En una situación en la que las credenciales de LDAP se filtran pero todavía hay una lista blanca de IP en su lugar ...
Mi intuición me dice que esto no está bien; Las credenciales deben ser cambiadas. ¿Es esto correcto? ¿Qué detalles técnicos pueden ayudarme a impresionar a la parte interesada?
Por lo general, hay una razón para usar más de una forma de proteger los servicios. La combinación de credenciales con listas de acceso garantiza que una de ellas puede fallar sin tener que hacer frente a una emergencia inmediata.
Eso no significa que no debas actuar cuando uno de ellos se ve comprometido, ¿por qué te molestaste en implementar más de uno si no te preocupas por ellos?
Los riesgos técnicos con los que puede tener que lidiar incluyen la mala configuración de las listas de acceso y la suplantación de IP. Por eso no confías solo en una lista de acceso.
Sin embargo, en mi opinión, el mayor problema es que la operación espera más de una medida de seguridad que se implementará. Alguien más puede notar una lista de acceso mal configurada y pensar "no se preocupe, aún necesita credenciales para usar el servicio".
Línea inferior: si implementa más de una medida de seguridad, debe asegurarse de poder confiar en cada una de ellas. Tener más de uno solo reduce el impacto directo de que uno de ellos se vea comprometido.
Respuesta corta: se puede hacer spoofing de IP, por lo que si las credenciales están comprometidas y está bastante seguro de ello, ¡simplemente cámbielo! Ip lista blanca podría no ser suficiente.
Tenga en cuenta las posibilidades que se pueden hacer con esas credenciales ... piense en los posibles recursos de grupo a los que se puede acceder, donde puede haber cualquier otro tipo de acceso o contraseña. Tal vez se pueda hacer una escalada de privilegios horizontal, así que cambie la mayor cantidad posible de cuentas / usuarios comprometidos.
las credenciales deben cambiarse
¡Definitivamente! Las credenciales filtradas ciertamente no son "de poca preocupación" porque existe otra medida de protección: la seguridad en profundidad está en gran parte para ganar tiempo, de modo que cuando falla una medida de seguridad, tiene la oportunidad de notarlo y actuar antes. el atacante tiene éxito.
Dependiendo de qué tipo de servicio protegen las credenciales y la lista blanca de IP, puede que no sea una emergencia la que deba tratarse de inmediato, pero definitivamente debe tratarse.
¿Qué detalles técnicos pueden ayudarme a imprimir esto a la parte interesada?
Veo algunas posibilidades de ataques:
Si el servicio en cuestión es un servicio similar a REST (por ejemplo, sin estado ) que tiene puntos finales que actualizan la información comercial, entonces es posible abusar de estos puntos finales, ya que la actualización se realiza con una solicitud HTTP POST, PUT o DELETE (o su equivalente sin estado si se usa otro protocolo), el cliente no necesita realmente obtener una respuesta del servicio, por lo que puede falsificar la IP de origen del paquete que envía para obtener acceso a estos puntos finales. La respuesta del servicio se enviará a la IP falsificada, pero eso no viene al caso: el daño ya estará hecho.
El atacante puede obtener una de estas direcciones IP. Tal vez la lista blanca contenga subredes IP, por ejemplo, Rangos de direcciones, que cubren todas las direcciones IP en sus oficinas. También puede tener un wifi con acceso de invitado que eventualmente produce paquetes de red con una IP de origen en el rango de la lista blanca, o puede tener una sala accesible para el público que tenga un socket de Ethernet activo que un atacante pueda usar para obtener un dhcp proporcionado Dirección IP en el rango de la lista blanca. Ambos casos (bastante comunes) requieren que el atacante lo visite físicamente.
Como una extensión del punto 2, si algunas de las direcciones incluidas en la lista blanca son de ISP de banda ancha / de acceso telefónico para permitir que sus empleados tengan acceso al servicio desde su hogar, es posible que un cliente del mismo ISP obligue a propietario real de una IP de lista blanca fuera de línea y hacer eso el tiempo suficiente para que se le asigne la IP de lista blanca. Sin embargo, creo que eso es poco probable.
Es probable que la lista blanca de IP sea solo una simple lista blanca y no esté agrupada en diferentes conjuntos según las reglas de acceso. Básicamente, la lista blanca de IP es una forma de otorgar o denegar el acceso. Las credenciales permiten un acceso mucho más preciso. Si pierde credenciales, se queda estancado con una decisión de sí / no. Básicamente, cualquier persona que se siente detrás de una máquina con una determinada IP en la lista blanca ahora tiene acceso potencial a todos los recursos protegidos por las credenciales filtradas. Entonces, si las credenciales filtradas incluyeron las credenciales del jefe de recursos humanos, el nuevo interno que tiene privilegios de acceso mucho más bajos con otro conjunto de credenciales, pero cuya máquina también está en la lista blanca, ahora puede acceder a los datos de recursos humanos de la empresa. Eso no puede ser bueno.
Lea otras preguntas en las etiquetas credentials whitelist ldap