Come autorizzare un IP, ma impedire ad altri attacchi DoS [chiuso]

1

Ho un Windows Server 2016 e voglio consentire infinite richieste in arrivo da alcuni IP specifici, ma prevenire altri da attacchi DoS.

Vedo RDP Defender ma non sono sicuro di quanto sia buono o sicuro da usare. Come whitelist alcuni IP e prevenire altri da DoS e altri attacchi? (preferibilmente utilizzando Windows Server o Plesk)

Grazie.

    
posta Blendester 21.11.2017 - 18:45
fonte

2 risposte

2

Se white list gli IP di cui ti fidi, questo implica ogni altro IP tranne quelli che sono bloccati. Ciò impedirà in modo efficace altri IP dagli attacchi DOS. L'assunto è ovviamente che la configurazione del firewall non è errata e / o il firewall stesso è considerato "sicuro" da qualsiasi standard ragionevole.

Quando uno strumento come RDP Defender entra per aggiungere valore, è quando non puoi conoscere gli IP specifici che dovrebbero usare il tuo servizio e quindi non puoi elencarli in bianco e / o non vuoi assumere quegli IP sono degni di fiducia

Defender di RDP, e strumenti come questo, ti permettono di aprire i tuoi servizi agli IP e poi cerca schemi di comportamento da quegli IP e blacklist basati su criteri di comportamento.

Vale la pena ricordare che, secondo il sito di RDP Defender, questo strumento funziona monitorando i tentativi di accesso falliti e quindi sfrutta Windows Firewall per inserire le regole in atto per bloccare il traffico da quegli IP. Questo è importante a cui pensare per diversi motivi:

1) Gli attacchi DOS / DDOS non necessariamente sfruttano i tentativi di accesso e quindi non verranno rilevati e sbloccati.

2) La difesa del blocco degli IP in cui viene generato traffico sospetto, di per sé, può essere utilizzata come metodo di attacco per DOS. Se un utente malintenzionato può incorporarsi in qualcosa che viene utilizzato da molte persone, quando l'attacco verrà lanciato, verrà generato da molti indirizzi IP. Se la tua difesa è quella di bloccare ciascuno di questi IP di origine, alcuni di questi IP potrebbero essere clienti validi del tuo servizio che vengono chiusi. Se la tua difesa è quella di bloccare intere sottoreti, questo avrà sicuramente il potenziale per bloccare molti IP che non cercano di fare del male. Infine, se l'attaccante contraffa l'indirizzo IP, può scegliere come target la chiusura degli IP come preferiscono.

Dichiarazione di non responsabilità - Non consiglio mai a qualcuno di mettere un server sull'Internet pubblica (specialmente Windows) senza l'esperienza di qualcuno che conosce tutte le complessità implicate. Il tuo caso migliore è un sistema molto rigido che è il più protetto possibile considerando la natura dei servizi che deve fornire a Internet pubblica, ma è ancora vulnerabile nei modi che tu conosci e la tua azienda ha valutato e deciso accettare i rischi. Il tuo scenario peggiore è pensare che il tuo server sia ben protetto e protetto, ma non lo è e lo trovi in un modo che costa enormi quantità di entrate perse, multe, responsabilità legali e / o impatto sulla reputazione. Inoltre, anche se la sicurezza è molto efficace al momento della distribuzione, non è atipico che la sicurezza svanisca col passare del tempo - quindi c'è un aspetto operativo in corso a cui pensare.

La mia risposta non è intesa a fare qualcosa di più che aiutarti a pensare a questo.

    
risposta data 21.11.2017 - 19:36
fonte
2

Stai mescolando concetti diversi. Una lista bianca (e limitazione della velocità, ovvero che consente solo poche richieste da un IP non autorizzato) e DoS non condividono alcun terreno comune.

Sebbene sia possibile, sia a livello di applicazione (non è chiaro cosa intendi per "richiesta in entrata", quindi potrebbero essere modifiche per molte applicazioni diverse) o utilizzando un firewall di stato che limiterà la frequenza delle connessioni da un non -IP IP non autorizzato al server, implementalo, non sarebbe di aiuto contro DoS o DDoS.

In caso di un DoS, può essere sufficiente un singolo pacchetto per attivare un DoS, a seconda della vulnerabilità sfruttata per il DoS.

Se tuttavia segui l'idea apparentemente comune (e molto imprecisa) che DoS e DDoS sono la stessa cosa, forse prendi gli attacchi DDoS che mirano al livello dell'applicazione, ovvero esaurimento della RAM o del disco del server spazio, forse potenza di calcolo.

Più comuni, tuttavia, gli attacchi DDoS che esauriscono le capacità di rete degli obiettivi e questo dipende esclusivamente dalla connessione di rete dei server. Anche con un firewall stateful prima, la connessione al tuo server sarà comunque bloccata, anche se non tutte le connessioni arrivano direttamente sul tuo server.

Mentre puoi (e dovresti) fare una qualche forma di limitazione della velocità, magari qualcosa di analogo a fail2ban su Linux per rendere difficile la scoperta delle vulnerabilità, questo non aiuta esattamente gli attacchi DoS o DDoS.

Anche se non ho cercato il difensore RDP, suppongo che controlli solo il protocollo RDP, nessun'altra applicazione, quindi questa è probabilmente un'aggiunta per contrastare la minaccia a livello di applicazione come suggerito sopra.

    
risposta data 22.11.2017 - 07:11
fonte

Leggi altre domande sui tag