Quão seguro é limitar o acesso ao site por IP? [fechadas]

5

Atualmente, estou desenvolvendo um software que requer vários sites remotos para se conectar com segurança aos nossos servidores para acessar uma aplicação Web básica.

Até agora, tenho trabalhado em uma configuração de VPN cliente / servidor - é certamente muito seguro, mas há muita dificuldade com conexões Windows / Linux, roteamento entre computadores clientes e a necessidade de servidores clientes extras. / hardware etc.

Estou agora a pensar que permitir o acesso SSL à Web com um nome de utilizador / palavra-passe seria aceitável se fosse estritamente restrito a intervalos de IP autorizados - suponho que esta configuração não seria segura, com spoofing de ip, etc. encontre alguém alertando contra isso.

Minha pergunta é como isso seria seguro? É possível que alguém falsifique o IP do cliente e consiga se conectar de qualquer maneira? Como isso se compara a uma VPN?

    
por user705142 15.03.2012 / 13:02

4 respostas

9

IP spoofing para autenticar em uma rede não é uma tarefa fácil, mas pode ser feito. A maioria dos ataques de falsificação de IP só querem ocultar sua identidade porque não se importam em obter uma resposta (DDoS). Para obter sucesso no handshaking SSL, você precisará ser capaz de interceptar todos os pacotes para o IP que você está falsificando, porque você precisa respondê-los. Isso pode ser feito, mas é extremamente difícil já que você precisaria acessar certos roteadores ou estar na mesma sub-rede que o IP que você está fingindo ser.

Como você também está adicionando um mecanismo de autenticação, não acho que será fácil atacá-lo. Apenas acompanhe as tentativas de login e implemente alguns trions para que você possa bloquear um ip após tantos ataques (e um mecanismo de notificação), e você ficará bem.

    
por 15.03.2012 / 13:12
3

Um ataque baseado em spoofing de IP seria altamente direcionado, portanto, o nível de risco provavelmente está relacionado ao valor de um ataque bem-sucedido.

Acho que é uma boa defesa contra ataques de rastreamento e, combinada com um mecanismo de autenticação seguro, seria eficaz. Se você conseguir tudo o que precisa com uma interface https, provavelmente é bom o suficiente.

    
por 15.03.2012 / 13:16
0

Limitar por IP deve ser considerado bastante seguro, desde que sua transmissão de tráfego também seja segura, você deve estar usando SSL. Se as informações forem mais confidenciais, você poderá verificar os certificados SSL do lado do cliente para confirmar o acesso do usuário também.

    
por 15.03.2012 / 13:21
0

I would assume this setup wouldn't be secure, with ip spoofing etc,

Você não pode falsificar endereços IP.

Ou: você pode falsificar o IP de retorno, mas nunca poderá estabelecer uma conexão.

Isso é o mesmo que dizer que você quer que alguém ligue de volta, mas você informa o número de telefone errado. Eles podem ligar de volta, mas nunca chegar até você.

Is it possible for someone to spoof the client IP and manage to connect anyway?

Não. Eles podem começar a estabelecer uma conexão, que fica presa no estado de meia abertura - já que eles não recebem os pacotes de retorno do servidor. Este é um ataque de negação de serviço conhecido (antigo, mas não mais aplicável graças a syn-cookies) (os servidores não conseguiam lidar com centenas de milhares de conexões TCP semiabertas). Mas eles nunca podem estabelecer comunicação completa sem ter acesso ao IP de origem via roteamento.

    
por 15.03.2012 / 13:12

Tags