Pregunta sobre la información recuperada de los sistemas que potencialmente podría conducir a explotaciones

Si su servidor web solo está sirviendo IP específicas, probablemente sea una mejor idea permitir solo esas IP en su firewall.

  

¿hay algo mal?

Depende de las respuestas HTTP que proporcione a las solicitudes HTTP. Creo que está devolviendo 403 Prohibido, pero ¿lo está devolviendo en respuesta a todas las solicitudes?

GET, HEAD, PUT, POST, DELETE, TRACE, CONNECT, OPTIONS

Intente enviar todas estas solicitudes desde una dirección IP no autorizada y vea qué respuestas recibe. Si alguna solicitud devuelve 401 No autorizado, el atacante puede darse cuenta de que está realizando un filtrado de direcciones IP.

  

un intruso sabría que un servidor HTTP se está ejecutando pero no podría acceder a él.   ¿Hay algún problema de seguridad debido a esto?

No directamente no. En términos generales, ocultar su existencia no es una protección de seguridad. Ocultar su existencia es un intento de evitar ser atacado. Si bien ser atacado por un atacante es un problema de seguridad, muchos profesionales de la seguridad creen que es mejor centrarse en el problema de cómo defenderse contra un ataque, en lugar de cómo evitar que ocurra un ataque.

Creo que si eres un objetivo potencial (¿y qué servidor web no lo es?) es solo una cuestión de tiempo hasta que te ataquen. No si, sino cuando. Como creo que serás atacado, creo que es mejor gastar el esfuerzo en preparar una defensa. De hecho, intentar permanecer invisible puede darle una falsa sensación de seguridad y evitar que dedique esfuerzos a cosas importantes como parches y actualizaciones. Después de todo, si nadie sabe que existo, estoy a salvo, ¿no?

Para casos específicos, podría funcionar como una buena opción para tener este enfoque pesimista, pero otras veces, esto no funcionará como lo has planeado.

1. El atacante puede falsificar su dirección IP para que sea una de su "lista de direcciones IP permitidas", y desde su "definición" se le otorgará acceso completo a sus servicios.

2. El atacante puede usar otros medios para reducir sus servicios. Si hay un banner o número de versión revelado en su respuesta prohibida 'HTTP', el atacante solo buscará exploits conocidos para esas versiones, y podría probar un exploit directamente.

3. Ningún atacante puede desactivar su aplicación web en un solo intento. El atacante deberá realizar un 'Reconocimiento', 'Impresión digital' y exploraciones de vulnerabilidad para identificar posibles debilidades. Al permitir cierto nivel de acceso a personas externas, puede monitorear dichos eventos y usar esos datos para fortalecer su seguridad. Este período de aprendizaje podría ser extremadamente beneficioso para prevenir futuros ataques.

Usted podría ser disimulado y ofrecer contenido diferente a los clientes "aprobados" y "no aprobados".

ver enlace

Las direcciones IP no aprobadas pueden recibir una trampa de miel, o simplemente una maqueta "¿Cómo es esto para nuestra nueva página principal?" Con imágenes de lorem ipsum y placeholde.it.

Las puertas blindadas y los candados grandes pueden asustar a algunos, pero 401/403 y los disparos "A los intrusos se les puede disparar" pueden provocar algunos intentos.

El solo hecho de servir contenido de apariencia inocente y "404 no encontrado" engañará a muchos chavales de secuencias de comandos, y no le dará más información al pirata informático determinado.