Добрый день.
На проксе настроено правило проброса порта с фильтрацией по IP адресу.
Т.е. подключение возможно только с 1 IP адреса.
Фильтрация реализована с помощью iptables.
Насколько надежна такая настройка в плане безопасности? Есть ли теоретическая\практическая возможность подмены адреса и получения доступа?
Будет ли надежнее создать OpenVPN тунель например и пускать трафик через него?
Просьба ответы подкреплять описанием\ссылками на реализацию подобной подмены, если она в принципе возможна, в чем я сомневаюсь.
sbh: Вы нашли информацию - я вам ответил, что для защиты канала фильтрация по IP или MAC ненадежны и обходятся квалифицированным взломщиком. Как именно вас будут ломать - это уже тянет на персональные курсы повышения квалификации для вас. От меня - не ждите.
Армянское Радио: про mac это другой вопрос, я про него не спрашивал. Интересует именно фильтрация по IP. Возможно вы вопрос неверно поняли. Фильтрация идет по 1 конкретному IP адресу. Ну разве реально взять и подменить свой внешний адрес именно на тот который нужен???
sbh: Я вас верно понял. Вас может атаковать недобросовестный сотрудник хостера или провайдера, короче, любой, кто устроит вам MiTM, (и это только один вариант). И зачем вам нужна защита, которая ИНОГДА работает, когда можно бесплатно поднять криптографический канал, который гарантированно* закрыт от MiTM и прочих атак типа "ложный узел сетевой инфраструктуры"
*при наличии у поднимающего прямых рук и недырявого софта.
Дело в том, что в вопросах безопасности вероятностный подход, мягко говоря, сосет. Японцы тоже пищали, что вероятность землетрясения и цунами в 11 метров - "никак не может быть, десу, вы что, десу, все зашибись, десу!". А теперь имеют попадос на 100 миллиардов баксов ( и это не окончательная оценка), уровни радиации 50 Zv ( гарантированная смерть за 7 минут примерно) и слив радиоактивной воды в океан в течении вот уже 5 лет.
Правильный подход - суровое формализованное доказательство о осознание всей иронии законов Мерфи.
Злоумышленник при помощи спуфинга не сможет пользоваться вашим прокси, так как отправить пакет от чужого адреса он может, а получить ответ обратно - нет.
Спуфингом можно успешно отправить например UDP пакет или разорвать чужое SSH соединение (если угадаете уникальное число присвоенное соединению).
Алексей: тогда вопрос остается открытым. каким это образом можно подменить свой IP так запросто как пишет 1 автор. У меня вот тоже 1 вопрос если IP отправителя левый то как тогда ответ получать.
sbh: Ну автор пишет правильно - подменить IP в пакете можно. И этот пакет вы отправите и его получит сервер. Ответ он отправит уже на чужой адрес и он или не дойдет или дойдет уже до вас и ваш компьютер уже откинет его как незапрошенный. Если есть доступ к сетевому кабелю от сервера, тогда можно подменять все что хочешь при желании.
Средний
