¿Por qué es peligroso dejar que un servidor interno hable a internet (a una IP específica)?

4

Es una pregunta básica, pero si tenemos un servidor interno y queremos que hable externamente, por ejemplo, para obtener nuevos paquetes. Este entorno normalmente no tiene acceso a internet. He oído que es "peligroso" abrir el acceso desde ese servidor incluso a una IP específica en Internet (digamos de dónde es necesario obtener sus actualizaciones). El punto es: sabemos cuál es la IP en el otro lado y asumo que confiamos en ello.

De manera realista, ¿cuál es el riesgo cuando solo puede hablar con esa IP de la que obtendrá nuevos paquetes?

¡No soy una persona de seguridad aquí, solo estoy tratando de entender!

    
pregunta Myelin 09.03.2016 - 21:09
fuente

3 respuestas

3

No es más peligroso que permitir que una computadora de escritorio acceda a una IP cuando navegan por Internet. Sería peligroso asignar una IP estática, tener servicios inseguros expuestos. Dos cuestiones separadas. Cuando se conecta a Internet desde una red comercial o doméstica, o cualquier otra red en su mayor parte, es probable que tenga un firewall en algún lugar del circuito. Ya se trate de un firewall dedicado o de reglas minimalistas como las aplicadas a un enrutador. Ese enrutador es tu punto de egreso al mundo. Entonces esto es lo que ocurre cuando te conectas y cómo te ve el mundo:

Router - 10.10.10.1 (internal address) / 33.33.33.33 (external address)
Laptop1 - 10.10.10.2
Workstation1 - 10.10.10.4
DBServer2 - 10.10.10.10

Digamos que un usuario en Laptop1 va a obtener una actualización en: mysoftware.com, esto es lo que ocurre en términos muy básicos:

Laptop1 --> need to go to mysoftware.com (DNS lookup) --> router

Su enrutador crea una tupla (NAT / PAT) para pasársela al mundo que puede parecerse a esto:

10.10.10.2:65432 --> mysoftware.com --> router (I need to remember this)
router --> 10.10.10.1:44555 / 33.33.33.33:554433 --> mysoftware.com "Hey I need this"

Imagínese si dos personas a la misma hora exacta fueran a mysoftware.com ¿cómo sabrían los datos qué máquina es cuál? Esto se hace por la tupla, así que en el camino de vuelta ocurre:

mysoftware.com --> here is your update --> 33.33.33.33:554433

Su enrutador / firewall ahora mapea esa tupla:

554433 = 44555 which I have mapped to 10.10.10.2:65432

Así es como funcionan las conexiones en pocas palabras. Ahora, bajo la misma explicación ASCII ... El mundo exterior no puede NUNCA ver al azar lo que hay detrás de un firewall (a menos que fw esté mal configurado, y alguien haga un buen disparo de FireWork). Entonces, ¿qué se percibe que ocurrirá al permitir que este sistema acceda a Internet? Recuerde, hay una diferencia entre asignar a esa máquina una IP ESTÁTICA donde el mundo pueda verla, simplemente dándole acceso.

Supongamos que este es un servidor MySQL:

Workstation1 - 10.10.10.4 3306 is opened for LOCAL connections (within the LAN)

¿Un atacante? Ellos no sabrán que la dirección 10.10.10.4 existe. En el mundo, todo lo que saben / ven es 33.33.33.33 que pueden enviar datos al puerto 33.33.33.33 3306 pero no terminará en ninguna parte.

    
respondido por el munkeyoto 09.03.2016 - 21:34
fuente
0

Echemos un vistazo a las actualizaciones. Descargamos una actualización de lo que creemos que es una fuente confiable y luego viaja a través de Internet a su servidor. ¿Cómo viaja el paquete a tu ubicación?

Si observamos cómo viaja el tráfico a través de Internet, podemos ver que tiene múltiples "saltos" (que viajan de un dispositivo de red a otro).

Si fueras a ping 8.8.8.8 , verías que el TTL sería algo que no es igual al valor predeterminado de tus sistemas. En mi caso, mi sistema tiene un TTL predeterminado (tiempo de vida) de 64. El resultado de ping me da 54, lo que significa que cualquier información que envié sobre 10 dispositivos de red diferentes, solo 2 de los cuales son propiedad de mi organización, 8 Dispositivos de los que no sé nada.

¿Qué podrían estar haciendo estos 8 dispositivos? No sé nada de ellos. Podrían estar manipulando la carga útil de mis paquetes o podrían estar interceptando mi solicitud y proporcionándome un archivo diferente del que descargué. Tener el servidor en Internet no es necesariamente malo (dependiendo del servidor). Un servidor web está generalmente abierto a Internet, un controlador de dominio generalmente está aislado de una red privada.

En cuanto a la parte de la pregunta sobre una IP específica, las direcciones IP pueden ser falsificadas. Si su servidor espera una carga útil de un solo servidor y no realiza ninguna verificación (algo como UDP), se permitirá que el tráfico de la dirección falsificada fluya libremente.

Esta es una pregunta bastante amplia y hay muchas respuestas. Esperemos que esto ayude a aclarar algunas de las cosas básicas.

    
respondido por el Danny Klatt 09.03.2016 - 21:21
fuente
0

Basado en esta declaración:

  

El punto es: sabemos cuál es la IP en el otro lado y asumiría que confiamos en ella.

Puedes dormir fácilmente por la noche si:

  1. Bloquee su firewall para permitir solo el tráfico desde esa IP.
  2. Use SSL para comunicarse con esa IP.
  3. Almacene el certificado de confianza que el sitio le emite y detenga la comunicación cuando cambie el certificado.

Siempre que cambie el certificado, asumiendo que aún confía en el sitio, puede almacenar manualmente el nuevo certificado.

    
respondido por el TTT 10.03.2016 - 16:25
fuente

Lea otras preguntas en las etiquetas