内部IPアドレスを明らかにするWAFのセキュリティへの影響

Webアプリのファイアウォール/ロードバランサーがその背後にあるWebサイトの内部IP /を外部に公開することによるセキュリティへの影響は何ですか？

「内部IP」とは、WebサーバーのLANアドレス（つまり、同じデータセンター、プライベートネットワークなど）を意味する場合、 WebRTCに似たシナリオでコンピュータのプライベートIPが明らかになる住所 。

より大きなリスクは、「内部IP」と言った場合、リモートアクセス可能な（つまり、公開されている）IPアドレスを意味し、私たちが話し合わず、隠蔽および保護するためにあいまいさによってセキュリティに依存しています。この場合、インターネットから直接アクセスできるため、ここでの攻撃対象はWebサーバー全体であり、そのIPアドレスを学習するだけで、攻撃者はWebアプリケーションファイアウォールを完全にバイパスし、ブロックおよびロギングを行うことができます。

詳細な防御については、次のアクセス制御を検討してください。

• ウェブサーバーでファイアウォールルールを作成して、ロードバランサーからの受信トラフィックのみを許可し、他のネットワーク/ IPからの直接アクセスを、たとえそれがリークされた場合でも禁止します。
• サーバーのパブリックIPを削除し、プライベートネットワークのみを使用する

もちろん、これはセキュリティと保守性のバランスを意味します。リモートインする方法（つまり、VPN、SSH、またはChef、Puppet、継続的インテグレーションプロセスなどのインフラストラクチャ管理ソフトウェアを介して）がまだ必要だと思いますが、より厳密なアクセス制御の下でそうすることが重要です。これは、サーバーのIPに関する知識をほとんど役に立たないものにします。

攻撃者がホストの1つでコードを実行する方法を見つけた場合、バックチャネルが制限されていても、ファイアウォールまたはロードバランサーの背後にある他のホストを攻撃する方が簡単です（たとえば、ブラインドコードインジェクションの場合や、攻撃のフットプリントを維持する場合）可能な限り小さい）。

内部IP開示は、一般に情報開示の脆弱性と見なされます。これは、攻撃者である可能性のあるネットワークのフットプリントプロセスに役立ちますが、他の情報開示よりも本質的に悪いわけではありません。

WAFがないことのリスクと攻撃者に1つの追加情報を与えることのリスクを比較検討することは、私には簡単な決断のように思えます。

おそらく（大部分の場合）、攻撃者は従業員の1人がソーシャルエンジニアリングを介してトロイの木馬をダウンロードしようとします。その時点で、内部からネットワークのスキャンを開始するのはほとんど簡単です。