Wie zuverlässig sind IP-Adress-basierte Firewall-Einschränkungen?

Auf einigen meiner Produktionssysteme, auf die außerhalb des LAN zugegriffen werden muss, füge ich manchmal eine Firewall-Einschränkung am Rand hinzu, um nur Datenverkehr auf beispielsweise RDP von einer bestimmten Ursprungs-IP-Adresse oder einem bestimmten Block zuzulassen. Natürlich muss die IP statisch sein (oder ich muss sie aktualisieren, wenn sie sich ändert), aber meine Frage ist, wie zuverlässig dies ist, um Angreifer daran zu hindern, auf dieses System zuzugreifen. Im Fall von RDP (am häufigsten) gibt es immer noch eine Authentifizierung mit Benutzername / Passwort. Ist es jedoch eine schlechte Idee, sich auf diese IP-basierten Firewall-Einschränkungen zu verlassen?

Mein ursprünglicher Gedanke war, dass IP-Spoofing beim Denial-of-Service nützlicher ist, wenn Sie sich nicht wirklich darum kümmern, dass die Pakete zum Absender zurückkehren, sondern wenn es darum geht, erhöhten Zugriff zu erhalten, ist dies für einen Angreifer wirklich so einfach seine IP fälschen und Pakete irgendwie an seine echte Adresse zurückgeleitet haben?

Wie andere gesagt haben, ist das Spoofing einer TCP-Verbindung nicht einfach - aber dennoch möglich. Firewalls helfen - aber sprechen Sie das grundlegende Problem nicht an. Die Authentifizierung ist gut, aber nur, wenn sie eigensicher ist. Daher würde ich vorschlagen, dass Sie ein VPN in Betracht ziehen. Dies löst viele Probleme hinsichtlich des Zugriffs, den Sie remote verfügbar machen möchten (nur ein einziger Port für einen Tunneling-VPN), über den Sie selektiv und sicher so viel verfügbar machen können, wie Sie möchten, ohne sich um die Dienste kümmern zu müssen, die unsichere Protokolle implementieren.

Das erfolgreiche Starten gefälschter IP-Angriffe ist ziemlich schwierig. Die anhaltende Beliebtheit von Firewalls lässt auf ihre fortgesetzte Anwendbarkeit und Relevanz schließen. Ein wichtiger Punkt, den ich ansprechen möchte, ist jedoch, auf die zwei verschiedenen Firewall-Typen hinzuweisen: statusbehaftet und zustandslos . Stateful Firewalls bieten im Allgemeinen mehr Sicherheit, da sie Sitzungen verfolgen können. Staatenlose Firewalls können leichter vereitelt werden, obwohl sie noch ein zusätzliches Maß an Kontrolle bieten. Das Angriffsszenario besteht darin, dass eine Sicherheitsanfälligkeit mit einem Dienst vorliegt, die ausgenutzt werden kann, ohne die vollständige Konnektivität herzustellen. Solche Angriffe sind heute weniger verbreitet, können aber immer noch existieren.

Ein Angreifer kann einen gefälschten IP-Angriff nur starten, wenn er Zugriff auf das Netzwerk Ihres Anbieters oder auf das physische Netzwerk zwischen Ihnen und Ihrem Anbieter hat. In diesem Fall kann der Angreifer seine IP-Adresse leicht fälschen und Rückverkehr empfangen. Viele Menschen übersehen die physische Sicherheit, da nur der entschlossenere und erfahrenere Angreifer einen solchen Angriff ausführen würde. Dies ist jedoch weiterhin möglich, und einige Organisationen, insbesondere kleinere Unternehmen, sind dafür sehr anfällig.

Es ist relativ schwierig, eine IP zu fälschen (abhängig vom ISP (Angreifer) und dessen Filterung), und es ist viel schwieriger, selbst einen TCP-Handshake mit einer gefälschten IP durchzuführen.

Ein Anmeldebildschirm mit Benutzername / Passwort ist schön. Aber es verhindert nicht Brute-Force-Angriffe usw. Es ist wie ein Türschloss - mit genügend Zeit und Willen / Kraft kann es aufgebrochen werden. Eine Firewall ist nur eine weitere Schutzschicht (in diesem Fall eine sehr gute), die es einem Angreifer nicht einmal erlaubt, Brute-Forcing zu starten.

