Una cosa que he notado es que la idea de "falsificar" la dirección IP de origen se muestra, pero la gente rara vez da detalles sobre lo difícil que puede ser en la práctica (por ejemplo, adivinar con precisión los números de secuencia de TCP), por lo que estaría interesado en cualquier opinión sobre la posibilidad de falsificar direcciones IP con un protocolo de aplicación común como HTTP.
Un punto justo que gana mi +1.
Si después de secuestrar una conexión existente que conoces por motivos de argumentos, 256.0.0.1
(deliberadamente no es real) está en la lista blanca es bastante difícil, como dices.
Creo que buscamos la suplantación de IP como la amenaza más obvia, como con la idea de que todos los piratas informáticos están "leet", usan administradores de ventanas de mosaico y tienen terminales transparentes. Sin embargo, hay algunos problemas más obvios:
- ¿Qué sucede si otra computadora adquiere esa dirección IP? Si usa solo restricciones basadas en direcciones IP, entonces se convierte en un problema.
- ¿Qué sucede si la computadora se ve comprometida? De nuevo, un problema si usa solo el filtrado de direcciones IP.
- ¿Qué sucede cuando tiene NAT y no tiene acceso a la dirección IP de origen?
En otras palabras, el problema es que si bien esto podría restringir el acceso, no hace nada para verificar la autorización . Como un firewall sin estado, que asume que todos en esta subred privada son buenos. Todo eso está muy bien, ¿pero autorizaste su acceso? Si pueden adquirir, por cualquier medio, una dirección IP en el rango correcto, les entregará confianza.
Por el contrario, si utiliza alguna forma de capa de autenticación, dificultará que el atacante obtenga acceso donde no esté autorizado.
Una mejor solución en mi mente es utilizar dispositivos similares a IPtables para marcar ciertas interfaces que tienen acceso a más o menos servicios. Esto se vincula a la red física, que es mucho más difícil de manipular por un atacante externo (o incluso interno). Sin embargo, aún necesita autenticación por encima de eso.