Ho un sito Web https protetto da un modulo di accesso (username + password). Aggiunge qualcosa, protezione, se metto questo sito web dietro un firewall che consente solo un determinato indirizzo IP?
Sì, il blocco del servizio tramite IP impedirà il rilevamento del servizio da parte della popolazione generale di Internet e ridurrà drasticamente la superficie di attacco se gestita correttamente. Ciò renderà il tuo sito più sicuro non solo da attacchi brute force - l'intera applicazione sarà "invisibile".
Nonostante questo, il blocco degli IP non dovrebbe essere fatto al posto di altre misure come garantire che la tua applicazione web e il server siano protetti da altre vulnerabilità - se uno dei tuoi "buoni IP" è compromesso, un utente malintenzionato potrebbe usare questo come un pivot per attaccare il tuo sito. Inoltre, tieni presente che qualsiasi malware in esecuzione da parte di uno dei tuoi utenti fidati potrebbe essere utilizzato da un utente malintenzionato per ignorare la restrizione IP.
Quindi usalo come ulteriore livello di sicurezza, ma non lasciare che questo ti ingannasse in un falso senso di sicurezza in cui abbassi la guardia. Tratta la tua applicazione web e la tua piattaforma come se fosse completamente visibile su Internet: esegui regolarmente la scansione e la verifica per le vulnerabilità e assicurati che la gestione degli indirizzi IP consentiti sia eseguita correttamente eliminando, aggiornando e verificando regolarmente.
Una whitelist di indirizzi IP sul firewall sarebbe sicuramente molto efficace nel prevenire attacchi di forza bruta contro il tuo modulo di login, assumendo che le seguenti condizioni (abbastanza ovvie) siano soddisfatte:
Se queste condizioni sono soddisfatte, direi di andare avanti e aggiungere una whitelist IP. In caso contrario, rischi di bloccare te stesso (o altri) dal modulo di accesso.
Per quanto riguarda l'implementazione, il modo più semplice per farlo probabilmente proviene dal server web stesso (ad esempio, utilizzando i file apache .htaccess). Se decidi di farlo dal firewall, dovrai trovare un modo per far sapere al firewall che qualcuno sta richiedendo il modulo di accesso e non qualche altra pagina sul sito web, supponendo che ci siano altre pagine oltre al modulo di accesso su questo server. Poiché utilizzi HTTPS, probabilmente dovresti chiudere SSL sul firewall.
Un altro vantaggio delle restrizioni IP è che può aiutare a mitigare gli utenti malintenzionati.
Considerare un servizio cloud che ospita dati business-critical per i propri clienti. Ogni cliente ha un numero di dipendenti con account e l'intenzione è che i dipendenti possano accedere solo a questi dati critici dalle workstation aziendali. Nella disposizione più semplice, non esiste un controllo tecnico per impedire a un dipendente di accedere dal proprio computer di casa. L'aggiunta di restrizioni IP configurabili dal client consente all'amministratore di un particolare client di forzare tutti gli utenti ad accedere dagli intervalli IP appartenenti all'organizzazione, impedendo alle persone di accedere da casa.
Ci sono tecniche più avanzate, nel campo abbastanza nuovo di "identità federata" - ma le restrizioni IP sono un modo semplice ed efficace per controllarlo.
Dipende da cosa stai cercando di proteggerti.
Se stai solo cercando di impedire agli aggressori casuali di sfogliare il tuo sito e tentare di forzare il tuo login, il tuo approccio ridurrà la visibilità del tuo sito e scoraggerà alcuni attaccanti in alcuni scenari.
Ma se l'attaccante conosce la tua configurazione e una particolare vulnerabilità, lui o lei potrebbero non aver bisogno di leggere la risposta del server e potrebbe essere in grado di inviare pacchetti predisposti con IP mittente falsificato per compromettere il tuo servizio. Senza test, suppongo che una shellshock strutturata come questa funzionerebbe. Ammetto che questo è uno scenario piuttosto improbabile e richiede a un utente malintenzionato di avere molte informazioni sul sistema, l'installazione e le vulnerabilità. Ma se ciò che stai proteggendo è valutabile potresti doverlo considerare.
Dipende da cosa intendi con "restrict".
Per alcuni motivi bizzarri il primo è di gran lunga la forma più comune di restrizione IP. Segue lo stesso errore della maggior parte del software antivirus "check by profile match", di cercare di enumerare tutto ciò che è male nel mondo (il numero di "cattivi" è inconoscibile, in genere è molto più facile per enumerare il "bene" invece).
Si noti che una lista bianca può essere di natura dinamica. Questa idea rende la whitelisting uno strumento molto più interessante di quanto non meriti credito. Mi aspetto esattamente un'esplorazione zero di ciò che questo può davvero significare nel mercato della sicurezza generale.
Circa la metà dei problemi di connettività WAN improvvisi, misteriosi e perplessi che ho affrontato nelle operazioni nei data center di grandi dimensioni derivano dalla ridicola applicazione della "lista nera" - e tuttavia non ho mai incontrato una situazione in cui la lista nera ha fatto davvero molto bene (le botnet hanno pool di decine o centinaia di migliaia di IP disponibili e si spostano ogni pochi minuti). Si noti che questo non è esattamente la stessa cosa che vietare temporaneamente o rallentare in un arco di ore o minuti. Considerando la natura senza stato di molti protocolli, questa sorta di limitazione può essere vista più come un tentativo di limitazione della connessione (i tentativi di connessione sono tutte una serie correlata di interazioni) rispetto a una lista nera di IP, MAC o blocco.
100% inutile. Gli hacker possono solo falsificare il loro indirizzo IP e ottenere comunque correttamente la tua white-list.
MOLTO semplice da fare.