5. Liabilities (Haftungsausschlüsse)
5. Liabilities (Haftungsausschlüsse)
Filterung dieser Art hat das Potenzial, einige Arten von "speziellen" Diensten zu unterbrechen. Es liegt jedoch im besten Interesse des ISP, der diese Arten von speziellen Diensten anbietet, alternative Methoden zur Implementierung dieser Dienste in Betracht zu ziehen, um zu vermeiden, von Ingress-Verkehrsfilterung betroffen zu sein.
Mobile IP, wie in [6] definiert, ist speziell von Ingress-Verkehrsfilterung betroffen. Wie spezifiziert, wird Verkehr zum mobilen Knoten getunnelt, aber Verkehr vom mobilen Knoten wird nicht getunnelt. Dies führt zu Paketen vom/von den mobilen Knoten, die Quelladressen haben, die nicht mit dem Netzwerk übereinstimmen, an das die Station angeschlossen ist. Um Ingress-Filterung und andere Bedenken zu berücksichtigen, entwickelte die Mobile IP Working Group eine Methodik für "Reverse Tunnels" (Rücktunnel), spezifiziert in [7]. Dies bietet eine Methode für die vom mobilen Knoten übertragenen Daten, zum Home Agent getunnelt zu werden, bevor sie zum Internet übertragen werden. Es gibt zusätzliche Vorteile des Reverse-Tunneling-Schemas, einschließlich besserer Handhabung von Multicast-Verkehr. Diejenigen, die Mobile-IP-Systeme implementieren, werden ermutigt, diese Methode des Reverse Tunneling zu implementieren.
Wie zuvor erwähnt, reduziert Ingress-Verkehrsfilterung drastisch den Erfolg von Source Address Spoofing (Quelladressfälschung), schließt aber nicht aus, dass ein Angreifer eine gefälschte Quelladresse eines anderen Hosts innerhalb des erlaubten Präfixfilterbereichs verwendet. Sie stellt jedoch sicher, dass, wenn ein Angriff dieser Art tatsächlich auftritt, ein Netzwerkadministrator sicher sein kann, dass der Angriff tatsächlich von innerhalb der bekannten Präfixe stammt, die angekündigt werden. Dies vereinfacht die Aufspürung des Täters, und im schlimmsten Fall kann der Administrator einen Bereich von Quelladressen blockieren, bis das Problem gelöst ist.
Wenn Ingress-Filterung in einer Umgebung verwendet wird, in der DHCP oder BOOTP verwendet wird, sollte der Netzwerkadministrator gut beraten sein sicherzustellen, dass Pakete mit einer Quelladresse von 0.0.0.0 und einem Ziel von 255.255.255.255 den Relay-Agent in Routern erreichen dürfen, wenn dies angemessen ist. Der Umfang der Directed-Broadcast-Replikation sollte jedoch kontrolliert werden und nicht willkürlich weitergeleitet werden.