🧠 Bloggen är dedikerad till ämnet VPN och säkerhet, datasekretess på Internet. Vi pratar om aktuella trender och nyheter relaterade till skydd.

IP-filtrering: Förstå vanliga tekniker för att filtrera en IP

28

IP-filtrering har blivit en vanlig praxis i dagens era. På gott och ont är det en tråkig process och har olika begränsningar för företag som använder denna teknik som en primär lösning för att fastställa varje användare och sålla bort bedrägliga beteenden.

Processen att filtrera IP-adresser är dock lämplig och effektiv i flera situationer. Ett vanligt exempel är streamingtjänster som Netflix begränsar användarnas åtkomst till specifika innehållstitlar baserat på deras IP-adresser.

Det betyder att om du bor i USA så kan du inte komma åt Netflix Korea eller Netflix Japan på grund av IP-filtrering. På samma sätt är det lika omöjligt att titta på amerikansk Netflix i Storbritannien, Kina, Kanada, Ryssland och mer.

Dessutom vill IT-proffs ibland också blockera en specifik delmängd av onlinetrafik till deras webbplats för att endast tillåta en viss lista med IP-adresser eller på grund av geografisk plats.

Även om allt detta verkar ganska intressant, skulle vi vilja berätta mer om IP-filtrering. Så i guiden får du lära dig vad det är, dess vanliga tekniker, regler och hur du använder det. Låt oss börja!


Vad är IP-filtrering?

IP-filtrering låter dig kontrollera vilken IP-trafik som tillåts inuti och utanför ditt nätverk. Det låter dig definiera regler och sedan filtrera IP-paket baserat på dessa uppsatta regler.

Med andra ord är IP-filtrering en procedur som bestämmer vilka IP-paket som kommer att behandlas och kasseras/raderas. Du kan använda flera kriterier för att ange vilken data du vill filtrera. Här är några exempel:

  • Typ av datagram: ICMP Echo Request, SYN/ACK, data och mer.
  • Typ av protokoll: UDP, TCP, ICMP och mer.
  • Datagrammets källa och destinationsadress: varifrån det kom och vart det ska.
  • Uttagsnummer: (för UDP/TCP)

Det är ganska viktigt att erkänna att IP-adressfiltrering är en facilitet för nätverkslager. Den förstår ingenting om applikationen som använder nätverksanslutningar, utan själva anslutningarna.


Vanliga IP-filtreringstekniker

Det finns tre vanliga typer av IP-filtreringstekniker. Låt oss kolla in dem nedan:

1 ruttfiltrering:

Vid ruttfiltrering annonseras inte vissa rutter eller övervägs för inkludering i den lokala databasen. Filter kan appliceras på routrar, före utgångsfiltrering eller efter ingångsfiltrering.

Det finns flera anledningar till ruttfiltrering:

  • Denna typ av filtrering säkerställer att användningen av RFC 1918 (privat adressutrymme) inte läcker ut på det globala internet. Båda dessa prefix kräver att nätverket blockerar in- och utfiltrering.
  • Att annonsera rutter som är icke-lokala för en granne när en webbplats är multihomed skiljer sig från den som den var känd, allt från reklam för beredskap för transitering. Man kan inte undvika detta genom att tillämpa utgångsfiltrering på rutter som dessa.
  • En internetleverantör utför vanligtvis indatafiltrering på rutter som upptäckts från en konsument för att begränsa den till den IP som faktiskt tilldelats den konsumenten. På så sätt blir kapning av IP-adresser ganska svårt.

I några få fall finns det en otillräcklig mängd huvudminne i routrar för att bära hela den globala BGP-tabellen. Genom indatafiltrering på prefixlängd, på AS-antal eller en kombination av båda, begränsas den lokala ruttdatabasen till en delmängd av den globala tabellen. Denna praxis rekommenderas dock inte.

IPv4-prefix blockeras också av vissa nätverk som finns hos de regionala internetregistren (RIR) och som inte delegeras till något nätverk. Denna teknik kräver en regelbunden uppdatering av routerfiltret. Men det är bäst att inte utföra den här typen av routerfiltrering om du inte har ett pålitligt och automatiserat verktyg för att kontrollera RIR-databaserna.

2 Brandväggsfiltrering:

En brandvägg är en programvara, enhet eller flera enheter som utvecklats för att neka eller möjliggöra överföring av åtkomstnätverk på grundval av en uppsättning regler för att skydda nätverk från obehörig åtkomst samtidigt som legitim trafik tillåts passera. Olika routrar som skickar data mellan nätverk innehåller komponenter av en brandvägg och kan utföra nödvändiga routingfunktioner.

