Nel caso di una scansione di sicurezza automatica è più desiderabile ottenere gli indirizzi IP dello scanner autorizzati per individuare eventuali vulnerabilità dietro il firewall, o per eseguire scansioni di fronte a / contro il firewall?
Esempio di scenario / cluster:
- firewall
- loadbalancer
- webserver 1
- server web 2
- server del database
- storageserver
- log / server di monitoraggio
Supponiamo che il sito Web o l'applicazione Web siano accessibili solo tramite la porta 80 (HTTP) e la porta 443 (HTTPS). Tutte le altre porte sono filtrate dal firewall ad eccezione di una porta aperta aggiuntiva per una connessione VPN (di gestione). Tutto il traffico passa dal firewall al loadbalancer, al webserver (utilizzando database e server di archiviazione). Il registro / server di monitoraggio è autonomo.
Da un lato potrei obiettare che la scansione dietro un firewall (con whitelist IP) è più desiderabile perché potresti ottenere maggiori informazioni su più vulnerabilità e mitigarle, anche se è improbabile che possano essere sfruttate.
Dall'altro lato, potrei obiettare a non autorizzare gli indirizzi IP dello scanner perché questo scenario è più realistico (blackbox) e non darebbe il vantaggio delle aree di scansione che vengono filtrate dal world wide web in primo luogo.
Nessuno può accedere direttamente al server del database o al server di monitoraggio ma se tali computer utilizzano, ad esempio, "123456" come password di root o mancano patch con più di 100 SO che li rendono vulnerabili a un carico di CVE. Ti piacerebbe sapere che suppongo.
Qual è la soluzione / ambito desiderabile qui e cosa è meglio consigliare qualcuno su questo? La whitelist dell'IP introduce una maggiore responsabilità per me come hacker etico? Poiché il cliente sta introducendo un punto debole nella sicurezza, autorizzando gli indirizzi IP dello scanner.