web-dev-qa-db-ja.com

TLSを使用したIPアドレスホワイトリストとドメインホワイトリストのセキュリティに違いはありますか?

IPアドレスのホワイトリストは簡単に偽装された情報に依存しているようですが、ドメインのホワイトリストは、少なくともTLSを強制する場合、証明書システムの有効性に依存しているようです。

私はこの質問を間違って組み立てるか、ここでリンゴとオレンジを比較しているかもしれませんが、それでも私が得ようとしていることには特定の答えがあると思います。

これは、このサイトで出くわした次の2つの質問に関連しているようです。

ビジネスユニット、顧客、同僚などは、セキュリティを確保するために、認証済みのTLS対応ドメイン(場合によっては社内でさえも)が既に利用可能である場合、IPアドレスについて尋ね続けます。

違いはないかもしれませんが、「IP範囲を送信してください」というアプローチで、何かがおかしいと感じています。

これは、電話から継続的な展開、GitHubの使用に至るまで、すべての邪魔になることを見てきました。

IPアドレスフィルタリングとTLSドメインフィルタリングの比較:セキュリティは向上していますか?

tlsfirewallsip-spoofingwhitelistsub-domain
4
Nathan Basanese

tl; dr:さまざまなこと、どちらもさまざまなシナリオに役立つ、IPホワイトリストは悪い兆候ではない

あなたは確かにリンゴとオレンジを比較しています。

IPベースのフィルタリングは OSIモデル のネットワーク層で行われますが、証明書の検証はトランスポート(またはアプリケーション)層で行われます。

特定のIPアドレスとの間のアクセスのみを許可すると、攻撃の可能性が減少しますが、証明書の検証により、予期された相手との接続が確実に確立されます。

IPアドレスベースのフィルタリングはむしろ

友達以外は話したくない

証明書の検証はむしろ

あなたが言わなければならないことを見て、それから私たちが話すかどうかを決めましょう

アプローチ。

IPベースのフィルタリングが使用される理由はいくつかあります。ここで、言及することが重要であると思われるものをいくつか示します。

  • ネットワークまたはマシンの表面積を大幅に削減します

    システムに全員との通信を許可する場合は、すべての通信プロセスがルールに従っていることを確認する必要があります。

    IPアドレスベースのホワイトリストを使用することを選択した場合、少なくとも通信プロセスが、接続を確立する限り、システムを破壊しようとしないことが期待されることを確認できます。

  • メンテナンスが簡単です

    システム全体の設定は、たとえば20のWebアプリケーションよりも更新が簡単です。

  • それは速いです

    tLSセッションの確立には比較的コストがかかりますが、Originに基づいてパケットを破棄することはそうではありません。

したがって、両方のテクノロジーを一緒に使用すると、それらは非常に役立ちます。ホワイトリストにIPを要求されても、セキュリティ対策が不十分であることを示すものではありません。多くの場合、まったく逆のことが当てはまります。

質問の別の部分があります。

IPアドレスのホワイトリストは、簡単に偽装された情報に依存しているようです[。]

パケットの発信元IPアドレスを偽装できることは事実ですが、これでは通常、接続を確立できません。

A TCPハンドシェイクは失敗し、UDPでは応答が得られません-あなたが真ん中の男である場合を除きます。

3
Tobi Nary

証明書がホスト名と一致する必要があるTLSの種類のみに関心がある場合でも(HTTPSで行われるように、これを行わないTLSの使用例があります)、スコープと機能に違いがありますTLSハンドシェイクからのIPアドレスとホスト名によるフィルタリング。

  • ホスト名ベースのフィルタリングの利点:
    同じIPアドレスとポートの背後にいくつかの異なる名前がある場合があります。この場合、クライアントは サーバー名表示(SNI) を使用して特定の名前をアドレス指定する必要があります。 ClientHelloと証明書で指定されたホスト名を確認することで、サーバーは、IPアドレスだけに基づいて、より正確なフィルタリングを実行できます。
  • ホスト名ベースのフィルタリングのみを使用する場合の欠点:
    SNIと証明書に正しいホスト名が含まれていることのみを確認する場合、自己生成された証明書を使用することで、簡単にチェックをバイパスできます。したがって、信頼できるCAによって証明書が署名されていることをさらに確認する必要があります。
  • IPアドレスベースのフィルタリングの利点:
    IPアドレスのチェックがより早く、より速くなりました。 TCP接続を確立するために必要な最初のSYNパケットを使用して行われます。ホスト名レベルでのチェックは、目的のホスト名がわかってから、つまりTLSハンドシェイク中に行われます。 TCP接続が確立されています。それ以外は、TLSレイヤーでの検査が必要なのに対して、ネットワークレイヤーでの検査のみが必要なため、はるかに困難です。

最良の結果を得るには、実際に両方を実行する必要があります。高速かつ早期の一致のためにIPアドレスでフィルタリングします。これが成功し、TCP接続が確立された場合は、TLSハンドシェイクをチェックして、予想されるホスト名を確認します。同じIPアドレスに複数の名前が使用されています。

2
Steffen Ullrich