Comment les paquets usurpés sont-ils détectés?
Mon hypothèse:
Lorsqu'un pare-feu est configuré pour supprimer les paquets usurpés, il essaie d'envoyer une requête ping (pas nécessairement ICMP) à l'IP source et voit s'il appartient à un véritable hôte ou s'il est actif, et sinon, il supprime le paquet.
Ma question:
Que se passe-t-il si l'IP source d'un paquet usurpé appartient à un hôte réel et en ligne? Existe-t-il d'autres moyens de détecter un paquet usurpé?
Bien que je sois certain qu'il existe, en fait, des pare-feu qui peuvent le faire, je n'en connais aucun qui fonctionne de cette façon. Il existe des mécanismes de détection d'usurpation de paquets, bien qu'ils aient tendance à agir un peu différemment.
Filtres Bogon
Un faux est défini comme une fausse adresse IP. Plus précisément, il s'agit de la liste de toutes les adresses IP qui n'ont pas été attribuées par l'IANA, par un RIR délégué. La meilleure façon d'obtenir cette liste est que votre pare-feu prenne en charge la souscription à un service bogon. Si vous activez le filtrage bogon sur votre pare-feu, il a également tendance à inclure également les paquets d'entrée où l'adresse source est répertoriée comme une adresse RFC 1918 .
Il est également habituel de bloquer en utilisant la même règle, ou de modifier localement votre liste de bogon, pour inclure votre allocation locale. Il est généralement considéré comme peu probable que vos adresses IP internes soient visibles sur le port d'entrée de votre pare-feu. Une exception à cela serait tout équipement qui existe en dehors de votre pare-feu. Cela inclurait très probablement des formateurs de paquets, des routeurs ou d'autres équipements d'infrastructure, mais dans certains cas, d'autres équipements peuvent être délibérément laissés externes. Assurez-vous d'exclure ceux de la liste des bogons.
Limitation MAC
Pour les appareils comme les pare-feu frontaliers, nous avons généralement une très bonne idée des appareils physiques capables de communiquer directement avec eux. Cela devrait, encore une fois, être des périphériques d'infrastructure tels que des shapers de paquets, des routeurs, etc. Si vous avez un DMZ alors vous pouvez également voir ces périphériques là-dedans selon votre architecture. Dans ce cas, nous pouvons énumérer les adresses MAC qui devraient pouvoir communiquer directement avec le pare-feu et refuser celles qui ne figurent pas sur cette liste. Incidemment, cela aide également à détecter les systèmes qui finir sur ce segment de réseau qui ne devrait pas.
Pour les pare-feu qui peuvent être déployés pour les départements, ou en mode transparent/pont au sein d'un réseau pour segmenter un sous-ensemble d'hôtes, la création de ces listes peut être beaucoup plus difficile.
Analyse TTL
Entre deux hôtes, le nombre de sauts reste généralement constant, ou change très peu, entre les paquets. En tant que tel, si le TTL change radicalement d'un paquet à un autre, cela pourrait facilement être une tentative d'usurpation d'identité. Cela nécessite de conserver plus d'informations sur l'état et n'est pas infaillible puisque l'itinéraire pourrait changer, mais est souvent suffisamment indicatif.
Vérification d'itinéraire
Si vous avez plusieurs liaisons montantes actives, vous pouvez également vérifier que le paquet arrive sur la bonne interface. Il existe un standard pour cela appelé Reverse Path Forwarding ( RPF ). En bref, chaque fois qu'un paquet est reçu sur une interface, le routeur vérifie ses tables de routage et détermine si c'est la bonne interface pour cette adresse source. Autrement dit, si les tables de routage indiquent que les paquets destinés à 144.152.10.0/24 sont transmis via l'interface ge-0/0/18 et qu'il reçoit un paquet de 144.152.10.5 sur l'interface ge-0/0/20, alors c'est probablement usurpé et doit être abandonné.
Définition d'un paquet usurpé
Tout d'abord, il y a le concept de propriété d'une plage IP. Je dirai que tout ce qui ne vient pas du propriétaire enregistré ou du délégué d'un bloc IP de l'IANA (et des filiales et des FAI délégués) est une parodie.
Tout est question de routage
Il y a quelques éléments à considérer lorsque vous parlez d'usurpation d'identité. La première est que vous ne pouvez empêcher que l'usurpation d'identité sur le réseau d'où provient un paquet. Les fournisseurs de transit ne peuvent pas filtrer les paquets provenant d'autres fournisseurs de transit en raison de la nature dynamique du routage Internet. Tout le filtrage des sources doit provenir d'un niveau de FAI, donc à moins que mon FAI ne me permette d'envoyer des paquets qu'à partir de l'adresse qui m'a été attribuée, une fois qu'il sort de la grange, il le reste.
