Přestože IP spoofing býval mnohem vážnějším a častěji zneužívaným zneužíváním, než je tomu nyní, stále je občas příčinou úzkosti pro webmastery. I když nikdy nemůžete být zcela v bezpečí před podvržením podporovaných útoků, existují věci, které můžete udělat, abyste na svůj web přidali vrstvu ochrany.
Kroky
Krok 1. Pochopte rizika
Pokud tento termín neznáte, IP spoofing označuje postup používání různých typů softwaru ke změně zdrojových nebo cílových informací v záhlaví IP paketů. Vzhledem k tomu, že tyto pakety jsou odesílány prostřednictvím sítě bez připojení (pakety v sítích bez připojení jsou také známé jako datagramy), lze je odesílat bez podání ruky příjemci, což usnadňuje manipulaci. Počet způsobů, jak zneužít falšování IP nebo TCP (v poslední době se většinou nejednalo o problém), se stále snižoval se zlepšením celkového online zabezpečení, vývojem nových protokolů a zvýšením povědomí uživatelů, ale stále existují lidé, kteří to používají pro hanebné účely. Nejběžnější zneužívání IP spoofingu se dnes točí kolem:
- Zneužívání založená na ověřování uživatelů IP - kde vetřelec zosobňuje IP vnitřní sítě, do které se pokoušejí proniknout.
- Útoky Denial-of-service-buď přímé tam, kde útočník upraví cíl v IP paketech, a pošle je na cílovou adresu; nebo nepřímé, kdy útočník rozesílá požadavky na různé reflektory nebo zesilovače, přičemž záhlaví IP je vytvořeno tak, aby naznačovalo, že cílové místo je zdrojem paketu. To je obvykle odesláno do řady různých reflektorů/zesilovačů, které všechny odpovídají cílovému webu, někdy s odpovědí, která je mnohem větší než samotný požadavek.
Krok 2. Nechte si nastavit hraniční router pro filtrování paketů
Tím se zabrání některým možným zneužitím IP spoofingu. Filtrování příchozích zpráv brání příjmu paketů, u nichž je určeno, že přicházejí z jiného bloku IP adres, než který je v jejich hlavičce uveden jako zdroj. Při správné implementaci to zabrání útočníkům zaplavit váš systém požadavky. Výstupní filtrování brání paketům opustit vaši síť, pokud se zdá, že je jejich hlavička poškozena, což brání tomu, aby se vaše stránka používala jako zesilovač nebo reflektor.
Krok 3. Vyhněte se přímému ověřování uživatelů IP
Pokud máte velkou síť, neměli byste povolit interní ověřování na základě IP. Nastavení dalších vrstev ochrany může být za cenu určitého pohodlí, ale váš systém bude mnohem bezpečnější.
Krok 4. Spolehněte se na šifrování
Kryptografické protokoly, jako je HTTP Secure (HTTPS), Secure Shell (SSH) a Transport Layer Security (TLS), odstraňují velkou část rizika falšování šifrováním paketů, aby je nemohli útočníci upravovat, a vyžadující autentizaci po přijetí paketu.
Krok 5. Vyberte si spolehlivého ISP
Většina poskytovatelů internetových služeb, kteří si přejí snížit hrozbu falšování IP adres, již nějakou dobu nabízí filtrování vniknutí do sítě. To znamená, že se pokoušejí navzájem spolupracovat při pokusu sledovat cestu paketů a detekovat ty, které se zdají nespolehlivé. Kontrola, zda je váš poskytovatel součástí této smlouvy, je krok správným směrem.
Krok 6. Zapracujte na svém celkovém zabezpečení
Podívejte se, jak lze kombinovat falšování IP s jinými exploity, a vždy je dobré upgradovat zabezpečení celého vašeho nastavení. To sahá od penetračního testování a zavedení dvoufaktorové autentizace až po vzdělávání vašich zaměstnanců/partnerů o doporučených postupech zabezpečení online, jako je nepoužívání veřejných sítí k přístupu k citlivým informacím a podobně.
Krok 7. Investujte do softwaru pro detekci falšování
Při dodržování všech výše uvedených kroků by vás měla slušně ochránit před falšováním IP, přesto chcete něco, co vás upozorní, pokud jste byli zamýšlenou obětí jednoho. Naštěstí existuje spousta softwaru, který vám s tímto problémem může pomoci; stačí najít něco, co vyhovuje vašim potřebám a rozpočtu.
