我正在使用 ConfigServer Security & Firewall (CSF) 将端口访问限制为白名单 IP 地址。但是我听说 IP 地址可以被欺骗。这个问题有多普遍?我应该担心吗?
答案1
在很多消费者互联网网络上,我只需将我的 IP 设置为邻居的 IP 即可,这样 IP 就可以被伪造。同地服务器也经常在不同客户之间共享一个子网。只需对机器执行 DOS 操作,让它停机,接管它的 IP,就大功告成了……
无论如何,这取决于你的情况。你是否拥有预计会被窃取或试图被窃取的数据?那么你需要比 IP 白名单更高的安全性。但是,如果它是一个“普通”(Web)服务器,那么通常甚至 IP 限制也只对 PHPMyadmin 等不稳定的软件才是必要的。例如,像 SSH 这样的软件不会被破解,因为 OpenSSH 经过严格审核。甚至 DenyHosts(拒绝频繁尝试登录的 IP)也是不必要的,而且大多很烦人(我经常被阻止使用自己的机器……)。
我的经验是,如果你没有别人想要的数据,那么你最大的问题就是自动扫描诸如不靠谱的 PHP 网站之类的东西来发送垃圾邮件。最简单的安全措施,如 IP 白名单或在不同端口上运行,通常就足够了。
答案2
查看这个问题在安全堆栈交换上 - 有很多有用的答案。
可能的风险:
一些风险:
- 来自未经过滤的 IP 的 SYN 泛洪。
- 通过了解下一个序列号来劫持连接
- 通过充当合法来源绕过防火墙和其他防御措施
- 空闲扫描
- Smurf 攻击
- DNS 缓存中毒
我对这个问题的回答是:
一般流量负载虽然不是直接风险,但也很重要。我对此的看法是,在边界尽可能地禁止流量 - 包括您不使用的流量类型和端口,以及实际上无效的流量。在大多数路由器上,这很容易做到,这意味着任何深度检查防火墙都必须检查更少的数据包,从而减少负载。