Manejo de la seguridad con subdominios que apuntan a cuadros

Navega tus respuestas
1

En general, a pesar de ejecutar combinaciones de hardware y firewall de software y mantener seguro cada aspecto de la capa 7 de la caja, no me gusta revelar las direcciones IP directas de nuestros servidores al público como una capa adicional. Dicho esto, para que el correo se envíe, la mayoría de los ISP requieren que el registro PTR de nuestro servidor coincida con un registro de nombre A (resolución de reenvío). Si hacemos esto, eso expondría las IP de nuestros servidores porque cualquiera podría simplemente resolver workerx.cluster.x.com a la dirección IP de nuestro servidor, lo cual no es muy difícil de adivinar. ¿Es esta una preocupación seria, o es una buena cosa que hacer?

    
pregunta Matthew Salsamendi 30.09.2013 - 00:09
fuente

2 respuestas

2

No debería estar exponiendo la IP de su servidor, sino la IP de su servidor de seguridad a través de DNS ...

    
respondido por el schroeder 02.10.2013 - 21:16
fuente
1

La traducción estática de direcciones IP tiene un valor pequeño, ya que dificulta que un atacante determine la subred en la que puede estar un host, sin embargo eso no es una gran ventaja ya que esa información no es una gran ventaja para el atacante. La seguridad que compra la oscuridad es limitada. Un atacante aún puede atacar la IP como es visible, y solo hay una máquina detrás.

Cuando la transformación de la dirección agrega algún beneficio de seguridad, es una gran cantidad de traducciones, que se utilizan con frecuencia en el acceso saliente a Internet desde las conexiones de banda ancha domésticas hasta las compañías más grandes del mundo. En configuraciones más grandes, puede haber miles de hosts detrás de una sola dirección IP (el firewall o el proxy reemplaza la IP de origen de todas las conexiones para que sea una única IP y realiza un seguimiento de qué conexión utiliza las tablas de sesión), por lo que incluso si un atacante sabe La IP que salen en la fuente real está ofuscada. Un atacante que intenta conectarse a esa IP no puede llegar a ninguna parte, ya que existen múltiples destinos.

    
respondido por el GdD 30.09.2013 - 14:29
fuente

Lea otras preguntas en las etiquetas

¿Puede un dispositivo biométrico servir como fuente de entropía basada en el usuario? ¿Se puede "escapar de" una conexión TCP con una VM para llegar al host? [duplicar]