Назад | Перейти на главную страницу

Насколько надежны ограничения брандмауэра на основе IP-адресов?

В некоторых из моих производственных систем, которые должны быть доступны за пределами локальной сети, я иногда добавляю ограничение брандмауэра на границе, чтобы разрешать трафик, скажем, по RDP только с определенного IP-адреса или блока источника. Конечно, IP-адрес должен быть статическим (или мне нужно обновлять его всякий раз, когда он изменяется), но мой вопрос в том, насколько это надежно как средство предотвращения доступа злоумышленников к этой системе? В случае RDP (наиболее распространенного) аутентификация по имени пользователя и паролю все еще существует, но разве полагаться на эти ограничения брандмауэра на основе IP - плохая идея?

Первоначально я думал, что IP-спуфинг более полезен при отказе в обслуживании, когда вам не важно, чтобы пакеты возвращались к отправителю, но с точки зрения получения повышенного доступа, действительно ли злоумышленнику так легко подделать его IP и пакеты каким-то образом перенаправлены на его настоящий адрес?

Относительно сложно подделать IP-адрес (зависит от интернет-провайдера (злоумышленников) и их фильтрации), и намного сложнее сделать даже рукопожатие TCP с поддельным IP.

Приятно иметь экран входа в систему с именем пользователя и паролем. Но это не предотвращает атаки грубой силы и т. Д. Это похоже на дверной замок - при наличии достаточного количества времени и силы воли / силы его можно взломать. Брандмауэр - это просто еще один уровень защиты (в данном случае очень хороший), который не позволяет злоумышленнику даже начать брутфорс.

Большинство злоумышленников со случайной целью сначала сканируют порты, находят открытые порты, проверяют уязвимые службы, а затем атакуют соответствующими эксплойтами. Если ваш брандмауэр отбрасывает все пакеты, ваш порт RDP будет казаться закрытым для злоумышленника, поэтому даже если ваш RDP будет / будет уязвим, злоумышленник не узнает, что он запущен, и не будет пытаться атаковать его (даже если он это сделал, брандмауэр блокирует все попытки).

Так что я бы определенно пошел с брандмауэром в вашем случае.

Даже если возможно, злоумышленник должен будет угадать правильный IP-адрес и правильную комбинацию имени пользователя и пароля. И это только в том случае, если он / она сможет найти RDP, поскольку он будет скрыт за межсетевым экраном.

Успешно запустить атаки с использованием поддельных IP-адресов довольно сложно. Продолжающаяся популярность межсетевых экранов предполагает их постоянную применимость и актуальность. Однако один важный момент, который я хочу сделать, - это указать на два разных типа межсетевых экранов: с состоянием и без гражданства. Межсетевые экраны с отслеживанием состояния обычно обеспечивают большую безопасность благодаря своей способности отслеживать сеансы. Брандмауэры без сохранения состояния, хотя они все еще обеспечивают некоторую дополнительную меру контроля, легче предотвратить. Сценарий атаки заключается в том, что в службе есть уязвимость, которую можно использовать без установления полного подключения. Такие атаки сегодня менее распространены, но все еще могут существовать.

Единственный способ, которым злоумышленник может запустить атаку по поддельному IP-адресу, - это иметь доступ к сети вашего провайдера или доступ к физической сети между вами и вашим провайдером. В этом случае злоумышленник может легко подменить свой IP-адрес и получить ответный трафик. Многие люди упускают из виду физическую безопасность, поскольку такую ​​атаку может осуществить только более решительный и опытный злоумышленник, но это все еще возможно, и некоторые организации, особенно небольшие компании, весьма восприимчивы к ней.

Как уже говорили другие, спуфинг TCP-соединения непросто, но все же возможно. Брандмауэры помогают, но не решают основную проблему. Аутентификация хороша, но только в том случае, если она внутренне безопасна, поэтому я предлагаю вам рассмотреть возможность использования VPN. Это решает множество проблем с тем, какой доступ вы хотите предоставить удаленно (только один порт для туннелирования vpn), через который вы можете выборочно и безопасно предоставлять столько, сколько хотите, не беспокоясь о службах, реализующих небезопасные протоколы.

Да, в основном он используется в DOS-атаках, а подделать реальный адрес и получить ответы не так-то просто.

Википедия:

IP-спуфинг также может быть методом атаки, используемым сетевыми злоумышленниками для обхода мер сетевой безопасности, таких как аутентификация на основе IP-адресов. Этот метод атаки на удаленную систему может быть чрезвычайно сложным, поскольку требует одновременного изменения тысяч пакетов. Этот тип атаки наиболее эффективен при наличии доверительных отношений между машинами. Например, в некоторых корпоративных сетях часто бывает, что внутренние системы доверяют друг другу, поэтому пользователи могут входить в систему без имени пользователя или пароля при условии, что они подключаются с другого компьютера во внутренней сети (и поэтому уже должны быть авторизованы). Подделав соединение с доверенной машины, злоумышленник может получить доступ к целевой машине без аутентификации.

Злоумышленник, который находится в той же подсети, что и авторизованный IP-адрес, имеет множество методов, которые можно использовать для перехвата и перехвата трафика с указанного IP-адреса. Например, действуя как мошеннический DHCP-сервер, злоумышленник может переназначить IP-адреса различным устройствам в этой подсети. Подобные атаки со спуфингом ARP позволяют злоумышленнику захватить IP-адрес, настроив атаку «человек посередине» между авторизованным IP-адресом и брандмауэром.

За пределами локальной подсети и маршрутизатора, без какого-либо доверенного соединения между авторизованным хостом и злоумышленником, подмена IP-адреса становится непрактичной.

То, что вы делаете, на самом деле является обычной практикой безопасности, так что все в порядке. Если он открыт для публичного доступа в Интернет, я бы предложил переместить его с порта по умолчанию на что-то другое. Рассмотрите возможность размещения любых серверов, которые должны быть доступны в DMZ (демилитаризованной зоне), где вы не доверяете любому трафику к ним и от них. Затем вы можете настроить ACL так, чтобы ваша LAN могла подключаться к DMZ, но DMZ не могла инициировать соединения с LAN. Если вы не можете поместить серверы в DMZ, подумайте о том, чтобы поместить один сервер в DMZ, где вы можете подключиться, а затем разрешите подключение оттуда к другим серверам в вашей сети (где я работаю, мы называем это поле перехода ). Как всегда, используйте передовые методы работы с именами пользователей и паролями.

Что касается того, что говорят все остальные, вы действительно не можете подделать IP. Вы можете проксировать IP-адрес и относительно легко скрыть точку происхождения, но вы не можете подделать IP-адрес. Видите ли, интернет-маршрутизация выполняется на основе вашего IP-адреса, поэтому, если ваш адрес «отправителя» является поддельным, когда пакеты попадают в пункт назначения и он пытается отправить ответ, он отправляет его на адрес отправителя. Если это подделка, ну, это не до вас, потому что оно будет перенаправлено в другое место. Примерно так близко, насколько это возможно, используется TOR.