Implicazioni di sicurezza del WAF che rivelano gli indirizzi IP interni

4

Quali sono le implicazioni per la sicurezza di un firewall di app Web / bilanciamento del carico che rivela gli IP interni dei siti Web che stanno dietro al mondo esterno?

Un esempio specifico è con i prodotti F5: utilizzano un cookie che può essere decodificato per mostrare gli IP interni dei siti che stanno servendo. Decoder per cookie BigIP di Google se vuoi saperne di più. (Nota: è possibile abilitare la crittografia dei cookie se si desidera nascondere gli IP interni.)

Ho capito che l'apprendimento degli IP interni sarebbe parte della raccolta di informazioni, ma gli scenari in cui sarebbe utile sembrano limitati. Un utente malintenzionato potrebbe utilizzarlo con l'ingegneria sociale per indirizzare macchine specifiche. Oltre a ciò, quali vettori di superficie di attacco o attacco vengono aperti perdendo gli IP interni dei siti web?

    
posta nyxgeek 13.04.2016 - 04:10
fonte

3 risposte

2

What are the security implications of a web app firewall/load balancer revealing internal IPs of the web sites behind it to the outside world?

Se quando si dice "IP interni" si intende l'indirizzo LAN del server Web (cioè stesso datacenter, rete privata, ecc.), allora si ha uno scenario simile a WebRTC che rivela l'indirizzo IP privato del tuo computer .

Il rischio maggiore è che quando si dice "IP interni" si intende l'indirizzo IP accessibile da remoto (cioè pubblico) di cui non si parla e si affidano alla sicurezza dell'oscurità per nascondere e proteggere. In questo caso, la superficie di attacco qui è l'intero server Web in quanto è direttamente accessibile da Internet, e semplicemente imparando il suo indirizzo IP consentirebbe a un utente malintenzionato di bypassare completamente il firewall dell'applicazione Web e qualsiasi blocco e & la registrazione potrebbe avere.

Per approfondimenti sulla difesa, potresti prendere in considerazione i seguenti controlli di accesso :

  • Creazione di regole firewall sul server Web per consentire solo il traffico in entrata DAL bilanciamento del carico, precludendo l'accesso diretto da qualsiasi altra rete / IP, anche se era trapelata.
  • Rimozione dell'IP pubblico del server e utilizzo solo della rete privata

Ovviamente ciò implica un equilibrio tra sicurezza e manutenibilità. Immagino che avrai ancora bisogno di un modo per effettuare il remote-in (es. VPN, SSH, o eventualmente tramite software di gestione dell'infrastruttura come Chef, Puppet, processo di integrazione continua, ecc.) Ma il punto è che lo faresti sotto stretto controllo degli accessi ciò renderebbe la conoscenza dell'IP del tuo server per lo più inutile.

    
risposta data 13.07.2016 - 00:42
fonte
0

Se un utente malintenzionato trova un metodo per eseguire codice su uno dei tuoi host, è più facile attaccare altri host dietro il firewall o bilanciamento del carico anche con un canale back limitato (ad esempio se si tratta di un'iniezione di codice cieco o per mantenere l'impronta di l'attacco il più piccolo possibile).

    
risposta data 13.04.2016 - 09:21
fonte
0

Le divulgazioni IP interne sono generalmente considerate vulnerabilità alla divulgazione di informazioni. Mentre ciò sarebbe di aiuto per il processo di footprinting della rete di un hacker, non è intrinsecamente peggiore di altre informazioni divulgate.

Considerare i rischi di non avere il WAF rispetto a dare a un attaccante un'ulteriore informazione aggiuntiva, mi sembra una decisione semplice.

Con ogni probabilità (la maggior parte delle volte) un hacker sta per entrare in possesso di un cavallo di Troia tramite il social engineering. A quel punto, è quasi banale iniziare la scansione della rete dall'interno.

    
risposta data 13.05.2016 - 21:36
fonte

Leggi altre domande sui tag