filtrado de direcciones IP vs seguridad de la aplicación web

4

Tenemos una aplicación web detrás de un firewall que no requiere autenticación de usuario.

Si abrimos el acceso a esta aplicación a través de un firewall a una pequeña lista de direcciones IP, ¿cuál es el riesgo de acceso no autorizado desde otros hosts?

¿Existe algún riesgo para el servidor web y otros hosts detrás del firewall?

Si existe un riesgo, ¿qué más se puede hacer para minimizar el riesgo?

    
pregunta 10.11.2011 - 06:29
fuente

1 respuesta

2

Si está usando la autenticación solo con IP, el atacante aún puede usar la aplicación web a través de ataques dinámicos contra un host al que el firewall le permite acceder a su aplicación.

Por ejemplo, supongamos que su aplicación se encuentra dentro de la intranet (http://192.168.0.5) y uno de los clientes (192.168.0.100) está navegando por Internet y visita una página web maliciosa que realiza huellas dactilares de la intranet, solicitando enlace (x = 0..255) URL a través del navegador de la víctima (192.168.0.100), encontrando efectivamente IPs con el puerto 80 abierto e informándolas a los atacantes El atacante puede hacerlo, por ejemplo. con el marco BeEF . Más adelante, utilizando el navegador de la víctima como un proxy, el atacante puede enviar solicitudes a la aplicación de destino (http://192.168.0.5). Incluso hay un marco para detectar qué tipos de software tiene instalados en la intranet, por ejemplo. Yokoso . El uso de estos hará que más ataques sean más fáciles.

Por supuesto, el atacante también puede atacar el sistema operativo en uno de los clientes (p. ej., con spear phishing o drive-by-download attack), por lo que tiene más posibilidades de atacar la aplicación de la intranet y no está restringido por la Política del mismo origen.

Si está permitiendo el acceso a la aplicación solo para algunos hosts en la misma subred (y se le niega el acceso a otros hosts), el atacante interno tiene más posibilidades porque tiene más conocimiento (por ejemplo, podría conocer las URL exactas para la aplicación). , es el número de versión) y está dentro de la misma red, por lo que puede intentar, por ejemplo, suplantación ARP para secuestrar el tráfico entre la aplicación y uno de los clientes permitidos.

Recomendaría alojar la aplicación solo en SSL (para proteger de Man-in-the-middle) y agregar autenticación de inicio de sesión / contraseña (basada en cookies o una autenticación HTTP simple)

    
respondido por el Krzysztof Kotowicz 10.11.2011 - 10:07
fuente

Lea otras preguntas en las etiquetas