web-dev-qa-db-ja.com

パスフレーズのような他のWebサービスセキュリティメカニズムと比較して、IPホワイトリストはどの程度安全ですか?

Webサーバー/ Webアプリケーション/ Webサイトを保護する場合、認証にパスワードを使用するか、サービスを保護するか、IPホワイトリストを作成するか、サブネット全体をホワイトリストに登録するかを選択できます。または、例えば/my_private_service_CiMMQf4aTU6sTdmkFFRuDyv5fのように、推測できないサブディレクトリ(Webサーバーによって偽装/構成されている可能性があります)でサービスを使用/ホスティングする。

だから私は3つの共通のメカニズムを持っています。

明確にすべきこと

明らかに、いくつかの最初の考え:

  • IPブラックリストは明らかに それほど安全ではありません –すべての「悪意のある攻撃者」をブラックリストに載せることはできません。
  • もちろん、パスワード/パスフレーズ/文字列認証は安全です 適切に選択されている場合 。 URLの完全にランダムな文字列。 (上記の例のように)
  • もちろん、「すべてを組み合わせるだけ」と言いたくなるかもしれませんが、使いやすさや利便性の理由から、これは私が望んでいることではない(少なくともそれらを組み合わせないall)、「ベスト」のトレードオフを作成する必要があるので、最高のもののランキングが必要になりますか?

(これは架空の、または一般的な質問です。これを一般の人々に役立つようにするために、特定のWebサービス/例を意図的に選択しませんでした。)

1
rugk

ネットワークセグメント(オフィス内のイーサネットネットワークなど)内では、Ettercapなどのツールを使用してIPスプーフィングをかなり簡単に行うことができるため、パスフレーズははるかに安全です。

より広いインターネットでは、IPスプーフィングa TCP接続は確かに簡単ではありません。BGPポイズニングや他のいくつかの手法では可能ですが、平均的なペンテスターができることではありません。それでも、パスフレーズの方が安全だと言います。

一般的なユーザーはさまざまなIPアドレス(自宅、職場、モバイル)を使用するため、IPホワイトリストの導入は困難であり、これらのほとんどは動的IPです。会社は通常、1つまたは少数の送信IPアドレスを持っているため、これを使用して組織全体をホワイトリストに登録できます。これにより、VPNでオフィスに接続するモバイルユーザーをカバーできます。これの主な制限は、通常、組織全体ではなく、個々のユーザーへのアクセスを制御することです。

IPホワイトリストが本当に役立つのは、パスフレーズへの追加の制御メカニズムとしてです。かなり多くのビジネスSaaSプラットフォームはこれをオプションとして提供します。これを構成すると、従業員は自宅からではなく、職場から(またはVPN経由で)のみログインできます。これにより、ビジネスデータが保持されますまた、管理者がそのサービスのアカウントを無効にするのを忘れたとしても、誰かが会社を辞めると、クラウドサービスにアクセスできなくなります。

1
paj28

もちろん、「すべてを組み合わせるだけ」と言いたくなるかもしれません。

それが単純でsimplicisticの答えだと思います。対策を誇張しないでください。

セキュリティは、攻撃者に対するサイトの魅力を減らすために複数の保護層を適用することであり、サイトを取得する魔法の薬を見つけることではありません不変

複数のセキュリティ層を適用することで、攻撃者の生活をより困難なものにします。そして、攻撃者はあなたよりも弱いサービスに興味を持ちます。

ここに私がウェブサイトのために推薦するいくつかの安い手段があります。ベストプラクティスを使用することで、メンテナンスコストが削減され、手間が減り(ホワイトリストを変更する必要がないなど)、非常にまともなレベルのセキュリティが得られます。

強力なパスワード

#0ルールでなければなりません。そして、パスワードマネージャー。認証時のHTTPS。ほとんどの人はここで止まります

侵入ブラックリスト

fail2banのようなツールは、失敗した複数のログインを検出し、IPアドレスを禁止します。攻撃者は常にサービスへのハッキングの最初の数回の試行を試みることができます

管理者の難読化

あいまいさは実際のセキュリティではないため、これは実際にはセキュリティ対策ではありません。多分いくつかのクローラーはあなたの管理パスをインデックスに登録し、検索エンジンで利用できるようになります。

しかし、たとえば人気のあるWordPressを実行すると、攻撃トラフィックのほとんどchaffを実行できます。