Ako zabrániť falšovaniu IP?

Pochopte riziká. Ak tento výraz nepoznáte, spoofing IP označuje postup používania rôznych typov softvéru na zmenu zdrojových alebo cieľových informácií v hlavičke IP paketov. Pretože tieto pakety sú odosielané prostredníctvom siete bez pripojenia (pakety v sieťach bez pripojenia sú tiež známe ako datagramy), je možné ich odosielať bez podania ruky s príjemcom, čo uľahčuje manipuláciu. Počet spôsobov, ako zneužiť falšovanie IP alebo TCP (tieto v dnešnej dobe väčšinou nie sú problémom), sa stále zlepšoval v celkovom zabezpečení online, vývoji nových protokolov a zvyšovaní informovanosti používateľov, stále však existujú ľudia, ktorí to používajú na nekalé účely. Najbežnejšie zneužívanie falšovania IP v dnešnej dobe sa točí okolo:

• Zneužitia založené na autentifikácii IP - keď votrelec zosobňuje IP internú sieť, do ktorej sa pokúšajú preniknúť.
• Útoky odmietnutia služby-buď priame tam, kde útočník upraví cieľ v paketoch IP, pričom ich odošle na cieľovú adresu; alebo nepriame, kde útočník vysiela požiadavky na rôzne reflektory alebo zosilňovače, pričom hlavička IP je kovaná tak, aby naznačovala, že cieľové miesto je zdrojom paketu. To sa zvyčajne posiela do radu rôznych reflektorov/zosilňovačov, ktoré všetky odpovedajú na cieľové miesto, niekedy s odpoveďou, ktorá je oveľa väčšia ako samotná požiadavka.

Nechajte si hraničný router nakonfigurovať na filtrovanie paketov. Tým sa zabráni niektorým možným zneužitiam spoofingu IP. Vstupné filtrovanie zabraňuje príjmu paketov, o ktorých sa zistí, že pochádzajú z iného bloku adries IP, ako je zdroj uvedený v ich hlavičke. Keď je správne implementovaný, zabráni útočníkom zaplaviť váš systém požiadavkami. Výstupné filtrovanie zabraňuje paketom opustiť vašu sieť, ak sa zdá, že sú poškodené ich hlavičky, čo zabraňuje tomu, aby sa váš webový server používal ako zosilňovač alebo reflektor.

Vyhnite sa priamej autentifikácii užívateľov IP. Ak máte veľkú sieť, nemali by ste povoliť internú autentifikáciu na základe IP. Nastavenie ďalších vrstiev ochrany môže stáť určité náklady, ale váš systém bude oveľa bezpečnejší.

Spoľahnite sa na šifrovanie. Kryptografické protokoly, ako napríklad HTTP Secure (HTTPS), Secure Shell (SSH) a Transport Layer Security (TLS), odstraňujú veľa rizika spoofingu šifrovaním paketov, aby ich nemohli útočníci upravovať, a vyžadovaním autentifikácie po prijatí paketu.

Vyberte si spoľahlivého ISP. Väčšina poskytovateľov internetových služieb v snahe znížiť hrozbu falšovania IP už nejaký čas ponúka filtrovanie prenikania do siete. To znamená, že sa pokúšajú navzájom spolupracovať pri pokuse monitorovať cestu paketov a zistiť tie, ktoré sa zdajú byť nespoľahlivé. Kontrola, či je váš poskytovateľ súčasťou tejto zmluvy, je krokom správnym smerom.

Pracujte na svojom celkovom zabezpečení. Vždy je dobré vidieť, ako je možné kombinovať spoofing IP s inými exploitami, a poskytnúť tak celému svojmu zariadeniu aktualizáciu zabezpečenia. To siaha od penetračného testovania a zavedenia dvojfaktorovej autentifikácie až po vzdelávanie vašich zamestnancov/partnerov o osvedčených postupoch online bezpečnosti, ako je napríklad nepoužívanie verejných sietí na prístup k citlivým informáciám a podobne.