Filtrado de ingreso

En redes de computadores, el filtrado de ingreso es una técnica utilizada para asegurar que los paquetes entrantes son de hecho de las redes de las que dicen ser originados.

Problema

Las redes reciben paquetes de otras redes. Normalmente un paquete contendrá la dirección de IP del ordenador que originalmente lo envió. Esto permite que los dispositivos en la red receptora sepan de donde proviene, dejando que la respuesta puede ser ruteada de vuelta (entre otras cosas), excepto cuándo las direcciones de IP son utilizadas a través de un proxy o de una dirección IP falsificada, la cual no permite detectar a un usuario concreto dentro de un grupo de usuarios.

La dirección IP de origen puede ser falsificada (en inglés 'spoofed'), caracterizando un ataque de spoofing. Esto disfraza el origen de los paquetes enviados, por ejemplo en un ataque de denegación-de-servicio. Los mismos es cierto para los proxies, aunque de una manera diferente que en el caso de "IP Spoofing."

Redes

Filtrado de ingreso a la red es una técnica de fitlrado de paquetes utilizada por muchos proveedores de servicio de Internet para tratar de impedir la falsificación de dirección de origen de tráfico de Internet, y así indirectamente combatir varios tipos de abuso de red al hacer el tráfico de Internet rastreable a su fuente.

Filtrado de entrada a la red es una política de "buen vecino" qué confía en la cooperación entre ISPs para su beneficio mutuo.

Las actuales mejores prácticas para red ingress filtrando está documentado por la Fuerza de Tarea de Ingeniería de Internet en BCP 38 y BCP 84, los cuales están definidos por RFCs 2827 y 3704, respectivamente.^[1][2]

BCP 84 recomienda que los proveedores de conectividad IP filtren paquetes que se introducen en sus redes desde clientes "de más abajo", y que descarten cualquier paquete que tenga una dirección de origen que no esté asignada a aquel cliente.

Hay muchas maneras posibles de implementar esta política; un mecanismo común es habilitar reverse path forwarding en enlaces a clientes, el cual indirectamente aplicará esta política basada en la ruta del proveedor filtrando los anuncios de ruta de sus clientes.

Despliegue

Al 2012, un informe sugiere que, contrariamente a la opinión general sobre la falta de despliegue de BCP38,un 80% de Internet (por varias medidas) ya estaba aplicando filtrado anti-spoofing de paquetes en sus redes.^[3]

Véase también

• Filtrado de salida

Referencias

1. <meta /><meta />
2. Ingress Filtrando para Multihomed Redes.<meta /><meta />
3. Barry Greene (11 de junio de 2012). «Everyone should be deploying BCP 38! Wait, they are …». senki.org.

Enlaces externos

• RFC 2827 - Filtrado de Entrada en Redes: Derrotando los ataques de denegación de Servicio que emplean falsificación de dirección IP de origen (BCP 38)
• RFC 3704 Filtrado de Entrada para Redes con Múltiples Conexiones (BCP 84)
• Jay R. Ashworth. «BCP38.info». "Bcp38.info".
• IETF BCP Índice

• Datos: Q1663279