Un estudio publicado recientemente por LACNIC CISRT muestra que más del 80% de las redes de las regiones de América Latina y el Caribe se protegen contra la suplantación de direcciones IP entrantes.
La suplantación de direcciones IP, o IP spoofing, se refiere al acto de modificar paquetes IP para que parezca que proceden de otra fuente. Los actores maliciosos utilizan esta técnica para lanzar ataques, incluidos ataques distribuidos de denegación de servicio (DDoS), ataques NSNXAttacks y envenenamiento de caché DNS, bajo la apariencia de una dirección de origen familiar o aparentemente de confianza.
La validación de la dirección de origen (SAV) es una forma eficaz de mitigar la suplantación de IP. Best Current Practices, recomiendan que los operadores de red utilicen SAV para filtrar tanto el tráfico entrante como el saliente.
El filtrado de entrada y salida es alto
El estudio, que utilizó fuentes de datos activas para proporcionar información pertinente sobre la situación de la suplantación de IP en la región, mostró que menos del 20% de las redes de la región son vulnerables a la suplantación de IP entrante (tráfico que entra en una red) (Figura 1).
Brasil, Chile, Guayana Francesa, Perú, Uruguay y Surinam tienen el porcentaje más bajo de redes vulnerables a la suplantación de IP entrante, mientras que Guayana, Paraguay y Venezuela tienen el porcentaje más alto.
De los 3.082 bloques IP evaluados en la región, el 84,4% aplica el SAV saliente.
Cómo determinar si su organización aplica el SAV
El estudio ofrece varias recomendaciones para ayudar a las organizaciones a detectar y mitigar la suplantación de IP, entre ellas:
- Evaluar el estado del SAV entrante y saliente en los recursos asignados.
- Implantación de SAV de entrada y salida.
- Comprobación y aplicación de las mejores prácticas, incluida la Guía de implantación de MANRS Anti-Spoofing.
Una forma rápida de determinar si su organización está implementando correctamente SAV entrante y saliente es hacer que su operador de red compruebe si son posibles las siguientes situaciones.
- Suplantación de IP entrante: enviar tráfico con direcciones IP de origen que formen parte de los bloques de direcciones IP asignados a su organización desde Internet a la organización.
- Suplantación de IP saliente: enviar tráfico con direcciones IP de origen que forman parte de los bloques de direcciones IP asignados a la organización desde la organización a Internet.
Consulte el informe del estudio para saber cómo hacerlo si no está familiarizado.
Implantar el antispoofing para proteger Internet
El CSIRT de LACNIC planea continuar monitoreando la aplicación de filtros en el tráfico entrante y saliente y trabajar directamente con las organizaciones miembro de LACNIC para entender el problema del IP spoofing e incrementar la aplicación de técnicas anti-spoofing.