it-swarm-tr.com

Yabancı IP adreslerini kısıtlamanın gerçek bir güvenlik faydası var mı?

Şu anda ABD dışında sağlık uzmanımın web sitesinde oturum açmaya çalışıyorum ve bağlantı zaman aşımına uğradı. Twitter'da onlara ulaştım ve bir güvenlik önlemi olarak ABD dışından bağlantıları engellediklerini ve bir VPN kullanmamı önerdiklerini söylediler.

Çok güzel, sorunumu çözmek için bir VPN kullanabilirim. Ama merak ediyorum, bu tür IP adresi engellemenin gerçek bir güvenlik avantajı var mı? Ben bir geekim (web geliştiricisi), ancak bir güvenlik uzmanı değilim, bu yüzden bir şey eksik olduğumdan eminim, ancak Avrupa'dan bağlanmak için bir VPN kullanabilirsem, makul bir hacker'ın sadece aynı şeyi yapacağını düşünüyorum.

88
Matthew Nichols

Kavram "tehdit yüzeyinin azaltılması". Belirli bir coğrafi alandan hiçbir bağlantı yapılmayacağı beklentisi varsa, o bölgeyi engellemek mantıklıdır, çünkü tanım gereği meşru değildir. Teoride. (Bir sağlık sağlayıcısı için, müşteriler seyahat ederken sağlıklarını yönetmek isteyebileceklerinden garip bir seçimdir, ancak bu bir yan konudur.)

Çalıştığım bir şirket için, siber suçlar açısından en kötü 12 suçluyu listeleyen ülkelerin bir listesi vardı ve bu ülkelerde hiç müşterimiz yoktu. Bu yüzden onları engellemek mantıklıydı.

  • Saldırganlar izin verilen bir IP'den saldırmak için proxy/VPN kullanabilir mi? Emin ol.
  • Onlar yaptı mı? Kim bilir.
  • Zaten bu 12 bölgeden yüksek hacimli saldırılar yaşadık mı? Oh evet.

Coğrafi IP yasağını başlattığımızda web sunucularımıza olan trafikte% 80'lik bir düşüş gördük.

164
schroeder

Dikkate alınması gereken bir şey var: Devletin veya belki de gölgeli İnternet sağlayıcılarının İnternet trafiğini göz ardı ettiği birçok ülke var.

Sağlık hizmeti sağlayıcınızın web sitesinde TLS (varsayalım) kullanılsa bile, bu ülkelerdeki bilgisayarlarda trafiğinizi kesmek için sahte bir kök sertifikası yüklü olabilir. Dolayısıyla, Joe ortalaması hastalandığında ve sağlık sağlayıcısının web sitesindeki kapsamını kontrol etmek için bir internet kafeye gittiğinde, hiç kimse verilerinin - ve giriş kimlik bilgilerinin - güvenli olduğundan emin olamaz.

Yabancı IP adreslerini engellemek ve bir VPN istemek en azından bir kısmını hafifletir - VPN istemcisini bazı ortak bilgisayarlara yükleyemezsiniz, bu nedenle kendi dizüstü bilgisayarınızı kullanmanız gerekir; bu, keylogger'lara da yardımcı olur ve MITM bir VPN'e yapılan saldırılar HTTPS'ye karşı MITM'den çok daha zordur, çünkü VPN istemcisi hangi sertifikaların beklendiğini bilir, böylece sadece sahte kullanamazsınız CA .

Güvenlik avantajı muhtemelen küçük ama gerçek.

İşyerim her zaman yabancı toprak taramalarıyla ilgileniyor. Çoğunlukla bunlar, Filistin veya Rusya gibi, ABD ile bu ülkeler arasında daha çekici saldırı ev sahibi yapan siyasi ve yasal konuların bulunduğu birkaç kötü yerden geliyor. Ayrıca Fransa veya Hollanda gibi daha dost ülkelerden geliyorlar. Kendi ülkemden gelmeleri çok daha az olası. Bunun, aynı ülke içindeki bir kaynak ve hedef için arama izni veya hafifçe vurma/izleme cihazı almanın daha kolay olması nedeniyle olabileceğini tahmin ediyorum. Bu insanların et mekanında bulunduğu yerler kimsenin tahminidir.

Bunların hepsi, büyük İnternet alanlarını hedefleyen büyük ölçüde otomatikleştirilmiş süreçlerdir. Saldırganın bizi kendimizi hedeflemeye çalışmayacak kadar sofistike değiller, ama sadece peşinden gidecek "birini" bulmaya çalışıyor.

Bu saldırganların ülkem içinde bir IP adresi kullanmak için başka araçlar kullanabileceği kesinlikle doğrudur. Bizim tarafımızdan engellendiklerinde bunu çeşitli yollarla yaptıklarını gördüm. Ancak bu, başka bir yerde daha iyi harcanabilecek ve saldırganın daha sertleştirilmiş bir hedefin peşinden gitmesi sorununa yol açmayabilecek saldırgan için ekstra çaba gerektirir.

Söylediği gibi, yırtıcı hayvandan kaçan en hızlı hayvan olmak zorunda değilsiniz; en yavaş olamazsın.

3
Steve Sether