Följande är de grundläggande typerna av brandväggar:

  • Applikationsskiktsbrandväggar: Denna typ av brandvägg fungerar på applikationsnivån för IP/TCP-stacken. Den fångar upp alla IP-paket som färdas till en applikation eller från den och släpper oönskad trafik utanför från att nå de skyddade maskinerna/enheterna utan någon bekräftelse till avsändaren. Inspektionskriterierna lägger dessutom till extra latens för vidarebefordran av paket till deras destination.
  • Proxytjänster: Dessa körs på dedikerade hårdvaruenheter eller på maskiner för allmänt bruk som mjukvara, svarar på indatapaket samtidigt som de blockerar de andra. Ett komprometterat internt system, i det här fallet, skulle inte resultera i ett säkerhetsintrång, men tekniker som IP-spoofing kan överföra paket till ett annat nätverk.
  • Paketfilter eller nätverkslagers brandväggar: När den arbetar med TCP/IP-protokollstacken tillåter denna brandvägg inte att paket passerar genom den om de inte matchar standardreglerna eller administratören. Brandväggar i dag kan filtrera trafik baserat på attribut för paket som källport, käll- och destinations-IP-adress, etc. De kan också filtrera på basis av TTL-värden, protokoll och upphovsmannens nätblock.
  • Nätverksadressöversättning (NAT):  Enligt definitionen i RFC 1918 möjliggör NAT att dölja skyddade enheters IP-adresser genom att numrera dem med adresserna som finns i det privata adressintervallet.
  • Obligatorisk åtkomstkontroll (MAC) sandboxning eller filtrering:  Den säkrar sårbara tjänster genom att tillåta eller neka åtkomst på basis av MAC-adresserna för specifika enheter som är auktoriserade att ansluta till ett visst nätverk.

3 E-postfiltrering:

Denna typ av IP-filtrering involverar automatisk och manuell bearbetning av inkommande e-postmeddelanden, organisering av dem i förinställda kriterier och borttagning av virus och spam. Detta filter gör att endast de rena meddelandena kan levereras till användaren i dess inkorg.

Några av dessa filter kan också redigera meddelanden, som att avaktivera de skadliga länkarna innan användarna faktiskt klickar på dem. Ett fåtal organisationer inspekterar all utgående post för att övervaka om deras anställda följer lagens krav.

E-postfilter fungerar genom olika metoder, som att matcha ett sökord, typiska uttryck eller avsändarens e-post-ID. Andra avancerade lösningar använder dokumentklassificeringstekniker baserade på statistik, IP-rykte och e-postanalysalgoritmer för att förhindra att meddelanden når säkra postlådor.

Denna filtreringstyp kan vara ett problem när en svartlistad IP-adress överförs till ett annat nätverk. Nätverket kan ha blockerat mottagning av e-posttrafik från svartlistade IP-adresser och skulle behöva kontakta olika underhållare av svarta listan för att ta bort adressen.


TCP/IP-ruttfilterregler

För att komma åt fönstret för redigering av TCP/IP-ruttfilter, klicka på dialogrutan Main TCP/IP Filtering > välj knappen för routerfilter. Reglerna för ruttfiltrering tillämpas i enheten globalt utan att vara associerad med något gränssnitt. Men de kan begränsas till ett gränssnitt genom att använda till och från modifierare i regeln.

Eftersom reglerna specificeras före tillämpning, ändrar inte en enhet regeluppsättningar. De tillämpas i den ordning de är skrivna. Med VPN 5000 Manager, när olika filteruppsättningar väljs, kommer de att sammanfogas från första till sist i enheten.

Ett nätverk skulle inte inkluderas i routingtabellen för ingång eller utdata om det inte uttryckligen tillåts av reglerna. För att tillåta att alla andra nätverksnummer inte filtreras måste den sista regeln vara: tillåt 0.0.0.0.

Eftersom statiska och direkta rutter inte tas emot via ett gränssnitt och är konfigurerade i enheten, är de alltid installerade och kan inte filtreras.

Regler som tidigare specificerats med hjälp av Manager kan granskas eller redigeras via ett kommandoradsgränssnitt. Regler som laddas ner från Managern är krypterade.

En uppsättning regler skapade med hjälp av redigeringsfönstret för TCP/IP-ruttfiltret kan tillämpas via rullgardinsmenyerna i dialogrutan.

Grundläggande IP-ruttfiltersyntax och regler

Varje kommentarsrad och IP-adress måste åtminstone innehålla en åtgärd i filteruppsättningen. Dessa komponenter anger tillsammans filterregeln som maskinen/enheten senare följer för att skicka och ta emot nätverksroutingpaket.

