Windows-Server-2008
為一個特定 IP 的所有程序和埠打開 Windows 2008 防火牆的風險有多大?
為方便起見,我設置了我們客戶的 Windows 2008 R2 伺服器之一的防火牆規則,以便它對所有傳入流量、所有埠和所有程序開放,但范圍設置將其限制為一個特定的遠端 IP 地址- 我們的. 原因是我們遠端訪問數據庫和其他程序。
問:這樣的設置**有風險嗎?**除了我們的固定 IP 地址,我是否應該努力為特定埠和程序建立單獨的規則?
作為一名開發人員,我發現很難估計 IP 欺騙的危險以及任何其他可以利用該設置的黑客技術。
一般來說,可攻擊的表面積越小越好。將其限制為特定的源 IP,您走在正確的軌道上。按照最低權限原則,您應該拒絕所有目標埠,只打開您實際需要的埠。然後,您必須權衡管理成本與風險。風險將取決於幾個因素,例如您正在訪問的數據的敏感程度、伺服器是否受到威脅、量化的損失是多少等。
話雖如此,攻擊者更有可能從他們自己的網路內部利用客戶伺服器上的漏洞,而不是他們執行中間人攻擊並獲取您的憑據、敏感的數據庫材料等。實際應用中的 IP 欺騙在這裡不必擔心。它通常用於掃描網路或建構另一台機器/IP。當使用需要在源和目標之間建立會話的協議時,欺騙 IP 並執行任何功能變得非常複雜。可能,但不太可能。(參見 arp 或 dns 中毒)
另一個更可能的攻擊向量(對數據庫)可能是您自己的機器/網路受到損害,攻擊者可以從那裡轉向並攻擊數據庫機器。當然,在這一點上,你會遇到更大的問題。;) 希望這個對你有幫助。