IPアドレスベースのファイアウォール制限はどの程度信頼できますか？

Question

LANの外部からアクセスできる必要がある本番システムの一部では、エッジにファイアウォール制限を追加して、特定のオリジンIPアドレスまたはブロックからのRDPなどのトラフィックのみを許可する場合があります。もちろん、IPは静的である必要があります（またはIPが変更されるたびに更新する必要があります）が、攻撃者がこのシステムにアクセスするのを防ぐ手段として、これはどの程度信頼できるのですか？ RDP（最も一般的）の場合でもユーザー名/パスワード認証はありますが、これらのIPベースのファイアウォール制限に依存することは悪い考えですか？

私の当初の考えは、IPスプーフィングは、サービス拒否でより有用であり、パケットが発信者に戻ることを本当に気にかけない場合ですが、高度なアクセスを取得するという点では、攻撃者にとって本当に簡単です。彼のIPをスプーフィングand何らかの方法でパケットを彼の実際のアドレスにルーティングし直しましたか？

symcbean · Accepted Answer

TCP接続は簡単ではありませんが、それでも可能です。ファイアウォールは役立ちますが、根本的な問題には対処しません。認証は優れていますが、本質的に安全である場合のみ-したがって、私はVPNを検討することをお勧めします。これにより、リモートで公開したいアクセス（トンネリングVPNの単一ポートのみ）に関する多くの問題が解決されます。安全でないプロトコルを実装するサービス。

mulaz · Answer

IPを偽装することは（攻撃者のISPとそのフィルターに依存します）比較的困難であり、偽造されたIPでTCPハンドシェイクすら行うことは非常に困難です。

ユーザー名/パスワードを使用してログイン画面を表示するのは素晴らしいことです。しかし、ブルートフォース攻撃などを防ぐことはできません。ドアロックのようなものです。十分な時間と意志/力があれば、侵入することができます。ファイアウォールを持つことは、保護のもう1つのレイヤー（この場合は非常に優れたレイヤー）であり、攻撃者がブルートフォースを開始することさえできません。

ほとんどのランダムターゲット攻撃者は、最初にポートスキャンを実行し、開いているポートを見つけ、脆弱なサービスをチェックしてから、適切なエクスプロイトで攻撃します。ファイアウォールがすべてのパケットをドロップする場合、RDPポートは攻撃者に対して閉じているように見えるため、RDPが脆弱である/脆弱である場合でも、攻撃者はそれが実行中であることを知らず、攻撃しようとはしません（たとえ実行したとしても、ファイアウォールはすべての試みをブロックします）。

だから私はあなたのケースでは間違いなくファイアウォールを使います。

可能であっても、攻撃者は正しいIPと正しいユーザー名/パスワードの組み合わせを推測する必要があります。また、RDPはファイアウォールの背後に隠れているため、RDPを見つけることができた場合に限ります。

bangdang · Answer

スプーフィングされたIP攻撃をうまく開始することは非常に困難です。ファイアウォールの継続的な人気は、その継続的な適用性と関連性を示唆しています。ただし、重要なポイントの1つは、2つの異なるファイアウォールタイプステートフルとステートレスを指摘することです。ステートフルファイアウォールは、セッションを追跡する機能があるため、通常はより高いセキュリティを提供します。ステートレスファイアウォールは、追加の制御手段を提供しますが、より簡単に阻止できます。攻撃シナリオは、完全な接続を確立せずに悪用できるサービスに脆弱性がある場合です。このような攻撃は今日ではあまり一般的ではありませんが、依然として存在する可能性があります。

攻撃者がスプーフィングされたIP攻撃を開始できる唯一の方法は、プロバイダーのネットワークへのアクセス、またはプロバイダーとの間の物理ネットワークへのアクセスがあった場合です。その場合、攻撃者はIPを簡単に偽装してリターントラフィックを受信できます。物理的なセキュリティを見落とすのは、より厳格で熟練した攻撃者だけが実行できるためです。しかし、それでもなお可能であり、一部の組織、特に小規模の企業は非常に脆弱です。

MichelZ · Answer

はい、これは主にDOS攻撃で使用され、実際のアドレスを偽装して実際に応答を取得することはそれほど簡単ではありません。

ウィキペディア：

IPスプーフィングは、ネットワーク侵入者がIPアドレスに基づく認証などのネットワークセキュリティ対策を打破するために使用する攻撃方法にもなります。一度に数千のパケットを変更する必要があるため、リモートシステムに対するこの攻撃方法は非常に困難な場合があります。このタイプの攻撃は、マシン間に信頼関係が存在する場合に最も効果的です。たとえば、一部の企業ネットワークでは、内部システムが相互に信頼し合うことが一般的です。そのため、ユーザーは、内部ネットワーク上の別のマシンから接続している（したがって、すでにログインしている必要がある）場合、ユーザー名またはパスワードなしでログインできます。信頼できるマシンからの接続を偽装することにより、攻撃者は認証なしでターゲットマシンにアクセスできる可能性があります。

Ben Walther · Answer

承認済みIPと同じサブネット上にいる攻撃者には、指定されたIPからのトラフィックを傍受して乗っ取るために使用できるさまざまな方法があります。たとえば、不正なDHCPサーバーとして動作することにより、攻撃者はそのサブネット上のさまざまなデバイスにIPアドレスを再割り当てする可能性があります。 ARPスプーフィングを使用した同様の攻撃では、承認されたIPとファイアウォールの間にman-in-the-middle攻撃を設定することにより、攻撃者がIPを乗っ取ることができます。

ローカルサブネットとルーターの範囲を超えて、承認されたホストと攻撃者の間の信頼できる接続がなければ、IPスプーフィングは実用的ではなくなります。

Matthew · Answer

あなたがやっていることは、実際には通常のセキュリティのベストプラクティスなので、大丈夫です。パブリックインターネットに公開している場合は、デフォルトのポートから別のポートに移動することをお勧めします。アクセスが必要なサーバーは、DMZ（非武装地帯））に置くことを検討してください。これらのサーバーとのトラフィックはすべて信頼できません。次に、LANがDMZに接続できるようにACLを構成できます。ただし、DMZはLANへの接続を開始できません。サーバーをDMZに配置できない場合は、単一のサーバーをDMZ接続できる場所から、ネットワーク上の他のサーバーへの接続を許可します（私が作業している場所では、これをジャンプボックスと呼びます）いつものように、ユーザー名/パスワードを使用して適切な方法を使用してください。

誰もが言っていることに関しては、あなたは本当にIPを偽装することはできません。 IPをプロキシでき、Originのポイントを比較的簡単に隠すことができますが、IPを偽装することはできません。インターネットのルーティングはIPアドレスに基づいて行われるため、「送信元」アドレスが偽の場合、パケットが宛先に到達して応答を送信しようとすると、送信元アドレスに送信されます。なりすましの場合は、別の場所にルーティングされるため、アクセスできません。 TORを使用することで、可能な限り近づくことができます。