¿Hay alguna diferencia en la seguridad entre una lista blanca de direcciones IP y una lista blanca de dominios con TLS?

Navega tus respuestas
4

Me parece que una lista blanca de direcciones IP se basa en información fácilmente falsificada, mientras que una lista blanca de dominios, si obliga a TLS, al menos, se basa en la validez de los sistemas de certificados.

Es posible que esté enmarcando esta pregunta incorrectamente, o comparando manzanas y naranjas aquí, pero sigo pensando que lo que estoy tratando de responder tiene una respuesta específica.

Esto parece estar relacionado con las siguientes dos preguntas que encontré en este sitio:

Las unidades de negocios, clientes, colegas, etc. siguen preguntando acerca de las direcciones IP por motivos de seguridad cuando los dominios habilitados para TLS certificados, a veces incluso internamente, ya están disponibles.

Tal vez no haya diferencia, pero siento que algo anda mal, aquí con el enfoque "por favor envíenos los rangos de IP".

He visto que esto se interpone en todo, desde llamadas telefónicas hasta implementaciones continuas e intentar usar GitHub, por lo que quiero saberlo:

Filtrado de direcciones IP frente a filtrado de dominios TLS: ¿hay un aumento en la seguridad?

    
pregunta Nathan Basanese 12.04.2016 - 21:07
fuente

2 respuestas

3

tl; dr: diferentes cosas, ambas útiles para diferentes escenarios, la inclusión en la lista blanca de IP no es una mala señal

De hecho, estás comparando manzanas y naranjas.

El filtrado basado en IP ocurre en la capa de red del modelo OSI , mientras que la validación de certificados se realiza en el transporte (y / o aplicación) capa.

Permitir el acceso solo a / desde direcciones IP específicas reduce los posibles vectores de ataque, mientras que la validación del certificado garantiza que la conexión sea con la parte esperada.

El filtrado basado en direcciones IP es más bien un

  

No quiero hablar con otras personas, excepto mis amigos

enfoque, mientras que la validación de certificados es más bien un

  

Veamos lo que tienes que decir y luego decidamos si hablamos

enfoque.

Hay varias razones por las que se usa el filtrado basado en IP, aquí hay algunas que me parecen importantes mencionar:

  • Reduce el área de superficie de una red o máquina masivamente

    Si deja que su sistema se comunique con todos, debe asegurarse de que todos los procesos de comunicación siguen la regla.

    Si elige utilizar listas blancas basadas en direcciones IP, al menos puede asegurarse de que se espera que los procesos de comunicación, en la medida en que establecen conexiones, no intenten romper su sistema.

  • Es fácil de mantener

    Una configuración de todo el sistema es más fácil de actualizar que, digamos, 20 aplicaciones web.

  • Es rápido

    establecer una sesión TLS es relativamente costoso, descartando paquetes basados en el origen no lo es.

Por lo tanto, si ambas tecnologías se usan juntas, son muy útiles, y que se les solicite IP para una lista blanca no es señal de malas medidas de seguridad. A menudo, todo lo contrario es cierto.

Hay otra parte de su pregunta que me gustaría abordar:

  

Me parece que una lista blanca de direcciones IP se basa en información falsificada fácilmente [.]

Si bien es cierto que puede falsificar la dirección IP de origen de un paquete, esto generalmente no permite establecer conexiones.

Un apretón de manos TCP fallará y en UDP no obtendrás la respuesta, excepto si eres un hombre en el medio.

    
respondido por el Tobi Nary 12.04.2016 - 21:35
fuente
2

Incluso si solo te importa el tipo de TLS en el que se requiere que el certificado coincida con el nombre del host (como se hace en HTTPS, pero hay un caso de uso de TLS que no hace esto), todavía hay diferencias en el alcance y la capacidad de filtrar por dirección IP versus nombre de host del protocolo de enlace TLS.

  • Ventaja del filtrado basado en nombre de host:
    Puede haber varios nombres diferentes detrás de la misma dirección IP y puerto. El cliente debe abordar un nombre específico utilizando Indicación del nombre del servidor (SNI) en este caso. Al verificar el nombre de host proporcionado en ClientHello y en el certificado, el servidor puede hacer un filtrado más preciso luego solo en función de la dirección IP.
  • Desventaja al usar solo el filtrado basado en el nombre de host:
    Si solo verifica si SNI y el certificado contienen el nombre de host correcto, sus cheques se pueden omitir fácilmente usando certificados autogenerados. Por lo tanto, también debe verificar que el certificado haya sido firmado por una CA de confianza.
  • Ventaja del filtrado basado en direcciones IP:
    La verificación de la dirección IP es más rápida y más temprana. Se realiza con el primer paquete SYN necesario para establecer la conexión TCP. La comprobación en el nivel de nombre de host solo se puede hacer una vez que se conoce el nombre de host deseado, es decir, durante el protocolo de enlace TLS que se realiza después de que se establece la conexión TCP. Aparte de eso, es mucho más difícil porque necesita inspección en la capa TLS en lugar de solo inspección en la capa de red.

Para obtener los mejores resultados, debe hacer ambas cosas: filtre por dirección IP para una rápida y temprana coincidencia y, si esto pasa y se establece la conexión TCP, verifique el protocolo de enlace TLS para el nombre de host esperado en caso de que se usen múltiples nombres para misma dirección IP.

    
respondido por el Steffen Ullrich 12.04.2016 - 21:48
fuente

Lea otras preguntas en las etiquetas

¿Impedir el arranque desde medios externos en caso de robo de una computadora portátil o una falla de seguridad física en caso de equipos de escritorio? ¿Qué puede hacer un usuario para protegerse contra los ataques CSRF?