C'è una differenza di sicurezza tra una lista bianca di indirizzi IP e una lista bianca di dominio con TLS?

tl; dr: cose diverse, entrambe utili per diversi scenari, la whitelist IP non è un brutto segno

In effetti stai confrontando mele e arance.

Il filtraggio basato su IP avviene a livello di rete del modello OSI , mentre la convalida dei certificati avviene sul trasporto (e / o applicazione).

L'accesso solo a / da specifici indirizzi IP riduce i possibili vettori di attacco mentre la convalida dei certificati garantisce che la connessione sia effettivamente con la parte prevista.

Il filtraggio basato su indirizzo IP è piuttosto un

I don't want to talk to people, except my friends

approccio, mentre la convalida dei certificati è piuttosto un

Let's see what you have to say and then decide if we talk

approccio.

Ci sono diversi motivi per cui viene utilizzato il filtraggio basato su IP, eccone alcuni che ritengo importante menzionare:

• Riduce la superficie di una rete o di una macchina in modo massiccio

  Se consenti al tuo sistema di comunicare con tutti, devi essere sicuro che tutti i processi di comunicazione seguano la regola.

  Se scegli di utilizzare la whitelist basata sull'indirizzo IP, puoi almeno assicurarti che i processi di comunicazione, nella misura in cui stabiliscono connessioni, non provino a interrompere il sistema.

• È facile da mantenere

  Un'impostazione a livello di sistema è più facile da aggiornare rispetto, diciamo, a 20 applicazioni Web.

• È veloce

  stabilire una sessione TLS è relativamente costoso, scartando i pacchetti in base all'origine non lo è.

Quindi, se entrambe le tecnologie vengono utilizzate insieme, sono molto utili e la richiesta di IP per una whitelist non è indice di misure di sicurezza errate. Spesso, è vero il contrario.

C'è un'altra parte della tua domanda a cui vorrei rivolgermi:

It seems to me that an IP address white list relies on easily spoofed information[.]

Anche se è vero che puoi falsificare l'indirizzo IP di origine di un pacchetto, questo di solito non consente di stabilire connessioni.

Un handshake TCP fallirà e su UDP non otterrai la risposta - tranne se sei un uomo nel mezzo.

Anche se ti interessa solo il tipo di TLS in cui è richiesto il certificato per abbinare il nome host (come fatto in HTTPS, ma ci sono casi d'uso di TLS che non lo fanno) allora ci sono ancora delle differenze nello scope e capacità di filtrare per indirizzo IP e hostname dall'handshake TLS.

• Vantaggio del filtraggio basato sul nome host:
  Potrebbero esserci molti nomi diversi dietro lo stesso indirizzo IP e la stessa porta. In questo caso, il cliente deve indirizzare un nome specifico utilizzando Indicazione del nome del server (SNI) . Controllando il nome host indicato in ClientHello e nel certificato, il server può eseguire un filtraggio più preciso, basandosi solo sull'indirizzo IP.
• Svantaggio quando si utilizza solo il filtro basato su hostname:
  Se si controlla solo se SNI e il certificato contengono il nome host corretto, gli assegni possono essere facilmente aggirati utilizzando certificati autogenerati. Pertanto, devi anche verificare che il certificato sia stato firmato da una CA di cui ti fidi.
• Vantaggio del filtraggio basato su indirizzo IP:
  Il controllo dell'indirizzo IP è precedente e veloce. È fatto con il primo pacchetto SYN necessario per stabilire la connessione TCP. Il controllo a livello di nome host può essere eseguito solo dopo aver conosciuto il nome host previsto, ovvero durante l'handshake TLS eseguito dopo la creazione della connessione TCP. A parte questo, è molto più difficile perché è necessario un controllo a livello di TLS rispetto all'ispezione a livello di rete.

Per ottenere i risultati migliori dovresti effettivamente fare entrambe le cose: filtrare per indirizzo IP per una corrispondenza rapida e anticipata e se questo passa e la connessione TCP stabilita controlla l'handshake TLS per il nome host previsto nel caso vengano usati più nomi per stesso indirizzo IP.