Raderna i routerfiltret bör initieras med tillstånds-/nekaåtgärder och en kommentarsindikator: #

  • Rader som börjar med tillstånd anger att information från routingpaket som uppfyller alla villkor ska vara en del av IP-routingtabellen.
  • Rader som börjar med neka anger att information från paket som uppfyller alla villkor inte ska vara en del av IP-routningstabellen.
  • Rader som börjar med # anger att texten på raden faktiskt är en kommentar och måste ignoreras.

Varje rad som börjar med tillstånd eller neka bör följas av en IP-adress. Denna adress kan anges på olika sätt.

  • Adresser kan anges med prickade decimaler. Om komponenterna längst till höger är 0, behandlas de som jokertecken.
  • Ett format som är faktoriserat kan också användas där uppsättningar av komponenter ersätts med IP-adresser. Dessa IP-adresser är formaterade som #.#.#.{#,#,…}. Faktoruppsättningar måste finnas i slutet av adressen. Varje komponent som finns efter faktoruppsättningens position antas vara 0.
  • Hexadecimala tal kan också användas för att ange en IP-adress.

Adresser kan ha ett valfritt fält av /bitar i slutet. Detta indikerar antalet bitar, som initieras med den viktigaste, som kommer att beaktas av instrumentet/enheten när adressen jämförs med filterregeln i ett dirigeringspaket.

Alternativ för IP-ruttfilterregel

Vägbeskrivningar anges vanligtvis av antingen båda eller av in och ut. Om en riktning inte anges är antagandet både och.

  • Rutfilterregler som anger in tillämpas på routningspaket endast som kommer in i enheten.

  • Rutfilterregler som anger ut tillämpas på routningspaket som endast skickas från enheten.

  • Rutfilterregler som indikerar båda tillämpas på att dirigera paket i båda riktningarna.

När och hur man använder GeoIP-filtrering

Om du äger ett företag i USA och det inte finns någon anledning för dig att acceptera onlinekommunikation från andra länder över hela världen, är den landstäckande geoIP-filtreringen vettig. Men om du har att göra med kunder utomlands måste du tänka klokt på vem du behöver blockera.

Även om kundhantering inte är fallet, kanske du använder en onlinetjänst eller programvara som är värd utanför USA, till exempel webbhotell eller webbmail. Så du måste tillåta dem att passera genom din brandvägg också.

Det kan dock finnas många länder som du inte har någon egentlig anledning att acceptera anslutningar från. Genom geoIP-filtrering kan du enkelt blockera nationer som har en meritlista för att skapa skadlig internettrafik. Att skära av IP-adresser från nationer verkar effektivt och problemfritt, men att justera dina geoIP-inställningar är ett smartare alternativ.

Du kanske bara blockerar IP eller en lista över IP-adresser som är kända för att vara skadliga. Men om du fortsätter och blockerar ett helt land, kan du göra några undantag och skapa regler i din brandvägg som tillåter vitlistade IP-adresser att passera genom ditt system.

Denna typ av justering kan vara till stor hjälp om din personal åker utomlands i affärssyfte. Du kan också tillfälligt avblockera landet de besöker eller vitlista deras IP-adresser.


Vanliga frågor – IP-filtrering

IP-filtrering är bättre än att ha ingenting. Det har dock två problem: IP-adresser kan vara förfalskade. Om något internt instrument/maskin äventyras kan den illvilliga aktören använda den som en proxy eller hoppa värd för att attackera ditt system.

IPFilter eller ipf är ett mjukvarupaket med öppen källkod som erbjuder NAT- och brandväggstjänster för flera operativsystem som Unix. Darren Reed är programvarans underhållare och författare. IPFilter är en statusfull brandvägg som stöder IPv4- och IPv6-protokoll.

internet.com webopedia definierar paketfiltrering som att undersöka de inkommande och utgående IP-paketen för att kontrollera åtkomst till ett nätverk, stoppa eller låta dem passera baserat på källans eller destinationens IP-adress.


Slutsats

Detta avslutar vår guide som informerade dig om alla grunderna du behöver veta om IP-filtrering. Även om det kan komma med några fallgropar, är IP-adressfiltrering verkligen till stor hjälp i dagens era.

Det blockerar anslutningar och räddar dig från skadliga aktörer och länkar med hjälp av dess många filtreringstyper och tekniker. Det förhindrar också att svartlistade IP-adresser kommer in i ditt nätverk och gör dig skada.

Vi måste dock upprepa att när det gäller geoIP-filtrering är det alltid ett bättre alternativ att justera dina filterinställningar istället för att blockera alla anslutningar från utlandet.

Vi hoppas att du gillade vår IP-filtreringsguide. Kommentera gärna vid eventuella frågor.

Denna webbplats använder cookies för att förbättra din upplevelse. Vi antar att du är ok med detta, men du kan välja bort det om du vill. Jag accepterarFler detaljer