Ingångsfiltrering

I datornätverk är ingångsfiltrering en teknik som används för att säkerställa att inkommande paket faktiskt kommer från de nätverk som de påstår sig härröra från . Detta kan användas som en motåtgärd mot olika spoofingattacker där angriparens paket innehåller falska IP-adresser . Spoofing används ofta vid överbelastningsattacker , och att mildra dessa är en primär tillämpning av intrångsfiltrering.

Problem

Nätverk tar emot paket från andra nätverk. Normalt kommer ett paket att innehålla IP-adressen till den dator som ursprungligen skickade det. Detta tillåter enheter i det mottagande nätverket att veta var det kom ifrån, vilket gör att ett svar kan dirigeras tillbaka (bland annat), förutom när IP-adresser används via en proxy eller en falsk IP-adress, som inte pekar ut en specifik användare inom denna pool av användare.

En avsändarens IP-adress kan vara falsk ( spoofed ), vilket kännetecknar en spoofingattack . Detta döljer ursprunget för paket som skickas, till exempel i en överbelastningsattack . Detsamma gäller för proxyservrar, men på ett annat sätt än IP-spoofing.

Potentiella lösningar

En möjlig lösning involverar att implementera användningen av mellanliggande Internet-gateways (dvs. de servrar som ansluter olika nätverk längs vägen som följs av ett givet paket) filtrering eller nekande av paket som anses vara olagligt. Gatewayen som bearbetar paketet kan helt enkelt ignorera paketet helt, eller om möjligt kan den skicka ett paket tillbaka till avsändaren och vidarebefordra ett meddelande om att det olagliga paketet har nekats. Host Intrusion Prevention System (HIPS) är ett exempel på tekniska ingenjörsapplikationer som hjälper till att identifiera, förhindra och/eller förhindra oönskade, oanade och/eller misstänkta händelser och intrång.

Varje router som implementerar ingressfiltrering kontrollerar käll-IP-fältet för IP-paket som den tar emot och släpper paket om paketen inte har en IP-adress i IP-adressblocket som gränssnittet är anslutet till. Detta kanske inte är möjligt om slutvärden är multi-homed och även skickar transitnätverkstrafik.

Vid ingångsfiltrering filtreras paket som kommer in i nätverket om nätverket som skickar det inte ska skicka paket från ursprungs-IP-adresserna. Om slutvärden är ett stubbnätverk eller -värd måste routern filtrera alla IP-paket som har, som käll-IP, privata adresser (RFC 1918), bogonadresser eller adresser som inte har samma nätverksadress som gränssnittet.

Nätverk

Nätverksingångsfiltrering är en paketfiltreringsteknik som används av många internettjänsteleverantörer för att försöka förhindra IP-adressförfalskning av internettrafik och därmed indirekt bekämpa olika typer av nätmissbruk genom att göra internettrafiken spårbar till dess källa.

Nätverksingångsfiltrering gör det mycket lättare att spåra överbelastningsattacker till deras källor så att de kan åtgärdas.

Nätverksingångsfiltrering är en bra grannpolicy som förlitar sig på samarbete mellan internetleverantörer till ömsesidig nytta.

Den bästa nuvarande praxisen för nätverksingångsfiltrering dokumenteras av Internet Engineering Task Force i BCP 38 och 84, som definieras av RFC 2827 respektive RFC 3704.

BCP 84 rekommenderar att uppströmsleverantörer av IP-anslutning filtrerar paket som kommer in i sina nätverk från nedströmskunder och kasserar alla paket som har en källadress som inte är allokerad till den kunden.

Det finns många möjliga sätt att genomföra denna policy; en vanlig mekanism är att möjliggöra omvänd väg vidarebefordran på länkar till kunder, vilket indirekt kommer att tillämpa denna policy baserat på leverantörens ruttfiltrering av deras kunders ruttmeddelanden.

Spridning

Från och med 2012 antyder en rapport att, i motsats till den allmänna uppfattningen om bristen på BCP 38-distribution, använde cirka 80 % av Internet (med olika åtgärder) redan anti-spoofing-paketfiltrering i sina nätverk.

Minst en datasäkerhetsexpert är för att anta en lag som kräver att 100 % av alla internetleverantörer implementerar filtrering av nätverksingång enligt definitionen i IETF BCP 38. I USA skulle förmodligen FCC upprätthålla denna lag.

Se även

externa länkar

  • RFC 2827 - Nätverksingångsfiltrering: Bekämpa Denial of Service-attacker som använder IP-källadressförfalskning (BCP 38)
  • RFC 3704 Ingress-filtrering för multihomed-nätverk (BCP 84)
  • Jay R. Ashworth. "BCP38.info" .
  • IETF:s BCP-index
  • Routing MANRS
Hämtad från " https://en.wikipedia.org/w/index.php?title=Ingress_filtering&oldid=1135973287 "