我们有一个只能从几个内部 VLAN 访问的内部 Intranet 系统。我们的主要外部防火墙阻止对内部网络服务器的所有访问——或者更确切地说,没有允许访问的规则!
我们在英国有 100 家分支机构位于专用网络上,大多数都有 VPN 到总部并通过这种方式访问我们的内部网,但是在某些情况下我们无法安排 VPN(政治、成本、资源等)&我们正在考虑使用严格的防火墙规则将我们的内部网络服务器开放到互联网,以仅允许来自相关分支的静态 IP 的流量(我们称之为白名单)。
每个人都知道存在 IP 欺骗,当您在同一个子网中时,它几乎很容易。是否可以通过互联网欺骗 IP,使我们的内部网络服务器可以从与分支白名单不匹配的 IP 访问?
澄清一下,我知道可以通过互联网欺骗 IP,但我从未见过双向通信的示例,即网络服务器会尝试将数据包发送回伪造的 IP,而不是伪造 IP 的人的 IP . 那么,欺骗真的对我们的场景构成威胁吗?
要搜索的术语是“ BGP 劫持”。
风险很低,但非零。如果攻击者可以找到一个足够草率的 ISP,他们可以为包含您的客户端 IP 的 IP 范围块发布他们自己的路由。有了足够的复杂性,他们甚至可以进行设置,以便劫持从总部到分支机构的流量,然后将大部分流量返回到分支机构。
现在找到一个足够草率的 ISP 可能很困难,一旦发现虚假路由,漏洞可能会被关闭,但那里肯定有一个机会之窗。
Internet 上的 IP 欺骗依赖于如此多的路由器和防火墙的错误配置,以至于数据包必须通过所有这些(所有这些又由不同方管理),它的工作机会是 0。路由器通常根据它们的内容过滤传入 IP/传出 IP期待看到。
我不明白你怎么能有:
1) 互联网连接
2)终端设备
在分支机构,但无法建立 VPN 连接。这当然与成本和资源无关。事实上,这些据称有静态地址使这个论点更加荒谬。
除此之外,这是我可以信任 HTTP 请求的源 IP 的副本吗?
虽然访问您的服务器欺骗 IP 地址会很棘手,但这并不能防止例如来自欺骗地址的 SYN 洪水攻击。是什么让您认为您不会受到与分支机构位于同一子网的人的攻击(在那里可能会欺骗地址)。