En el caso de un escaneo de seguridad automatizado, ¿es más conveniente que las direcciones IP del escáner se incluyan en una lista blanca para encontrar vulnerabilidades detrás del firewall, o escanear frente al firewall?
Escenario de ejemplo / cluster:
- cortafuegos
- loadbalancer
- servidor web 1
- servidor web 2
- servidor de base de datos
- storageserver
- servidor de registro / supervisión
Supongamos que el sitio web o la aplicación web solo son accesibles a través del puerto 80 (HTTP) y el puerto 443 (HTTPS). Todos los demás puertos están filtrados por el firewall, excepto un puerto abierto adicional para una conexión VPN (de administración). Todo el tráfico va del firewall al loadbalancer, al servidor web (usando la base de datos y el servidor de almacenamiento). El servidor de registro / monitoreo es independiente.
Por un lado, podría argumentar que la exploración detrás de un firewall (con una lista blanca de IP) es más deseable porque posiblemente pueda obtener más información sobre más vulnerabilidades y mitigarlas, aunque es poco probable que puedan explotarse.
Por otro lado, podría argumentar que no se deben incluir en la lista blanca las direcciones IP del escáner porque este escenario es más realista (caja negra) y no daría la ventaja de escanear áreas que se filtran desde Internet en primer lugar.
Nadie puede acceder al servidor de la base de datos o al servidor de monitoreo directamente, pero si esas máquinas utilizan, por ejemplo, "123456" como contraseña de root o faltan más de 100 parches del sistema operativo que los hacen vulnerables a una carga de CVE. Te gustaría saber que supongo.
¿Cuál es la solución / alcance deseable aquí y qué es lo mejor para aconsejar a alguien sobre esto? ¿La lista blanca de IP introduce una mayor responsabilidad para mí como hacker ético? Dado que el cliente está introduciendo un punto débil en su seguridad al incluir en la lista blanca las direcciones IP del escáner.