Informatikdienste

Neu an der Uni?
Dienstleistungen
Publikationen
Organisation
Projekte
Support  

Antispoofing

IP-Spoofing
Dezentrale Anti-Spoofing-Filter
Zentrale Antispoofing-Filter
Beispiel
Fazit

IP-Spoofing

Alle IP-Datenpakete tragen sowohl eine Absender-IP-Adresse (Source IP) sowie eine Ziel-IP-Adresse (Destination IP). IP-Spoofing ist die Fälschung der Absender-IP-Adresse. Da die Absender-IP-Adresse für die Antwort verwendet wird, kann der Datentransfer in die Gegenrichtung nicht stattfinden. Gespoofte Pakete können aber für anonyme DoS-Attacken (Denial of Service-Attacken) eingesetzt werden, als verwirrendes Sperrfeuer zusätzlich zu richtig adressierten Paketen oder für Attacken, bei denen ein einziges Daten-Paket am Ziel schon reicht.

Falsch eingerichtete PCs können auch Pakete mit fehlerhaften IP-Adressen versenden. Zum Beispiel kann ein unabsichtlich aktiver WLAN-Adapter dazu missbraucht werden.

Dezentrale Anti-Spoofing-Filter

Um das Problem einzugrenzen, ist das Netzwerk in Antispoofing-Zonen aufgeteilt, die sich in der Regel mit den Bereichen der einzelnen IP-Subnetze decken. Wo Computer Ethernet-Interfaces in mehr als einem IP-Subnetz haben, mussten Zonen gebildet werden, die beide IP-Subnetze umfassen.

Die Filter lassen nur die in der Zone zulässigen Ziel-Adressen als mögliche Absender-Adressen durch, so dass nicht mehr beliebige falsche Absender-Adressen auftreten und ein fehlbarer Computer eher gefunden werden kann.

Zentrale Antispoofing-Filter

Ebenso wie die IP-Subnetze im Kleinen, bilden die Universität gegenüber der Welt und die Welt gegenüber der Universität Zürich Antispoofing-Zonen. Einerseits können nur Daten-Pakete mit Absender-Adressen, die zur Universität gehören, die Universität verlassen. Andererseits können Datenpakete mit Absender-Angabe von innerhalb der Universität, nicht von aussen her, in die Universität gelangen.

Beispiel

Die Büros der Informatikdienste verwenden das IP-Subnetz 130.60.112.0/24 (Adressen 130.60.112.1 bis 130.60.112.254). Alle Pakete, welche dieses Subnetz verlassen - sei es in Richtung Internet oder zu einem anderen IP-Subnetz in der Universität - müssen folglich eine Absenderadresse aus diesem Bereich haben. Pakete mit anderen Absenderadressen - seien es gefälschte, solche von falsch konfigurierten Computern oder BOOTP/DHCP-Anforderungen von Computern ohne gültige Adresse - dürfen das Subnetz nicht verlassen. Verbindungsversuche von falschen Absenderadressen werden verhindert und bei Bedarf aufgezeichnet.

Diese Filter betreffen alle IP-Pakete ausser ICMP.

antispoofing_1

Pakete mit falscher Absenderadresse.

antispoofing_0

Pakete mit korrekter Absenderadresse.

Fazit

Diese Filter wurden für die meisten IP-Subnetze innerhalb 130.60.0.0/16 installiert, ausser bei Instituten mit eigener Firewall.

Diese Massnahme schützt keine Rechner im NUZ vor Angriffen, verhindert aber gewisse Angriffe von befallenen Rechnern in Richtung Internet und NUZ. Sie trägt dazu bei, dass bei einem Ereignis dieser Art das Problem wesentlich schneller gelöst werden kann.