Soluzione sicura accettabile per sostituire gli indirizzi IP statici per un'applicazione web

Question

Soluzione sicura accettabile per sostituire gli indirizzi IP statici per un'applicazione web

#1 da (1 voti)
#2 da (0 voti)

0

Attualmente sto lavorando come lead tecnico in un progetto in un istituto finanziario e ho una domanda su come fornire lo stesso livello di sicurezza previsto dall'azienda in un'applicazione che stiamo preparando per loro.

Il sistema legacy oggi consente agli operatori di pagamento in una finestra di terminale di interagire con un sistema AIX e mainframe. Il sistema di sostituzione che il mio team fornirà sarà un sistema distribuito "scale-out" più moderno per sostituire il mainframe. Il software è principalmente fornito da fornitori con componenti software ausiliari e di supporto sviluppati in casa.

Gli operatori hanno la possibilità di spostare ingenti somme di denaro in modo che oggi vi siano numerosi vincoli di sicurezza. Non sono autorizzati a collegarsi alla rete VPN dall'esterno, non possiamo garantire la sicurezza della stazione di lavoro che hanno scavato nella nostra rete e, se fossero su un computer pubblico, qualcuno potrebbe usare i metodi a bassa tecnologia per esaminare e annotare i numeri di conto e così via. Inoltre, a ciascuna workstation viene assegnato un indirizzo IP statico all'interno della rete interna (set locale o router, non sicuro quale) in modo che possano sempre eseguire le proprie attività di lavoro sulle proprie workstation sicure. Immagino che ci siano regole del firewall che autorizzano il loro indirizzo IP al sistema legacy.

È stato rilevato che desiderano un livello simile di requisiti per il nuovo sistema che per gli operatori sarà interamente basato sul Web (Locked down Browser - > Load Balancer - > Firewall - > Server proxy inverso Web - & gt ; Firewall - > Server applicazioni - > Firewall - > Database). Sembrano credere che gli indirizzi IP statici dovrebbero dare loro sicurezza identica qui, ma non ne sono così sicuro.

Gli indirizzi IP possono essere falsificati piuttosto facilmente e con la natura stateless di HTTP, ma poi immagino che il firewall stia guardando il livello del protocollo IP per decidere chi lascia passare. Ciò di cui non sono sicuro è quanto sarebbe facile falsificarlo, ad esempio se mi capitasse di compromettere la password di un operatore e io ero all'interno della intranet, è possibile che formi il mio indirizzo IP su un indirizzo IP di workstation accettato per quell'id utente?

Anche se questo tipo di spoofing IP è improbabile, ci sono alternative valide che possono essere altrettanto sicure (o anche più) e forse un po 'più facile per i manager mantenere membri nuovi e in partenza del team?

NOTA: non autorizzo l'autenticazione basata su IP, semplicemente l'autenticazione IP è la prima passata, quindi l'applicazione sfiderà per nome utente e password.

firewalls ip-spoofing

posta maple_shaft 27.02.2015 - 20:06

fonte

2 risposte

Leggi altre domande sui tag firewalls ip-spoofing

Recente "attacco" al mio server che potrebbe utilizzare exploit shellshock GNU C Libreria getaddrinfo () Flaw

score 1 · Answer 1

Mentre si aggiorna il sistema, non si vuole creare lo stesso livello di sicurezza, ma piuttosto un migliore livello di sicurezza. Vuoi fare un'autenticazione reale, non solo le restrizioni IP.

Ciò può essere fatto, ad esempio, utilizzando il modulo di sicurezza hardware installato nella workstation. HSM utilizza l'autorizzazione a chiave pubblica per autenticare la macchina sulla rete. Utilizzando una VPN (SSL / SSH / IPSec) dalla workstation a una macchina gateway, si forma una VLAN protetta sulla rete interna semi sicura. La VLAN contiene solo i sistemi a cui è consentito l'accesso dalla workstation. Utilizzando la VLAN, è possibile controllare quali workstation possono connettersi a quale gateway per i sistemi sicuri. Inoltre, l'utente può autenticarsi ai sistemi di cui ha bisogno per accedere, utilizzando il nome utente / password e / o il token hardware tradizionali.

