miércoles, 8 de enero de 2014

Spoofing, suplantando tu identidad (II de VIII)

El spoofing puede tener un impacto muy grande al momento de realizar un ataque y no sea implementando ninguna medida de seguridad que pueda ayudarte a mitigarlo.

IP Spoofing

Este ataque busca suplantar la identidad de otro ordenador con una IP determinada de tal forma que todo el trafico que este genere, parezca legitimo de la IP suplantada. Para efectuar el ataque se deben de generar paquetes IP con una IP de origen falsa.  

Figura 1: Cabeceras del protocolo IP

Para ello se debe alterar la cabecera IP de origen en cada paquete a enviar. Este tipo de ataque puede utilizarse para diversos fines, de realizar algún sondeo a sistemas, ingresar a un sistema en concreto que cuente con un filtrado o corta fuegos y que unicamente permite trafico desde un conjunto de direcciones IP para las cuales existe un relación de confianza.

Dentro de este ataque entran en juego 3 elementos, una identidad de un ordenador a suplantar, el ordenador atacante y el ordenador a ser atacado. Para establecer la conexión con el objetivo de ataque, se debe cumplir con los 3 pasos denominados three way handshake.

Figura 2: Establecimiento de conexión (three way handshake).

Al realizar este ataque se debe asegurar que el ordenador suplantado este desconectado de la red, ya que de lo contrario el ordenador al que se esta suplantando enviaría un paquete de reset al momento de recibir un SYN/ACK, para el cual no ha enviado ningún paquete SYN, y la conexión spoofeada finalizaría. Una solución para evitar que el ordenador, que es victima de suplantación envía un parque de reset, es realizándole un ataque DoS, y evitar que este pueda realizar alguna respuesta. 

Para realizar un sondeo con nmap y evitar a los corta fuegos utilizaríamos el comando nmap -e <Interface> -S direccion_falsa Host_Objetivo  

Figura 3: Opciones de nmap de spoofing.

Ademas de nmap tienes otro conjunto de herramientas con las que puedes hacer este tipo de ataque como hping, para identificar corta fuegos, puertos y demás que permiten de una forma sencilla efectuar una suplantación de IP sin mayor problema.

Contramedidas

Para evitar caer bajo este tipo de ataque puedes apoyarte en diversas soluciones tecnológicas que te permitirán mitigar estos ataques de una forma muy eficaz y eficiente.

Al utilizar Cisco IOS, tienes la opción de poder implementar listas de control de  acceso (ACL)  negado todo el trafico de direcciones privadas no confiables(127.0.0.0/8,192.168.0.0/16,169.254.0.0./16,etc), para ello es necesario filtrar estas direcciones para descartar todo el trafico que provengan desde internet suplantando dichas direcciones.

La utilización de reverse path forwarding o IP verify, es otra manera de proteger la red ante este tipo de ataque, el proceso que sucede en este caso, es recibir el paquete y obtener la IP de origen, se realiza un lookup para determinar si el router contiene una ruta su tabla de enrutamiento que permita establecer una respuesta para dicho paquete, si no existe un ruta que permita una respuesta hacia la IP de origen se considera que es un IP spoofing y se descarta dicho paquete.

También puedes implementar  rp_filter, el cual comprueba que todos los paquetes que ingresan por una interfaz se pueden alcanzar por la misma, basándose en la dirección de origen.


Saludos.
Lexer Pars.        

*************************************************************************************************************************************** Spoofing, suplantando tu identidad (I de VIII)
Spoofing, suplantando tu identidad (VIII de VIII)
***************************************************************************************************************************************

No hay comentarios:

Publicar un comentario