Назад | Перейти на главную страницу

Насколько серьезной проблемой безопасности Linux является «подмена IP-адреса»?

Я использую ConfigServer Security & Firewall (CSF) для ограничения доступа к порту IP-адресами из белого списка. Однако я слышал, что IP-адреса можно подделать. Насколько распространена эта проблема и стоит ли меня беспокоить?

Проверять, выписываться этот вопрос по обмену стеками безопасности - много полезных ответов.

Возможные риски:

Некоторые риски:

  • SYN-лавинная рассылка с IP, который не фильтруется.
  • Взлом соединения путем изучения следующего порядкового номера
  • Обходите брандмауэр и другие средства защиты, действуя как законный источник
  • IDLE сканирование
  • Смурф атака
  • Отравление кеша DNS

И мой принятый ответ на этот вопрос:

Меньший прямой риск, но также значимая общая транспортная нагрузка. Я считаю, что нужно запретить как можно больше на периметре - это включает типы трафика и порты, которые вы не используете, а также трафик, который фактически недействителен. Это просто сделать на большинстве маршрутизаторов, и это означает, что любой межсетевой экран для глубокой проверки должен перебирать меньше пакетов, что снижает нагрузку.

Во многих потребительских интернет-сетях я могу просто установить свой IP-адрес на IP-адрес соседей и получить их IP-адреса, так что да, IP-адреса можно подделать. Совместно размещенные серверы также часто используют одну подсеть для разных клиентов. Просто установите DOS на машину, чтобы она перестала работать, перехватите ее IP и все готово ...

В любом случае, это зависит от вашей ситуации. У вас есть данные, которые вы ожидаете украсть или пытаетесь украсть? Тогда вам понадобится больше безопасности, чем белый список IP. Однако если это будет «нормальный» (веб-сервер), то обычно даже ограничения IP необходимы только для нестандартного программного обеспечения, такого как PHPMyadmin. Например, такое программное обеспечение, как SSH, нельзя просто взломать, потому что OpenSSH строго проверяется. Даже DenyHosts (запретить IP-адреса, которые пытаются часто входить в систему) не нужны и в основном раздражают (меня довольно часто блокировали на моих собственных машинах ...).

По моему опыту, если у вас нет данных, которые нужны кому-то другому, ваша самая большая проблема - это автоматическое сканирование таких вещей, как ненадежные PHP-сайты для рассылки спама. Для этого часто бывает достаточно самых простых мер безопасности, таких как добавление IP в белый список или запуск на другом порту.