Un indirizzo IP statico può essere un identificatore utente fidato in un ambiente sicuro?

Naviga le tue risposte
0

Sarebbe una pratica accettabile, se dovessimo registrare un cliente (individuo o azienda) associandoli con il loro indirizzo IP statico per eseguire qualche azione sicura che solo i client autorizzati possono fare? Ho esaminato le risposte affermando che limitare i client tramite i loro indirizzi IP statici è una buona protezione aggiuntiva e che lo spoofing di un indirizzo IP non è un attacco pratico nella comunicazione a due vie. Mi piacerebbe capire quanto sia accettabile dal punto di vista della sicurezza utilizzare l'IP statico del client come unico mezzo per autenticare il client. Quali sarebbero i rischi specifici associati a tale metodo?

    
posta sun2sirius 15.09.2018 - 02:18
fonte

2 risposte

1

Ci sono diversi problemi con l'autenticazione solo IP.

  1. Non è, di per sé, sicuro. Un attaccante di tipo "man-in-the-middle" può fingere di essere l'host atteso a qualsiasi indirizzo IP e falsare chiunque desideri. Se vuoi impedirlo, avrai comunque bisogno di un canale autenticato e protetto, come IPSec o TLS.
  2. Un utente malintenzionato che non ha bisogno di vedere i messaggi di risposta può ancora inviare richieste al server, se il server supporta UDP o protocolli che non richiedono un handshake bidirezionale prima di inviare dati.
  3. È fragile. Se l'indirizzo IP dovesse cambiare, per qualsiasi motivo, l'host autorizzato non solo perderà l'accesso, ma chi riceverà il vecchio IP (per fortuna o per malizia) verrà considerato come autenticato.

Raccomando caldamente un altro approccio. Mutual TLS / DTLS è una buona opzione per le connessioni basate su Internet in cui si controlla, o almeno può coordinare, entrambi gli endpoint. TLS standard (che autentica solo il server) funziona anche se si dispone di un altro modo per autenticare il client, ad esempio una password o altre credenziali pre-condivise, sebbene sia necessario proteggersi da tutti gli attacchi standard sui sistemi di autenticazione. L'aggiunta del filtro IP su [D] TLS generalmente va bene, a parte il rischio di fragilità

    
risposta data 15.09.2018 - 08:35
fonte
0

Suppongo che registrerai l'indirizzo MAC di un dispositivo con un IP statico.

Questo è non sicuro. L'indirizzo MAC di forging è molto semplice. Non hai bisogno di strumenti complicati, può essere fatto con ifconfig.

    
risposta data 15.09.2018 - 02:29
fonte

Leggi altre domande sui tag

Utilizzo della crittografia AES per generare MAC (e fornire autenticazione / integrità) Sniffing WiFi utilizzando la modalità monitor a lungo termine e decrittografia