Filtrování vstupu - Ingress filtering - Wikipedia

v počítačové sítě, filtrování vstupu je technika používaná k zajištění příchozí balíčky jsou ve skutečnosti ze sítí, ze kterých tvrdí, že pocházejí. To lze použít jako a protiopatření proti různým spoofingové útoky kde pakety útočníka obsahují falešné IP adresy aby bylo obtížné najít zdroj útoku. Tato technika se často používá v útok odmítnutí služby, a toto je primární cíl filtrování vniknutí.^[1]

Problém

Sítě přijímají pakety z jiných sítí. Za normálních okolností paket bude obsahovat IP adresa počítače, který jej původně odeslal. To umožňuje zařízením v přijímající síti vědět, odkud pochází, což umožňuje směrování odpovědi zpět (mimo jiné), s výjimkou případů, kdy jsou adresy IP používány prostřednictvím serveru proxy nebo spoofed IP address, který neurčuje konkrétního uživatele v rámci tato skupina uživatelů.

IP adresu odesílatele lze zfalšovat („vymyšlený "), charakterizující a spoofingový útok. To maskuje původ odeslaných paketů, například v a útok odmítnutí služby. Totéž platí pro proxy, i když jiným způsobem než „spoofing IP“.

Potenciální řešení

Jedno potenciální řešení zahrnuje implementaci použití zprostředkujících internetových bran (tj. Těch serverů, které se připojují k různým sítím podél cesty následované jakýmkoli daným paketem), filtrování nebo odepření jakéhokoli paketu považovaného za nelegitimní. Brána zpracovávající paket může paket úplně ignorovat, nebo pokud je to možné, může odeslat paket zpět odesílateli a předat zprávu, že nelegitimní paket byl odepřen. Hostitelské systémy prevence vniknutí (HIPS) jsou jedním příkladem aplikací technického inženýrství, které pomáhají identifikovat, předcházet a / nebo odradit od nežádoucích, netušených a / nebo podezřelých událostí a vniknutí.

Jakýkoli směrovač, který implementuje příchozí filtrování, kontroluje zdrojové pole IP paketů IP, které přijímá, a zruší pakety, pokud pakety nemají adresu IP v bloku adres IP, ke kterému je rozhraní připojeno. To nemusí být možné, pokud je koncový hostitel více domovů a také odesílá tranzitní síťový provoz.

Při příchozím filtrování jsou pakety přicházející do sítě filtrovány, pokud by síť, která ji odesílá, neměla posílat pakety z původních IP adres. Pokud je koncovým hostitelem síť typu stub nebo hostitel, musí směrovač filtrovat všechny pakety IP, které mají jako zdrojovou adresu IP soukromé adresy (RFC 1918 ), bogonské adresy nebo adresy, které nemají stejnou síťovou adresu jako rozhraní.^[2]

Sítě

Filtrování vniknutí do sítě je filtrování paketů technika používaná mnoha Poskytovatelé internetových služeb pokusit se zabránit spoofing zdrojové adresy internetového provozu, a tak nepřímo bojovat proti různým typům internetu zneužívání sítě tím, že je internetový provoz sledovatelný až k jeho zdroji.

Filtrování vniknutí do sítě je politika „dobrého souseda“, která se spoléhá na spolupráci mezi poskytovateli internetových služeb pro jejich vzájemný prospěch.

The nejlepší současné postupy pro filtrování vniknutí do sítě dokumentuje Pracovní skupina pro internetové inženýrství v BCP 38 a BCP 84, které jsou definovány RFC 2827 a RFC 3704, resp.^[3]^[4]

BCP 84 to doporučuje upstream poskytovatelé filtrů IP konektivity vstupujících do jejich sítí od následných zákazníků a vyřadit všechny pakety, které mají zdrojovou adresu, která není tomuto zákazníkovi přidělena.

Existuje mnoho možných způsobů provádění této politiky; jedním společným mechanismem je povolení zpětné předávání cesty na odkazy na zákazníky, které na základě poskytovatele nepřímo uplatní tyto zásady filtrování trasy jejich zákazníků oznámení trasy.

Rozvinutí

Od roku 2012 jedna zpráva naznačuje, že na rozdíl od obecného názoru na nedostatečné nasazení BCP 38 asi 80% internetu (různými opatřeními) již ve svých sítích používalo filtrování paketů proti spoofingu.^[5]

Viz také

Reference

^ Zhauniarovich, Yury; Dodia, Priyanka (červen 2019). „Třídění odpadu: odfiltrování provozu zesílení DRDoS v sítích ISP“. Konference IEEE 2019 o softwarizaci sítě (NetSoft). IEEE. doi:10.1109 / netsoft.2019.8806653. ISBN 978-1-5386-9376-6.
^ Robert Gezelter (1995) Zabezpečení na internetu Kapitola 23 v Hutt, Bosworth a Hoytt (1995) „Computer Security Handbook, Third Edition“, Wiley, oddíl 23.6 (b), str. 23-12, a násl.
^ Ferguson, P.; Senie, D. (Květen 2000). Filtrování síťového přenosu: Porážka útoků odmítnutí služby, které využívají spoofing zdrojové adresy IP. IETF. doi:10.17487 / RFC2827. BCP 38. RFC 2827. Citováno 18. února 2014.
^ Baker, F.; Savola, P. (Březen 2004). Filtrování vstupu pro sítě s více domovy. IETF. doi:10.17487 / RFC3704. BCP 84. RFC 3704. Citováno 18. února 2014.
^ Barry Greene (11. června 2012). „Každý by měl nasadit BCP 38! Počkejte, jsou ...“. senki.org.

externí odkazy

RFC 2827 - Filtrování síťového přenosu: Porážka útoků typu Denial of Service využívajících spoofování zdrojové adresy IP (BCP 38)
RFC 3704 Filtrování příchozího přenosu dat pro sítě s více domovy (BCP 84)
Jay R. Ashworth. "BCP38.info".
Index BET IETF

[1] Zhauniarovich, Yury; Dodia, Priyanka (červen 2019). „Třídění odpadu: odfiltrování provozu zesílení DRDoS v sítích ISP“. Konference IEEE 2019 o softwarizaci sítě (NetSoft). IEEE. doi:10.1109 / netsoft.2019.8806653. ISBN 978-1-5386-9376-6.

[2] Robert Gezelter (1995) Zabezpečení na internetu Kapitola 23 v Hutt, Bosworth a Hoytt (1995) „Computer Security Handbook, Third Edition“, Wiley, oddíl 23.6 (b), str. 23-12, a násl.

[3] Ferguson, P.; Senie, D. (Květen 2000). Filtrování síťového přenosu: Porážka útoků odmítnutí služby, které využívají spoofing zdrojové adresy IP. IETF. doi:10.17487 / RFC2827. BCP 38. RFC 2827. Citováno 18. února 2014.

[4] Baker, F.; Savola, P. (Březen 2004). Filtrování vstupu pro sítě s více domovy. IETF. doi:10.17487 / RFC3704. BCP 84. RFC 3704. Citováno 18. února 2014.

[5] Barry Greene (11. června 2012). „Každý by měl nasadit BCP 38! Počkejte, jsou ...“. senki.org.

[1]

[2]

[3]

[4]

[5]