web-dev-qa-db-ja.com

ホストが認証に静的IPアドレスを使用する場合、それは本当にセキュリティ上のメリットですか?

情報セキュリティに関する私の知識はそれほど良くなく、Googleからも満足のいく答えが得られなかったので、コミュニティに質問したいと思います。

私は、顧客の価値の高いターゲット情報が格納されているオンラインサービス(ASPとして)を提供している会社(たとえば、さまざまな会社の機密文書)で働いています。アプリケーション(ルート)サーバーのバックエンド(ソース、データベースなど)へのアクセスは、可能な限り保護する必要があります。ホストは、認証プロセスの一部として特定の静的IPアドレスのみを許可して、より安全にすることを提案しました。

だから私の最初の質問は次のとおりです:この対策には実際のセキュリティ上の利点がありますORないですか?(攻撃者が知っておく必要があるため、バックエンドに侵入するのが少し難しいという事実に加えて測定自体と必要な静的IPアドレス、IPスプーフィングと匿名匿名プロキシも考えてください)?そうでない場合は、会社のすべてのプログラマーが静的IPアドレスを取得するように強制したいので、合理的な説明をお願いします自宅のインターネット接続用;-)

2番目の質問:これにREALのセキュリティ上の利点がある場合、インターネットプロバイダーから静的IPアドレスを直接取得することと http:// dyndns。 com / または http://www.noip.com/ [これが安いので;-)]?

@ Edit:この目的で静的IPをdyndns/noipからレンタルすることはできませんが、VPNサービスプロバイダーからレンタルすることはできます。 strongvpn( http://strongvpn.name/static_ip.shtml )。

2
Blackbam

静的IPアドレスを使用することには利点があると思います。基本的に、ファイアウォールで「これらの特定のIPアドレスからのこのポートへのトラフィックのみを許可する」と言える場合は、いくつかの影響があります。

  • 攻撃者がインターネットをスキャンして脆弱なホストを探し、サービスを検出する可能性は低いため、サービスを攻撃できる
  • より決定的な攻撃者は、サービスにアクセスするために、許可されたIPアドレスの1つを持つホストを侵害する必要があります。リストの構成方法に応じて、これは多少困難になります。たとえば、IPの1つが大企業の誰でもサービスにアクセスできるプロキシサーバーである場合、攻撃者が侵害するシステムが増えるため、メリットは減少します。ただし、サーバー間である場合、攻撃者はおそらくより困難な仕事をします。

IPアドレスのスプーフィングに関しては、インターネットではこれは過剰リスク(IMO)です。なりすましTCPベースのサービス(HTTPなど)は、最新のオペレーティングシステムでは実用的ではありません。UDPサービスは偽装される可能性がありますが、受信サービスに関する情報を知る必要があるため、ほとんどの場合、非現実的な攻撃である可能性があります攻撃者。

割り当てられたISPに対する賃貸料については、大きな違いはないと思いますが、賃貸料が期限切れになった後、誰かがACLの更新を忘れて、必要以上のシステムにアクセスしてしまうというリスクがあります...

したがって、全体としては、それはサービスセキュリティの妥当な部分だと思いますが、それには依存しませんが、それ自体です。

8
Rory McCune

確かに、特定のIPアドレスの小さなサブグループへの可能な接続を狭めるために、露出を減らし、接続の不明瞭さを増やします。より安全なアプローチは、ユーザーにVPNエンドポイントに接続してからそこからそのシステムに接続させることです。これにより、暗号化によってトラフィックが難読化され、キーを所有していない人には見えなくなります。 VPNエンドポイントは、承認された証明書を所有していないユーザーが接続できないことを保証することもできます-これにより、DMZ内のどこかから、ネットワークファイアウォールアプライアンスの内部に完全に存在する接続に、接続が実質的にDMZ。

1
MattMetal