Tot i que l’aprofitament per IP solia ser una explotació molt més greu i maltractada amb més freqüència que ara, encara és ocasionalment una causa d’angoixa per als administradors web. Tot i que mai no podeu estar completament fora de perill d’atracar els atacs assistits, hi ha coses que podeu fer per afegir una capa de protecció al vostre lloc.
Passos
Pas 1. Comprendre els riscos
Si no esteu familiaritzats amb el terme, el spoofing IP es denomina pràctica d’utilitzar diferents tipus de programari per canviar la informació d’origen o destinació a la capçalera dels paquets IP. Atès que aquests paquets s’envien a través d’una xarxa sense connexió (els paquets de xarxes sense connexió també es coneixen com a datagrames), es poden enviar sense un apretó de mans amb el destinatari, cosa que els fa convenients per a la seva manipulació. El nombre de maneres d’abusar de l’ spoofing IP o TCP (aquest darrer no és un problema en la actualitat) va disminuint amb millores en la seguretat en línia general, desenvolupament de nous protocols i augment de la consciència dels usuaris, però encara hi ha persones que ho fan servir per propòsits nefastos. Els abusos més habituals de falsificació d’identitat IP avui dia giren al voltant de:
- Explotacions basades en l’autenticació d’usuaris IP: quan l’intrús suplanta la IP de la xarxa interna que intenta penetrar.
- Atacs de denegació de servei: directament on l'atacant modifica la destinació dels paquets IP, enviant-los a l'adreça de destinació; o indirecta, quan l’atacant envia sol·licituds a diferents reflectors o amplificadors, amb la capçalera de l’IP forjada per tal de donar a entendre que el lloc objectiu és la font del paquet. Normalment s’envia a diversos reflectors / amplificadors diferents, que responen tots al lloc objectiu, de vegades amb una resposta molt més gran que la petició mateixa.
Pas 2. Configureu el vostre encaminador de fronteres per filtrar paquets
Això evitarà algunes de les possibles gestions de falsificació d’IP. El filtrat d'entrada impedeix la recepció de paquets que es determina que provenen d'un bloc d'adreces IP diferent del que s'indica com a font a la seva capçalera. Quan s’implementa correctament, això evita que els atacants inundin el vostre sistema amb sol·licituds. El filtrat de sortida evita que els paquets surtin de la vostra xarxa, si sembla que es modifiqui la seva capçalera, cosa que impedeix que el formulari del lloc sigui utilitzat com a amplificador o reflector.
Pas 3. Eviteu l'autenticació directa de l'usuari IP
Si teniu una xarxa gran, no hauríeu de permetre l’autenticació interna basada en IP. La configuració de capes addicionals de protecció pot costar una mica de comoditat, però mantindrà el sistema molt més segur.
Pas 4. Confieu en el xifratge
Els protocols criptogràfics com HTTP Secure (HTTPS), Secure Shell (SSH) i Transport Layer Security (TLS) eliminen gran part del risc de falsificació xifrant els paquets perquè els atacants no puguin modificar-los i requereixen autenticació en rebre un paquet.
Pas 5. Trieu un ISP fiable
Desitjant reduir l'amenaça de falsificació d'IP, la majoria dels proveïdors de serveis d'Internet durant un temps ofereixen filtratge d'entrada de xarxa. És a dir, intenten col·laborar entre ells en l’intent de controlar la ruta dels paquets i detectar els que semblen poc fiables. Comprovar si el vostre proveïdor forma part d’aquest acord és un pas en la direcció correcta.
Pas 6. Treballeu en la vostra seguretat general
Veure com es pot combinar la falsificació d’IP amb altres gestions, oferir una actualització de seguretat a tota la configuració sempre és una bona idea. Això va des de les proves de penetració i la introducció de l'autenticació de dos factors fins a educar els vostres empleats / socis sobre les millors pràctiques de seguretat en línia, com ara no utilitzar xarxes públiques per accedir a informació sensible i similars.
Pas 7. Invertiu en programari de detecció de falsificació
Tot i que seguir tots els passos anteriors hauria de fer una bona feina per protegir-vos de la falsificació d’IP, encara voleu que us alerti si n’heu estat víctima. Per sort, hi ha un munt de programari que us pot ajudar amb aquest problema; només cal trobar alguna cosa que s’adapti a les seves necessitats i pressupost.
