限制外国 IP 地址是否有任何实际的安全优势?

信息安全 Web应用程序 ip 地理位置
2021-09-02 04:20:38

我目前在美国境外尝试登录我的医疗保健提供者的网站,但连接超时。我在 Twitter 上联系了他们,他们告诉我,作为一项安全措施,他们会阻止来自美国以外的连接,并建议我使用 VPN。

太好了,我可以使用 VPN 来解决我的问题。但我很好奇,这种 IP 地址封锁有什么真正的安全优势吗?我是一个极客(网络开发人员),但不是安全专家,所以我确信我遗漏了一些东西,但在我看来,如果我可以使用 VPN 从欧洲连接,那么任何合理的黑客都会做同样的事情。

3个回答

这个概念是“减少威胁面”。如果预计不会从某个地理区域建立任何连接,那么阻止该区域是有意义的,因为根据定义,它是不合法的。理论上。(对于医疗保健提供者来说,这是一个奇怪的选择,因为客户可能希望在旅行时管理自己的健康,但这是一个附带问题。)

对于我工作的一家公司,有一份国家名单列出了网络犯罪最严重的 12 个国家,而我们在这些国家没有任何客户。因此,阻止它们是有道理的。

  • 攻击者可以使用代理/VPN 从允许的 IP 进行攻击吗?你打赌。
  • 他们做了吗?谁知道。
  • 我们是否经历过来自这 12 个县的大量袭击?哦是的。

当我们开始实施地理 IP 禁令时,我们的网络服务器的流量立即下降了 80%。

需要考虑的一件事:在许多国家/地区,国家或可能是阴暗的互联网提供商窥探互联网流量。

即使您的医疗保健提供者的网站使用TLS(我假设),这些国家/地区的 PC 也可能安装了伪造的根证书来拦截您的流量。因此,当 Joe average 生病并去网吧查看医疗服务提供者网站上的覆盖范围时,没有人可以确定他们的数据和登录凭据是否安全。

阻止外国 IP 地址并要求 VPN 至少可以缓解部分问题——您无法在某些公共计算机上安装 VPN 客户端,因此您需要使用自己的笔记本电脑;这也有助于防止键盘记录器,并且针对 VPN 的MITM攻击比针对 HTTPS 的 MITM 攻击要困难得多,因为 VPN 客户端知道需要哪些证书,因此您不能只使用假CA。

安全收益可能很小,但却是实实在在的。

我的工作场所一直在处理来自外国土地的扫描。大多数这些来自一些臭名昭著的地方,如巴勒斯坦或俄罗斯,美国与这些国家之间存在政治和法律问题,这使得它们成为更具吸引力的攻击主机。他们也来自更友好的国家,如法国或荷兰。他们不太可能来自我自己的国家。我大胆猜测这可能是因为在同一国家/地区内更容易获得搜查令或窃听/追踪设备的来源和目标。这些人存在于肉类空间的位置是任何人的猜测。

这些都是针对大量 Internet 的大部分自动化流程。它们足够简单,攻击者不太可能试图以我们本身为目标,但它只是试图找到“某人”来追捕。

确实,这些攻击者可以通过其他方式在我国境内使用 IP 地址。当他们被我们阻止时,我已经看到他们通过各种其他方式这样做。但这对攻击者来说需要额外的努力,这可能会更好地花在其他地方,并且对于攻击者来说可能不值得费心去追击更顽固的目标。

俗话说,你不必成为逃离捕食者最快的动物;你不可能是最慢的。