Nick Lewis(CISSP,GCWN))是一名信息安全分析师。他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划。2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位。在他09年加入目前的组织之前,Nick曾在波士顿儿童医院、哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作。
听说现在攻击者会利用Web代理服务器来隐藏正在执行其攻击的设备。我知道我们只能够拦截IP地址,但我们有些客户也在使用Web代理服务器。是否有其他方式来阻止和防止此类攻击,而不会失去合法的通信?
Nick Lewis:攻击者一直在混淆源IP地址,只要IP网络在使用中。以前很多隐藏源IP地址的方法(例如伪造源IP地址)可以通过遵循BCP38的建议来进行阻止,BCP38即仅为“你的企业网络和客户路由网络流量”。
虽然自BCP38发布的近25年以来,检测系统已经有所改进,但攻击者仍然有很多办法来混淆执行攻击的设备的源IP地址;例如,这可以使用Tor、Web代理服务器或网络地址转换来完成。重要的是要注意,Web代理服务器可以用来提高系统的安全性,因为它可以滤掉通过未加密Web代理服务器的恶意加密流量。Web代理服务器还可以为合法用户提供一定水平的匿名性。然而,Web代理服务器也可能会影响隐私性,但这是另一回事了。
阻止单个IP地址或Web代理服务器并不会具有可扩展性。但提高对可疑单个IP的监控可以帮助识别正在进行的攻击,并帮助确定哪些系统已经受到感染。
企业也可以订阅黑名单或威胁情报服务来帮助保持最新IP阻止列表,仅阻止未经批准的代理服务器。然而,这可能仍然非常具有挑战性,因为你不想要阻止合法客户。根据你想要阻止恶意连接的方式,你可以提高用于验证合法连接的身份验证,或者甚至在你的Web应用前面部署Web代理服务器(或者Web应用防火墙),以过滤掉到目的Web应用的未经验证的连接。你还可以对客户的网络使用白名单的办法来设置对web应用的访问权限。