Webアプリのファイアウォール/ロードバランサーが背後にあるWebサイトの内部IPを外部に公開することによるセキュリティへの影響は何ですか?
具体的な例はF5製品の場合です。Cookieを使用してデコードし、提供しているサイトの内部IPを表示できます。詳細については、Google for BigIP Cookieデコーダーをご覧ください。 (注:内部IPを非表示にする場合は、Cookieの暗号化を有効にできます。)
内部IPの学習は情報収集の一部になると思いますが、それが役立つシナリオは限られているようです。攻撃者はこれをソーシャルエンジニアリングで使用して、特定のマシンを標的にする可能性があります。それ以外に、Webサイトの内部IPの漏洩によってどの攻撃面または攻撃ベクトルが開かれるのですか?
Webアプリのファイアウォール/ロードバランサーがその背後にあるWebサイトの内部IP /を外部に公開することによるセキュリティへの影響は何ですか?
「内部IP」とは、WebサーバーのLANアドレス(つまり、同じデータセンター、プライベートネットワークなど)を意味する場合、 WebRTCに似たシナリオでコンピュータのプライベートIPが明らかになる住所 。
より大きなリスクは、「内部IP」と言った場合、リモートアクセス可能な(つまり、公開されている)IPアドレスを意味し、私たちが話し合わず、隠蔽および保護するためにあいまいさによってセキュリティに依存しています。この場合、インターネットから直接アクセスできるため、ここでの攻撃対象はWebサーバー全体であり、そのIPアドレスを学習するだけで、攻撃者はWebアプリケーションファイアウォールを完全にバイパスし、ブロックおよびロギングを行うことができます。
詳細な防御については、次のアクセス制御を検討してください。
もちろん、これはセキュリティと保守性のバランスを意味します。リモートインする方法(つまり、VPN、SSH、またはChef、Puppet、継続的インテグレーションプロセスなどのインフラストラクチャ管理ソフトウェアを介して)がまだ必要だと思いますが、より厳密なアクセス制御の下でそうすることが重要です。これは、サーバーのIPに関する知識をほとんど役に立たないものにします。
攻撃者がホストの1つでコードを実行する方法を見つけた場合、バックチャネルが制限されていても、ファイアウォールまたはロードバランサーの背後にある他のホストを攻撃する方が簡単です(たとえば、ブラインドコードインジェクションの場合や、攻撃のフットプリントを維持する場合)可能な限り小さい)。
内部IP開示は、一般に情報開示の脆弱性と見なされます。これは、攻撃者である可能性のあるネットワークのフットプリントプロセスに役立ちますが、他の情報開示よりも本質的に悪いわけではありません。
WAFがないことのリスクと攻撃者に1つの追加情報を与えることのリスクを比較検討することは、私には簡単な決断のように思えます。
おそらく(大部分の場合)、攻撃者は従業員の1人がソーシャルエンジニアリングを介してトロイの木馬をダウンロードしようとします。その時点で、内部からネットワークのスキャンを開始するのはほとんど簡単です。