IP Spoofing

El IP Spoofing o suplantación de IP, consiste en alterar la información que se transmite mediante el Protocolo de Internet (IP o Internet Protocol) para falsear la dirección de origen de la información.

Lo que se busca, es que el origen de los datos, parezca distinto del que realmente es.

¿Para que se utiliza el IP Spoofing?

Se suele emplear para dos fines distintos o la combinación de ambos:

•  Por un lado, ocultar el verdadero origen de los datos que se están transmitiendo y no se pueda identificar el punto de partida.
• Por otro, suplantarla identidad real del origen.

Estas dos características, lo hacen especialmente útil en ataques de Denegación de Servicio o DDoS (por sus siglas en inglés).

Comunicaciones IP sin alterar

El protocolo IP se utiliza ampliamente para la transmisión de la información entre los equipos.

En los paquetes que intervienen en la comunicación se utilizan cabeceras, que preceden al cuerpo de los datos a transmitir. En estas cabeceras se especifica, entre otros datos, la dirección IP de origen de la información y la dirección IP de destino.

De este modo, el receptor del paquete puede establecer una comunicación con el emisor, al tener referenciada la IP a la que debe responder.

Por tanto, en una transmisión sin alterar, la IP de origen corresponde con el emisor de los paquetes y la IP de destino, con la del receptor.

Transmisiones alteradas

Cuando un atacante realiza IP Spoofing, lo que hace es cambiar la IP de origen de la transmisión por otra diferente.

La víctima, al recibir los paquetes de datos manipulados, tratará de comunicarse con la dirección de origen, sin éxito.

ip spoofing attack

Usos del IP Spoofing

A pesar de la sencillez del mecanismo de ataque, puede tener consecuencias importantes para las comunicaciones.

Suplantar la identidad de un tercero

Pensemos en una red donde está habilitado el acceso para una determinada IP de origen y no para el resto.

La IP del atacante no está de forma predeterminada entre la lista de autorizados, pero si consigue falsear la IP de origen de sus transmisiones y colocar en su lugar la de otro equipo que si está autorizado, habrá ganado acceso a la red, su sesión, etc.

Ataques DDoS

Los ataques de Denegación de Servicio (DDoS attack) tienen como finalidad saturar un servicio con más peticiones de las que puede atender.

Pensemos en un servidor de páginas web con la tienda online de una empresa. Por las características técnicas de la máquina donde está alojada, vamos a suponer que puede atender a 500 visitas de forma simultánea.

Si lanzamos un ataque de forma automatizada y simultánea, miles de peticiones a esa máquina, podemos llegar a saturarla de peticiones y bloquearla. El resultado final es que la web dejará de estar operativa hasta que consiga eliminar esas peticiones no válidas.

Desde el servicio de IT de la web, pueden bloquear el origen de esas peticiones. Sin embargo, como hemos realizado IP Spoofing, las peticiones que está bloqueando no son las del origen del ataque.

Además, se puede combinar, haciendo que la IP de origen vaya cambiando de forma aleatoria y constante. Esto, va a dificultar aun más el proceso para detener el ataque.

Hay que tener en cuenta que estos ataques, se realizan de forma coordinada desde miles de equipos.

Suponen a día de hoy una grave amenaza para muchos sistemas.

Protegerse del IP Spoofing

La información que se transmite en las cabeceras IP es inerente a este protocolo. Además, no cuenta con mecanismos integrados que permita verificar los datos y evitar que puedan ser manipulados de forma maliciosa.

Por tanto las protección contra el IP Spoofing no es sencilla.

Firewall contra IP Spoofing

Los firewalls de red como los que distribuimos desde cortafuegos.net integran herramientas para mitigar este tipo de ataques.

La tarea principal consiste en comprobar si la zona desde la que proviene el paquete de información, se corresponde con la indicada en las cabeceras.

Así, si un paquete proviene desde Internet (por ejemplo) y en la cabecera se indica que el origen es un dispositivo de la red local, se descartará. Se asume que se ha modificado deliveradamente las cabeceras del paquete para que parezca que proviene de un origen distinto al que debiera.

¿Y si las conexiones no pasan por el firewall de la red?

En las comunicaciones que se producen dentro de la red local, los datos no pasan por el firewall perimetral, por lo que no puede analizarlas y ver si se han manipulado.

En este caso deben ser los firewalls de los propios dispositivos, si existen, los que analicen el tráfico.

Puede ser sencillo implementarla protección en equipos que cuenten con la posibilidad deconfigurar un firewall propio, como los servidores, ordenadores, etc. Sin embargo, puede ser un gran reto, o directamente imposible de implementar, en otros dispositivos que no cuentan con esta posibilidad.

Así, si pensamos en dispositvos de IoT o en sistemas industriales como SCADA, no hay la posibilidad de realizar esta implementación de seguridad y pueden sermuy vulnerables.

Por eso, es importante segmentar correctamente las redes y restringir el tráfico de las mismas desde el firewall de red. Debemos permitir el acceso únicamente a aquello que sea imprescindible para tratar de obstaculizar, lo máximo posible, todo tipo de vectores de ataque.

A tener en cuenta…

Recuerda que este artículo solo trata de ejemplificar los conceptos. Puede incluir generalidades, imprecisiones y en la mayoría de casos se puede añadir «sí, pero…». No tienen como misión ser una referencia técnica, para lo que sin duda puedes encontrar toda la información necesaria en los correspondientes sitios de Internet.