web-dev-qa-db-fra.com

Existe-t-il un avantage réel en termes de sécurité à restreindre les adresses IP étrangères?

Je suis actuellement en dehors des États-Unis et j'essaie de me connecter au site Web de mon fournisseur de soins de santé et la connexion expire. Je les ai contactés sur Twitter et ils m'ont dit que, par mesure de sécurité, ils bloquent les connexions depuis l'extérieur des États-Unis et me suggèrent d'utiliser un VPN.

Tellement génial, je peux utiliser un VPN pour résoudre mon problème. Mais je suis curieux, existe-t-il un réel avantage en termes de sécurité pour ce type de blocage d'adresses IP? Je suis un geek (développeur web), mais pas un spécialiste de la sécurité, donc je suis sûr que je manque quelque chose, mais il me semble que si je peux utiliser un VPN pour me connecter depuis l'Europe, tout pirate raisonnable ferait la même chose.

88
Matthew Nichols

Le concept est "réduction de la surface de menace". Si l'on s'attend à ce qu'aucune connexion ne soit établie à partir d'une certaine zone géographique, il est logique de bloquer cette zone, car, par définition, ce n'est pas légitime. En théorie. (Pour un fournisseur de soins de santé, c'est un choix étrange car les clients peuvent vouloir gérer leur santé en voyage, mais c'est un problème secondaire.)

Pour une entreprise pour laquelle je travaillais, il y avait une liste de pays répertoriant les 12 pires contrevenants pour la cybercriminalité, et nous n'avions aucun client dans ces pays. Il était donc logique de les bloquer.

  • Les attaquants pourraient-ils utiliser des proxys/VPN pour attaquer à partir d'une adresse IP autorisée? Tu paries.
  • Ont-ils? Qui sait.
  • Avons-nous de toute façon connu des volumes élevés d'attaques de ces 12 comtés? Oh oui.

Nous avons constaté une baisse immédiate de 80% du trafic vers nos serveurs Web lorsque nous avons commencé l'interdiction de la géo-IP.

164
schroeder

Une chose à considérer: il existe de nombreux pays dans lesquels l'État, ou peut-être des fournisseurs Internet louches, espionnent le trafic Internet.

Même si le site Web de votre fournisseur de soins de santé utilise TLS (ce que je suppose), les PC de ces pays peuvent avoir un faux certificat racine installé pour intercepter votre trafic. Donc, lorsque Joe tombe malade et se rend dans un cybercafé pour vérifier sa couverture sur le site Web du fournisseur de soins de santé, personne ne peut être sûr que ses données - et ses informations de connexion - sont en sécurité.

Le blocage d'adresses IP étrangères et la nécessité d'un VPN atténuent au moins une partie de cela - vous ne pouvez pas installer le client VPN sur un ordinateur public, vous devez donc utiliser votre propre ordinateur portable; cela aide également contre les enregistreurs de frappe, et MITM les attaques contre un VPN sont beaucoup plus difficiles que MITM contre HTTPS, car le client VPN sait à quels certificats s'attendre, donc vous ne peut pas simplement utiliser un faux CA .

L'avantage de sécurité est probablement faible, mais réel.

Mon lieu de travail s'occupe constamment de numérisations à partir d'un sol étranger. La plupart du temps, ils proviennent de quelques endroits notoires comme la Palestine ou la Russie où des problèmes politiques et juridiques existent entre les États-Unis et ces pays, ce qui les rend plus attrayants. Ils viennent également de pays plus amis comme la France ou les Pays-Bas. Ils sont beaucoup moins susceptibles de venir de l'intérieur de mon propre pays. Je suppose que cela pourrait être dû au fait qu'il est plus facile d'obtenir des mandats de recherche ou des dispositifs de tap/trace pour une source et une cible dans le même pays. Où ces gens existent dans l'espace de la viande, on peut le deviner.

Ce sont tous des processus largement automatisés ciblant de larges pans d'Internet. Ils sont assez simples pour que l'attaquant n'essaye probablement pas de nous cibler en soi, mais il essaie simplement de trouver "quelqu'un" à poursuivre.

Il est certainement vrai que ces attaquants peuvent utiliser d'autres moyens pour utiliser une adresse IP à l'intérieur de mon pays. Je les ai vus faire cela par divers autres moyens lorsqu'ils sont bloqués par nous. Mais cela nécessite un effort supplémentaire pour l'attaquant, qui peut être mieux dépensé ailleurs et ne vaut peut-être pas la peine pour l'attaquant de poursuivre une cible plus endurcie.

Comme dit le proverbe, vous n'avez pas besoin d'être l'animal le plus rapide qui fuit le prédateur; vous ne pouvez pas être le plus lent.

3
Steve Sether