La principale protection contre l'usurpation d'identité sur un réseau est que la plupart des communications reposent sur un canal bidirectionnel. En particulier avec TCP, c'est un défi avec la coordination des numéros de séquence. Un article de 1989 met en évidence les problèmes de base, bien que la plupart des systèmes modernes génèrent désormais des numéros de séquence complètement aléatoires.
filtrage Bogon utilisé pour filtrer certains espaces d'adressage et en effet, il s'applique toujours aux adresses réservées. Pour IPv4, cependant, tout l'espace d'adressage est désormais attribué.
Même avec le filtrage et nécessitant une communication bidirectionnelle, vous n'êtes toujours pas garanti d'être exempt de falsification. Le routage peut être modifié ou des paquets peuvent être insérés par quiconque a accès aux routeurs de transit.
Le routage asymétrique empêche de vérifier le chemin des paquets entrants par rapport au chemin sortant. Cela est particulièrement vrai avec la politique commune de routage à chaud . Les chemins de paquets peuvent également changer régulièrement de réseau pendant une conversation, donc les valeurs TTL peuvent également être très variables. Cela limite la capacité d'effectuer la détection.
Il n'y a pas de détection
Vous pouvez empêcher l'usurpation d'identité pour les réseaux que vous possédez en rejetant les adresses qui arrivent sur la mauvaise interface. Vous pouvez empêcher l'usurpation d'identité par ceux de votre réseau en autorisant uniquement une adresse source qui se trouve dans votre plage. Un manque de capacité de routage pour l'utilisateur final moyen empêche la plupart des scénarios d'attaque en empêchant la communication bidirectionnelle. Cependant, rien n'empêche l'un des "grands garçons" de saisir la possibilité d'utiliser une adresse IP s'il se trouve sur le chemin de l'annonce. Beaucoup d'entre eux peuvent également influencer ce chemin d'annonce.
Étant donné que les choses peuvent changer de manière dynamique et que vous pouvez recevoir des paquets qui n'ont pas de chemin vers la maison en raison d'un routage interrompu, il n'est pas simple de dire si un paquet est usurpé.
Un paquet usurpé est un paquet avec une fausse adresse IP source. Pour détecter un paquet entrant comme usurpé, les pare-feu essaient d'appliquer des "règles locales": ils rejettent le paquet s'il provient d'un lien qui est nominalement incompatible avec l'adresse source présumée. Par exemple, si un pare-feu se trouve entre un réseau interne, avec une plage IP connue, et le large Internet, le pare-feu rejettera un paquet qui provient du lien vers Internet mais revendique une adresse source dans la plage du réseau interne.
Je ne connais aucun pare-feu qui essaie d'envoyer des demandes ICMP pour voir si l'hôte d'envoi présumé existe. Tout d'abord, il ne dirait pas si ledit hôte a vraiment envoyé le paquet, seulement s'il existe. De plus, de nombreux hôtes existent mais bloquent les requêtes ICMP. Enfin, si deux pare-feu appliquent cette politique "ping pour s'assurer que l'expéditeur existe", alors ils sont susceptibles d'entrer dans une rage de ping-pong sans fin.
numéros de séquence TCP peut être considéré comme une mesure anti-usurpation: la connexion ne sera considérée comme "terminée" qu'après que la prise de contact à trois voies aura été effectuée; et cela ne peut fonctionner que si le client est en mesure de voir la réponse du serveur, ce qui signifie que l'adresse IP source ne peut pas être falsifiée "trop".
Conclusion: pour l'image entière, les paquets usurpés peuvent être bloqués près de l'expéditeur, pas près du destinataire. Les FAI sont censés bloquer les tentatives d'usurpation de leurs clients. La TCP prise de contact à 3 voies empêche les utilisations de base de l'usurpation d'identité.
Du point de vue du graphique mrtg en direct ou de quelque chose de similaire à l'analyse du trafic nagois ou wireShark, vous pouvez efficacement distinguer l'usurpation de la réalité en vérifiant le trafic sortant vers le réseau de destination. L'usurpation d'identité n'est pas facile dans le contexte de la prédiction des numéros de séquence TCP et de la taille de la fenêtre, de sorte que l'adresse d'usurpation recevrait plus de premiers paquets que le vrai.