È un vantaggio di sicurezza reale se un host utilizza indirizzi IP statici per l'autenticazione?

2

Poiché le mie conoscenze sulla sicurezza delle informazioni non sono così buone e Google non mi ha dato una risposta soddisfacente, vorrei chiedere alla comunità qui:

Sto lavorando per un'azienda che offre servizi online (come un ASP) in cui sono archiviate informazioni target di alto valore dei clienti (ad esempio documenti riservati di diverse società). L'accesso al back-end (sorgente, database e così via) del server dell'applicazione (root) deve essere protetto nel miglior modo possibile. Ora il nostro host ha suggerito di consentire solo determinati indirizzi IP statici come parte del processo di autenticazione, per renderlo più sicuro.

Quindi la mia prima domanda è: c'è un VERO vantaggio di sicurezza in questa misura o no? (Oltre al fatto che potrebbe essere un po 'più difficile per gli attaccanti entrare nel back end in quanto devono conoscere la misura stessa e gli indirizzi IP statici richiesti, pensa anche a IP Spoofing e ad alti proxy anonimi)? In caso contrario, forniscimi una spiegazione ragionevole in quanto le parti interessate della mia azienda desiderano forzare tutti i programmatori dell'azienda a ottenere un indirizzo IP statico per le loro connessioni Internet a casa; -)

Seconda domanda: se c'è un reale vantaggio di sicurezza in questo, c'è una vera differenza per quanto riguarda la sicurezza tra ottenere direttamente un indirizzo IP statico dal mio Internet Provider e noleggiare un IP statico da un servizio come link o link [come questo è più economico; -)]?

@Edit: non è possibile noleggiare un IP statico a tale scopo da dyndns / noip, ma dai provider di servizi VPN come ad es. strongvpn ( link ).

    
posta Blackbam 27.03.2014 - 22:20
fonte

2 risposte

8

Direi che ci può essere un vantaggio dall'uso di indirizzi IP statici. Essenzialmente se al firewall puoi dire "consenti il traffico a questa porta da questi indirizzi IP specifici", allora ci sono un certo numero di effetti.

  • È improbabile che un utente malintenzionato che esegue la scansione di Internet per gli host vulnerabili rilevi il servizio e quindi sia in grado di attaccarlo
  • Un utente malintenzionato più determinato dovrà compromettere un host che ha uno degli indirizzi IP consentiti per ottenere l'accesso al servizio. A seconda di come è configurato l'elenco, questo sarebbe più o meno difficile. Ad esempio, se uno degli IP è un server proxy che consente a chiunque in una grande azienda di accedere al servizio, il vantaggio viene ridotto in quanto vi sono più sistemi che l'utente malintenzionato tenta di compromettere. Tuttavia, se è server-to-server, allora l'autore dell'attacco ha un lavoro probabilmente più difficile.

Per quanto riguarda lo spoofing dell'indirizzo IP, su Internet si tratta di un rischio eccessivo (IMO). Lo spoofing dei servizi basati su TCP (ad esempio HTTP) non è pratico sui sistemi operativi moderni. I servizi UDP possono essere falsificati, ma è necessario conoscere le informazioni sul servizio di ricezione, quindi è ancora probabile che si tratti di un attacco poco pratico per la maggior parte degli aggressori.

Come affittato contro ISP assegnato, direi che non c'è una grande differenza, anche se c'è un rischio con il noleggio che dopo la scadenza dell'affitto qualcuno potrebbe dimenticare di aggiornare l'ACL in modo da ottenere più sistemi del necessario con accesso. ..

Quindi nel complesso direi che è una parte ragionevole della sicurezza del servizio, anche se non ci farei affidamento su di essa.

    
risposta data 27.03.2014 - 23:02
fonte
1

Certamente ridurrebbe l'esposizione e aumenterebbe l'oscurità della connessione per restringere le possibili connessioni a un piccolo sottogruppo di specifici indirizzi IP. Quale sarebbe un approccio più sicuro è quello di collegare gli utenti a un endpoint VPN e quindi connettersi a quel sistema da lì, questo offusca il traffico con la crittografia e lo rende invisibile a chiunque non possieda la chiave. L'endpoint VPN può anche assicurare che gli utenti che non possiedono un certificato autorizzato non sono in grado di connettersi - questo spinge efficacemente la connessione da qualche parte all'interno della DMZ, a una connessione che risiede completamente all'interno della propria appliance di rete del firewall senza esposizione su un DMZ.

    
risposta data 28.03.2014 - 01:02
fonte

Leggi altre domande sui tag