¿Es un verdadero beneficio de seguridad si un host utiliza direcciones IP estáticas para la autenticación?

Navega tus respuestas
2

Como mi conocimiento sobre seguridad de la información no es tan bueno y Google no me dio una respuesta satisfactoria, me gustaría preguntarle a la comunidad aquí:

Estoy trabajando para una empresa que ofrece servicios en línea (como ASP) donde se almacena información de alto valor objetivo de los clientes (por ejemplo, documentos confidenciales de diferentes compañías). El acceso al servidor (fuente, base de datos, etc.) del servidor de la aplicación (raíz) debe estar protegido de la mejor manera posible. Ahora nuestro anfitrión sugirió que solo se permitan ciertas direcciones IP estáticas como parte del proceso de autenticación, para hacerlo más seguro.

Entonces, mi primera pregunta es: ¿hay un beneficio de seguridad REAL en esta medida O no? (Además del hecho de que puede ser un poco más difícil para los atacantes acceder al backend, ya que deben conocer la medida y las direcciones IP estáticas requeridas, también pensar en IP Spoofing y altos proxies anónimos). Si no, dame una explicación razonable, ya que las partes interesadas de mi empresa quieren obligar a todos los programadores de la empresa a obtener una dirección IP estática para las conexiones de Internet de su hogar ;-)

Segunda pregunta: si hay un beneficio de seguridad REAL en esto, ¿hay una diferencia real con respecto a la seguridad entre obtener una dirección IP estática de mi proveedor de Internet directamente y alquilar una IP estática de un servicio como enlace o enlace [ya que es más barato ;-)]?

Editar datos: no puede alquilar una IP estática para este propósito desde dyndns / noip, sino a proveedores de servicios VPN como, por ejemplo, strongvpn ( enlace ).

    
pregunta Blackbam 27.03.2014 - 22:20
fuente

2 respuestas

8

Yo diría que puede haber un beneficio al usar direcciones IP estáticas. Esencialmente, si en el firewall puede decir "solo se permite el tráfico a este puerto desde estas direcciones IP específicas", entonces hay una serie de efectos.

  • Es poco probable que un atacante que escanea Internet en busca de hosts vulnerables detecte el servicio y, por lo tanto, pueda atacarlo
  • Un atacante que está más determinado tendrá que comprometer a un host que tenga una de las direcciones IP permitidas para acceder al servicio. Dependiendo de cómo esté configurada la lista, esto sería más o menos difícil. Por ejemplo, si una de las IP es un servidor proxy que permite a cualquier persona en una gran empresa acceder al servicio, el beneficio se reduce a medida que hay más sistemas para que el atacante pueda intentarlo. Sin embargo, si es de servidor a servidor, entonces el atacante tiene un trabajo más difícil.

En cuanto a la falsificación de direcciones IP, en Internet se trata de un riesgo exagerado (IMO). La suplantación de servicios basados en TCP (por ejemplo, HTTP) no es práctica en los sistemas operativos modernos. Los servicios UDP pueden ser falsificados, pero necesita conocer información sobre el servicio receptor, por lo que es probable que aún sea un ataque poco práctico para la mayoría de los atacantes.

En cuanto al alquiler contra el ISP asignado, yo diría que no hay una diferencia importante, aunque existe un riesgo con el alquiler que, una vez que caduque el alquiler, es posible que alguien se olvide de actualizar la ACL para que tenga más sistemas de los necesarios. ..

Así que, en general, diría que es una parte razonable de la seguridad del servicio, aunque no me basaría en ello, solo.

    
respondido por el Rоry McCune 27.03.2014 - 23:02
fuente
1

Ciertamente, reduciría la exposición y aumentaría la oscuridad de la conexión para limitar las posibles conexiones a un pequeño subgrupo de direcciones IP específicas. Lo que sería un enfoque más seguro es que sus usuarios se conecten a un punto final de VPN y luego se conecten a ese sistema desde allí. Esto oculta el tráfico con cifrado y lo hace invisible para cualquier persona que no posea la Clave. El punto final de VPN también puede garantizar que los usuarios que no poseen un certificado autorizado no puedan conectarse, lo que efectivamente empuja la conexión desde algún lugar dentro de la DMZ a una conexión que reside completamente en el interior de su dispositivo Firewall de red sin exposición en un DMZ.

    
respondido por el MattMetal 28.03.2014 - 01:02
fuente

Lea otras preguntas en las etiquetas

Limitar el intento de inicio de sesión de usuario contra PBKDF2 Usando un lado del navegador de cifrado de clave pública para evitar el cumplimiento de PCI