È possibile limitare le porzioni di un sito Web per consentire solo l'accesso basato sulla regione geografica utilizzando l'indirizzo IP?

4

Disclaimer - Non sono un esperto di sicurezza, quindi questa potrebbe essere una domanda stupida. La mia conoscenza della sicurezza è focalizzata strettamente sullo sviluppo. Quando si tratta di configurazione e networking, so solo quanto basta per farmi passare. Sto cercando di cambiarlo.

In primo luogo, non sono nemmeno sicuro se questa sia una buona idea o anche qualcosa che vale la pena dare molta considerazione. Se è una cattiva idea, per favore dillo nella risposta (o in un commento), e dai una spiegazione del perché.

Abbiamo un sito web accessibile al pubblico e alcune parti consentono ai clienti di accedere ad alcuni dati sensibili. Abbiamo già seguito tutte le linee guida OWASP nelle nostre applicazioni, abbiamo un firewall per applicazioni Web e stiamo già prendendo tutte le precauzioni che possiamo immaginare per bloccarlo. Tuttavia, il nostro sito viene costantemente sottoposto a scansione da siti oltreoceano. Cina, Germania, Corea del Nord, lo chiami.

La nostra attività è limitata a un'area geografica molto piccola. Operiamo in tre stati negli Stati Uniti. Nel nostro carrello, vendiamo articoli che possono essere utilizzati solo nei nostri negozi, ad esempio le carte regalo. Con pochissime eccezioni, non c'è assolutamente alcun motivo per cui chiunque in un altro paese abbia bisogno di avere accesso a questa parte del nostro sito. (Vedo un soldato che vuole comprare carte regalo per le loro famiglie a casa, ma non molto altro.)

Sono solo curioso di sapere se sarebbe possibile bloccare la parte del sito Web limitando gli indirizzi IP agli indirizzi IP che provengono dagli Stati Uniti. Per chiarire, so come impostare le restrizioni IP in IIS, ma non so se ci sono intervalli noti verificabili dagli Stati Uniti.

So di spoofing IP e anonymizer e mi rendo conto che potremmo bloccare le persone che utilizzano tali strumenti e che sarà possibile per quelli al di fuori degli Stati Uniti utilizzare tali strumenti per aggirare anche questo. Non ho pensato a cosa avrebbe potuto fare per la fattibilità.

    
posta David Stratton 01.02.2013 - 15:54
fonte

1 risposta

5

SE è possibile mappare un indirizzo IP in ingresso in una posizione geografica, quindi sì è possibile filtrare i client in base al loro presunto paese corrente. Tuttavia, questo si basa sulla geolocalizzazione e sui suoi database associati, che non sono necessariamente molto affidabili. Inoltre, ogni volta che qualcuno utilizza un tunnel proxy o VPN o IPv6-to-v4, l'IP che vedi sul server è l'IP del punto di uscita del proxy / tunnel, non quello del computer di origine.

Viceversa, se si limita l'accesso solo all'IP degli Stati Uniti, sarebbe sufficiente noleggiare un server da un provider con sede negli Stati Uniti e utilizzare tale server come proxy per connettersi al proprio server con un IP basato su Stati Uniti "(l'impostazione di un proxy di questo tipo è una questione di comando a una riga con qualsiasi sistema Linux: ssh -D 5000 theproxyserver ). Gli attaccanti mezzi seri non saranno così scoraggiati dal filtro che suggerisci. Questo filtro basato sulla posizione bloccherà principalmente i tentativi automatici non intelligenti da botnet (che tentano di propagare), e questi sono i meno pericolosi del lotto.

Limitare il numero di potenziali clienti che possono vedere il tuo sito Web non sembra, a mio avviso, una mossa commercialmente ottimale. Di solito, non vuoi cacciare i clienti.

    
risposta data 01.02.2013 - 16:07
fonte

Leggi altre domande sui tag