Comment empêcher l'usurpation d'adresse IP?

Comprenez les risques. Si vous n'êtes pas familier avec le terme, l'usurpation IP désigne une pratique consistant à utiliser différents types de logiciels pour modifier les informations de source ou de destination dans l'en-tête des paquets IP. Étant donné que ces paquets sont envoyés via un réseau sans connexion (les paquets dans les réseaux sans connexion sont également appelés datagrammes), ils peuvent être envoyés sans poignée de main avec le destinataire, ce qui les rend faciles à manipuler. Le nombre de façons d'abuser de l'usurpation IP ou TCP (cette dernière n'étant généralement pas un problème de nos jours) a continué à diminuer avec des améliorations dans la sécurité globale en ligne, le développement de nouveaux protocoles et l'augmentation de la sensibilisation des utilisateurs, mais il y a encore des gens qui l'utilisent à des fins néfastes. Les abus les plus courants de l'usurpation d'adresse IP tournent aujourd'hui autour de:

• Exploits basés sur l'authentification des utilisateurs IP - où l'intrus se fait passer pour l'adresse IP du réseau interne qu'il tente de pénétrer.
• Attaques par déni de service - soit directement là où l'attaquant modifie la destination dans les paquets IP, en les envoyant à l'adresse cible; ou indirect, où l'attaquant envoie des requêtes à différents réflecteurs ou amplificateurs, avec l'en-tête de l'IP falsifié de manière à impliquer que le site cible est la source du paquet. Ceci est généralement envoyé à un certain nombre de réflecteurs / amplificateurs différents, qui répondent tous au site cible, parfois avec une réponse beaucoup plus grande que la demande elle-même.

Faites configurer votre routeur frontalier pour le filtrage des paquets. Cela empêchera certains des exploits possibles de l'usurpation d'adresse IP. Le filtrage d'entrée empêche la réception de paquets qui sont déterminés comme provenant d'un bloc d'adresses IP différent de celui indiqué comme source dans leur en-tête. Lorsqu'il est correctement mis en œuvre, cela empêche les attaquants d'inonder votre système de requêtes. Le filtrage de sortie empêche les paquets de quitter votre réseau, si leur en-tête semble être falsifié, ce qui empêche votre formulaire de site d'être utilisé comme amplificateur ou réflecteur.

Évitez l'authentification directe des utilisateurs IP. Si vous avez un grand réseau, vous ne devez pas autoriser l'authentification interne basée sur IP. La mise en place de couches de protection supplémentaires peut se faire au prix d'une certaine commodité, mais cela gardera votre système beaucoup plus sécurisé.

Fiez-vous au cryptage. Les protocoles cryptographiques tels que HTTP Secure (HTTPS), Secure Shell (SSH) et Transport Layer Security (TLS) éliminent une grande partie du risque d'usurpation d'identité en chiffrant les paquets afin qu'ils ne puissent pas être modifiés par des attaquants et en exigeant une authentification lors de la réception d'un paquet.

Choisissez un FAI fiable. Souhaitant réduire la menace d'usurpation d'adresse IP, la plupart des fournisseurs d'accès Internet proposent depuis un certain temps un filtrage d'entrée réseau. C'est-à-dire qu'ils essaient de collaborer les uns avec les autres dans la tentative de surveiller le chemin des paquets, et de détecter ceux qui semblent peu fiables. Vérifier si votre fournisseur fait partie de cet accord est un pas dans la bonne direction.

Travaillez sur votre sécurité globale. Voir comment l'usurpation d'adresse IP peut être combinée avec d'autres exploits, donner à l'ensemble de votre configuration une mise à niveau de sécurité est toujours une bonne idée. Cela va des tests de pénétration et de l'introduction de l'authentification à deux facteurs à la formation de vos employés / partenaires sur les meilleures pratiques de sécurité en ligne, comme ne pas utiliser les réseaux publics pour accéder à des informations sensibles et autres.