Защита от спуфинга

Множество сетевых атак на вычислительные системы проводятся с подмененными IP-адресами источника атаки, что снижает риск для атакующего быть замеченным.

Система защиты от спуфинга (anti-spoofing) должна быть использована на каждой точке, где существует возможность подобной атаки, обычно устанавливается данная защита на границах сети, между большими блоками адресов или между доменами сетевого администрирования.

Такая защита реализуется в том числе с помощью листов контроля доступа. К сожалению, нет общих примеров по конфигурации таких конструкций на межсетевом экране, каждый раз подход к их синтаксису различный.

Но принцип действия один: отбросить пакет, который пришел с интерфейса, с которого данный пакет прийти не может. Например, система имеет два интерфейса, один из них смотрит в сеть Интернет, а другой в сеть Интранет.

Все пакеты, принятые из сети Интернет с адресами источника внутренней сети (адреса Интранет), будут отброшены. Если ресурсы аппаратной части позволяют, то анти-спуффинг должен быть включен на каждом интерфейсе.

Пример:

access-list number deny icmp any any redirect

access-list number deny ip 127.0.0.0 0.255.255.255 any

access-list number deny ip 224.0.0.0 31.255.255.255 any

access-list number deny ip host 0.0.0.0 any

Практически во всех операционных системах межсетевых экранов существует возможность принудительно перевести межсетевой экран в режим проверки адреса источника каждого пакета. Это будет работать только в случае, если маршрутизация симметричная. Если сеть будет построена так, что путь трафика от хоста, А до хоста В будет проходить другим путем, чем трафик от B до A, проверка всегда будет давать неверный результат, и связь между хостами будет невозможна. Данная проверка известна как reverse path forwarding (RPF).

Для атаки типа «smurf» обычно используется IP directed broadcasts.

«IP directed broadcast» — это пакет, который посылается на адрес broadcast, то есть широковещательный адрес подсети, к которой посылающая система напрямую не подключена. «Directed broadcast» маршрутизируется через сеть как обыкновенный пакет, пока не достигнет подсети назначения.

Согласно архитектуре протокола IP, только последний маршрутизатор в цепочке, который напрямую подсоединен к подсети назначения, может идентифицировать «directed broadcast».

При атаке типа «smurf» атакующий посылает пакеты «ICMP echo requests», используя сфальсифицированный адрес источника, и все хосты подсети отвечают на подмененный адрес источника.

Посылая поток таких запросов, атакующий может создать мощный поток ответов на подмененный адрес.

На интерфейсе межсетевого экрана для защиты можно использовать команду типа no ip directed-broadcast, при этом необходимо сконфигурировать no ip directed-broadcast на каждом интерфейсе каждого межсетевого экрана, который может быть подсоединен к подсети назначения.