1 vs 2 vie SSL reciproco + filtraggio IP

0

Abbiamo impostato una comunicazione client-server con un partner. Ospitiamo il server e il partner è il cliente. Le specifiche per questa comunicazione sono state fornite dal nostro partner.

Le specifiche sono le seguenti:

  • TLS 1.2.
  • SSL a 1 via, in modo che il client sappia che i dati sono forniti dal server previsto.
  • Filtraggio IP, in modo che solo le entità autorizzate possano accedere ai dati memorizzati sul server.

Tuttavia, dobbiamo anche garantire che l'entità che recupera i dati sia il partner autorizzato. Quindi nutriamo alcune preoccupazioni sull'affidabilità delle specifiche fornite.

Nel nostro caso non sarebbe più appropriato un filtro IP a 2 vie SSL +?

    
posta BS_C3 12.02.2018 - 17:13
fonte

1 risposta

2

Sì, l'autenticazione reciproca utilizzando un certificato client è ideale qui. Il filtraggio IP è un buon controllo, ma dovrebbe essere usato solo come controllo di sicurezza secondario.

Come esempio di come il filtro IP potrebbe fallire qui, supponiamo che il client (si tratta di un server ma in questo caso è quello che avvia la connessione TLS) si trovi su una rete che può essere indirizzata a Internet per parlare al server. Ora immagina che invece di attaccare quella casella del client, un utente malintenzionato trovi un modo in un sistema completamente non collegato sulla stessa rete, o persino il router stesso per quella sottorete. Ora possono parlare al server remoto perché stanno eseguendo il routing come lo stesso indirizzo IP esterno.

Con l'autenticazione reciproca il certificato client si trova solo sul sistema client, quindi l'utente malintenzionato non può comunicare con il server remoto anche se si interrompe nella stessa rete del client.

    
risposta data 12.02.2018 - 17:30
fonte

Leggi altre domande sui tag