Me gustaría entender qué tecnología de suplantación de paquetes existe (o debería existir) para verificar un paquete entrante. Quizás esto sea tan simple como una ACL de Cisco, una regla de firewall, implementada en el límite de la red; Sin embargo, creo que el problema podría ser un poco más complicado.
En general, comenzaríamos con el bloqueo de IP de origen con estos trenes de pensamiento:
- Eliminar intervalos de IP que no están en uso (por interfaz)
- Eliminar los rangos de IP que están en uso, sin embargo, no debe aparecer como remitente en esa interfaz
Por ejemplo, es probable que su interfaz pública esté configurada para eliminar todas las direcciones de origen a partir de 10.x. También puede enrutar una red 192.x con una red 172.x. Dado que usted controla cada espacio de direcciones en su totalidad, puede controlar qué falsificación cruza el borde del enrutador.
Pero hay un problema con el bloqueo del tráfico que se origina en Internet.
El tráfico entrante de su ISP puede no aplicar reglas a la dirección de origen. Parece que la suplantación de IP está permitida por la pereza de ISP & esfuerzos de ahorro de costos, o podría haber una razón técnica legítima (para habilitar alguna característica extraña de movilidad de IP). Sin embargo, no creo que la suplantación de IP sea una tecnología relevante para la gran mayoría de los usuarios de Internet.
Si IP-Spoofing es realmente una "característica" de Internet, entonces creo que la tecnología debería depreciarse y que el software raro se reconfigurará para usar un protocolo de nivel superior. (explique por qué se necesita IP Spoofing en este enlace )
ÍNDICEQuestion◆
-
¿Cómo puede una empresa con conexión a Internet reducir la exposición a IP Spoofing? ¿Cómo se implementaría?
-
¿Qué alternativas deberían existir, que no?
La segunda parte de mi pregunta es que proviene de un idealista "greenfield" que tengo en el lugar donde la suplantación de la propiedad intelectual estaba paralizada o bloqueada en Internet. Creo que una reducción en la suplantación de IP también reducirá significativamente la exposición a numerosos tipos de ataques (DDOS, UDP / DNS hacks, etc.). Quizás esté aprovechando las tablas de enrutamiento en tiempo real, un servicio basado en suscripción o alguna otra tecnología.