Em um cliente, descobri que eles compraram uma grande sub-rede de endereços IP da Internet para seus negócios e conectaram todos os computadores com endereços IP públicos. (comprei anos atrás e nunca mudei, / 18 tamanho de rede)
Por motivos de segurança, eles criaram um loop de roteamento entre dois roteadores na borda da rede como um bucket de bits improvisado para restringir todo o acesso à rede diretamente da Internet e executavam http por meio de um proxy.
Embora eu ache que um loop de roteamento funcione como um balde de bits improvisado e boa prática à parte, há algum problema de segurança com isso?
O uso de um loop de roteamento para negar o tráfego para uma rede representa um risco de segurança legítimo?
Não, não é justificável e também é um desperdício de recursos. O método normal de tráfego blackholing é rotea-lo para uma interface nula ou, se a marca do roteador sendo usado não suporta tal coisa, uma interface de loopback.
Então, novamente, não é um desperdício de recursos tão ruim quanto usar endereços IP públicos em uma rede privada.
Um loop de roteamento soa como um desperdício total de recursos, o roteamento nulo do espaço de endereço usará o recurso mínimo do roteador.
No entanto, para limitar o acesso a serviços HTTP, usar boas listas de acesso antigas parece uma idéia muito melhor. A maioria dos roteadores tem recursos de ACL decentes nos dias de hoje ou eles poderiam até usar um deles caixas de firewall modernas.
Tags networking routing