Angriffsvektor IP-Spoofing

Mittel gegen die Angriffe

Das einfachste Mittel gegen IP-Spoofing ist die Verwendung vernünftiger Regeln in der Firewall. Ist dem Administrator erst bewusst, dass IP-Spoofing in der Praxis existiert, dann gilt zumindest eine Firewall-Regel: Die Firewall muss von außen eingehende Pakete daraufhin überprüfen, ob deren IP-Header aus der IP-Range des internen Netzes stammen. Ist das der Fall, handelt es sich mit Sicherheit um eine gefälschte Adresse und beim Paket möglicherweise um einen Angriffsversuch, denn die internen Adressen befinden sich ja auf der anderen Seite der Firewall. Mit anderen Worten: Eingehende Pakete mit Adressen aus dem internen Adressbereich müssen blockiert werden.

Als gute Tat für die Allgemeinheit sollte man auch ausgehende Pakete filtern - und zwar dahin gehend, ob diese Adressen verwenden, die gar nicht zum eigenen Paket an öffentlichen Adressen passen. Werden solche Pakete gefunden, fälscht jemand aus dem eigenen Netzwerk Adressen und verschickt derart gefälschte Pakete ins Internet. Das ist natürlich zu unterbinden. Würden alle ISPs diese einfache Regel beachten, wäre schon viel verbessert.

Eine weitere Lösung ist die Verwendung von IPv6, denn die nächste Version des Internet-Protokolls ist gegen aktuelle Spoofing-Angriffe durch Authentifizierungs- und Verschlüsselungsmechanismen geschützt. Leider lässt sich IPv6 nicht einfach durch Umlegen eines Schalters überall geschlossen zum Einsatz bringen: Bis dahin wird man als Netzwerk-Admin mit Spoofing-Problemen leben müssen. (mha)