Gestione della sicurezza con sottodomini che puntano a caselle

Naviga le tue risposte
1

In generale, nonostante l'esecuzione di combo firewall hardware + software e la protezione di ogni aspetto del riquadro 7, non mi piace divulgare gli indirizzi IP diretti dei nostri server al pubblico come ulteriore livello. Detto questo per mandare la posta alla maggior parte degli ISP, è necessario che il record PTR del nostro server coincida con un record di nome A (risoluzione in avanti). Se lo facciamo, esporremo gli IP dei nostri server perché chiunque potrebbe semplicemente risolvere workerx.cluster.x.com all'indirizzo IP del nostro server, il che non è molto difficile da indovinare. È una preoccupazione seria o è una cosa bella da fare?

    
posta Matthew Salsamendi 30.09.2013 - 00:09
fonte

2 risposte

2

Non dovresti esporre l'IP del tuo server, ma l'IP del tuo firewall tramite DNS ...

    
risposta data 02.10.2013 - 21:16
fonte
1

La traduzione statica degli indirizzi IP ha qualche piccolo valore in quanto rende più difficile per un utente malintenzionato determinare la sottorete su cui può essere ospitato un host, tuttavia questo non è molto vantaggioso in quanto tali informazioni non sono di grande vantaggio per l'aggressore. La sicurezza che l'oscurità acquista è limitata. Un utente malintenzionato può comunque attaccare l'IP in quanto è visibile e c'è solo una macchina dietro di esso.

Laddove la trasformazione degli indirizzi aggiunge un vantaggio in termini di sicurezza, vi sono molte traduzioni, spesso utilizzate nell'accesso internet in uscita dalle connessioni a banda larga domestiche alle più grandi aziende del mondo. In configurazioni più grandi ci possono essere migliaia di host dietro un singolo indirizzo IP (il firewall o il proxy sostituisce l'IP di origine di tutte le connessioni come un singolo IP e tiene traccia di quale connessione è che usa le tabelle di sessione), quindi anche se un hacker sa l'IP che escono sulla fonte reale viene offuscato. Un utente malintenzionato che tenta di connettersi a quell'IP non può accedere a nessun luogo in virtù del fatto che esistono più destinazioni.

    
risposta data 30.09.2013 - 14:29
fonte

Leggi altre domande sui tag

Quali informazioni possono essere visualizzate da HTTPS a HTTP? E 'possibile spoofare l'indirizzo mac di un adattatore wireless in modo che Windows veda il mac macinato come fisico?