Implicaciones de seguridad de WAF que revelan direcciones IP internas

Navega tus respuestas
4

¿Cuáles son las implicaciones de seguridad de un firewall / equilibrador de carga de una aplicación web que revele las IP internas de los sitios web que están detrás del mismo al mundo exterior?

Un ejemplo específico es con los productos F5: utilizan una cookie que puede decodificarse para mostrar las direcciones IP internas de los sitios que están sirviendo. Google para el descodificador de cookies BigIP si desea obtener más información. (Nota: PUEDE habilitar el cifrado de las cookies si desea ocultar las direcciones IP internas).

Entiendo que el aprendizaje de las IP internas formaría parte de la recopilación de información, pero los escenarios en los que sería útil parecen limitados. Un atacante podría usarlo con ingeniería social para atacar máquinas específicas. Además de eso, ¿qué superficie de ataque o vectores de ataque se abren al filtrar las IP internas de los sitios web?

    
pregunta nyxgeek 13.04.2016 - 04:10
fuente

3 respuestas

2
  

¿Cuáles son las implicaciones de seguridad de un firewall de aplicaciones web / equilibrador de carga?   revelando direcciones IP internas de los sitios web que están detrás de ella hacia el exterior   mundo?

Si cuando dices "IP internas" te refieres a la dirección LAN del servidor web (es decir, el mismo centro de datos, redes privadas, etc.), tienes un escenario similar a WebRTC que revela la dirección IP privada de su computadora .

El mayor riesgo es si cuando dice "IP internas", se refiere a direcciones IP de acceso remoto (es decir, públicas) de las que simplemente no hablamos ni confiamos en la seguridad por oscuridad para ocultarlas y protegerlas. En este caso, la superficie de ataque aquí es su servidor web completo, ya que se puede acceder directamente desde él a Internet, y el simple hecho de saber su dirección IP le permitiría a un atacante omitir completamente el firewall de su aplicación web y cualquier bloqueo y amp; el registro podría tener.

Para la defensa en profundidad, puede considerar los siguientes controles de acceso :

  • La creación de reglas de firewall en el servidor web para permitir solo el tráfico entrante DESDE su equilibrador de carga, lo que impide el acceso directo desde cualquier otra red / IP, incluso si se filtró.
  • Eliminando la IP pública del servidor, y solo use redes privadas

Por supuesto, esto implica un equilibrio entre seguridad y capacidad de mantenimiento. Me imagino que todavía necesitará una forma de acceso remoto (es decir, VPN, SSH, o posiblemente a través de software de administración de infraestructura como Chef, Puppet, proceso de integración continua, etc.) pero el punto es que lo haría bajo un control de acceso más estricto eso haría que el conocimiento de la IP de su servidor sea casi inútil.

    
respondido por el rdev5 13.07.2016 - 00:42
fuente
0

Si un atacante encuentra un método para ejecutar código en uno de sus hosts, es más fácil atacar a otros hosts detrás de su firewall o equilibrador de carga, incluso con un canal trasero limitado (por ejemplo, si se trata de una inyección de código oculto o para mantener la huella de el ataque lo más pequeño posible).

    
respondido por el Noir 13.04.2016 - 09:21
fuente
0

Las divulgaciones internas de IP generalmente se consideran vulnerabilidades de divulgación de información. Si bien esto ayudaría a un proceso de huella de la red del atacante, no es intrínsecamente peor que otras revelaciones de información.

Sopesar los riesgos de no tener el WAF frente a darle a un atacante una información adicional, me parece una decisión simple.

Con toda probabilidad (la mayoría de las veces) un atacante ingresará a través de la ingeniería social a uno de sus empleados para descargar un troyano. En ese momento, es casi trivial comenzar a escanear la red desde adentro.

    
respondido por el Addison Wilson 13.05.2016 - 21:36
fuente

Lea otras preguntas en las etiquetas

¿Por qué un navegador moderno permitiría cargar recursos internos desde una página externa? ¿Razonable (BruteForce) intentos / segunda estimación?