In una situazione in cui le credenziali LDAP vengono filtrate ma c'è ancora una whitelist IP in atto ...
Il mio istinto dice che non è giusto; le credenziali dovrebbero essere cambiate. È corretto? Quali dettagli tecnici possono aiutarmi a fare colpo sulla festa in questione?
Di solito c'è un motivo per usare più di un modo per proteggere i servizi. La combinazione delle credenziali con gli elenchi di accesso garantisce che uno di questi possa fallire senza dover affrontare un'emergenza immediata.
Ciò non significa che non dovresti agire quando uno di loro viene compromesso, perché ti saresti preso la briga di implementarne più di uno se non ti importa di loro?
I rischi tecnici che potresti dover gestire comprendono l'errata configurazione degli elenchi di accesso e lo spoofing IP. Ecco perché non ti affidi solo a un elenco di accesso.
Tuttavia, a mio parere, il problema più grande è che l'operazione si aspetta più di una misura di sicurezza da implementare. Qualcun altro potrebbe notare un elenco di accessi configurato in modo errato e pensare "non ti preoccupare, hai ancora bisogno di credenziali per usare il servizio".
Bottomline: se si implementa più di una misura di sicurezza, è necessario essere certi di poter contare su ognuna di esse. Avere più di uno riduce l'impatto diretto di uno di essi che viene compromesso.
Risposta breve: lo spoofing IP può essere fatto, quindi se le credenziali sono compromesse e ne sei abbastanza sicuro, basta cambiarlo! La whitelisting di IP potrebbe non essere sufficiente.
Tieni presente le possibilità che possono essere fatte con quelle credenziali ... pensa alle possibili risorse di gruppo a cui puoi accedere dove può essere qualsiasi altro tipo di accesso o password. Forse è possibile eseguire un'escalation orizzontale dei privilegi, quindi modificare il più possibile gli account / gli utenti compromessi.
credentials should be changed
Sicuramente! Le credenziali trapelate certamente non sono "di scarsa importanza" perché c'è un'altra misura protettiva in atto - la sicurezza in profondità è qui in gran parte per guadagnare tempo in modo che quando una misura di sicurezza fallisce, hai la possibilità di notarlo e agire prima l'attaccante ha successo.
A seconda del tipo di servizio che le credenziali e la whitelist IP proteggono, potrebbe non essere un'emergenza che deve essere gestita immediatamente, ma dovrebbe essere sicuramente trattata.
What technical details can help me impress this upon the concerned party?
Vedo alcune possibilità di attacchi:
Se il servizio in questione è un servizio simile a REST (ad esempio stateless ) con endpoint che aggiornano le informazioni aziendali, è possibile abusare di questi endpoint - poiché l'aggiornamento viene eseguito con una richiesta HTTP POST, PUT o DELETE (o il loro equivalente stateless se viene utilizzato un altro protocollo), il client non ha realmente bisogno di ottenere una risposta dal servizio, in modo da poter falsificare l'IP sorgente del pacchetto che invia per ottenere l'accesso a questi endpoint. La risposta del servizio verrà indirizzata all'IP spoofato, ma questo non è il punto: il danno sarà già fatto.
L'utente malintenzionato può effettivamente ottenere uno di questi indirizzi IP. Forse la whitelist contiene subnet IP, ad es. intervalli di indirizzi, che coprono tutti gli IP nei vostri uffici. Potresti anche avere un wifi con accesso guest che alla fine generi pacchetti di rete con un IP sorgente nella gamma autorizzata, oppure potresti avere una stanza accessibile al pubblico che ha un socket ethernet attivo che un utente malintenzionato può usare per ottenere un dhcp fornito Indirizzo IP nell'intervallo autorizzato. Entrambi questi casi (abbastanza comuni) richiedono che l'aggressore ti visiti fisicamente.
Come estensione del punto 2, se alcuni degli indirizzi autorizzati provengono da ISP a banda larga / dialup per consentire ai dipendenti di accedere al servizio da casa, potrebbe essere possibile per un cliente dello stesso ISP forzare il il proprietario effettivo di un IP autorizzato nella linea offline e lo fa abbastanza a lungo da essere assegnato personalmente all'IP della whitelist. Penso che sia improbabile, però.
È probabile che la whitelist IP sia solo una semplice lista bianca e non sia raggruppata in insiemi diversi in base alle regole di accesso. Fondamentalmente, la whitelist IP è un modo per concedere o negare l'accesso. Le credenziali consentono un accesso molto più granuloso. Se perdi le credenziali, sei bloccato con una decisione sì / no. Quindi praticamente chiunque sieda dietro una macchina con un determinato IP autorizzato ora ha un potenziale accesso a tutte le risorse protette dalle credenziali trapelate. Quindi, se le credenziali trapelate includevano le credenziali delle risorse umane, il nuovo stagista che ha un accesso molto più basso privilegia un altro insieme di credenziali, ma il cui computer è anche autorizzato, ora può accedere ai dati delle risorse umane dell'azienda. Non può essere buono.
Leggi altre domande sui tag ldap credentials whitelist