Embora a falsificação de IP costumava ser uma exploração muito mais séria e abusada com mais frequência do que é agora, ocasionalmente ainda é uma causa de angústia para os webmasters. Mesmo que você nunca esteja completamente seguro contra ataques auxiliados por spoofing, existem coisas que você pode fazer para adicionar uma camada de proteção ao seu site.
Passos
Etapa 1. Compreenda os riscos
Se você não estiver familiarizado com o termo, spoofing de IP denomina uma prática de usar diferentes tipos de software para alterar as informações de origem ou destino no cabeçalho dos pacotes IP. Como esses pacotes são enviados por meio de uma rede sem conexão (os pacotes em redes sem conexão também são conhecidos como datagramas), eles podem ser enviados sem um aperto de mão com o destinatário, o que os torna convenientes para manipulação. O número de maneiras de abusar da falsificação de IP ou TCP (o último geralmente não é um problema atualmente) continuou diminuindo com melhorias na segurança online geral, desenvolvimento de novos protocolos e aumento na conscientização do usuário, mas ainda há pessoas que usam isso para propósitos nefastos. Os abusos mais comuns de spoofing de IP hoje giram em torno de:
- Explorações baseadas em autenticação de usuário IP - onde o intruso personifica o IP da rede interna que está tentando penetrar.
- Ataques de negação de serviço - seja direto onde o invasor modifica o destino nos pacotes IP, enviando-os para o endereço de destino; ou indireta, em que o invasor envia solicitações para diferentes refletores ou amplificadores, com o cabeçalho do IP forjado de forma a implicar que o site de destino é a origem do pacote. Isso geralmente é enviado para vários refletores / amplificadores diferentes, que respondem ao local de destino, às vezes com uma resposta muito maior do que a própria solicitação.
Etapa 2. Configure seu roteador de borda para filtragem de pacotes
Isso evitará algumas das possíveis explorações de falsificação de IP. A filtragem de entrada impede a recepção de pacotes que são determinados como vindos de um bloco de endereço IP diferente do que é declarado como a fonte em seu cabeçalho. Quando implementado corretamente, evita que invasores inundem seu sistema com solicitações. A filtragem de saída evita que os pacotes deixem sua rede, se seu cabeçalho parecer adulterado, o que impede que seu formulário de site seja usado como um amplificador ou refletor.
Etapa 3. Evite a autenticação direta do usuário de IP
Se você tem uma rede grande, não deve permitir autenticação interna baseada em IP. A configuração de camadas adicionais de proteção pode ter um custo de alguma conveniência, mas manterá seu sistema muito mais seguro.
Etapa 4. Confie na criptografia
Os protocolos criptográficos, como HTTP Secure (HTTPS), Secure Shell (SSH) e Transport Layer Security (TLS), eliminam grande parte do risco de falsificação criptografando os pacotes para que não possam ser modificados por invasores e exigindo autenticação ao receber um pacote.
Etapa 5. Escolha um ISP confiável
Desejando reduzir a ameaça de falsificação de IP, a maioria dos provedores de serviços de Internet oferece, há algum tempo, filtragem de entrada de rede. Isso quer dizer que tentam colaborar entre si na tentativa de monitorar o caminho dos pacotes e detectar aqueles que parecem não confiáveis. Verificar se o seu provedor faz parte deste contrato é um passo na direção certa.
Etapa 6. Trabalhe em sua segurança geral
Ver como a falsificação de IP pode ser combinada com outras explorações, fornecer uma atualização de segurança a toda a sua configuração é sempre uma boa ideia. Isso se estende do teste de penetração e introdução da autenticação de dois fatores para educar seus funcionários / parceiros sobre as melhores práticas de segurança online, como não usar redes públicas para acessar informações confidenciais e similares.
Etapa 7. Invista em software de detecção de falsificação
Embora seguir todas as etapas acima deva fazer um trabalho decente de protegê-lo contra falsificação de IP, você ainda quer algo para alertá-lo se você já foi uma das vítimas. Felizmente, existe uma abundância de software por aí que pode ajudá-lo com esse problema; você só precisa encontrar algo que atenda às suas necessidades e orçamento.
