Digitalisering heeft ook nadelen. Door de toenemende netwerkvorming proberen steeds meer cybercriminelen zich toegang te verschaffen tot uw gevoelige gegevens of uw systeem te beschadigen door middel van een aanval. Daarbij gebruiken de hackers verschillende methoden om uw identiteit te verbergen. Een daarvan is het zogenaamde IP-spoofing, waarbij gebruik wordt gemaakt van een systeemgerelateerde zwakte in het TCP/IP-protocol. In dit artikel leggen we uit hoe IP-spoofing precies werkt en hoe u zich het beste tegen dergelijke aanvallen kunt beschermen.

Wat is IP spoofing en waar wordt het gebruikt?

Bij IP-spoofing maken hackers gebruik van systeemgerelateerde zwakheden in de TCP/IP-protocolfamilie om hun eigen IP te verhullen en gegevenspakketten vanaf een vervalst adres te verzenden of buitenlandse computersystemen te infiltreren. Daartoe laten zij de ontvanger geloven dat de gegevens afkomstig zijn van een betrouwbare bron.

In principe wordt onderscheid gemaakt tussen twee soorten IP-spoofing:

• Bij niet-blinde spoofing bevindt de aanvaller zich in hetzelfde subnet als het slachtoffer en gebruikt hij het gestolen IP-adres om het gegevensverkeer tussen twee of meer computers te onderscheppen of te manipuleren (“man-in-the-middle”-aanvallen).
• Bij “blind spoofing” daarentegen bevindt de aanvaller zich buiten het subnet. Van daaruit stuurt hij gegevenspakketten naar het slachtoffer om uit de ontvangstbevestigingen conclusies te kunnen trekken over de volgnummers.

In het kader van Dos- en DDoS-aanvallen wordt ook steeds vaker gebruik gemaakt van zogenaamde SYN flooding. Met behulp van “ontvreemde” ACK-berichten worden opzettelijk serviceblokken in werking gesteld, die vervolgens leiden tot een overbelasting van afzonderlijke componenten van een IT-infrastructuur .

Goed om te weten: Het IP-adres kan ook worden gemaskeerd via een proxyserver, maar die stuurt de pakketten alleen door. Dit betekent dat zelfs met gemaskeerde adressen hackers nog steeds kunnen worden geïdentificeerd uit de logbestanden van de proxyserver.

Hoe wordt de vervalsing van het IP-adres technisch uitgevoerd?

Elk IP-pakket bevat een bron- en een bestemmingsadres in de kop, waarvoor tegenwoordig nog steeds geen afdoende bescherming bestaat tegen manipulatie. Dit betekent dat ze niet gecodeerd zijn en ook niet op juistheid worden gecontroleerd. In principe moet de ontvanger er dus blindelings op vertrouwen dat de pakketten echt van het opgegeven adres komen.

Met een eenvoudige spoofingaanval krijgt een hacker nietper se toegang tot het dataverkeer. Hij kan alleen de adresvermelding van het betreffende pakket veranderen, terwijl het eigenlijke IP-adres blijft bestaan. Het antwoord op de verzonden gegevens bereikt de aanvaller dus niet rechtstreeks, maar wordt doorgestuurd naar de computer met het omgeleide IP-adres.

De TCP-pakketten van hun kant zijn allemaal gemarkeerd met een uniek volgnummer, dat wordt gebruikt om een volledige en duplicaatvrije verzending te garanderen. Zodra de hacker zich echter onder een valse identiteit op het communicatiepad heeft vastgezet (“session hijacking”), kan hij relatief gemakkelijk de komende volgnummers voorspellen en dus op de achtergrond doen wat hij wil.

Bovendien authenticerende deelnemers elkaar alleen aan het begin van de communicatie. Nadat de verbinding tot stand is gebracht, wordt automatisch aangenomen dat de parameters van de andere partij niet meer veranderen.

Goed om te weten: De computers waarvan het IP-adres wordt overgenomen, kunnen zelf het doelwit van een aanval zijn of in een netwerk als instrument voor een aanval worden gebruikt. In beide gevallen blijft de hacker zelf onbekend.

Hoe kan ik me beschermen tegen IP-spoofing?

IP-spoofing werkt vanaf elke locatie, de aangevallen computer moet alleen een verbinding met het internet hebben. Daarom zijn de meeste tegenmaatregelen vooral gericht op beveiligingsconfiguraties, autorisaties en toegangscontroles.

Het probleem houdt computerspecialisten en beveiligers al tientallen jaren bezig. Alleen al het feit dat DoS- en DDoS-aanvallen zo gemakkelijk kunnen worden uitgevoerd, maakt IP-spoofing tot een van de populairste criminele methoden op internet. In het verleden is er daarom vaak op aangedrongen dat internetproviders het dataverkeer specifiek filteren en de desbetreffende pakketten, inclusief bronadressen, buiten het netwerk registreren en vervolgens verwijderen.

Wat zo eenvoudig klinkt, is niet alleen een aanzienlijke inspanning, maar ook een kwestie van kosten. Om deze redenen heeft niemand zich tot dusver echt met de realisatie willen bezighouden.

3.1 IPv6 maakt een einde aan spoofers

Het herziene IPv6-protocol biedt verbeterde beveiligingsfuncties ten opzichte van zijn voorganger IPv4. Deze omvatten bijvoorbeeld nieuwe (optionele) encryptietechnieken en authenticatieprocedures die IP-spoofing in de nabije toekomst volledig zullen doen verdwijnen. Momenteel ondersteunen echter nog niet alle gangbare netwerkapparaten het nieuwe protocol. Bovendien zal de omschakeling waarschijnlijk enige tijd in beslag nemen.

Dit betekent natuurlijk niet dat u gewoon machteloos staat tegenover obfuscation-aanvallen. Om IP-spoofing-aanvallen af te weren, kunt u ook zelf actie ondernemen en passende beschermingsmaatregelen treffen:

• Een mogelijke tegenmaatregel tegen IP spoofing is pakketfilters op uw router of gateway. Deze analyseren de inkomende pakketten en verwijderen alle pakketten met het bronadres van een computer uit het netwerk. Zo kunnen hackers het adres van een interne computer niet van buitenaf spoofen. Om dezelfde reden moet u ook de adressen van uitgaande pakketten filteren en alle pakketten waarvan het bronadres zich niet in het netwerk bevindt, verwijderen.
• Gebruikin principe geen host-based authenticatiemethoden en voer alle inlogmethoden uit via versleutelde verbindingen. Dit voorkomt niet alleen spoofing-aanvallen, maar verhoogt ook de veiligheidsnormen binnen het netwerk.
• Vervang zo mogelijk alle oude besturingssystemen, programma’s en netwerkapparatuur, omdat deze meestal niet meer aan de huidige veiligheidsnormen voldoen. Behalve dat ze gevoelig zijn voor IP-spoofing, hebben ze vaak nog tal van andere beveiligingsproblemen waar cybercriminelen misbruik van kunnen maken.

Goed om te weten: De meeste huidige firewalls hebben al een ingebouwde anti-spoofing tool die TCP-volgordenummers randomiseert. Op die manier wordt het voorspellen van de komende nummers veel moeilijker gemaakt.