Tengo un sitio web https que está protegido por un formulario de inicio de sesión (nombre de usuario + contraseña). ¿Añade algo, protección, si pongo este sitio web detrás de un firewall que solo permite cierta dirección IP?
Sí, el bloqueo de su servicio por IP evitará que la población general de Internet encuentre su servicio y reducirá drásticamente la superficie de ataque si se administra correctamente. Esto hará que su sitio sea más seguro no solo para los ataques de fuerza bruta, toda su aplicación será "invisible".
A pesar de este hecho, el bloqueo de las direcciones IP no debe hacerse en lugar de otras medidas, como garantizar que su aplicación web y su servidor estén protegidos contra otras vulnerabilidades. Si una de sus "buenas IPs" está comprometida, un atacante podría usar esto como Un pivote para atacar tu sitio. También tenga en cuenta que cualquier atacante puede usar cualquier malware que se ejecute por cualquiera de sus usuarios de confianza para omitir la restricción de IP.
Por lo tanto, úselo como una capa adicional de seguridad, pero no permita que esto lo engañe y le dé una falsa sensación de seguridad donde baje la guardia. Considere su aplicación y plataforma web como si estuviera totalmente visible en Internet: analice y pruebe periódicamente las vulnerabilidades y asegúrese de que la administración de las direcciones IP permitidas se realice correctamente eliminando, actualizando y verificando periódicamente.
Una lista blanca de direcciones IP en el firewall sería muy efectiva para prevenir ataques de fuerza bruta contra su formulario de inicio de sesión, suponiendo que se cumplan las siguientes condiciones (bastante obvias):
Si se cumplen estas condiciones, diría que continúe y agregue una lista blanca de IP. Si no es así, corre el riesgo de bloquearse (u otros) fuera del formulario de inicio de sesión.
En lo que respecta a la implementación, la forma más sencilla de hacerlo sería probablemente desde el propio servidor web (por ejemplo, mediante el uso de archivos .htaccess de apache). Si decide hacerlo desde el firewall, tendrá que encontrar una manera para que el firewall sepa que alguien está solicitando el formulario de inicio de sesión y no otra página en el sitio web, asumiendo que hay otras páginas además del formulario de inicio de sesión en este servidor. Dado que está utilizando HTTPS, es probable que tenga que terminar SSL en el firewall.
Otro beneficio de las restricciones de IP es que puede ayudar a mitigar a los internos maliciosos.
Considere un servicio en la nube que aloja datos críticos de negocios para sus clientes. Cada cliente tiene un número de empleados con cuentas, y la intención es que los empleados solo puedan acceder a esta información crítica desde las estaciones de trabajo de la empresa. En la disposición más básica, no hay control técnico para evitar que un empleado inicie sesión desde la computadora de su hogar. La adición de restricciones de IP configurables por el cliente permite al administrador de un cliente en particular forzar a todos sus usuarios a iniciar sesión desde los rangos de IP que pertenecen a la organización, lo que impide que las personas inicien sesión desde su casa.
Hay técnicas más avanzadas, en el campo bastante nuevo de "identidad federada", pero las restricciones de IP son una forma simple y efectiva de controlar esto.
Eso depende de lo que intentas protegerte.
Si solo está tratando de evitar que atacantes aleatorios naveguen por su sitio y traten de forzar su ingreso de manera bruta, su enfoque reducirá la visibilidad de su sitio y disuadirá a algunos atacantes en algunos escenarios.
Pero si el atacante conoce su configuración y una vulnerabilidad en particular, él o ella tal vez no necesiten leer la respuesta del servidor y podrían enviar paquetes diseñados con una IP del remitente falsificada para poner en peligro su servicio. Sin pruebas supongo que un ataque de shell estructurado como este funcionaría. Admito que este es un escenario bastante improbable y requiere que un atacante tenga mucho conocimiento sobre el sistema, la configuración y las vulnerabilidades. Pero si lo que está protegiendo es valioso, es posible que deba considerarlo.
Depende de lo que quieras decir con "restringir".
Por alguna extraña razón, la primera es, con mucho, la forma más común de restricción de IP. Sigue exactamente la misma falacia que la mayoría del software antivirus "verificar por coincidencia de perfil", de tratar de enumerar todo lo malo en el mundo (el número de "malos" es incognoscible; generalmente es mucho más fácil para enumerar el "bueno" en su lugar).
Tenga en cuenta que una lista blanca puede ser de naturaleza dinámica. Esta idea hace de la lista blanca una herramienta mucho más interesante de lo que se acredita. Espero exactamente una exploración cero de lo que esto realmente puede significar en el mercado de seguridad general.
Casi la mitad de los repentinos y misteriosos y desconcertantes problemas de conectividad de WAN que he tratado en operaciones en grandes centros de datos se originan en la aplicación ridícula de "listas negras", y sin embargo, nunca he encontrado una situación en la que las listas negras realmente hicieron mucho bien. (Las redes de bots tienen grupos de decenas o cientos de miles de IP disponibles, y cambian cada pocos minutos). Tenga en cuenta que esto no es exactamente lo mismo que prohibir o regular temporalmente en un lapso de horas o minutos. Teniendo en cuenta la naturaleza sin estado de muchos protocolos, este tipo de aceleración se puede ver más como un intento de aceleración de la conexión (los intentos de conexión son todas una serie de interacciones relacionadas) que un IP, MAC o una lista negra de bloques.
100% inútil. Los piratas informáticos pueden simplemente falsificar su dirección IP y pasar directamente a través de su lista blanca de todos modos.
MUY simple de hacer.