IP Spoofing: quanto è sicuro controllare l'accesso dall'indirizzo IP pubblico dell'utente?

8

Abbiamo alcune macchine virtuali Windows server ospitate su Amazon Cloud. Gli utenti devono inserire account e password per RDP per le VM. L'endpoint RDP delle VM (IP + Port) è pubblico su Internet. Come ulteriore misura di sicurezza, siamo riusciti a limitare l'accesso alla porta RDP (disponibile al pubblico) a specifici indirizzi IP pubblici.

La domanda è: quanto è facile falsificare un indirizzo IP pubblico? Gli hacker possono falsificare il nostro indirizzo IP pubblico designato, quindi ignorano il nostro firewall di indirizzo IP pubico? Grazie,

    
posta Allan Xu 16.11.2015 - 18:08
fonte

3 risposte

9

Risposta breve

Supponendo una connessione TCP, è quasi impossibile falsificare un indirizzo IP di origine senza il controllo della rete.

Risposta più lunga

Supponendo che non stai usando alcun proxy (che può causare problemi se stai ricevendo il loro indirizzo IP da un'intestazione X-FORWARDED-FOR), ed eseguendo un servizio su TCP, è estremamente difficile falsificare un indirizzo IP sorgente

Per inizializzare una connessione TCP, è necessario inviare più pacchetti avanti e indietro tra il server e l'attaccante. Se l'indirizzo di origine per la richiesta iniziale è falsificato, l'utente malintenzionato non è in grado di completare l'apertura della connessione perché l'indirizzo spoofato non è il loro indirizzo. Quindi, quando il server invia un pacchetto "indietro" a loro, verrebbe invece indirizzato al vero proprietario dell'indirizzo e non all'attaccante.

Vorrei fare un diagramma su Visio per questo, ma sono in classe, quindi spero che uno schizzo sia sufficiente.

    
risposta data 16.11.2015 - 18:40
fonte
1

Lo spoofing dell'indirizzo sorgente è abbastanza facile, ci sono ancora molti ISP che non implementano il filtraggio degli indirizzi sorgente.

Ricevere le risposte a questi pacchetti falsificati è più difficile. L'utente malintenzionato dovrebbe ottenere il percorso di rete tra client e server o modificare il routing per modificare il percorso di rete. Questo è più difficile ma certamente non impossibile.

Le moderne implementazioni TCP usano numeri di sequenza randomizzati che rendono la probabilità di aprire con successo una connessione TCP senza ricevere la risposta al pacchetto SYN molto bassa. I sistemi precedenti e i protocolli basati su UDP possono essere più vulnerabili a tali attacchi. L'uso di "cookie SYN" da parte del server aumenta anche la probabilità che tale attacco superi (anche se è ancora una probabilità molto bassa).

Considererei il filtraggio IP sorgente come un'utile linea di difesa aggiuntiva, ma non vorrei affidarmi a questo come unico mezzo di protezione.

    
risposta data 11.10.2016 - 12:37
fonte
0

Lo spoofing a livello locale è facile. Quando si parla di IP pubblico può essere molto più difficile. Ho trovato questo link

Ho trovato anche questo Com'è facile davvero fare lo spoofing IP?

Spero che questo aiuti.

    
risposta data 16.11.2015 - 18:17
fonte

Leggi altre domande sui tag