Si pone en la lista blanca las direcciones IP en las que confía, eso implica todas las demás direcciones IP excepto las que están bloqueadas. Eso evitará efectivamente otras direcciones IP de los ataques de DOS. El supuesto, por supuesto, es que la configuración del cortafuegos no es errónea y / o el propio cortafuegos se considera "seguro" según los estándares razonables.
Cuando una herramienta como RDP Defender entra para agregar valor, es cuando no puede conocer las IP específicas que deberían usar su servicio y, por lo tanto, no puede incluirlas en la lista blanca y / o no quiere asumir esas IP son de confianza
RDP Defender, y herramientas similares, le permiten abrir sus servicios a IP y luego busca patrones de comportamiento de esas IP y listas negras basadas en criterios de comportamiento.
Vale la pena señalar que, de acuerdo con el sitio de RDP Defender, esta herramienta funciona al monitorear los intentos fallidos de inicio de sesión y luego aprovecha el firewall de Windows para poner reglas en su lugar para bloquear el tráfico de esas IP. Es importante pensar en esto por varias razones:
1) Los ataques de DOS / DDOS no necesariamente aprovechan los intentos de inicio de sesión y, por lo tanto, no se detectan ni se bloquean.
2) La defensa de bloquear las direcciones IP donde se genera tráfico sospechoso, en sí misma, se puede utilizar como método de ataque para DOS. Si un atacante puede incrustarse en algo que mucha gente usa, cuando ese ataque se lance, vendrá de muchas direcciones IP. Si su defensa es bloquear cada una de esas IP de origen, algunas de esas IP podrían ser clientes válidos de su servicio que se están cerrando. Si su defensa es bloquear subredes enteras, eso ciertamente tendrá el potencial de apagar muchas IPs que no intentan hacer daño. Por último, si el atacante falsifica la dirección IP, puede apuntar para que usted cierre las IP como desee.
Descargo de responsabilidad: nunca recomiendo que alguien ponga un servidor en la Internet pública (especialmente en Windows) sin la experiencia de alguien que conoce todas las complejidades involucradas. Su mejor escenario es un sistema muy sólido que está tan protegido como es posible teniendo en cuenta la naturaleza de los servicios que debe proporcionar al público en Internet, pero aún así es vulnerable de la manera que usted y su negocio han evaluado y decidido aceptar riesgos. Su peor escenario es pensar que su servidor está bien fortalecido y protegido, pero no lo está y usted lo descubre de una manera que le cuesta a la empresa enormes cantidades de ingresos perdidos, multas, responsabilidades legales y / o impacto en la reputación. Además, incluso si la seguridad es muy efectiva en el momento del despliegue, no es atípico que esa seguridad se desvanezca a medida que pasa el tiempo, por lo que hay un aspecto operativo continuo en el que pensar.
Mi respuesta no pretende hacer nada más que ayudarte a pensar sobre esto.