web-dev-qa-db-ja.com

IPホワイトリストの広い範囲のセキュリティ

私はネットワークの専門家ではありませんが、最近の会話で、クライアントが処理するためにデータを私たちに転送するために、IPの範囲(今のところ250奇数としましょう)をホワイトリストに登録することを求めています。ここで、クライアントにIPアドレスを提供し、そのIPをホワイトリストに登録することをここに追加する必要があります。これは「ここに検索するドメイン名があります」という取引ではありません。

これはファイアウォールを細断処理す​​るため(私が引用している)、ネットワークはこれを行うことに不快です。セキュリティのメンバーは、DNS攻撃が発生する可能性があると言って、ノーと言うことを正当化しました。

誰かが私に啓蒙するのを手伝ってくれませんか?広い範囲または単にIPの範囲をホワイトリストに登録することがなぜ悪いのか、そして技術的根拠は何か。

DNSの説明は実際に起こっていることとは無関係であり、IPホワイトリストは正当な防御手段です。実際の問題または脅威は何ですか?

これを相殺するためにngfwに追加の防御を結合する必要があるだけですか?

悟った人は誰でも助けてください!

dns-spoofingwhitelistngfw
1
John Halstead

ファイアウォールルールは、以下によって定義されます。

protocol (usually tcp)
Source IP
Source port (usually any)
Destination IP
destination port

さらに、ほとんどのネットワークには境界ゾーン(またはDMZ)と内部ゾーンがあります。

「ホワイトリスト」の意味が明確ではありません。うまくいけば、インターネット上の特定の/ 24が特定のtcp宛先ポートで社内の特定の/ 32に到達できるようにすることを意味します。このような:

Firewall request:
Protocol tcp
Source IP: 192.0.2.0/24 (partner company)
Source port: any
Destination IP: 198.51.100.3/32 (internal server)
destination port: 443
Justification: needed to allow partner company to upload shipping data

192.0.2.0/24がネットワーク全体にアクセスできる範囲で「ホワイトリストに登録」されるようにリクエストしていた場合、私はリクエストを拒否します(ネットワークエンジニアの帽子とInfosecの帽子の両方を使用)。 1つのIP /ポートのみを開く必要があるのに、なぜネットワーク全体がパートナーからの攻撃に対して脆弱になるのですか?

上記の特定の要求は、宛先が(DMZとは対照的に)内部ゾーンにある場合、一部の組織にとって依然として問題となる可能性があります。それは、Infosecの判断の呼びかけです。

一般に、データをプルするためのアウトバウンドネットワークリクエストを行う方が、外部からインバウンドで開始するよりも安全です。しかし、あなたへのアウトバウンドはパートナーへのインバウンドです。

0
Darrell Root

誰かが私に、広い範囲、または単なるIPの範囲をホワイトリストに登録することが望ましくない理由と、技術的根拠を教えてくれますか?.

250個のIPをホワイトリストに登録するのは簡単なことなので、ファイアウォールはほとんど気づきません。ブラックリストまたはホワイトリストは、ファイアウォールが常に行うことです。私は256MBのVPSに約50,000のルール(国全体をブロックし、fail2banとportsentryを介して攻撃者を1日ブロックします)があり、ファイアウォールのアップまたはダウン時の負荷はほぼ同じです。

これらのアドレスをホワイトリストに登録しても、ファイアウォールは細断されず、保守の負荷以外の追加の負荷は発生しません。誰かがルールを追加し、文書化して、保守する必要があります。それ以外に、違いはありません。

ルールが正しいことを確認してください。ホワイトリストで、発信元IP(またはネットワーク)とそれぞれの宛先IPおよびポートを指定します。顧客がすべてのIPとポートに接続できるようにするルールを追加するだけでなく、それは遅延して危険なルールになります。

DNSの説明は実際に起こっていることとは無関係であり、IPホワイトリストは正当な防御手段です。実際の問題または脅威は何ですか?

DNSはそれとはまったく関係がありません。ドメインではなくIPアドレスをホワイトリストに登録しています。そのため、ドメインがそのIPに対してどのように応答しても、ファイアウォールは気にしません。 DNS再バインド、DNSテイクオーバー、DNS攻撃に関係なく、ファイアウォールの上のレイヤーで発生するため、問題ではありません。

これを相殺するためにngfwに追加の防御を結合する必要があるだけですか?

いいえ、ファイアウォールは問題なく動作します。これは最も基本的なファイアウォールの仕事であり、余分な最新のファイアウォールは必要ありません。

1
ThoriumBR