Al tener la dirección IP de un punto final, se puede llegar a través de la red.
Sin embargo, la dirección IP no es suficiente para conectarse a un punto final, todas las conexiones se realizan a través de IP: pares de puertos. Los puertos son como sockets virtuales en el punto final. Para conectarse a un puerto en una determinada IP, el punto final debe abrir ese socket de antemano, esperando recibir una conexión.
Afortunadamente, hay muchos sockets abiertos en cada sistema (por ejemplo, para averiguar qué otras máquinas hay en la red, para poder compartir archivos, enviar y recibir correo, etc.). Una vez que un atacante encuentra una dirección IP, puede escanear la máquina de destino para averiguar qué puertos están abiertos, y aquellos que generalmente corresponden a los protocolos que se sirven (por ejemplo, 443 es probablemente HTTPS, 25 es más probable SMTP).
- ¿Cuál responderá cuando intente conectarme a una dirección IP compartida por una VM (KVM) y su host en puente?
- ¿Qué es una subred IP?
- Direcciones IP: ¿Qué son los bloques C?
- ¿Puedo obtener la dirección IP de un teléfono Android roto?
- ¿Cuál es la dirección IP .100.2?
Luego pueden enviar algunas comunicaciones válidas de ese protocolo a ese puerto y, en función de las respuestas, reconocer qué aplicación sirve ese protocolo (por ejemplo, puede tener exim o postfix para el correo el 25, puede tener Apache o IIS para HTTPS en 443).
Una vez que encuentran la aplicación (y con suerte su versión), pueden acceder al vasto repositorio de vulnerabilidades que tienen y ver si tienen algo que funcione en alguna de las aplicaciones disponibles en esa dirección IP. Si lo hacen, voila. Lo explotan y obtienen acceso a la máquina. Si no lo hacen, entonces tienen que buscar otros medios, como seguir escaneando esa dirección IP para que aparezcan más aplicaciones.
Básicamente, si un atacante tiene su dirección IP, en perspectiva, es como un criminal que tiene su dirección particular. Pueden observarlo, ver sus patrones, las puertas y ventanas, cuando sale de la casa, y atacar cuando mejor le convenga.
Dicho todo esto, una dirección IP es solo una dirección en una red. La mayoría de nosotros vivimos en una red separada de Internet, es decir, cuando nos conectamos a nuestro enrutador doméstico o laboral, estamos conectados a nuestra red doméstica o laboral, que es una red totalmente separada de Internet. Todas las direcciones IP en esta red son totalmente irrelevantes de direcciones IP similares en otras redes, como otras redes domésticas o Internet.
El enrutador es el agente doble allí. Tiene una dirección IP en su red local y una en la red externa (es decir, Internet). Recibe todo el tráfico destinado a salir a Internet desde todos los sistemas de su red local, cambia sus direcciones IP a las de él y las envía a Internet. También recibe todo el tráfico de Internet hacia sí mismo, cambia sus direcciones IP a las de los sistemas locales y las propaga dentro de su red.
Por lo tanto, la dirección IP y el sistema que parece estar en Internet, en realidad es el enrutador de su red local (que lo conecta a Internet), y esas máquinas suelen ser mucho más seguras que los otros dispositivos en su red local, como impresoras y laptops.
