Question:
Quels sont les risques de sécurité liés à l'usurpation d'adresse IP?
Chris Dale
2010-12-07 16:16:20 UTC
view on stackexchange narkive permalink

En manipulant le paquet TCP et en modifiant l'adresse source, on peut usurper l'adresse IP. Si je comprends bien, vous ne pourrez pas mettre en place une poignée de main complète en faisant cela, car vous ne recevrez jamais les paquets renvoyés.

Est-ce que quelqu'un sait en quoi cela représente un risque de sécurité aujourd'hui?

Quelques risques:

Six réponses:
#1
+20
Rory Alsop
2010-12-07 21:21:35 UTC
view on stackexchange narkive permalink

Vous avez raison de dire qu'un attaquant usurpant l'adresse IP peut ne pas recevoir de trafic en retour, mais il peut ne pas le vouloir. Ils peuvent souhaiter que le trafic soit envoyé vers une autre adresse IP - éventuellement pour une attaque par déni de service sur cette adresse IP.

Alternativement, il existe des attaques qui ne nécessitent que la partie initiale de la poignée de main pour mettre fin à vos défenses (vous avez mentionné SYN flood)

Moins de risque direct, mais aussi pertinent est la charge de trafic générale. Mon point de vue à ce sujet est d'interdire autant que vous le pouvez au périmètre - cela inclut les types de trafic et les ports que vous n'utilisez pas, ainsi que le trafic qui est effectivement invalide. C'est simple à faire sur la plupart des routeurs, et cela signifie que tout pare-feu d'inspection en profondeur doit parcourir moins de paquets, réduisant ainsi la charge.

+1 - Je suis content d'avoir lu toutes les réponses avant de répondre, j'étais sur le point d'écrire la même chose (premier paragraphe - presque mot pour mot: D)
#2
+8
user502
2010-12-07 19:58:06 UTC
view on stackexchange narkive permalink

Une analyse inactive dépend de l'usurpation de la source. Cependant, de nombreux routeurs sont configurés pour supprimer le trafic avec une adresse IP source manifestement erronée. De nombreux FAI bloqueront les adresses manifestement falsifiées à la fois sortantes et entrantes, donc leur utilisation dépend fortement de l'introduction de la boîte d'attaque dans le bon segment de réseau.

Vous avez dit «risque de sécurité aujourd'hui», et ce qui suit est plus applicable aux risques de sécurité de demain, mais ipv6 pose de nouveaux problèmes et solutions d'usurpation d'identité.

Très belle mention du scan inactif! :)
#3
+5
Weber
2010-12-08 04:32:11 UTC
view on stackexchange narkive permalink

Il vaut la peine de considérer les risques d'usurpation d'adresse IP dans les protocoles sans connexion comme UDP. Imaginez un cas où un pare-feu restreint l'accès à un ensemble d'adresses IP autorisées. Un attaquant connaissant ces adresses IP autorisées pourrait lancer une attaque ciblée en envoyant des paquets UDP bien conçus au service d'écoute.

Il existe de nombreux services qui utilisent des protocoles sans connexion, DNS est un exemple important .

Comme vous l'avez dit, en ce qui concerne TCP, l'utilité de l'usurpation d'adresse IP devient beaucoup plus limitée car vous ne pouvez pas établir une session complète qui nécessite le 3-way spécial (ou 4-way moins connu) poignée de main.

#4
+5
Bradley Kreider
2010-12-09 03:39:23 UTC
view on stackexchange narkive permalink

L'usurpation d'adresse IP couvre bien plus que TCP.

L'ancienne attaque smurf reposait sur l'envoi d'une requête ping ICMP à une adresse de diffusion en utilisant une adresse source usurpée à DDoS une victime avec toutes les réponses ping ICMP.

L'attaque la plus récente et la plus époustouflante à mon humble avis est l ' attaque d'empoisonnement DNS trouvée par Dan Kaminsky. Vérifiez combien de fournisseurs sont concernés. Remarque: djbdns n'est pas vulnérable et a été spécifiquement conçu pour vaincre cette attaque.

Parce que les attaques contre ces vulnérabilités reposent toutes sur la capacité d'un attaquant à usurper le trafic de manière prévisible, la mise en œuvre de la randomisation des ports source par requête dans le serveur présente une atténuation pratique contre ces attaques dans les limites de la spécification de protocole actuelle. Les ports sources aléatoires peuvent être utilisés pour gagner environ 16 bits supplémentaires de caractère aléatoire dans les données qu'un attaquant doit deviner.

...

Un attaquant ayant la capacité de mener un cache réussi une attaque d'empoisonnement peut amener les clients d'un serveur de noms à contacter les hôtes incorrects, et peut-être malveillants, pour des services particuliers .

Le DNS empoisonné permet d'attaquer SSL, comme indiqué dans le répond à cette question SSL.

#5
+4
symcbean
2010-12-08 17:01:57 UTC
view on stackexchange narkive permalink

vous ne pourrez pas mettre en place une prise de contact complète en faisant cela

Si les machines sont sur des sous-réseaux séparés, le routage source est désactivé et les routeurs ne sont pas compromis, alors ce n'est pas possible.

Quiconque utilise les adresses d'hôte comme mesure de sécurité principale mérite ce qui va leur arriver.

Alors que le routage source est généralement désactivé par défaut sur la plupart des implémentations IPv4, une grande partie des fonctionnalités de IPv6 en dépend .

Et regardez les statistiques - la plupart des incidents de sécurité sont perpétrés par des «initiés».

#6
+1
Dave
2010-12-08 22:11:52 UTC
view on stackexchange narkive permalink

Je dois ajouter que cela rend les enquêtes sur les tentatives de piratage un peu plus difficiles. Si vous ne parvenez pas à usurper, l'adresse IP serait une connexion directe à votre service.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...