Página principal

Comercio electrónico

Criptología y seguridad

Cuestiones legales

Intimidad y privacidad

Virus

Artículos invitados

Mitos sobre ICMP

Por Carlos Veira Lorenzo

Introducción

De forma más o menos recurrente, aparecen mensajes por Internet que hacen referencias un tanto alegres a temas como el spoofing o a ciertos ataques sobre ICMP.

El carácter extremadamente técnico de Internet favorece la creación de 'mitos' entre el público menos cualificado. Resulta normal sentirse apabullado por la avalancha de siglas y términos extraños que se acaban atribuyendo a la magia o al designio de algún oscuro gurú localizado en un piso franco de EE.UU.

El Spoofing

El IP Spoofing consiste en enviar un paquete IP con la dirección de origen falseada, de forma que el destinatario crea que proviene de otra localización. Esta técnica puede emplearse para muchas cosas, entre otras para un ataque DoS.

Sin embargo, el IP spoofing no es una técnica cuyo éxito dependa única y exclusivamente de quién emite el paquete. Es decir, nosotros podemos mandar un paquete con una dirección de origen falseada, pero ese paquete no llegar nunca a su destino.

En redes grandes (como Internet) existen muchos dispositivos de red que pueden realizar filtrados al tráfico que gestionan. Uno de esos filtros es precisamente la comprobación de la IP de origen. Los dispositivos a los que me refiero son los de siempre:

  • cortafuegos
  • routers
  • conmutadores
  • Servidores de acceso
  • ...

Evidentemente, el IP spoofing funciona en una LAN (sobre todo en las que sean tipo bus pasivo). Sin embargo, en Internet no podemos suponer que, a priori, el IP spoofing puede funcionar. Los ISP aplican (o deberían aplicar) filtros en los servidores de acceso y en sus routers para 'paliar' este problema. En el peor de los casos, si no lo hace el ISP, lo hará el carrier, así que estamos en una situación parecida.

Veamos un ejemplo. Un Servidor de acceso puede incorporar un filtro que garantice que los paquetes enviados tienen la IP de origen que asignó el RADIUS a cada uno de sus puertos. En el peor de los casos, el filtro puede ser por pool de direcciones asignadas al servidor de acceso. En este caso, verificaría que la IP de origen estuviera dentro de los rangos asignados a la tarjeta correspondiente (normalmente menos de una clase C).

Lo mismo puede hacerse en un router, pero con menos precisión. Un router filtra necesariamente por grupos de direcciones. El administrador conoce qué rangos direcciones de origen deberían llegar por cada una de las interfaces del router, y debería aplicar los filtros correspondientes.

Por tanto, para que un ataque DoS + IP spoofing tenga éxito desde una enlace PPP dial-up convencional, tanto el carrier como el ISP tendrían que ser muy descuidados.

Si tenemos acceso interactivo a un host remoto (una shell Unix por ejemplo), podríamos hacer spoofing en su segmento de red y atacar los sistemas situados en ese entorno, pero ese es un escenario distinto: las comunicaciones no se inician desde nuestra conexión dial-up, sino en el host remoto.

Eso significa que si alguien quiere nukear, normalmente tendrá que hacerlo 'a cara descubierta' (con el riesgo de ser detectado) o a través de una shell Unix en cualquier punto de Internet. También implica que el uso de ICMP para forzar desconexiones normalmente sólo es posible si podemos situarnos en la misma LAN y *no* atravesando Internet.

En redes internas o cerradas, tal vez pudiera funcionar, si asumen un modelo de confianza elevado. En cualquier caso, no podemos asumir, a priori, que un ataque basado en IP Spoofing pueda tener éxito desde Internet: sería una cuestión de prueba-error. ;)

Smurf

El éxito de un ataque tipo smurf se basa en dos principios que tienen que darse *simultáneamente*:

  • 'IP Source address spoofing'
  • La transformación de tráfico broadcast nivel 3 en broadcast nivel 2. Es decir que la multidifusión IP se transforme en multidifusión Ethernet (por poner un ejemplo).

Sobre el primer punto ya hemos hablado en el primer punto. Sobre el segundo, comentar que casi todos los routers (sobre todo los modernos) vienen configurados con esta opción deshabilitada por defecto.

En cualquier caso, puede, nuevamente, filtrarse en el router y evitar que usen nuestra red como amplificador de tráfico. De hecho, la mayoría de las redes tienen esta protección activada.

Es cierto que existen listas de redes grandes que continúan mal configuradas y que pueden usarse como amplificadores. Sin embargo, para que smurf tenga éxito, deben tenerse en cuanta las consideraciones de sobre spoofing mencionadas anteriormente.

Publicado en el Boletín del Criptonomicón #63.

Carlos Veira Lorenzo es experto en redes del departamento de Internet de Airtel Móvil S.A.

Información adicional
Artículos publicados

Puedes consultarlos por temas, o también por orden de aparición en el boletín.

Enviar a un amigo

Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.

E-mail destino:
Asunto:
Tu nombre:

 

Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.