Cómo proteger tu organización contra el spoofing de direcciones IP

Como sabemos, Internet está plagado de amenazas de seguridad y una de ellas es el secuestro de direcciones IP. Durante un intento típico de secuestro de dirección IP, el atacante simplemente falsifica la fuente de los paquetes para parecer parte de una red interna. Veamos tres formas de proteger su organización contra este tipo de ataque.

Índice de Contenido
  1. Bloquee direcciones IP
  2. Implemente listas de control de acceso (ACL)
  3. Use reenvío de ruta inversa (verificación de IP)

Bloquee direcciones IP

El primer paso para prevenir el secuestro es bloquear las direcciones IP que representan un riesgo. Si bien puede haber una razón por la que un atacante pueda falsificar cualquier dirección IP, las direcciones IP más comúnmente falsificadas son las direcciones IP privadas (RFC 1918) y otros tipos de direcciones IP compartidas / especiales.

Aquí hay una lista de direcciones IP, y sus máscaras de subred, que bloquearía para que no ingresen a su red desde Internet:

  • 10.0.0.0/8
  • 172.16.0.0/12
  • 192.168.0.0/16
  • 127.0.0.0/8
  • 224.0.0.0/3
  • 169.254.0.0/16

Todas las direcciones mencionadas anteriormente son direcciones IP privadas que no son enrutables en Internet o se utilizan para otros fines y no deberían estar en Internet. Si el tráfico ingresa con una de estas direcciones IP desde Internet, debe ser tráfico fraudulento.

Además, las direcciones IP internas que usa su organización también pueden ser falsificadas. Si está utilizando solo direcciones IP privadas, su rango ya debería incluir las mencionadas anteriormente. Sin embargo, si está utilizando su propio rango de direcciones IP públicas, deberá agregarlas a la lista.

Implemente listas de control de acceso (ACL)

La forma más sencilla de prevenir el secuestro es utilizar un filtro de ingreso en todo el tráfico de Internet. El filtro descarta cualquier tráfico con una fuente que se encuentre dentro del rango de una de las redes IP mencionadas anteriormente. En otras palabras, configure una lista de control de acceso (ACL) para descartar todo el tráfico entrante con una dirección IP de origen en los rangos mencionados anteriormente.

Cómo garantizar la validación local de los clientes en un dominio multi-sitio

Aquí hay un ejemplo de configuración:

Router# conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# ip access-list ext ingreso-antisecuestro
Router(config-ext-nacl)# deny ip 10.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 172.16.0.0 0.15.255.255 any 
Router(config-ext-nacl)# deny ip 192.168.0.0 0.0.255.255 any 
Router(config-ext-nacl)# deny ip 127.0.0.0 0.255.255.255 any
Router(config-ext-nacl)# deny ip 224.0.0.0 31.255.255.255 any
Router(config-ext-nacl)# deny ip 169.254.0.0 0.0.255.255 any 
Router(config-ext-nacl)# permit ip any any 
Router(config-ext-nacl)# exit

Router(config)#int s0/0
Router(config-if)#ip access-group ingreso-antisecuestro in

Los proveedores de servicios de Internet (ISP) deben utilizar filtros como este en sus redes, tal como se define en RFC 2267. Observe cómo esta ACL incluye "permit ip any any" al final. En el "mundo real", es probable que tenga un firewall de estado dentro de este enrutador para proteger su LAN interna.

Por supuesto, también podría llevar esto al extremo y filtrar todo el tráfico entrante desde otras subredes de su red interna para asegurarse de que nadie esté en una subred y falsificando tráfico hacia otra red. También podría implementar ACL de salida para evitar que los usuarios de su red falsifiquen direcciones IP de otras redes. Recuerde que esto debe ser solo una parte de su estrategia general de seguridad de red.

Use reenvío de ruta inversa (verificación de IP)

Otra forma de proteger su red contra el secuestro de direcciones IP es mediante el reenvío de ruta inversa (RPF) o verificación de IP. En el sistema operativo Cisco IOS, los comandos para el reenvío de ruta inversa comienzan con "verificación de IP".

RPF funciona de manera similar a una solución anti-spam. Esa parte recibe mensajes de correo electrónico entrantes, toma la dirección de correo electrónico de origen y realiza una búsqueda de destinatarios en el servidor remitente para determinar si el remitente realmente existe en el servidor del que proviene el mensaje. Si el remitente no existe, el servidor descarta el mensaje de correo electrónico porque no hay forma de responder al mensaje, y es muy probable que sea spam.

RPF hace algo similar con los paquetes. Toma la dirección IP de origen de un paquete recibido desde Internet y busca si el enrutador tiene una ruta en su tabla de enrutamiento para responder a ese paquete. Si no hay una ruta en la tabla de enrutamiento para que el paquete pueda regresar a la dirección IP de origen, entonces alguien probablemente falsificó el paquete y el enrutador lo descarta.

Cuál es la mejor opción de protocolo de enrutamiento para una red empresarial

Aquí se explica cómo configurar RPF en su enrutador:

Router(config)# ip cef
Router(config)# int serial0/0
Router(config-if)# ip verify unicast reverse-path

Tenga en cuenta que esto no funcionará en una red con múltiples conexiones.

¿El secuestro de direcciones IP es una preocupación importante para su organización? ¿Qué medidas ha tomado para proteger la empresa? ¿Ha utilizado RPF? Comparta sus experiencias en la discusión de este artículo.

¿Perdió una columna?

Visite el Archivo de Enrutadores y Conmutadores de Cisco y póngase al día con las columnas más recientes de David Davis.

¿Desea aprender más sobre la administración de enrutadores y conmutadores? ¡Regístrese automáticamente en nuestro boletín gratuito de enrutadores y conmutadores de Cisco, que se envía todos los viernes!

Los 8 pasos para solucionar problemas de red y sistemas

David Davis ha trabajado en la industria de TI durante 12 años y posee varias certificaciones, incluyendo CCIE, MCSE+I, CISSP, CCNA, CCDA y CCNP. Actualmente administra un grupo de administradores de sistemas/redes para una empresa minorista de propiedad privada y realiza consultoría en redes/sistemas a tiempo parcial.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo proteger tu organización contra el spoofing de direcciones IP , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.