認証としてIPを使用する
同じVPNの背後にいる多数のユーザーがいます。私のWebサイト(VPN外)は、これらのユーザーだけがアクセスできるようになっています。このVPNのゲストはありません。私のウェブサイトはhttpsのみです。この場合、認証メカニズムとしてIPに依存することは許容されますか?
質問は「これはacceptableこの場合、relyas IP =an認証[メカニズム]? "
簡単に言えば、状況によって異なります。
認証の定義から始めましょう。 Merriam-Webster 認証を次のように定義します
「:アイデンティティ、アート、金融取引などの何かを本物、真実、または本物であることを示す行為、プロセス、または方法」
したがって、この質問に答える際に尋ねられる質問:
- 関連する情報の分類とは何ですか?これは、あらゆるセキュリティメカニズムの「許容性」の基礎です。
- 問題のVPNの認証および承認メカニズムはどの程度強力で信頼性がありますか?
- 信頼できるIPアドレスの使用を保証するメカニズムはどの程度強力で信頼できますか?
- 認証するもの:ワークステーション。個々のユーザー?
- 特定のIPアドレスと特定の個人ユーザーの間に直接検証可能な関係がありますか?
上記の質問に対する個々の回答は、あなたの質問に答えます。
高いレベルで、詳細の多くがなければ、アクセスされている情報の分類が個人の認証を必要とする場合、検証可能な限り限定されていないIPアドレスの使用は、特定の個人との直接の関係は許容されません。
この場合、認証メカニズムとしてIPに依存することは受け入れられますか?
はい。接続を偽装する攻撃を行うには、攻撃者が通信経路上の非常に特定の場所に配置される必要があるためです。だからあなたはそれから安全です。
上記は、機密データがなく、特定のIPアドレスからの接続だけでショッピングリストやサンプルにアクセスできるようにしたい場合を想定しています。
他の一部のセキュリティフォーラムの貢献者(コメントを参照)は、最初の投稿(ホワイトリストは認証メカニズムではないため、ホワイトリストと同様にユーザー名とパスワードを使用するよう提案された最初の投稿)について考えを残してくれました。
- 他の形式の認証は必要なく、MFAはおそらく完全に過剰なものになります。
- IPホワイトリストは、あなたの明らかなニーズに対して十分以上のものです。
- 明らかに監査の必要はありません。
- 質問から、実際の認証や関連する技術については気にしないことがわかります。したがって、ホワイトリストは最適なソリューションです
はいといいえ。
はい-対象外の外部からの攻撃から安全になります(拒否されたリクエストなどのデータを漏らさないようにウェブサイトに適切な設定があるが、それは問題ではなかった場合)。境界の外からIPを偽装することはほぼ不可能です(真ん中にいるわけではありません)が、それでも可能ですが、これにはかなりのリソースと時間が必要になります(つまり、ターゲットを絞っています)
いいえ-多層防御を実装するには、追加の認証メカニズムを適用する必要があるためです。このモデルはMiTM攻撃の影響を受けやすく、標的にされた場合、少しの列挙と偵察の後、攻撃者は確実にユーザーへの侵入を試みます(それが簡単になる場合)。
その後のアクションは、攻撃ベクトル、攻撃の影響、攻撃の容易さ、攻撃の頻度の計算に依存する必要があります。それがファイル共有や職場(アンサンブル、シェアポイントなど)などの内部使用のためのあいまいなWebサイトである場合は、ターゲットが選択されない可能性があります。この職場のファイルにビジネス全体や評判を危険にさらす可能性のある機密データが含まれている場合、10年に1回ハッキングされても、すべてを失うことになります。防御テクニックを再考する場合は、このことを考慮してください。すべての最高!
セキュリティは外部のネットワークインフラストラクチャに依存しているからです。
資格情報を挿入する内部プロキシサーバーを作成することをお勧めします。
実際には、これはおそらく問題なく動作しますが、非常にデリケートなものである場合は、以前の推奨事項を使用するので、セットアップは非常に簡単です。