Cloudflare biedt nieuwe methode voor detectie van gedeelde IP-adressen

De uitdaging van gedeelde IP-adressen

In het huidige internetlandschap delen steeds meer internetgebruikers (thuisgebruikers, mobiele gebruikers) één enkel publiek IP-adres. Dit komt vooral door CGNAT, een veelgebruikte techniek door internetproviders (ISP's) om het tekort aan IPv4-adressen op te vangen. Bij CGNAT delen vaak honderden of duizenden abonnees dezelfde IP-adres, wat ernstige gevolgen heeft voor beveiliging zo meldt Cloudflare in een blog.

Wanneer één gebruiker achter zo’n gedeeld IP-adres kwaadaardig gedrag vertoont (zoals het lanceren van DDoS-aanvallen of het versturen van spam), kan dit IP-adres een slechte reputatie krijgen. Gevolg: alle andere onschuldige gebruikers die datzelfde IP-adres delen, worden onterecht geblokkeerd, uitgedaagd met CAPTCHA's, of krijgen de toegang tot websites ontzegd. Dit fenomeen wordt door Cloudflare de ‘collateral damage’ of bijkomende schade genoemd.

Machine Learning maakt het verschil

Om dit probleem aan te pakken, heeft Cloudflare een supervised learning classifier ontwikkeld. Dit model maakt gebruik van de ongeëvenaarde hoeveelheid verkeersdata die door het wereldwijde Cloudflare-netwerk stroomt om onderscheid te maken tussen:

1. CGNAT- en VPN/Proxy-IP's: IP-adressen die door een groot aantal verschillende gebruikers worden gedeeld (Large Scale Sharing of LSS-IP’s).
2. Niet-LSS-IP's: IP-adressen die zijn toegewezen aan één enkele abonnee of server.

De classificatie berust op de analyse van geaggregeerde gedragskenmerken, aangezien er geen specifiek label in een HTTP-verzoek zit dat CGNAT direct aangeeft.

Belangrijke onderscheidende kenmerken zijn:

• Client-side signalen: Een CGNAT-IP vertoont door de grote, diverse gebruikersbasis een veel grotere statistische variëteit aan gedragingen en verbindingsparameters dan een enkelvoudige gebruiker.
• Netwerk- en transportlaaggedrag: De manier waarop een grootschalig netwerkapparaat (zoals een CGNAT) verbindingen beheert en routeert, laat subtiele, meetbare afdrukken achter in de verkeerspatronen, bijvoorbeeld in de manier van poorttoewijzing en netwerktiming.

Eerlijkere beveiliging

Met deze methode kan Cloudflare nu nauwkeuriger bepalen wanneer een IP-adres door een groot aantal verschillende klanten wordt gedeeld. Dit stelt het bedrijf in staat om beveiligingstechnieken die afhankelijk zijn van IP-reputatie, beter te kalibreren. Door de risico's van LSS-IP’s anders te behandelen dan die van enkelvoudige IP’s, kan Cloudflare verkeersfiltering optimaliseren, waardoor de onterechte straf voor onschuldige gebruikers drastisch wordt verminderd.

Het is Cloudflare's doel om intelligentie in te bouwen die de behandeling van gebruikers eerlijker maakt en tegelijkertijd een robuuste beveiliging tegen kwaadwillende actoren handhaaft, zelfs in een wereld waarin het IPv4-adres steeds meer wordt gedeeld.