Quão confiáveis são as restrições de firewall baseadas em endereço IP?

Como outros disseram falsificando uma conexão TCP não é fácil - mas ainda é possível. Os firewalls ajudam, mas não abordam o problema fundamental. A autenticação é boa, mas somente se for intrinsecamente segura - por isso sugiro que você considere uma VPN. Isso resolve muitos problemas sobre os acessos que você deseja expor remotamente (apenas uma porta para uma VPN de tunelamento), através da qual você pode expor de forma seletiva e segura o quanto quiser, sem ter que se preocupar com os serviços que implementam protocolos inseguros.

O lançamento bem-sucedido de ataques IP falsificados é bastante difícil. A contínua popularidade dos firewalls sugere sua contínua aplicabilidade e relevância. No entanto, um ponto importante que quero destacar é apontar os dois tipos diferentes de firewall: stateful e stateless . Firewalls com informações de estado geralmente fornecem mais segurança por causa de sua capacidade de acompanhar as sessões. Firewalls sem estado, embora ainda forneçam alguma medida adicional de controle, podem ser mais facilmente frustrados. O cenário de ataque é se houver uma vulnerabilidade com um serviço que possa ser explorado sem estabelecer conectividade total. Tais ataques são menos comuns hoje, mas ainda podem existir.

A única maneira de um invasor poder iniciar um ataque de IP falsificado é se ele tiver acesso à rede do provedor ou ao acesso à rede física entre você e seu provedor. Nesse caso, o invasor pode facilmente falsificar seu IP e receber tráfego de retorno. Muitas pessoas ignoram a segurança física, uma vez que somente o atacante mais determinado e habilidoso realizaria tal ataque, mas ainda é possível e algumas organizações, especialmente pequenas empresas, são bastante suscetíveis a isso.

É relativamente difícil falsificar um IP (depende do ISP (invasor) e de sua filtragem), e muito mais difícil fazer até mesmo um handshake TCP com um IP falsificado.

Ter uma tela de login com nome de usuário / senha é legal. Mas não impede ataques de força bruta, etc. É como uma fechadura de porta - com bastante tempo e vontade / poder, pode ser arrombado. Ter um firewall é apenas outra camada de proteção (uma muito boa neste caso), que não permite que um atacante sequer inicie a força bruta.

A maioria dos invasores de alvos aleatórios fazem uma varredura de portas primeiro, encontram portas abertas, verificam serviços vulneráveis e, em seguida, atacam com explorações apropriadas. Se o seu firewall descartar todos os pacotes, sua porta RDP pareceria fechada para um invasor, portanto, mesmo que seu RDP seja vulnerável, o invasor não saberá que está sendo executado e não tentará atacá-lo (mesmo que ele o faça) firewall iria bloquear todas as tentativas).

Então eu definitivamente iria com um firewall no seu caso.

Mesmo se possível, o invasor teria que adivinhar o IP correto e a combinação certa de nome de usuário / senha. E isso somente se ele pudesse encontrar o RDP, já que ele estaria escondido atrás do firewall.

Sim, ele é usado principalmente em ataques do DOS, e falsificar um endereço real e realmente obter as respostas não é tão fácil.

Wikipédia :

IP spoofing can also be a method of attack used by network intruders to defeat network security measures, such as authentication based on IP addresses. This method of attack on a remote system can be extremely difficult, as it involves modifying thousands of packets at a time. This type of attack is most effective where trust relationships exist between machines. For example, it is common on some corporate networks to have internal systems trust each other, so that users can log in without a username or password provided they are connecting from another machine on the internal network (and so must already be logged in). By spoofing a connection from a trusted machine, an attacker may be able to access the target machine without an authentication.

Um invasor que está na mesma sub-rede que o IP autorizado possui vários métodos que podem ser usados para interceptar e assumir o tráfego do IP designado. Por exemplo, agindo como um servidor DHCP desonesto, um invasor pode reatribuir endereços IP a vários dispositivos nessa sub-rede. Ataques similares com ARP spoofing permitem que um invasor assuma um IP configurando um ataque man-in-the-middle entre o IP autorizado e o firewall.

De além dos limites da sub-rede e do roteador locais, sem algum tipo de conexão confiável entre o host autorizado e o invasor, o spoofing de IP se torna impraticável.

O que você está fazendo é, na verdade, uma prática recomendada de segurança normal, então você está bem. Se você tiver aberto para a internet pública, sugiro movê-lo da porta padrão para algo diferente. Considere colocar quaisquer servidores que precisem estar acessíveis em uma zona desmilitarizada (DMZ), na qual você desconfia de qualquer tráfego de / para eles. Então você pode configurar as ACLs para que sua rede possa se conectar à DMZ, mas a DMZ não pode iniciar conexões com a LAN. Se você não puder colocar os servidores em uma DMZ, considere colocar um único servidor em uma DMZ onde possa se conectar e permitir conectividade de lá em outros servidores em sua rede (onde eu trabalho nos referimos a isso como uma caixa de salto) ). Como sempre, use boas práticas com nomes de usuário / senhas.

Quanto ao que todo mundo está dizendo, você realmente não pode falsificar um IP. Você pode fazer proxy de um IP e ocultar um ponto de origem com relativa facilidade, mas não pode falsificar um IP. Veja, roteamento de internet é feito com base no seu endereço IP, então se o seu endereço "de" for falso, quando os pacotes chegarem ao seu destino e ele tentar enviar uma resposta, ele irá enviá-lo para o endereço de. Se for falsificado, bem, não chega até você porque será encaminhado para outro lugar. O mais perto que você consegue é usar o TOR.