在我的一些需要在 LAN 外部访问的生产系统上,我有时会在边缘添加防火墙限制,以仅允许来自特定源 IP 地址或块的 RDP 流量。当然,IP 需要是静态的(或者我需要在它发生变化时更新它)但我的问题是,作为防止攻击者访问该系统的一种手段,它的可靠性如何?在 RDP(最常见)的情况下,仍然存在用户名/密码身份验证,但是依赖这些基于 IP 的防火墙限制是不是一个坏主意?
我最初的想法是 IP 欺骗在拒绝服务中更有用,当你并不真正关心数据包返回到发起者时,但就获得提升的访问权限而言,攻击者真的那么容易欺骗他的 IP并以某种方式将数据包路由回他的真实地址?
欺骗 IP 相对困难(取决于(攻击者)ISP 和他们的过滤),甚至用欺骗 IP 进行 TCP 握手也更难。
有一个带有用户名/密码的登录屏幕很好。但它并不能防止暴力攻击等。它就像一道门锁——只要有足够的时间和意志/力量,它就可以被攻破。拥有防火墙只是另一层保护(在这种情况下是非常好的保护),它甚至不允许攻击者开始暴力破解。
大多数随机目标攻击者首先进行端口扫描,找到开放端口,检查易受攻击的服务,然后使用适当的漏洞进行攻击。如果您的防火墙丢弃所有数据包,您的 RDP 端口将对攻击者关闭,因此即使您的 RDP 易受攻击/将易受攻击,攻击者也不会知道它正在运行并且不会尝试攻击它(即使他知道,防火墙会阻止所有尝试)。
所以我肯定会在你的情况下使用防火墙。
即使可能,攻击者也必须猜测正确的 IP 和正确的用户名/密码组合。而且只有他/她能找到 RDP,因为它会隐藏在防火墙后面。
成功发起欺骗性 IP 攻击非常困难。防火墙的持续流行表明它具有持续的适用性和相关性。但是,我想指出的一个重点是指出两种不同的防火墙类型:有状态的和无状态的。状态防火墙通常提供更高的安全性,因为它能够跟踪会话。无状态防火墙虽然仍提供一些额外的控制措施,但更容易被阻挠。攻击场景是如果服务存在漏洞,无需建立完全连接即可利用该漏洞。此类攻击如今已不那么常见,但可能仍然存在。
攻击者发起欺骗性 IP 攻击的唯一方法是,如果他们可以访问您的提供商的网络或访问您与您的提供商之间的物理网络。在这种情况下,攻击者可以轻松欺骗他们的 IP 并接收返回流量。许多人忽视了物理安全,因为只有更坚定和更熟练的攻击者才会进行这样的攻击,但它仍然是可能的,一些组织,尤其是小公司,很容易受到它的影响。
正如其他人所说,欺骗 TCP 连接并不容易——但仍有可能。防火墙有帮助——但不能解决根本问题。身份验证很好,但前提是它本质上是安全的——因此我建议您考虑使用 VPN。这解决了很多关于您想要远程公开哪些访问权限的问题(只有一个端口用于隧道 vpn),通过这些访问您可以有选择地安全地公开尽可能多的内容,而不必担心服务实施不安全的协议。
是的,它主要用于 DOS 攻击,欺骗真实地址并实际获得回复并不那么容易。
维基百科:
与授权 IP 位于同一子网的攻击者有多种方法可用于拦截和接管来自指定 IP 的流量。例如,通过充当流氓 DHCP 服务器,攻击者可以将 IP 地址重新分配给该子网上的各种设备。类似的 ARP 欺骗攻击允许攻击者通过在授权 IP 和防火墙之间设置中间人攻击来接管 IP。
在本地子网和路由器的范围之外,在授权主机和攻击者之间没有某种可信的连接,IP 欺骗变得不切实际。
你所做的实际上是正常的安全最佳实践,所以你很好。如果您将它开放给公共互联网,我建议您将其从默认端口移至其他端口。考虑将任何需要访问的服务器放在 DMZ(非军事区)中,您不信任进出它们的任何流量。然后您可以配置 ACL,以便您的 LAN 可以连接到 DMZ,但 DMZ 不能启动到 LAN 的连接。如果您不能将服务器放在 DMZ 中,请考虑将单个服务器放入您可以连接的 DMZ 中,然后允许从那里连接到您网络上的其他服务器(我工作的地方我们将其称为跳转框). 一如既往,使用用户名/密码的良好做法。
至于别人怎么说,你真的骗不了IP。你可以代理一个 IP,你可以相对容易地隐藏一个起源点,但你不能欺骗一个 IP。看,互联网路由是根据您的 IP 地址完成的,因此如果您的“发件人”地址是假的,当数据包到达目的地并尝试发送回复时,它会将其发送到发件人地址。如果它被欺骗了,那么它就不会到达您的手中,因为它会被路由到其他地方。尽可能接近使用 TOR。