Die meisten Angreifer mit zufälligen Zielen führen zuerst einen Port-Scan durch, suchen nach offenen Ports, überprüfen anfällige Dienste und greifen dann mit geeigneten Exploits an. Wenn Ihre Firewall alle Pakete verwirft, scheint Ihr RDP-Port für einen Angreifer geschlossen zu sein. Selbst wenn Ihr RDP anfällig ist / sein wird, weiß der Angreifer nicht, dass es ausgeführt wird, und versucht nicht, es anzugreifen (selbst wenn dies der Fall ist) Firewall würde alle Versuche blockieren).

Also würde ich definitiv mit einer Firewall in Ihrem Fall gehen.

Selbst wenn möglich, müsste der Angreifer die richtige IP und die richtige Kombination aus Benutzername und Passwort erraten. Und das nur, wenn er / sie das RDP finden könnte, da es hinter der Firewall versteckt wäre.

Ja, es wird hauptsächlich bei DOS-Angriffen verwendet, und es ist nicht so einfach, eine echte Adresse zu fälschen und die Antworten tatsächlich zu erhalten.

Wikipedia :

IP-Spoofing kann auch eine Angriffsmethode sein, mit der Netzwerk-Eindringlinge Netzwerksicherheitsmaßnahmen wie die Authentifizierung anhand von IP-Adressen umgehen. Diese Angriffsmethode auf ein Remote-System kann äußerst schwierig sein, da Tausende von Paketen gleichzeitig geändert werden müssen. Diese Art von Angriff ist am effektivsten, wenn Vertrauensbeziehungen zwischen Computern bestehen. In einigen Unternehmensnetzwerken ist es beispielsweise üblich, dass sich interne Systeme gegenseitig vertrauen, sodass sich Benutzer ohne Benutzernamen oder Kennwort anmelden können, sofern sie eine Verbindung von einem anderen Computer im internen Netzwerk herstellen (und daher bereits angemeldet sein müssen). Durch Spoofing einer Verbindung von einem vertrauenswürdigen Computer kann ein Angreifer möglicherweise ohne Authentifizierung auf den Zielcomputer zugreifen.

Ein Angreifer, der sich im selben Subnetz wie die autorisierte IP befindet, verfügt über verschiedene Methoden, mit denen Datenverkehr von der angegebenen IP abgefangen und übernommen werden kann. Wenn ein Angreifer beispielsweise als nicht autorisierter DHCP-Server fungiert, kann er verschiedenen Geräten in diesem Subnetz IP-Adressen neu zuweisen. Ähnliche Angriffe mit ARP-Spoofing ermöglichen es einem Angreifer, eine IP zu übernehmen, indem er einen Man-in-the-Middle-Angriff zwischen der autorisierten IP und der Firewall einrichtet.

Von außerhalb der Grenzen des lokalen Subnetzes und des Routers wird IP-Spoofing ohne eine vertrauenswürdige Verbindung zwischen dem autorisierten Host und dem Angreifer unpraktisch.

Was Sie tun, ist eigentlich eine normale bewährte Sicherheitsmethode, also geht es Ihnen gut. Wenn Sie es für das öffentliche Internet geöffnet haben, würde ich vorschlagen, es vom Standardport auf einen anderen zu verschieben. Stellen Sie Server, auf die zugegriffen werden muss, in eine DMZ (entmilitarisierte Zone), in der Sie dem Datenverkehr zu / von ihnen misstrauen. Anschließend können Sie ACLs so konfigurieren, dass Ihr LAN eine Verbindung zur DMZ herstellen kann, die DMZ jedoch keine Verbindungen zum LAN herstellen kann. Wenn Sie die Server nicht in eine DMZ einfügen können, sollten Sie einen einzelnen Server in eine DMZ einbinden, in der Sie eine Verbindung herstellen können, und dann die Konnektivität von dort zu anderen Servern in Ihrem Netzwerk zulassen (wo ich arbeite, wird dies als Sprungfeld bezeichnet) ). Verwenden Sie wie immer bewährte Methoden für Benutzernamen / Kennwörter.

Was alle anderen sagen, kann man eine IP wirklich nicht fälschen. Sie können eine IP als Proxy verwenden und einen Ursprungspunkt relativ einfach ausblenden, aber Sie können eine IP nicht fälschen. Das Internet-Routing wird basierend auf Ihrer IP-Adresse durchgeführt. Wenn Ihre "Von" -Adresse also falsch ist und die Pakete ihr Ziel erreichen und versuchen, eine Antwort zu senden, wird sie an die Von-Adresse gesendet. Wenn es gefälscht ist, kommt es nicht zu Ihnen, weil es woanders weitergeleitet wird. Etwa so nah wie möglich kommt die Verwendung von TOR.