Limita l'accesso Web App a organizzazioni specifiche

Naviga le tue risposte
1

Sono relativamente nuovo allo sviluppo e alla sicurezza del web e sto cercando di limitare l'accesso alla mia app Web a società specifiche (e / o indirizzi IP).

L'autenticazione a livello di utente tramite nome utente e password non è un'opzione. Potrei installare un firewall e consentire il traffico solo da determinati indirizzi IP, ma questa non sembra la soluzione più sicura dal momento che qualcuno potrebbe solo falsificare l'IP.

C'è un modello di autenticazione che sarebbe in grado di gestire questo caso? Il risultato finale dovrebbe avere tutti gli utenti appartenenti a una determinata organizzazione che hanno accesso all'app. Usa un certificato o qualcosa del genere?

    
posta rpm 30.04.2018 - 21:06
fonte

1 risposta

3

IP Spoofing è difficile. Molto, molto difficile. Difficilmente puoi inviare un paio di byte su un semplice protocollo usando lo spoofing IP, per non parlare di richiedere una risposta / risposta.

Immagina di parlare con qualcuno, ma solo di poter parlare con loro e non ascoltarli. IP Spoofing è così. È necessario prevedere tutte le risposte (a livello di protocollo) e dare risposte credibili senza mai ricevere nulla da loro. Non è affatto facile.

Il tuo problema principale non è che sia facile falsificare IP (non lo è), ma è facile attaccare qualcuno in quelle aziende e usare i loro computer come proxy. Un'email di phishing finirà con qualcuno che esegue un programma da qualcuno all'esterno e creerà un tunnel tra l'attaccante e la tua applicazione. Improbabile, ma molto più probabile di una parodia dell'IP.

Puoi tranquillamente utilizzare una whitelist IP e consentire solo le persone da quella lista. Di solito le aziende avranno un server gateway (e proxy, e IPS / IDS e scanner antivirus tutto in uno) e ogni richiesta arriverà da questo gateway. Quindi è semplice creare un elenco di questo tipo.

Hai detto che login / password non sono un'opzione. Perché?

    
risposta data 30.04.2018 - 21:28
fonte

Leggi altre domande sui tag

Gli hash di dati sensibili devono essere crittografati Sta generando un salt casuale per ogni hash delle password ma non salvando il sale buono / cattivo? [duplicare]