stringtranslate.com

Filtrado de ingreso

En las redes de computadoras , el filtrado de ingreso es una técnica utilizada para garantizar que los paquetes entrantes provengan realmente de las redes de las que dicen originarse. Esto se puede utilizar como contramedida contra varios ataques de suplantación de identidad en los que los paquetes del atacante contienen direcciones IP falsas . La suplantación de identidad se utiliza a menudo en ataques de denegación de servicio y mitigarlos es una aplicación principal del filtrado de ingreso. [1]

Problema

Las redes reciben paquetes de otras redes. Normalmente un paquete contendrá la dirección IP de la computadora que lo envió originalmente. Esto permite que los dispositivos en la red receptora sepan de dónde vino, lo que permite enrutar una respuesta (entre otras cosas), excepto cuando las direcciones IP se utilizan a través de un proxy o una dirección IP falsificada, que no identifica a un usuario específico dentro. ese grupo de usuarios.

La dirección IP de un remitente puede ser falsificada ( spoofed ), lo que caracteriza un ataque de suplantación de identidad . Esto disfraza el origen de los paquetes enviados, por ejemplo en un ataque de denegación de servicio . Lo mismo se aplica a los proxies, aunque de forma diferente a la suplantación de IP.

Posibles soluciones

Una posible solución implica implementar el uso de puertas de enlace de Internet intermedias (es decir, aquellos servidores que conectan redes dispares a lo largo del camino seguido por un paquete determinado) que filtren o rechacen cualquier paquete considerado ilegítimo. La puerta de enlace que procesa el paquete podría simplemente ignorarlo por completo o, cuando sea posible, podría enviar un paquete de vuelta al remitente transmitiendo un mensaje de que el paquete ilegítimo ha sido denegado. Los sistemas de prevención de intrusiones en el host (HIPS) son un ejemplo de aplicaciones de ingeniería técnica que ayudan a identificar, prevenir y/o disuadir eventos e intrusiones no deseados, insospechados o sospechosos.

Cualquier enrutador que implemente filtrado de ingreso verifica el campo IP de origen de los paquetes IP que recibe y descarta los paquetes si los paquetes no tienen una dirección IP en el bloque de direcciones IP al que está conectada la interfaz. Es posible que esto no sea posible si el host final tiene múltiples hosts y también envía tráfico de red de tránsito.

En el filtrado de ingreso, los paquetes que ingresan a la red se filtran si la red que los envía no debe enviar paquetes desde las direcciones IP de origen. Si el host final es una red auxiliar o un host, el enrutador necesita filtrar todos los paquetes IP que tengan, como IP de origen, direcciones privadas (RFC 1918), direcciones bogon o direcciones que no tengan la misma dirección de red que la interfaz. [2]

Redes

El filtrado de ingreso a la red es una técnica de filtrado de paquetes utilizada por muchos proveedores de servicios de Internet para tratar de evitar la suplantación de direcciones IP del tráfico de Internet y, por lo tanto, combatir indirectamente varios tipos de abuso de la red al hacer que el tráfico de Internet sea rastreable hasta su origen.

El filtrado de ingreso a la red hace que sea mucho más fácil rastrear los ataques de denegación de servicio hasta sus fuentes para poder solucionarlos. [3]

El filtrado de ingreso a la red es una política de buen vecino que depende de la cooperación entre los ISP para su beneficio mutuo.

Las mejores prácticas actuales para el filtrado de ingreso a la red están documentadas por Internet Engineering Task Force en BCP 38 y 84, que están definidas por RFC 2827 y RFC 3704, respectivamente. [4] [5]

BCP 84 recomienda que los proveedores ascendentes de conectividad IP filtren los paquetes que ingresan a sus redes desde clientes descendentes y descarten cualquier paquete que tenga una dirección de origen que no esté asignada a ese cliente.

Hay muchas formas posibles de implementar esta política; Un mecanismo común es permitir el reenvío de ruta inversa en enlaces a clientes, que aplicarán indirectamente esta política basándose en el filtrado de rutas del proveedor de los anuncios de rutas de sus clientes.

Despliegue

En 2012, un informe sugiere que, contrariamente a la opinión general sobre la falta de implementación de BCP 38, alrededor del 80% de Internet (según diversas medidas) ya estaba aplicando filtrado de paquetes anti-spoofing en sus redes. [6]

Al menos un experto en seguridad informática está a favor de aprobar una ley que exija que el 100% de todos los ISP implementen filtros de ingreso a la red tal como se define en IETF BCP 38. En EE. UU., presumiblemente la FCC haría cumplir esta ley. [3]

Ver también

Referencias

  1. ^ Zhauniarovich, Yuri; Dodia, Priyanka (junio de 2019). "Clasificación de la basura: filtrado del tráfico de amplificación DRDoS en redes de ISP". Conferencia IEEE 2019 sobre softwarización de redes (NetSoft) . IEEE. págs. 142-150. doi : 10.1109/netsoft.2019.8806653. ISBN 978-1-5386-9376-6. S2CID  201621791.
  2. ^ Robert Gezelter (1995) Seguridad en Internet Capítulo 23 en Hutt, Bosworth y Hoytt (1995) "Manual de seguridad informática, tercera edición", Wiley, sección 23.6 (b), págs. 23-12 y siguientes.
  3. ^ ab Dr. David A. Wheeler. "¿Qué leyes deberían crearse para mejorar la seguridad informática?" . Consultado el 10 de junio de 2023 .
  4. ^ Ferguson, P.; Senie, D. (mayo de 2000). Filtrado de ingreso a la red: derrotar los ataques de denegación de servicio que emplean suplantación de dirección de origen IP. IETF . doi : 10.17487/RFC2827 . BCP 38. RFC 2827.
  5. ^ Panadero, F.; Savola, P. (marzo de 2004). Filtrado de ingreso para redes multitarjeta. IETF . doi : 10.17487/RFC3704 . BCP 84. RFC 3704.
  6. ^ Barry Greene (11 de junio de 2012). "¡Todos deberían desplegar BCP 38! Espera, ellos están...". Senki.org.

Enlaces externos