5. Liabilities (Limitazioni)
5. Liabilities (Limitazioni)
Il filtraggio di questa natura ha il potenziale di interrompere alcuni tipi di servizi "speciali". È nell'interesse del ISP che offre questi tipi di servizi speciali, tuttavia, considerare metodi alternativi di implementazione di questi servizi per evitare di essere influenzato dal filtraggio del traffico in ingresso.
Mobile IP (IP Mobile), come definito in [6], è specificamente influenzato dal filtraggio del traffico in ingresso. Come specificato, il traffico verso il nodo mobile è incapsulato in un tunnel, ma il traffico dal nodo mobile non è incapsulato in un tunnel. Ciò risulta in pacchetti dal/dai nodo/i mobile/i che hanno indirizzi sorgente che non corrispondono alla rete dove la stazione è collegata. Per soddisfare il filtraggio in ingresso (Ingress Filtering) e altre preoccupazioni, il gruppo di lavoro Mobile IP ha sviluppato una metodologia per i "tunnel inversi" (reverse tunnels), specificata in [7]. Questo fornisce un metodo per i dati trasmessi dal nodo mobile da incapsulare in tunnel all'agente home prima della trasmissione a Internet. Ci sono ulteriori vantaggi nello schema di tunneling inverso, inclusa una migliore gestione del traffico multicast. Coloro che implementano sistemi IP mobili sono incoraggiati a implementare questo metodo di tunneling inverso.
Come menzionato in precedenza, mentre il filtraggio del traffico in ingresso riduce drasticamente il successo dello spoofing dell'indirizzo sorgente, non preclude a un attaccante di utilizzare un indirizzo sorgente falsificato di un altro host all'interno dell'intervallo di filtri di prefisso consentito. Tuttavia, garantisce che quando un attacco di questa natura si verifica effettivamente, un amministratore di rete può essere sicuro che l'attacco stia effettivamente provenendo dai prefissi noti che vengono pubblicizzati. Questo semplifica il tracciamento del colpevole e, nel peggiore dei casi, l'amministratore può bloccare un intervallo di indirizzi sorgente fino a quando il problema non viene risolto.
Se il filtraggio in ingresso viene utilizzato in un ambiente in cui viene utilizzato DHCP o BOOTP, l'amministratore di rete farebbe bene a garantire che i pacchetti con un indirizzo sorgente di 0.0.0.0 e una destinazione di 255.255.255.255 siano autorizzati a raggiungere l'agente relay nei router quando appropriato. L'ambito della replica broadcast diretto dovrebbe essere controllato, tuttavia, e non inoltrato arbitrariamente.