基於 IP 地址的防火牆限制有多可靠?
在我的一些需要在 LAN 外部訪問的生產系統上,我有時會在邊緣添加防火牆限制,以僅允許來自特定源 IP 地址或塊的 RDP 上的流量。當然,IP 需要是靜態的(或者我需要在它發生變化時對其進行更新),但我的問題是,作為防止攻擊者訪問該系統的一種手段,這有多可靠?在 RDP(最常見)的情況下,仍然存在使用者名/密碼身份驗證,但是依賴這些基於 IP 的防火牆限制是一個壞主意嗎?
我最初的想法是 IP 欺騙在拒絕服務中更有用,當您並不真正關心數據包返回到發起方時,但就獲得更高的訪問權限而言,攻擊者真的那麼容易嗎?欺騙他的 IP並讓數據包以某種方式路由回他的真實地址?
正如其他人所說,欺騙 TCP 連接並不容易 - 但仍然可能。防火牆有幫助——但不能解決根本問題。身份驗證很好,但前提是它本質上是安全的 - 因此我建議您考慮使用 VPN。這解決了許多關於您想要遠端公開哪些訪問權限的問題(只有一個用於隧道 vpn 的埠),您可以通過它有選擇地安全地公開盡可能多的內容,而不必擔心服務實施不安全的協議。
成功發起欺騙性 IP 攻擊非常困難。防火牆的持續流行表明它的持續適用性和相關性。但是,我想說的重要一點是指出兩種不同的防火牆類型:有狀態和無狀態。狀態防火牆通常提供更高的安全性,因為它能夠跟踪會話。無狀態防火牆雖然仍然提供一些額外的控制措施,但更容易被挫敗。攻擊場景是如果服務存在漏洞,無需建立完全連接即可被利用。此類攻擊如今已不太常見,但可能仍然存在。
攻擊者發起欺騙性 IP 攻擊的唯一方法是,他們是否可以訪問您的提供商的網路或訪問您和您的提供商之間的物理網路。在這種情況下,攻擊者可以輕鬆地欺騙他們的 IP 並接收返回流量。許多人忽略了物理安全,因為只有更有決心和技能的攻擊者才會進行這種攻擊,但它仍然是可能的,並且一些組織,尤其是較小的公司,很容易受到它的影響。