Cómo hacer que todo el mundo envíe reportes de abuso a tu mejor amigo

 (delroth.net)
1 puntos por GN⁺ 2024-10-30 | 1 comentarios | Compartir por WhatsApp

Introducción

  • Este artículo trata una experiencia personal relacionada con seguridad, redes y reportes de abuso.
  • El autor recibió un reporte de que su servidor estaba infectado con malware, pero tras investigar confirmó que no había ningún problema.

Cómo comenzó el incidente

  • El autor recibió un correo de Hetzner indicando que su dirección IP había recibido un reporte de abuso.
  • Se detectaron intentos anómalos de conexión SSH en el servidor, pero en realidad no eran conexiones salientes desde el servidor, sino paquetes TCP reset enviados desde el exterior hacia el servidor.

Suplantación de IP

  • En internet, la suplantación de IP consiste en enviar paquetes falsificando la dirección IP de origen.
  • BCP38 recomienda permitir solo las direcciones IP esperadas al transmitir paquetes IP entre redes, pero no todas las redes lo cumplen.

Hipótesis sobre la motivación

  • El atacante falsifica la IP de origen y envía solicitudes de conexión al puerto 22, lo que provoca reportes de abuso automatizados.
  • Es posible que se trate de un ataque dirigido a algunos nodos de la red Tor.

Conexión con Tor

  • Los relays de Tor se encargan de transportar tráfico anonimizado y no se conectan directamente con internet externa.
  • Sin embargo, a algunos usuarios de internet no les gusta Tor, y podría haber intentos de desactivarlo.

Conclusión

  • Internet ya tenía problemas hace 25 años, y los sigue teniendo.
  • La suplantación de IP sigue siendo un problema, y reglas de seguridad como BCP38 no se aplican correctamente.
  • Si recibes este tipo de reportes de abuso, aprenderás cómo explicarle a tu proveedor de hosting que tu servidor es la víctima.

# Resumen de GN⁺

  • Este artículo aborda un problema de seguridad relacionado con la suplantación de IP y explica su relación con la red Tor.
  • Destaca la importancia de la seguridad en internet y la necesidad de BCP38.
  • Como proyectos con funciones similares, podrían recomendarse diversas herramientas de redes de seguridad.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-10-30
Opinión de Hacker News

  • El problema del IP spoofing es difícil de resolver porque tanto los actores maliciosos como los usuarios inocentes pueden usar la misma excusa

    • Internet ha tenido este problema desde hace 25 años y sigue sin resolverse
    • El problema de las direcciones IP falsificadas sigue existiendo en 2024, y la comunidad de Internet no hace cumplir reglas de seguridad para solucionarlo

  • En el pasado se implementaron reglas básicas de firewall, pero surgieron problemas debido a paquetes falsificados

    • Se recibieron paquetes falsificados desde una IP específica y se ajustaron las reglas del firewall para resolverlo
    • Es importante operar varias direcciones IP, y si el ISP hace filtrado basado en origen, se cambia a otro ISP

  • Si encuentras un proveedor de tránsito que no haga filtrado BCP38, puedes enviar paquetes con la IP de origen que quieras

    • El origen de BCP38 se remonta a 1998, pero todavía existen proveedores de red que no lo implementan
    • Para evitar el spoofing, es necesario rechazar el tráfico de todos los AS que no implementen BCP38

  • La teoría de alguien a quien no le gustan los relays de Tor parece no tener valor

    • Podría ser un intento de operar un relay malicioso mientras se busca eliminar los relays legítimos

  • Es un problema similar al swatting, porque depende de que las autoridades tomen medidas serias ante una fuente no verificada del problema

    • La diferencia es que la queja se presenta a través de partes no relacionadas

  • En el pasado se escanearon reflectores DrDoS, y los proveedores de nube recibieron grandes cantidades de quejas

    • Los servidores que envían paquetes de escaneo falsificados no son detectados y pueden escanear Internet repetidamente
    • Es posible rastrear el origen de los paquetes falsificados, pero se requiere cooperación con el proveedor de tránsito

  • El sistema no debería reportar abuso automáticamente por un solo paquete, sino solo cuando se trate de tráfico a nivel de denegación de servicio

    • En el caso de SSH, no es un intento de conexión válido hasta que ocurra el handshake

  • El IP spoofing es un problema similar al swatting, al patent trolling y a incriminar a personas inocentes

    • Es una forma de atacar a un objetivo que no te gusta usando como arma los mecanismos de protección contra abuso
    • Las autoridades pueden convertirse en una debilidad y ser instrumentalizadas por actores maliciosos

  • Si secuestras el ataque para enviar paquetes a todos, podrías hacer que el proveedor se vea abrumado por correos de abuso y que el ataque deje de funcionar

    • Puede que el honeypot no envíe correos de abuso, o que el proveedor pueda filtrarlos