Mitos sobre ICMP

Carlos Veira Lorenzo, experto en redes del departamento de Internet
de Airtel Móvil S.A., nos desvela en su artículo los mitos sobre el
spoofing y ataques sobre ICMP, sobre los cuales tantos falsos rumores
e ideas erróneas circulan por los foros de Internet.
Introducción

De forma más o menos recurrente, aparecen mensajes por Internet que
hacen referencias un tanto alegres a temas como el spoofing o a
ciertos ataques sobre ICMP.

El carácter extremadamente técnico de Internet favorece la creación
de ‘mitos’ entre el público menos cualificado. Resulta normal
sentirse apabullado por la avalancha de siglas y términos extraños
que se acaban atribuyendo a la magia o al designio de algún oscuro
gurú localizado en un piso franco de EE.UU.

El Spoofing

El IP Spoofing consiste en enviar un paquete IP con la dirección de
origen falseada, de forma que el destinatario crea que proviene de
otra localización. Esta técnica puede emplearse para muchas cosas,
entre otras para un ataque DoS.

Sin embargo, el IP spoofing no es una técnica cuyo éxito dependa
única y exclusivamente de quién emite el paquete. Es decir, nosotros
podemos mandar un paquete con una dirección de origen falseada, pero
ese paquete no llegar nunca a su destino.

En redes grandes (como Internet) existen muchos dispositivos de red
que pueden realizar filtrados al tráfico que gestionan. Uno de esos
filtros es precisamente la comprobación de la IP de origen. Los
dispositivos a los que me refiero son los de siempre:

– – cortafuegos
– – routers
– – conmutadores
– – Servidores de acceso
– – …

Evidentemente, el IP spoofing funciona en una LAN (sobre todo en las
que sean tipo bus pasivo). Sin embargo, en Internet no podemos
suponer que, a priori, el IP spoofing puede funcionar. Los ISP
aplican (o deberían aplicar) filtros en los servidores de acceso y en
sus routers para ‘paliar’ este problema. En el peor de los casos, si
no lo hace el ISP, lo hará el carrier, así que estamos en una
situación parecida.

Veamos un ejemplo. Un Servidor de acceso puede incorporar un filtro
que garantice que los paquetes enviados tienen la IP de origen que
asignó el RADIUS a cada uno de sus puertos. En el peor de los casos,
el filtro puede ser por pool de direcciones asignadas al servidor de
acceso. En este caso, verificaría que la IP de origen estuviera
dentro de los rangos asignados a la tarjeta correspondiente
(normalmente menos de una clase C).

Lo mismo puede hacerse en un router, pero con menos precisión. Un
router filtra necesariamente por grupos de direcciones. El
administrador conoce qué rangos direcciones de origen deberían llegar
por cada una de las interfaces del router, y debería aplicar los
filtros correspondientes.

Por tanto, para que un ataque DoS + IP spoofing tenga éxito desde una
enlace PPP dial-up convencional, tanto el carrier como el ISP
tendrían que ser muy descuidados.

Si tenemos acceso interactivo a un host remoto (una shell Unix por
ejemplo), podríamos hacer spoofing en su segmento de red y atacar los
sistemas situados en ese entorno, pero ese es un escenario distinto:
las comunicaciones no se inician desde nuestra conexión dial-up, sino
en el host remoto.

Eso significa que si alguien quiere nukear, normalmente tendrá que
hacerlo ‘a cara descubierta’ (con el riesgo de ser detectado) o a
través de una shell Unix en cualquier punto de Internet. También
implica que el uso de ICMP para forzar desconexiones normalmente sólo
es posible si podemos situarnos en la misma LAN y *no* atravesando
Internet.

En redes internas o cerradas, tal vez pudiera funcionar, si asumen un
modelo de confianza elevado. En cualquier caso, no podemos asumir, a
priori, que un ataque basado en IP Spoofing pueda tener éxito desde
Internet: sería una cuestión de prueba-error.

Smurf

El éxito de un ataque tipo smurf se basa en dos principios que tienen
que darse *simultáneamente*:

– – ‘IP Source address spoofing’
– – La transformación de tráfico broadcast nivel 3 en broadcast nivel
2. Es decir que la multidifusión IP se transforme en multidifusión
Ethernet (por poner un ejemplo).

Sobre el primer punto ya hemos hablado en el primer punto. Sobre el
segundo, comentar que casi todos los routers (sobre todo los
modernos) vienen configurados con esta opción deshabilitada por
defecto.

En cualquier caso, puede, nuevamente, filtrarse en el router y evitar
que usen nuestra red como amplificador de tráfico. De hecho, la
mayoría de las redes tienen esta protección activada.

Es cierto que existen listas de redes grandes que continúan mal
configuradas y que pueden usarse como amplificadores. Sin embargo,
para que smurf tenga éxito, deben tenerse en cuanta las
consideraciones de sobre spoofing mencionadas anteriormente.