tac*_*cos 9 security firewall ip ip-address spoofing
在我的一些需要在 LAN 外部访问的生产系统上,我有时会在边缘添加防火墙限制,以仅允许来自特定源 IP 地址或块的 RDP 上的流量。当然,IP 需要是静态的(或者我需要在它发生变化时更新它),但我的问题是,作为防止攻击者访问该系统的一种手段,这有多可靠?在 RDP(最常见)的情况下,仍然存在用户名/密码身份验证,但是依赖这些基于 IP 的防火墙限制是一个坏主意吗?
我最初的想法是 IP 欺骗在拒绝服务中更有用,当您并不真正关心数据包返回到发起者时,但在获得更高的访问权限方面,攻击者真的那么容易吗?欺骗他的 IP并以某种方式将数据包路由回他的真实地址?
正如其他人所说,欺骗 TCP 连接并不容易,但仍然是可能的。防火墙有帮助,但不能解决根本问题。身份验证很好,但前提是它本质上是安全的 - 因此我建议您考虑 VPN。这解决了您想要远程公开哪些访问(仅用于隧道 VPN 的单个端口)的许多问题,通过这些访问,您可以有选择地、安全地公开尽可能多的内容,而不必担心实施不安全协议的服务。
| 归档时间: |
|
| 查看次数: |
9517 次 |
| 最近记录: |