在一些需要在 LAN 之外访问的生产系统上,我有时会在边缘添加防火墙限制,以仅允许来自特定源 IP 地址或块的 RDP 流量。当然,IP 必须是静态的(或者我需要在 IP 更改时更新它),但我的问题是,这种防止攻击者访问该系统的手段有多可靠?在 RDP(最常见的)的情况下,仍然有用户名/密码身份验证,但依赖这些基于 IP 的防火墙限制是不是一个坏主意?
我原本的想法是,IP 欺骗在拒绝服务攻击中更有用,因为你并不真正关心数据包是否返回到发起者,但就获得更高访问权限而言,攻击者真的很容易欺骗他的 IP 吗?和数据包是否以某种方式路由回他的真实地址?
答案1
正如其他人所说,欺骗 TCP 连接并不容易 - 但仍然有可能。防火墙有所帮助 - 但不能解决根本问题。身份验证很好,但前提是它本质上是安全的 - 因此我建议您考虑使用 VPN。这解决了许多问题,例如您想要远程公开哪些访问(对于隧道 VPN 只有一个端口),通过它可以有选择地安全地公开尽可能多的访问,而不必担心服务实施不安全的协议。
答案2
成功发起欺骗性 IP 攻击非常困难。防火墙的持续流行表明其持续适用性和相关性。但是,我想指出的一点是指出两种不同的防火墙类型:有状态和无状态. 状态防火墙通常提供更高的安全性,因为它能够跟踪会话。无状态防火墙虽然仍提供一些额外的控制措施,但更容易被挫败。攻击场景是如果服务存在漏洞,则无需建立完全连接即可利用该漏洞。这种攻击如今不太常见,但可能仍然存在。
攻击者发起欺骗性 IP 攻击的唯一方式是,他们可以访问您的提供商网络或访问您与您的提供商之间的物理网络。在这种情况下,攻击者可以轻松欺骗他们的 IP 并接收返回流量。许多人忽视了物理安全,因为只有更坚定、更熟练的攻击者才会进行这样的攻击,但这仍然是可能的,一些组织,尤其是较小的公司,很容易受到这种攻击。
答案3
伪造 IP 相对困难(取决于(攻击者的)ISP 及其过滤),而使用伪造的 IP 进行 TCP 握手则更加困难。
拥有带有用户名/密码的登录屏幕很不错。但它无法防止暴力攻击等。它就像一把门锁 - 只要有足够的时间和意志/力量,它就能被打破。防火墙只是另一层保护(在这种情况下是非常好的一层),它甚至不允许攻击者开始暴力攻击。
大多数随机目标攻击者首先进行端口扫描,找到开放端口,检查易受攻击的服务,然后利用适当的漏洞进行攻击。如果您的防火墙丢弃所有数据包,您的 RDP 端口对攻击者来说似乎已关闭,因此即使您的 RDP 存在/将存在漏洞,攻击者也不会知道它正在运行,也不会尝试攻击它(即使他知道,防火墙也会阻止所有尝试)。
所以对于你的情况我肯定会选择防火墙。
即使可能,攻击者也必须猜测正确的 IP 和正确的用户名/密码组合。而且只有他/她能够找到 RDP 时才行,因为它隐藏在防火墙后面。
答案4
与授权 IP 位于同一子网的攻击者可以使用多种方法来拦截和接管来自指定 IP 的流量。例如,通过充当流氓 DHCP 服务器,攻击者可能会将 IP 地址重新分配给该子网上的各种设备。与 ARP 欺骗类似的攻击允许攻击者通过在授权 IP 和防火墙之间设置中间人攻击来接管 IP。
超出本地子网和路由器的范围,如果授权主机和攻击者之间没有某种可信连接,IP 欺骗就变得不切实际。