============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================

En esta tercera entrega, vamos a centrarnos en las protecciones que tiene el motor de NIS, en cuanto a paquetes malformados. Más concretamente, hablaremos sobre suplantación de identidad en IP (IP Spoofing).

Cuando se habla de suplantación de identidad a nivel de IP, se presupone que un posible atacante pueda tomar el control de un sistema, o tener acceso no autorizado a una subred específica, construyendo un mensaje, que supuestamente provenga de una fuente de confianza. Históricamente, este concepto se conoce desde hace más de 25 años. El desarrollo del primer gusano de Internet, o el propio Kevin Mitnick, utilizaron este tipo de técnicas para ganar un control no autorizado de recursos ajenos.

El protocolo IP, opera en la capa 3 del modelo OSI. Al ser un modelo sin conexión, y sobre el cual no existe forma de determinar si el paquete llega correctamente a destino, resulta fácil la manipulación de este tipo de paquetes. A día de hoy existen muchas herramientas que proporcionan la resolución de este tipo de técnicas de manera fácil y sencilla. En general, proporcionan opciones para modificar el campo Dirección de Origen.


Figura 8: Cabecera IP

Este tipo de técnicas se suelen utilizar como técnicas de denegación de servicios. También se suele utilizar para probar autenticaciones basadas en la dirección IP del solicitante.

Si se utiliza en conjunto con TCP, éste último provee de protecciones para la suplantación de IP. TCP utiliza números de secuencia que negocia con el participante remoto, para asegurar que los datos llegan a destino, y que esos datos provienen de esa conexión. Ataques conocidos a nivel de TCP, es la predicción de números de secuencia, ataques que pueden llevar al secuestro de la sesión, o la impersonalización de un usuario. En cuanto al motor de NIS, en Forefront Threat Management Gateway, si se intenta realizar algún ataque de denegación de servicio, utilizando para ello técnicas de suplantación de IP, el motor de NIS automáticamente extrae una alerta del siguiente tipo.

Figura 9: Alerta en NIS IP Spoofing

Una vez procesada la alerta, el motor de NIS nos informará la dirección IP que se encontraba en el campo ORIGEN del paquete IP, y sobre la cual, tendremos que tomar las medidas oportunas.


Figura 10: Alerta extendida

Este tipo de alerta no nos dará una dirección IP del atacante, pero nos dará pistas para conocer qué tipo de ataque se está efectuando en nuestra organización. Denegación de servicio, autenticación basada en IP, firewalking, etc…

============================================================================
- MS Forefront TMG 2010: Testeando el motor NIS [I de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [II de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [III de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [IV de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [V de VI]
- MS Forefront TMG 2010: Testeando el motor NIS [VI de VI]
============================================================================