Filtrat d'entrada

A les xarxes d'ordinadors, el filtratge d'entrada és una tècnica que s'utilitza per garantir que els paquets entrants provenen realment de les xarxes de les quals diuen originar-se. Això es pot utilitzar com a contramesura contra diversos atacs de falsificació en què els paquets de l'atacant contenen adreces IP falses. La falsificació s'utilitza sovint en atacs de denegació de servei i mitigar-los és una aplicació principal del filtratge d'entrada.^[1]^[2]

Problema

Les xarxes reben paquets d'altres xarxes. Normalment, un paquet contindrà l'adreça IP de l'ordinador que l'ha enviat originalment. Això permet que els dispositius de la xarxa receptora sàpiguen d'on prové, permetent que una resposta es torni a encaminar (entre altres coses), excepte quan les adreces IP s'utilitzen a través d'un servidor intermediari o una adreça IP falsificada, que no identifica un usuari específic dins de la xarxa. aquell grup d'usuaris.

Una adreça IP del remitent pot ser falsificada (spoofed), caracteritzant un atac de falsificació. Això dissimula l'origen dels paquets enviats, per exemple en un atac de denegació de servei. El mateix passa amb els servidors intermediaris, encara que d'una manera diferent a la falsificació d'IP.^[3]

Solucions potencials

Una solució potencial consisteix a implementar l'ús de passarel·les d'Internet intermèdies (és a dir, aquells servidors que connecten xarxes dispars al llarg del camí seguit per qualsevol paquet determinat) filtrant o negant qualsevol paquet considerat il·legítim. La passarel·la que processa el paquet pot simplement ignorar el paquet completament o, quan sigui possible, pot enviar un paquet de tornada al remitent transmetent un missatge que el paquet il·legítim ha estat denegat. Els sistemes de prevenció d'intrusions d'amfitrió (HIPS) són un exemple d'aplicacions d'enginyeria tècnica que ajuden a identificar, prevenir i/o dissuadir esdeveniments i intrusions no desitjats, insospitats o sospitosos.

Xarxes

El filtratge d'entrada de xarxa és una tècnica de filtratge de paquets utilitzada per molts proveïdors de serveis d'Internet per intentar evitar la falsificació d'adreces IP del trànsit d'Internet i, per tant, combatre indirectament diversos tipus d' abús de la xarxa fent que el trànsit d'Internet sigui traçable fins a la seva font.

El filtratge d'entrada a la xarxa fa que sigui molt més fàcil fer un seguiment dels atacs de denegació de servei a les seves fonts perquè es puguin solucionar.^[4]

Les millors pràctiques actuals per al filtratge d'entrada de xarxa estan documentades pel grup de treball d'enginyeria d'Internet a BCP 38 i 84, que es defineixen per RFC 2827 i RFC 3704, respectivament.

Referències

↑ Zhauniarovich, Yury. «Sorting the Garbage: Filtering Out DRDoS Amplification Traffic in ISP Networks». A: 2019 IEEE Conference on Network Softwarization (NetSoft) (en anglès). IEEE, June 2019, p. 142–150. DOI 10.1109/netsoft.2019.8806653. ISBN 978-1-5386-9376-6.
↑ «Firewall — Ingress Filtering | pfSense Documentation» (en anglès). [Consulta: 19 novembre 2023].
↑ «Ingress Filtering» (en anglès americà), 05-08-2022. [Consulta: 19 novembre 2023].
↑ Dr. David A. Wheeler. «What laws should be created to improve computer security?» (en anglès). [Consulta: 10 juny 2023].

[1] Zhauniarovich, Yury. «Sorting the Garbage: Filtering Out DRDoS Amplification Traffic in ISP Networks». A: 2019 IEEE Conference on Network Softwarization (NetSoft) (en anglès). IEEE, June 2019, p. 142–150. DOI 10.1109/netsoft.2019.8806653. ISBN 978-1-5386-9376-6.

[2] «Firewall — Ingress Filtering | pfSense Documentation» (en anglès). [Consulta: 19 novembre 2023].

[3] «Ingress Filtering» (en anglès americà), 05-08-2022. [Consulta: 19 novembre 2023].

[wheeler-4] Dr. David A. Wheeler. «What laws should be created to improve computer security?» (en anglès). [Consulta: 10 juny 2023].

[1]

[2]

[3]

[4]