¿Cómo pueden los sitios web con funcionalidad de recorrido de URL protegerse de revelar su IP?

1

Actualmente, una buena cantidad de sitios web no se ofrecen directamente a través de Internet, sino a través de proveedores intermedios, como Cloudflare e Incapsula.

Una premisa básica de la seguridad provista por estos servicios implica no revelar la IP original del servidor. Los sitios web a menudo pierden su IP a través de registros MX o a través de registros DNS "directos".

Ahora asumiremos un sitio web que no filtra su IP a través de técnicas tan comunes. Sin embargo, el sitio web tiene alguna forma de funcionalidad de recorrido de URL controlada por el usuario, como:

  • Un servicio de captura de pantalla del sitio web
  • Generación de "tarjetas de enlace" en sitios web de redes sociales
  • sitios web de "redireccionamiento de comprobadores"

Ahora, todo lo que el atacante debe hacer es escribir una URL que apunte a su propio servidor y observar el registro de solicitudes del servidor. En el caso de los servicios de "captura de pantalla", es aún más trivial hacerlo: el atacante simplemente tiene que apuntarlo a uno de los sitios web "¿Cuál es mi IP" y voilà? Tienen su IP.

¿Qué conjunto de mitigaciones se puede usar para manejar esta filtración de IP de manera efectiva?

    
pregunta user2064000 11.05.2017 - 21:38
fuente

1 respuesta

1

En general, todo se reduce a la pregunta: ¿qué importancia tiene esta funcionalidad para su empresa?

Opción A: dicha funcionalidad de recorrido de URL no es muy importante para el sitio web. Por ejemplo, ese sitio puede hacer muchas cosas, y tomar una captura de pantalla es una característica que el sitio puede más o menos vivir sin.

Entonces es suficiente usar cualquier VPN o proxy en una dirección IP diferente (o, mejor, en una red IP completamente diferente o incluso ISP / proveedor de alojamiento) para conectarse a sitios no confiables. Asegúrese de que el proxy no establezca X-Forwarded-For , Forwarded o X-Real-IP de encabezados HTTP (algunos de ellos lo hacen de forma predeterminada). También asegúrese de que todo el tráfico de servicio, como las consultas de DNS, se enrute a través del mismo proxy o VPN.

Opción B: el recorrido de la URL es una parte de la funcionalidad fundamental para el negocio, el sitio web no se ejecutará sin ella.

Entonces, también se debe aplicar una mitigación de DDoS de algún tipo allí.

  • Buenas noticias: en comparación con la complejidad de una protección DDoS típica de Layer 7 en la actualidad, proteger dicha funcionalidad es bastante simple: un proveedor solo necesita una buena cantidad de ancho de banda y un firewall con estado con una capacidad de seguimiento de conexión TCP cerca del borde de la red .
  • Malas noticias: a principios de 2018, ni Cloudflare ni Incapsula pueden hacer eso, por lo que debe elegir otro proveedor para eso. Si tiene su propio prefijo de IP y un número de sistema autónomo, es probable que una protección DDoS basada en BGP sea más adecuada para usted que la basada en DNS en este caso, especialmente porque actualmente nos estamos quedando sin espacio de direcciones IPv4.
respondido por el ximaera 29.01.2018 - 01:11
fuente

Lea otras preguntas en las etiquetas