Aller au contenu principal

5. Liabilities

Le filtrage de cette nature a le potentiel de casser certains types de services « spéciaux ». Il est dans le meilleur intérêt de l'ISP offrant ces types de services spéciaux, cependant, d'envisager des méthodes alternatives d'implémentation de ces services pour éviter d'être affecté par le filtrage du trafic entrant.

Mobile IP, tel que défini dans [6], est spécifiquement affecté par le filtrage du trafic entrant. Comme spécifié, le trafic vers le nœud mobile est tunnelisé, mais le trafic depuis le nœud mobile n'est pas tunnelisé. Cela aboutit à des paquets du ou des nœuds mobiles qui ont des adresses source qui ne correspondent pas au réseau où la station est attachée. Pour accommoder le filtrage d'entrée et d'autres préoccupations, le groupe de travail Mobile IP a développé une méthodologie pour les « tunnels inversés », spécifiée dans [7]. Cela fournit une méthode pour que les données transmises par le nœud mobile soient tunnelisées vers l'agent domestique avant transmission vers Internet. Il y a des avantages supplémentaires au schéma de tunnelisation inverse, y compris une meilleure gestion du trafic multicast. Ceux qui implémentent des systèmes Mobile IP sont encouragés à implémenter cette méthode de tunnelisation inverse.

Comme mentionné précédemment, bien que le filtrage du trafic entrant réduise drastiquement le succès de l'usurpation d'adresse source, il n'empêche pas un attaquant d'utiliser une adresse source falsifiée d'un autre hôte dans la plage de préfixes de filtre autorisée. Cependant, il garantit que lorsqu'une attaque de cette nature se produit effectivement, un administrateur réseau peut être sûr que l'attaque provient réellement des préfixes connus qui sont annoncés. Cela simplifie le traçage du coupable, et au pire, l'administrateur peut bloquer une plage d'adresses source jusqu'à ce que le problème soit résolu.

Si le filtrage d'entrée est utilisé dans un environnement où DHCP ou BOOTP est utilisé, l'administrateur réseau serait bien avisé de s'assurer que les paquets avec une adresse source de 0.0.0.0 et une destination de 255.255.255.255 sont autorisés à atteindre l'agent relais dans les routeurs lorsque approprié. La portée de la réplication de diffusion dirigée devrait être contrôlée, cependant, et ne pas être transférée arbitrairement.

Dernière mise à jour le