He leído varias publicaciones que indican que no se puede confiar en la búsqueda de dns inversa, ya que alguien puede falsificar DNS, por lo que cuando se crea una regla que permite el tráfico a través de dns, es posible explotar.
Sin embargo, no es tan fácil falsificar una IP, ¿correcto? Al menos, no soy consciente de esto.
Si sé la subred específica de la que siempre debería provenir la fuente, ¿no puedo usar eso además de la coincidencia de DNS?
Estoy usando HAProxy y creo que debería poder coincidir con el DNS y si la fuente está en la subred 99.99.99.9x. Lo que esencialmente se vería como
si el host es blah.mydns.com Y src es 99.99.99.9x - > ACEPTAR
Esto me permitiría tener la ventaja de la flexibilidad de dns: no se necesitan IP explícitas para definir, y nuevas máquinas en mi red. Y también afirman que provienen de una red que reconozco.
También he leído sobre la combinación de certificados SSL con esto para hacer valer una fuente adecuada, lo que suena como una buena idea, aunque tengo problemas para entender cómo integrar eso con cosas como el reenvío y control de SSH.
Esta pregunta puede ser redundante en este foro, pero lo que realmente estoy buscando es algo de retroalimentación si es una buena idea o una mala idea. Ninguna solución de seguridad es perfecta, cualquier explotador puede hacer cualquier cosa dado el tiempo y la motivación, pero ¿esto hace que los intentos sean mucho más difíciles?