web-dev-qa-db-ja.com

外部IPアドレスを制限することには、実際のセキュリティ上の利点はありますか?

私は現在、米国外で医療提供者のWebサイトにログインしようとしていますが、接続がタイムアウトします。私はTwitterで彼らに連絡を取り、セキュリティ対策として米国外からの接続をブロックし、VPNを使用することを勧めると彼らは私に言った。

VPNを使用して問題を解決できるので、とても便利です。しかし、私は好奇心が強いのですが、この種のIPアドレスブロッキングにはセキュリティ上の利点がありますか?私はオタク(Web開発者)ですが、セキュリティの専門家ではないので、何かが欠けていることは確かですが、VPNを使用してヨーロッパから接続できれば、合理的なハッカーであれば同じことができるようです。

88
Matthew Nichols

コンセプトは「脅威の表面を減らす」です。特定の地理的エリアから接続が行われないことが予想される場合、そのエリアを定義することは正当ではないため、そのエリアをブロックすることは理にかなっています。理論的には。 (医療提供者にとっては、顧客が旅行中に自分の健康を管理したいので、これは奇妙な選択ですが、これは副次的な問題です。)

私が働いていたある会社では、サイバー犯罪の最悪の犯罪者のトップ12をリストアップした国のリストがあり、それらの国には顧客がいませんでした。したがって、それらをブロックすることは理にかなっています。

  • 攻撃者はプロキシ/ VPNを使用して、許可されたIPから攻撃できますか?あなたは賭けます。
  • 彼らはしたか?知るか。
  • とにかく、12の郡から大量の攻撃を受けましたか?そうそう。

Geo-IP禁止を開始したとき、Webサーバーへのトラフィックが80%減少しました。

164
schroeder

考慮すべきことの1つは、州、または多分怪しげなインターネットプロバイダーがインターネットトラフィックを傍受している国がたくさんあります。

医療提供者のWebサイトが [〜#〜] tls [〜#〜] (私が想定している)を使用している場合でも、それらの国のPCには、トラフィックを傍受するために偽のルート証明書がインストールされている可能性があります。したがって、ジョーアベレージが病気になり、インターネットカフェに行って医療提供者のウェブサイトで彼のカバレッジをチェックするとき、そのデータ(およびログイン資格情報)が安全であることを誰も確認できません。

外部IPアドレスをブロックし、VPNを要求すると、これの少なくとも一部が軽減されます。VPNクライアントを公共のコンピューターにインストールできないため、自分のラップトップを使用する必要があります。これはキーロガーにも役立ちます。VPNに対する [〜#〜] mitm [〜#〜] VPNに対する攻撃は、HTTPSに対するMITMよりもはるかに困難です。これは、VPNクライアントが予期する証明書を知っているためです。偽物を使うことはできません [〜#〜] ca [〜#〜]

セキュリティ上の利点は小さいかもしれませんが、現実的です。

私の職場では、常に外部の土壌からのスキャンを扱っています。主にこれらは、パレスチナやロシアのようないくつかの悪名高い場所から来ており、米国とこれらの国との間に政治的および法的問題が存在するため、より魅力的な攻撃ホストとなっています。彼らはまた、フランスやオランダのようなより友好的な国から来ています。自分の国から来る可能性ははるかに低いです。これは、同じ国のソースとターゲットの捜査令状やデバイスのタップ/トレースが簡単にできるためと思われます。これらの人々が肉空間のどこに存在するかは誰にも分からない。

これらはすべて、インターネットの大規模なスワスを対象とした大部分が自動化されたプロセスです。それらは十分に洗練されていないので、攻撃者は私たち自身を標的とする可能性はほとんどありませんが、単に「誰か」を見つけようとしています。

これらの攻撃者が私の国内で他の手段を使用してIPアドレスを使用できることは確かに本当です。彼らが私たちにブロックされているとき、彼らが他のさまざまな方法でこれを行うのを見てきました。しかし、これは攻撃者にとって余分な労力を要します。これは他の場所で費やすほうがよく、攻撃者がより強化されたターゲットを追いかけるのに支障をきたす価値はないかもしれません。

ことわざにあるように、あなたは捕食者から逃げる最速の動物である必要はありません。あなたはただ最も遅くなることはできません。

3
Steve Sether