfaccia, il router controlla le sue tabelle di routing e determina se questa è l'interfaccia corretta per quell'indirizzo sorgente. Cioè, se le tabelle di routing dicono che i pacchetti destinati a 144.152.10.0/24 sono trasmessi tramite l'interfaccia ge-0/0/18 e riceve un pacchetto da 144.152.10.5 sull'interfaccia ge-0/0/20, allora probabilmente è falsificato e dovrebbe essere eliminato.
Innanzitutto, c'è il concetto di proprietà di un intervallo IP. Dirò tutto ciò che non proviene dal proprietario registrato o delegato di un blocco IP da IANA (e le filiali e gli ISP deleganti) è una parodia.
Ci sono alcune cose da considerare quando si parla di spoofing. Il primo è che si può impedire lo spoofing solo sulla rete in cui ha origine un pacchetto. I provider di transito non possono filtrare i pacchetti da altri fornitori di transito a causa della natura dinamica del routing Internet. Tutto il filtraggio dell'origine deve provenire da un livello di ISP, quindi a meno che il mio ISP non mi consenta solo di inviare pacchetti dall'indirizzo che mi è stato assegnato, una volta che il cavallo esce dal granaio rimane fuori.
La principale protezione contro lo spoofing su una rete è che la maggior parte della comunicazione si basa su un canale a due vie. In particolare con TCP, è una sfida con il coordinamento dei numeri di sequenza. Un articolo del 1989 evidenzia i problemi di base, sebbene la maggior parte dei sistemi moderni ora genera numeri di sequenza completamente casuali.
Il filtro Bogon usato per essere usato per filtrare determinati spazi degli indirizzi e in effetti si applica ancora agli indirizzi riservati. Per IPv4, tuttavia, ora viene assegnato tutto lo spazio degli indirizzi.
Anche con il filtraggio e la comunicazione bidirezionale, non sei ancora sicuro di essere libero dallo spoofing. Il routing potrebbe essere modificato o i pacchetti potrebbero essere inseriti da chiunque abbia accesso al transito router.
Il routing asimmetrico impedisce di controllare il percorso dei pacchetti in arrivo rispetto al percorso in uscita. Questo è particolarmente vero con la politica comune di routing di patate calde . I percorsi di pacchetto possono anche cambiare rete regolarmente durante una conversazione, quindi i valori TTL possono essere anche molto variabili. Ciò limita la capacità di eseguire il rilevamento.
Puoi impedire lo spoofing delle reti di tua proprietà rifiutando gli indirizzi che entrano nell'interfaccia sbagliata. Puoi impedire lo spoofing da parte di quelli sulla tua rete consentendo solo un indirizzo sorgente nel tuo raggio. Una mancanza di capacità di routing per l'utente medio medio impedisce la maggior parte degli scenari di attacco impedendo la comunicazione bidirezionale. Nulla impedisce a uno dei "ragazzi grandi" di afferrare la possibilità di usare un indirizzo IP se sono nel percorso dell'annuncio, comunque. Molti di loro possono anche influenzare il percorso dell'annuncio.
Dato che le cose possono cambiare in modo dinamico e puoi ricevere pacchetti che non hanno alcun percorso a causa del routing interrotto, non è facile sapere se un pacchetto è falso.
Un pacchetto contraffatto è un pacchetto con un indirizzo IP di origine falso. Per rilevare un pacchetto in entrata come contraffatto, i firewall cercano di applicare "regole locali": rifiutano il pacchetto se proviene da un collegamento che è nominalmente incompatibile con il presunto indirizzo di origine. Ad esempio, se un firewall si trova tra una rete interna, un intervallo IP noto e l'Internet wide, il firewall rifiuterà un pacchetto che proviene dal collegamento a Internet ma rivendica un indirizzo sorgente nell'intervallo di rete interno.
Non sono a conoscenza di firewall che tentano di inviare richieste ICMP per verificare se il presunto host di invio esiste. Prima di tutto, non direbbe se l'host ha veramente inviato il pacchetto, solo se esiste. Inoltre, esistono molti host ma bloccano le richieste ICMP. Infine, se due firewall applicano questo criterio "ping per assicurarsi che il mittente esista", è probabile che entrino in una rabbia ping-pong incredibilmente infinita.
I numeri di sequenza TCP possono essere visualizzati come una misura anti-spoofing: la connessione verrà considerata "completata" solo dopo è stata eseguita l'handshake a tre vie; e questo può funzionare solo se il client è in grado di vedere la risposta dal server, il che significa che l'indirizzo IP di origine non può essere falsificato "troppo".
Bottom-line: per l'intera immagine, i pacchetti spoofed possono essere bloccati vicino al mittente, non vicino al destinatario. Gli ISP dovrebbero bloccare i tentativi di spoofing dai loro clienti. L'handshake TCP a 3 vie impedisce l'utilizzo di base dello spoofing.
Dal punto di vista del reporting, mrtg graph live o qualcosa di simile all'analisi del traffico di nagois o wireshark, puoi effettivamente distinguere lo spoof dal reale controllando il traffico in uscita verso la rete di destinazione. Lo spoofing non è facile nel contesto della previsione dei numeri delle sequenze TCP e delle dimensioni della finestra in modo che l'indirizzo di spoof riceva più pacchetti prima di quelli reali.
Leggi altre domande sui tag network firewalls ip-spoofing