L'autenticazione IP è per la maggior parte ridondante qui. L'unico vantaggio che l'autenticazione IP ha su VPN è che l'autenticazione IP è molto più economica da applicare in caso di attacco volumetrico contro il gateway. Nelle reti che coinvolgono Internet pubblico, si ha sempre il rischio di attacchi volumetrici; ma in un sistema interno con utenti per lo più semi-fidati, di solito non è qualcosa di cui preoccuparsi, quindi generalmente non mi preoccuperei di implementare l'autenticazione IP a meno che non ritenga che un attacco volumetrico sia uno scenario di attacco credibile.

score 0 · Answer 2

Sì, chiunque può impostare un IP statico su qualsiasi workstation supponendo che abbia il controllo amministrativo su di esso, lo stesso vale per gli indirizzi mac. Il filtraggio IP dovrebbe essere solo uno dei molti livelli in quanto può essere facilmente falsificato e non metterei troppo peso sugli IP statici per motivi di sicurezza.

Un utente malintenzionato potrebbe falsificare uno dei client IP e MAC (può succedere su qualsiasi sistema operativo moderno), quindi attendere che il computer di destinazione venga arrestato e / o che l'utente malintenzionato possa trovare un modo per arrestarlo. Quindi l'attaccante sarà in grado di falsificare il computer di destinazione e ottenere l'accesso.

Detto questo, sembra che la tua applicazione sarà disponibile solo per la rete interna. In questo caso, l'utente malintenzionato dovrebbe essere sul posto o avere il controllo di una macchina sul posto. Se ho frainteso e la tua applicazione è disponibile pubblicamente (può essere raggiunta su Internet), gli IP statici fornirebbero lo stesso livello di sicurezza di cui sopra, ma a livello nazionale / globale.

Se sono preoccupati per la sicurezza dovrebbero concentrarsi su un strong addestramento antivirus e degli utenti, se l'utente scarica un virus sul proprio PC di lavoro non ci sarà molto IP statico per proteggere i dati. Anche se non ho riferimenti specifici, gli articoli che ricordo di aver letto suggeriscono che la maggior parte delle violazioni dei dati sono causate dall'installazione di malware da bug nelle applicazioni più diffuse o dai tentativi di phishing.

Altre cose da considerare per il tuo progetto in merito alla sicurezza:

1) Verifica:
Dovresti provare a farlo in modo che tu possa facilmente controllare chi , accedere cosa , da dove (IP) , a che ora . Quindi assicurati che il tuo sistema possa segnalare le anomalie (es .: log in a volte dispari, IP insoliti, molti tentativi di accesso falliti, ecc ...). Se un utente malintenzionato ottiene l'accesso ai dati, assicurati di poterlo identificare il più rapidamente possibile.

2) Crittografia
Tutti i dati devono essere crittografati, sia in transito (viaggiando tra server / client) che a riposo (se memorizzati su disco rigido). se un utente malintenzionato ottiene l'accesso ai dati, assicurati che non possano leggerlo.

3) Accesso
Assicurati che gli utenti utilizzino password complesse che cambiano ogni 60-90 giorni. Limita il loro accesso in modo che se il loro account viene compromesso, la perdita di dati è minima. Questo aiuta a prevenire "lavori interni"

4) Formazione dell'utente
Gli utenti sono la rovina delle reti. Se inseriscono le proprie credenziali in un tentativo di phishing, scaricano un virus, collegano un USB infetto, ecc. Quindi una grande parte della struttura di sicurezza avrà esito negativo. Insegna agli utenti come dovrebbero essere le cose, che aspetto ha il phishing, come vengono installati i virus e cosa fare se sospettano qualcosa

La sicurezza dovrebbe essere stratificata e pensata come un piano A, piano B, piano C .... con ogni piano successivo che riduce al minimo l'impatto se il precedente piano / livello fallisce.

Gli IP statici per PC client sono una porzione piuttosto piccola e insignificante dell'intero modello. Per non parlare dell'incubo amministrativo IT della gestione di dozzine o centinaia di IP statici per macchine client.