許容できる/許容できないセキュリティ制御として送信元IPアドレスに依存しているのはどのシナリオですか?
このサイトのいくつかの質問は、コントロールとしてソースIPアドレスに依存していることを述べており、それらのほとんどでは、信頼性がないものとして却下されています。
送信元IPアドレスをコントロールとして使用する状況は、潜在的に有用なアイデアまたは悪いアイデアであり、その理由は何か。
送信元IPアドレスを「スプーフィング」するという考えは持ち出されますが、実際にどれほど難しいか(たとえば、TCPシーケンス番号)を正確に推測すること)について詳細に説明する人はほとんどいません。 HTTPなどの一般的に使用されるアプリケーションプロトコル
セキュリティがそれほど重要でない場合は、IPベースの認証を使用するのが妥当です。そうでなければ、それはかなり疑わしい習慣です。せいぜい弱いセキュリティしか提供しません。
一部の設定では、IPハイジャックは非常に簡単です。たとえば、人々がIPベースの認証を使用する一般的なケースは、同じ企業ローカルネットワークから他のマシンへのアクセスを許可することです。ただし、そのIPアドレス空間内にオープンワイヤレスネットワーク(またはWEPワイヤレスネットワーク)がある場合、アクセス権を得たり、他のマシンによる接続をハイジャックしたりするのは簡単です。
IPハイジャックによって保護されたWebベースのシステムの場合、オープンプロキシも脅威です。
もう1つの脅威は、侵害されたマシンが内部ネットワークに接続されるリスクです。
結論:許可されていないアクセスの結果がかなり控えめな場合を除いて(そしておそらくそれでもない限り)、IPベースの認証の使用はお勧めしません。
私が気づいたことの1つは、ソースIPアドレスを「スプーフィング」する考えが持ち上がることですが、実際にそれがどれほど困難であるかについて詳細に説明することはめったにありません(たとえば、TCPシーケンス番号)なので、HTTPなどの一般的なアプリケーションプロトコルでIPアドレスをスプーフィングすることの実用性についての意見に興味があります。
私の+1を獲得するフェアポイント。
議論のためにあなたが知っている与えられた既存の接続をハイジャックした後なら256.0.0.1(意図的に本物ではない)がホワイトリストに載っている。
IPスプーフィングは、最も明白な脅威として到達すると思います。たとえば、すべてのハッカーは「無防備」であり、タイリングウィンドウマネージャーを使用し、透明なターミナルを持っているという考えです。ただし、さらに明らかな問題がいくつかあります。
- 別のコンピューターがそのIPアドレスを取得するとどうなりますか? IPアドレスベースの制限だけを使用すると、問題が発生します。
- そのコンピューターが侵害された場合はどうなりますか?この場合も、IPアドレスフィルタリングだけを使用すると問題が発生します。
- NATがあり、送信元IPアドレスにアクセスできない場合はどうなりますか?
言い換えれば、問題はアクセスを制限するかもしれないが、authorizationをチェックすることは何もしないということです。ステートレスファイアウォールのように、このプライベートサブネット上の全員が良好であると想定しています。順調ですが、アクセスを許可しましたか?彼らが何らかの方法で適切な範囲のIPアドレスを取得できれば、信頼を得ることができます。
対照的に、何らかの認証層を使用する場合、攻撃者が許可されていない場所にアクセスすることを困難にします。
私の心のより良い解決策は、IPtablesのようなものを使用して、特定のインターフェイスをより多くまたはより少ないサービスへのアクセス権を持つものとしてマークすることです。これは物理ネットワークに結び付けられ、外部(または内部)の攻撃者による操作がはるかに困難になります。ただし、それでもなお、認証が必要です。