it-swarm-eu.dev

Esistono effettivi vantaggi in termini di sicurezza nel limitare gli indirizzi IP esterni?

Al momento sono fuori dagli Stati Uniti e sto provando ad accedere al sito Web del mio fornitore di servizi sanitari e la connessione è appena scaduta. Li ho contattati su Twitter e mi hanno detto che come misura di sicurezza bloccano le connessioni al di fuori degli Stati Uniti e suggeriscono di utilizzare una VPN.

Così fantastico, posso usare una VPN per risolvere il mio problema. Ma sono curioso, c'è qualche reale vantaggio di sicurezza in questo tipo di blocco degli indirizzi IP? Sono un geek (sviluppatore web), ma non uno specialista della sicurezza, quindi sono sicuro che mi manca qualcosa, ma mi sembra che se potessi usare una VPN per connettermi dall'Europa, qualsiasi hacker ragionevole farebbe la stessa cosa.

88
Matthew Nichols

Il concetto è "riducendo la superficie della minaccia". Se ci si aspetta che non vengano effettuate connessioni da una determinata area geografica, ha senso bloccare quell'area, perché, per definizione, non è legittima. In teoria. (Per un operatore sanitario, è una scelta strana poiché i clienti potrebbero voler gestire la propria salute durante il viaggio, ma questo è un problema secondario.)

Per una società per cui ho lavorato, c'era un elenco di paesi che elencava i 12 peggiori trasgressori per il crimine informatico e in quei paesi non avevamo clienti. Quindi, aveva senso bloccarli.

  • Gli attaccanti potrebbero usare proxy/VPN per attaccare da un IP autorizzato? Scommetti.
  • Hanno? Chissà.
  • Abbiamo comunque subito ingenti volumi di attacchi da quelle 12 contee? Oh si.

Abbiamo visto un immediato calo dell'80% del traffico verso i nostri server web quando abbiamo iniziato il divieto di geo-IP.

164
schroeder

Una cosa da considerare: ci sono molti paesi in cui lo stato, o forse i provider Internet loschi, curiosano nel traffico Internet.

Anche se il sito Web del tuo fornitore di servizi sanitari utilizza TLS (che presumo), nei PC di quei paesi potrebbe essere installato un certificato radice falso per intercettare il tuo traffico. Quindi, quando la media di Joe si ammala e va in un Internet café per verificare la sua copertura sul sito Web del fornitore di servizi sanitari, nessuno può essere sicuro che i propri dati - e le credenziali di accesso - siano al sicuro.

Il blocco di indirizzi IP esterni e la necessità di una VPN ne mitigano almeno una parte: non è possibile installare il client VPN su alcuni computer pubblici, quindi è necessario utilizzare il proprio laptop; questo aiuta anche contro i keylogger e MITM gli attacchi contro una VPN sono molto più difficili del MITM contro HTTPS, perché il client VPN sa quali certificati aspettarsi, quindi tu non posso semplicemente usare un falso CA .

Il vantaggio in termini di sicurezza è probabilmente piccolo, ma reale.

Il mio posto di lavoro si occupa sempre di scansioni da terra straniera. Principalmente questi provengono da alcuni luoghi noti come la Palestina o la Russia, dove esistono problemi politici e legali tra gli Stati Uniti e questi paesi che li rendono ospiti di attacco più attraenti. Provengono anche da paesi più amichevoli come la Francia o i Paesi Bassi. È molto meno probabile che provengano dall'interno del mio paese. Immagino che ciò possa essere dovuto al fatto che è più facile ottenere mandati di ricerca o toccare/rintracciare dispositivi per una fonte e un obiettivo all'interno dello stesso paese. Dove queste persone esistono nello spazio della carne è la supposizione di chiunque.

Questi sono tutti processi in gran parte automatizzati destinati a grandi aree di Internet. Sono abbastanza poco sofisticati che l'attaccante non sta probabilmente cercando di bersagliarci di per sé, ma sta solo cercando di trovare "qualcuno" da inseguire.

È certamente vero che questi aggressori possono usare altri mezzi per utilizzare un indirizzo IP nel mio paese. Li ho visti fare questo in vari altri modi quando sono bloccati da noi. Ma questo richiede uno sforzo extra per l'attaccante, che può essere speso meglio altrove e potrebbe non valere la pena per l'attaccante di inseguire un bersaglio più incallito.

Come dice il proverbio, non devi essere l'animale più veloce che scappa dal predatore; non puoi essere il più lento.

3
Steve Sether