Tengo un Windows Server 2016 y quiero permitir un número ilimitado de solicitudes entrantes de algunas direcciones IP específicas, pero evitar otros ataques de DoS.
Veo RDP Defender pero no estoy seguro de qué tan bueno o seguro es usarlo. ¿Cómo hacer una lista blanca de algunas direcciones IP y evitar que otras personas sufran DoS y otros ataques? (preferiblemente utilizando Windows Server o Plesk)
Gracias.
Si pone en la lista blanca las direcciones IP en las que confía, eso implica todas las demás direcciones IP excepto las que están bloqueadas. Eso evitará efectivamente otras direcciones IP de los ataques de DOS. El supuesto, por supuesto, es que la configuración del cortafuegos no es errónea y / o el propio cortafuegos se considera "seguro" según los estándares razonables.
Cuando una herramienta como RDP Defender entra para agregar valor, es cuando no puede conocer las IP específicas que deberían usar su servicio y, por lo tanto, no puede incluirlas en la lista blanca y / o no quiere asumir esas IP son de confianza
RDP Defender, y herramientas similares, le permiten abrir sus servicios a IP y luego busca patrones de comportamiento de esas IP y listas negras basadas en criterios de comportamiento.
Vale la pena señalar que, de acuerdo con el sitio de RDP Defender, esta herramienta funciona al monitorear los intentos fallidos de inicio de sesión y luego aprovecha el firewall de Windows para poner reglas en su lugar para bloquear el tráfico de esas IP. Es importante pensar en esto por varias razones:
1) Los ataques de DOS / DDOS no necesariamente aprovechan los intentos de inicio de sesión y, por lo tanto, no se detectan ni se bloquean.
2) La defensa de bloquear las direcciones IP donde se genera tráfico sospechoso, en sí misma, se puede utilizar como método de ataque para DOS. Si un atacante puede incrustarse en algo que mucha gente usa, cuando ese ataque se lance, vendrá de muchas direcciones IP. Si su defensa es bloquear cada una de esas IP de origen, algunas de esas IP podrían ser clientes válidos de su servicio que se están cerrando. Si su defensa es bloquear subredes enteras, eso ciertamente tendrá el potencial de apagar muchas IPs que no intentan hacer daño. Por último, si el atacante falsifica la dirección IP, puede apuntar para que usted cierre las IP como desee.
Descargo de responsabilidad: nunca recomiendo que alguien ponga un servidor en la Internet pública (especialmente en Windows) sin la experiencia de alguien que conoce todas las complejidades involucradas. Su mejor escenario es un sistema muy sólido que está tan protegido como es posible teniendo en cuenta la naturaleza de los servicios que debe proporcionar al público en Internet, pero aún así es vulnerable de la manera que usted y su negocio han evaluado y decidido aceptar riesgos. Su peor escenario es pensar que su servidor está bien fortalecido y protegido, pero no lo está y usted lo descubre de una manera que le cuesta a la empresa enormes cantidades de ingresos perdidos, multas, responsabilidades legales y / o impacto en la reputación. Además, incluso si la seguridad es muy efectiva en el momento del despliegue, no es atípico que esa seguridad se desvanezca a medida que pasa el tiempo, por lo que hay un aspecto operativo continuo en el que pensar.
Mi respuesta no pretende hacer nada más que ayudarte a pensar sobre esto.
Estás mezclando diferentes conceptos. Una lista blanca (y una limitación de velocidad, es decir, que permite solo unas pocas solicitudes de una IP que no está en la lista blanca) y el DoS no comparte una base común.
Si bien puede hacerlo, ya sea a nivel de la aplicación (no está claro a qué se refiere con "solicitud entrante", por lo que esto podría ser un cambio para muchas aplicaciones diferentes) o al usar un firewall con estado que limitará la velocidad de las conexiones desde una -la lista blanca de IP al servidor, implementa esto, no ayudaría contra DoS o DDoS.
En el caso de un DoS, tanto como un solo paquete podría ser suficiente para activar un DoS, dependiendo de la vulnerabilidad explotada al DoS.
Si, sin embargo, sigue la idea aparentemente común (y altamente inexacta) de que DoS y DDoS son lo mismo, quizás atrape los ataques DDoS que apuntan a la capa de la aplicación, es decir, agotando la RAM o el disco espacio, tal vez potencia de cálculo.
Sin embargo, son más comunes los ataques DDoS que agotan las capacidades de red de los objetivos y esto depende únicamente de la conexión de red de sus servidores. Incluso con un firewall con estado antes de eso, la conexión a su servidor seguirá siendo bloqueada, incluso si no llegan tantas conexiones directamente a su servidor.
Aunque puedes (y deberías) hacer algún tipo de limitación de velocidad, tal vez sea algo análogo a fail2ban en Linux para dificultar el descubrimiento de vulnerabilidades, esto no ayuda exactamente con los ataques DoS o DDoS.
Aunque no busqué al defensor de RDP, supongo que solo comprueba el protocolo de RDP, no otras aplicaciones, por lo que probablemente sea una adición para frustrar la amenaza a nivel de aplicación como se sugirió anteriormente.
Lea otras preguntas en las etiquetas denial-of-service windows