Plus de 80 % des réseaux d'Amérique latine et des Caraïbes filtrent l'usurpation d'adresse IP entrante.

Une étude récemment publiée par LACNIC CISRT montre que plus de 80 % des réseaux d'Amérique latine et des Caraïbes se protègent contre l'usurpation d'adresse IP entrante.

L'usurpation d'adresse IP, ou spoofing IP, consiste à modifier des paquets IP de manière à ce qu'ils semblent provenir d'une autre source. Les acteurs malveillants utilisent cette technique pour lancer des attaques, notamment des attaques par déni de service distribué (DDoS), des attaques NSNXAttacks et des empoisonnements de cache DNS, sous le couvert d'une adresse source familière ou apparemment fiable.

La validation de l'adresse source (SAV) est un moyen efficace de limiter l'usurpation d'adresse IP. Les meilleures pratiques actuelles recommandent aux opérateurs de réseaux d'utiliser la validation de l'adresse source pour filtrer le trafic entrant et sortant.

L'étude, qui a utilisé des sources de données actives pour fournir des informations pertinentes sur la situation de l'usurpation d'adresse IP dans la région, a montré que moins de 20 % des réseaux de la région sont vulnérables à l'usurpation d'adresse IP entrante (trafic entrant dans un réseau) (figure 1).

Le Brésil, le Chili, la Guyane française, le Pérou, l'Uruguay et le Suriname présentent le plus faible pourcentage de réseaux vulnérables à l'usurpation d'adresse IP entrante, tandis que la Guyane, le Paraguay et le Venezuela présentent le pourcentage le plus élevé.

Sur les 3 082 blocs IP évalués dans la région, 84,4 % mettent en œuvre le SAV sortant.

L'étude propose plusieurs recommandations pour aider les organisations à détecter et à atténuer l'usurpation d'adresse IP :

• Évaluer l'état du SAV entrant et sortant dans les ressources attribuées.
• Mise en œuvre du SAV entrant et sortant.
• Tester et mettre en œuvre les meilleures pratiques, y compris le guide de mise en œuvre de la lutte contre le spoofing du MANRS.

Un moyen rapide de déterminer si votre organisation met correctement en œuvre le SAV entrant et sortant consiste à demander à votre opérateur de réseau de vérifier si les situations suivantes sont possibles.

• Usurpation d'adresse IP entrante : envoyer vers l'organisation du trafic dont les adresses IP sources font partie des blocs d'adresses IP attribués à votre organisation depuis l'internet.
• Usurpation d'adresse IP sortante : envoyer vers l'internet du trafic dont les adresses IP sources font partie des blocs d'adresses IP attribués à l'organisation, à partir de l'organisation.

Si vous ne savez pas comment procéder, reportez-vous au rapport d'étude.

Le CSIRT de LACNIC prévoit de continuer à surveiller l'application des filtres sur le trafic entrant et sortant et de travailler directement avec les organisations membres de LACNIC pour comprendre le problème de l'usurpation d'adresse IP et accroître l'application des techniques anti usurpation.

En savoir plus sur l'anti-spoofing.