Depuis des décennies, l’usurpation d’adresse IP est un problème central pour les experts en sécurité et les professionnels de l’industrie informatique. Et en particulier, le fait que des attaques DoS et DDoS peuvent être effectuées si facilement : rendant la manipulation des adresses IP, encore aujourd’hui, intéressante pour les cybercriminels. Par conséquent, il existe depuis longtemps la demande d’un filtrage ciblé du trafic sortant par les fournisseurs de services Internet ou les paquets avec les adresses sources en dehors du réseau sous-jacent sont enregistrés et rejetés. Toutefois, les efforts et le coût sont les raisons principales qui font que cette demande reste lettre morte.
Une autre cause de la réticence des fournisseurs réside dans les caractéristiques de sécurité de la version révisée du protocole Internet IPv6. Par ailleurs, le successeur officiel de l’IPv4, comporte plusieurs options facultatives d’authentification et de chiffrement pour l’en-tête des paquets de données qui à l’avenir pourraient complètement empêcher l’usurpation d’IP. Cependant, la transition vers ce nouveau protocole d’adressage s’avère jusqu’à maintenant assez difficile, par exemple par le manque de prise en charge d’IPv6 dans différents périphériques réseau communs.
Ainsi, pour empêcher un hacker d’usurper et de détourner votre adresse IP, vous avez seulement la possibilité de prendre vous-même des initiatives en mettant notamment en place vos propres mécanismes de protection. Par exemple, il est facilement possible d’initier les mesures suivantes :
- La mise en place d’un filtrage complet des paquets pour votre routeur ou votre passerelle de sécurité. Cela devrait analyser et rejeter les paquets de données entrants s’ils accusent des adresses source d’appareils de votre réseau. D’autre part, vous devez également appliquer le filtrage pour les paquets sortants avec des adresses d‘expéditeur qui sont en dehors de votre propre réseau. Même si les experts en sécurité ont tendance à considérer cela comme le devoir du fournisseur d’accès à Internet.
- Ne pas utiliser les méthodes d’authentification basées sur l’hôte. Assurez-vous que toutes les méthodes d’authentification ont bien lieu via des connexions chiffrées. En effet cela minimise le risque d’une attaque d’IP spoofing au sein de votre réseau, ainsi que l‘établissement de normes importantes pour la sécurité générale.
Il est bien évidemment conseillé de remplacer des systèmes d’exploitation et des équipements réseau anciens si à tout hasard vous en utilisez encore. De cette manière vous augmenter non seulement votre protection contre les attaques d’IP spoofing mais aussi vous comblez des lacunes générales de sécurité.