Devo proteggere con password i servizi [web] accessibili solo internamente?

0

Ho configurato il daemon di trasmissione con RPC abilitato usando una whitelist. La lista bianca contiene solo 127.0.0.1 e il mio intervallo di indirizzi IP della rete privata virtuale. Collego la maggior parte dei miei dispositivi tramite un server openvpn e quindi mi chiedo perché avrei bisogno di abilitare l'autenticazione standard (utente / password) per servizi accessibili solo internamente / da me. So che questo è sicuro tanto quanto sicuro tengo le mie chiavi VPN / ssh. Sono l'unico (oltre alla società di hosting) che ha accesso a questo server, quindi non riesco davvero a trovare un motivo per avere un nome utente / password che mi dà più cose da ricordare e rende il processo di utilizzo di questi servizi in genere più ingombrante. Pensieri?

    
posta sk009 22.12.2013 - 20:56
fonte

2 risposte

1

Avendo Mo auth stai aprendo più vettori di attacco. Un paio di esempi che posso assottigliare:

  • La rete è compromessa e l'attaccante riesce a ottenere uno degli IP dall'intervallo VPN
  • La VPN viene compromessa e l'utente malintenzionato accede alla rete in questo modo
  • Un altro servizio sul server è compromesso e l'attaccante effettua le richieste dal server (127.0.0.1)

Tutti questi vettori di attacco darebbero all'aggressore pieno accesso al servizio che hai descritto. Avere auth sul servizio lo risolverebbe.

    
risposta data 22.12.2013 - 21:59
fonte
0

La tua rete o VPN non deve nemmeno essere compromessa. Qualsiasi sito web esterno può avere un URL con un accesso al server che richiede un URL. Uno scenario di attacco comune è, ad esempio, la chiamata di alcuni servizi su "fritz.box" da un normale sito Web, che potrebbe avere alcune vulnerabilità xss. Solitamente fritz.box non è accessibile dall'esterno, ma così tante reti interne stanno usando quel nome host, quindi puoi ottenere un accesso molto semplice a un host interno, attraverso il sito Web compromesso che un cliente ha visitato.

    
risposta data 23.12.2013 - 14:02
fonte

Leggi altre domande sui tag