En las redes informáticas , el filtrado de entrada es una técnica que se utiliza para garantizar que los paquetes entrantes sean realmente de las redes de las que afirman originarse. Esto se puede utilizar como contramedida contra varios ataques de suplantación de identidad en los que los paquetes del atacante contienen direcciones IP falsas para dificultar la búsqueda de la fuente del ataque. La suplantación de identidad se utiliza a menudo en ataques de denegación de servicio y mitigarlos es una aplicación principal del filtrado de entrada. [1]
Problema
Las redes reciben paquetes de otras redes. Normalmente, un paquete contendrá la dirección IP de la computadora que lo envió originalmente. Esto permite que los dispositivos en la red receptora sepan de dónde vino, permitiendo que una respuesta sea enrutada (entre otras cosas), excepto cuando las direcciones IP se utilizan a través de un proxy o una dirección IP falsificada, que no identifica a un usuario específico dentro ese grupo de usuarios.
La dirección IP de un remitente puede ser falsificada (" falsificada "), lo que caracteriza un ataque de suplantación de identidad . Esto disfraza el origen de los paquetes enviados, por ejemplo, en un ataque de denegación de servicio . Lo mismo ocurre con los proxies, aunque de una manera diferente a la "suplantación de IP".
Soluciones potenciales
Una posible solución implica implementar el uso de pasarelas de Internet intermedias (es decir, aquellos servidores que conectan redes dispares a lo largo de la ruta seguida por cualquier paquete dado) filtrando o negando cualquier paquete que se considere ilegítimo. La puerta de enlace que procesa el paquete puede simplemente ignorar el paquete por completo o, cuando sea posible, puede enviar un paquete de vuelta al remitente transmitiendo un mensaje de que se ha denegado el paquete ilegítimo. Los sistemas de prevención de intrusiones del host (HIPS) son un ejemplo de aplicaciones de ingeniería técnica que ayudan a identificar, prevenir y / o disuadir eventos e intrusiones no deseados, insospechados y / o sospechosos.
Cualquier enrutador que implemente el filtrado de entrada verifica el campo IP de origen de los paquetes IP que recibe y descarta los paquetes si los paquetes no tienen una dirección IP en el bloque de direcciones IP, al que está conectada la interfaz. Es posible que esto no sea posible si el host final tiene varios hosts y también envía tráfico de red de tránsito.
En el filtrado de entrada, los paquetes que ingresan a la red se filtran si la red que los envía no debe enviar paquetes desde las direcciones IP de origen. Si el host final es una red stub o un host, el enrutador necesita filtrar todos los paquetes IP que tienen, como IP de origen, direcciones privadas (RFC 1918), direcciones bogon o direcciones que no tienen la misma dirección de red que la interfaz. [2]
Redes
El filtrado de entrada a la red es una técnica de filtrado de paquetes utilizada por muchos proveedores de servicios de Internet para tratar de evitar la suplantación de la dirección de origen del tráfico de Internet y, por lo tanto, combatir indirectamente varios tipos de abuso de la red haciendo que el tráfico de Internet sea rastreable hasta su origen.
El filtrado de entrada a la red es una política de "buen vecino" que se basa en la cooperación entre los ISP para su beneficio mutuo.
Las mejores prácticas actuales para el filtrado de entrada a la red están documentadas por el Grupo de trabajo de ingeniería de Internet en BCP 38 y BCP 84 , que se definen en RFC 2827 y RFC 3704, respectivamente. [3] [4]
BCP 84 recomienda que los proveedores ascendentes de conectividad IP filtren los paquetes que ingresan a sus redes desde los clientes descendentes y descarten cualquier paquete que tenga una dirección de origen que no esté asignada a ese cliente.
Hay muchas formas posibles de implementar esta política; un mecanismo común es habilitar el reenvío de ruta inversa en los enlaces a los clientes, que aplicarán indirectamente esta política en función del filtrado de ruta del proveedor de los anuncios de ruta de sus clientes .
Despliegue
A partir de 2012, un informe sugiere que, contrariamente a la opinión general sobre la falta de implementación de BCP 38, alrededor del 80% de Internet (según diversas medidas) ya estaban aplicando filtrado de paquetes anti-spoofing en sus redes. [5]
Ver también
Referencias
- ^ Zhauniarovich, Yury; Dodia, Priyanka (junio de 2019). "Clasificación de la basura: filtrado de tráfico de amplificación DRDoS en redes ISP" . Conferencia IEEE de 2019 sobre softwarización de redes (NetSoft) . IEEE. doi : 10.1109 / netsoft.2019.8806653 . ISBN 978-1-5386-9376-6.
- ^ Robert Gezelter (1995) Seguridad en Internet Capítulo 23 en Hutt, Bosworth y Hoytt (1995) "Manual de seguridad informática, tercera edición", Wiley, sección 23.6 (b), págs. 23-12, et seq.
- ^ Ferguson, P .; Senie, D. (mayo de 2000). Filtrado de entrada de red: derrota de ataques de denegación de servicio que emplean suplantación de direcciones IP de origen . IETF . doi : 10.17487 / RFC2827 . BCP 38. RFC 2827 . Consultado el 18 de febrero de 2014 .
- ^ Baker, F .; Savola, P. (marzo de 2004). Filtrado de entrada para redes de host múltiple . IETF . doi : 10.17487 / RFC3704 . BCP 84. RFC 3704 . Consultado el 18 de febrero de 2014 .
- ^ Barry Greene (11 de junio de 2012). "¡Todo el mundo debería estar implementando BCP 38! Espera, están ..." . senki.org.
enlaces externos
- RFC 2827 - Filtrado de entrada de red: derrota de ataques de denegación de servicio que emplean suplantación de direcciones de origen IP (BCP 38)
- Filtrado de entrada RFC 3704 para redes de host múltiple (BCP 84)
- Jay R. Ashworth. "BCP38.info" .
- Índice BCP del IETF
- Enrutamiento de MANRS