¿Es posible restringir partes de un sitio web para permitir solo el acceso en función de la región geográfica mediante la dirección IP?

4

Descargo de responsabilidad: no soy un experto en seguridad, por lo que esta puede ser una pregunta tonta. Mi conocimiento de seguridad se centra estrictamente en el desarrollo. Cuando se trata de configuración y redes, sé lo suficiente para sobrevivir. Estoy tratando de cambiar eso.

Primero, ni siquiera estoy seguro de si es una buena idea o algo que valga la pena considerar. Si es una mala idea, dígalo en la respuesta (o en un comentario) y explique por qué.

Tenemos un sitio web de acceso público, y partes de él permiten a los clientes acceder a algunos datos confidenciales. Ya hemos seguido todas las pautas de OWASP en nuestras aplicaciones, tenemos un Firewall de aplicaciones web y ya estamos tomando todas las precauciones que podemos pensar para bloquearlo. Sin embargo, nuestro sitio está siendo escaneado constantemente desde sitios en el extranjero. China, Alemania, Corea del Norte, lo que sea.

Nuestro negocio está restringido a un área geográfica muy pequeña. Operamos en tres estados en los Estados Unidos. En nuestro carrito de compras, vendemos artículos que solo se pueden usar en nuestras tiendas, por ejemplo, tarjetas de regalo. Con muy pocas excepciones, no hay absolutamente ninguna razón para que alguien en otro país deba tener acceso a esta parte de nuestro sitio. (Puedo ver a un soldado que quiere comprar tarjetas de regalo para sus familias en casa, pero no mucho más.)

Solo tengo curiosidad acerca de si sería posible bloquear la parte del sitio web restringiendo las direcciones IP a direcciones IP que provienen de los Estados Unidos. Para aclarar, sé cómo establecer restricciones de IP en IIS, pero no sé si hay rangos conocidos que sean verificables de los Estados Unidos.

Sí, conozco la suplantación de IP y los anonimizadores, y me doy cuenta de que podemos bloquear a las personas que usan esas herramientas y que será posible que quienes se encuentren fuera de los EE. UU. utilicen dichas herramientas para evitar esto. No he pensado en lo que eso haría a la viabilidad.

    
pregunta David Stratton 01.02.2013 - 15:54
fuente

1 respuesta

5

SI puede asignar una dirección IP entrante a una ubicación geográfica, entonces sí, puede filtrar a los clientes en función de su presunto país actual. Sin embargo, esto se basa en geolocalización y sus bases de datos asociadas, que no son necesariamente muy confiables. Además, siempre que alguien use un túnel proxy o VPN o IPv6 a v4, la IP que se ve en el servidor es la IP del punto de salida del proxy / túnel, no la de la computadora de origen.

A la inversa, si restringe el acceso a solo IP basada en EE. UU., entonces sería suficiente alquilar un servidor de un proveedor con sede en EE. UU. y usar ese servidor como proxy para conectarse a su servidor con una "IP basada en EE. UU. "(la configuración de dicho proxy es una cuestión de un comando de una línea con cualquier sistema Linux: ssh -D 5000 theproxyserver ). Los atacantes medio serios no serán tan disuadidos por el filtro que sugieres. Este filtro basado en la ubicación bloqueará principalmente los intentos automáticos no inteligentes de botnets (que intentan propagarse), y estos son los menos peligrosos del lote.

La restricción del número de clientes potenciales que pueden ver su sitio web no parece ser, en mi opinión, un movimiento comercial óptimo. Por lo general, no desea ahuyentar a los clientes.

    
respondido por el Tom Leek 01.02.2013 - 16:07
fuente

Lea otras preguntas en las etiquetas