5

ファイアウォールで保護され、特定のIPアドレス(アプリケーションWebサーバー)からのアクセスのみを許可するアプリケーションを扱っています。

それは少しデリケートで、別の認証/保護レイヤーを導入するのは非常に面倒です。

ネットワーキングについての私の理解は、それが私の主題ではないのであまりよくありませんが、私の頭の中で私は次のシナリオを作りました:

  • 誰かが私たちのアプリケーションサーバーの1つのIPアドレスを知っていて、それを偽造して、リスニングソケットとプロトコルを知っている他のアプリケーションにアクセスしたいと考えています。

  • そこで彼は、IPパケットのヘッダーを変更して、WebサーバーIPを送信機として使用します。

次は何が起こる?

  • A:彼のISPはパケットを拒否し、「ねえ、それはあなたが私から割り当てられたIPアドレスではありません」と言います。-問題は解決しました

  • B:ISPはパケットを次のレベルに渡します(彼のアップリンク...)

ISPが侵害されたか、パケットが検査なしで渡されたと仮定しましょう(それが事実かどうかはわかりません)

次は何が起こる?

  • A:キャリアはパケットを拒否し、「そのIPは、操作していることに同意したIPの範囲内にありません!」と言います。-攻撃者が侵害したのと同じISPによってWebサーバーが運用されていない場合-Problemaは解決しました

  • B:ISPはパケットを検査しないか、侵害されてアップリンクに転送します。

これで、ルーターを通過するときにIPアドレスが検査およびフィルタリングされることを確信しています。そうでなければ、それは完全な無政府状態になります。

つまり、これを正直に言うと、私のIPアドレスを偽造したい攻撃者は、私のWebサーバーが動作するIP範囲を担当するまったく同じISPを侵害する必要があります。そうでない場合、このISPはパケット検査を行いません。

  • これは正しいです?

さて、私のサーバーはオフィスにあり、そのISPは地域のケーブル会社だと思います。

私のIPアドレスから別のインターネットIPにパケットを送信するために必要な手順は何ですか?

(もちろん、私はリスクを認識し、適切な保護を選択することだけを求めています!)

通りの脇にある小さなコンテナの中にあることが多いルーティングステーションを、ロックでのみ保護されている場所に配置することを想像します。そこに行きます。ケーブルを交換するか、自分自身を接続します。

これは、自分が何をしているのかを知っている場合、または認証された接続を構築するために必要な実際のオフィスのモデムに保存されているキーを使用した暗号化されたハンドシェイクがある場合に機能する可能性がありますか?

私はケーブルインターネットの今日の標準について話している。

最後の考え:それで、私のオリジンサーバーが、そのステーションが路上で脆弱な家庭用ISPでない場合、私はかなり安全なはずですよね?

NFSサーバーはデフォルトとしてのみIP認証に依存していることを覚えています。これはかなり一般的であるため、NFSサーバーがIPアドレスを偽造してハッキングされた例はありますか?

私は、この質問が非常に漠然とされていることを理解しています。これは、ここで何を言っているのかわからないためです。洞窟の食べ物があり得ると思うところにいくつかの情報を提供したかったので、それらを確認または排除することができます。

全体的に、私はその主題についてのコメントとあなたの個人的な考えに感謝しています!

4

2 に答える 2

7

これで、ルーターを通過するときにIPアドレスが検査およびフィルタリングされることを確信しています。

あなたの確信度にもかかわらず、この仮定は正しくありません。この名前である「出力フィルタリング」は、通常は実行されません

IPアドレスの広範なスプーフィングに対する主な保護は、攻撃者が応答パケットを受信しないことです。これらはすべて、スプーフィングされているIPアドレスを合法的に使用しているホストにルーティングされます。この種の攻撃は、攻撃者がブラインドで作業しているため、「ブラインドスプーフィング」と呼ばれます。

TCP接続でデータを送信するには、TCPの「3ウェイハンドシェイク」を終了できる必要があります。これには、反対側で使用される初期シーケンス番号を知る必要があります。TCP初期シーケンス番号は合理的にランダムに選択されるため1、これにより、ブラインドスプーフィング攻撃でこれを実行できなくなります。(これはUDPには適用されないことにも注意してください-何らかのアプリケーション層の予防策がなければ、UDPはブラインドスプーフィングの重大なリスクにさらされます)。

攻撃者が応答が戻ってくるのを見ることができる場合(たとえば、サーバーのアップリンクまたはローカルネットワークをスニッフィングしているため)、これも当てはまりません。この場合のTCP接続のなりすましは、可能であるだけでなく、些細なことです。

1.とにかく、最近-これは常にそうではありませんでした。

于 2011-05-24T04:30:56.747 に答える
1

LAN内では、ルーター/スイッチ/ハブがどのように構成されているかによって異なります。しかし、なりすましはかなり頻繁に可能であるはずだと思います。

IPアドレスは調べられていないと思います。したがって、偽造された送信者IPを使用してUDPパケットを送信できます。ただし、サーバーがそのIPの実際の所有者に応答を送信するため、応答は受信されません。

これは、接続の確立にはハンドシェイクが必要なため、TCPでIPを単純に偽造することはできないことを意味します。

応答がルーターを通過する場合は、誰かのIPを偽造できます。したがって、ネットワーク管理者はLAN内のすべてのIPを偽造でき、ISPはネット内のすべてのIPを偽造でき、通信事業者は多くの国際接続でIPを偽造できます。

最後に、BGPを悪用して、そのIPがコンピューターを通過するルートを変更する可能性があります。しかし、誰もがBGPにアクセスできるわけではありません。おそらく、BGPを取得するにはISPになる必要があります。そして、BGPルートの変更が監視されているため、操作が検出される可能性があります。

于 2011-05-21T13:02:01.723 に答える