¿Estoy exponiendo mi aplicación a falsificación de direcciones IP / falsificación de IP?

1

Aquí está mi configuración: Crearé dos servicios REST que se ejecutan en el Servidor B y que solo deben llamarse desde el Servidor A. Ambos servidores están en la misma red y no puedo configurar un firewall para hacer cumplir esto. Hay varios clientes que comparten la misma red (interna) en la que están los servidores. Debido a esto, configuraré el Servidor B para que solo permita conexiones entrantes desde la dirección IP del Servidor A. (detalle técnico: quizás sea un Tomcat detrás de Apache httpd)

  • servicio REST 1 que se encuentra en https://server_b/getValue?id=1234 devolverá el valor almacenado para el id 1234 .
  • servicio REST 2 que se encuentra en https://server_b/setValue?id=1234&value=foo establecerá un valor de foo para id 1234

(observaciones: sé que esto no es REST, ya que lo enseñan en los libros, esto es solo un ejemplo ;-) Y no: desafortunadamente no podré usar la autenticación básica o algo así)

¿Qué pasará ahora si alguien falsifica la dirección IP y pretende ser el Servidor A? Al llamar al servicio REST 1, no se enviará nada al falsificador porque la respuesta se enviará al Servidor A "real". ¿Esto es correcto?

El servicio de llamadas 2 será peor porque el método de obtención entra en vigencia inmediatamente. ¿Es correcto este supuesto?

Leí información sobre la falsificación de IP, por ejemplo, falsificación de IP (las teorías están bien) pero no pudo responder a mis preguntas específicas utilizando esa información.

    
pregunta Marged 13.01.2015 - 22:14
fuente

3 respuestas

2

Como usted ha dicho, otras computadoras, probablemente no confiables, están en la misma red, sus preocupaciones están justificadas. Cualquiera de las otras máquinas en la misma red podría establecer su dirección IP a la de server_a y enviar una solicitud a server_b.

Sugeriría usar certificados de cliente y certificados de servidor dentro de su configuración ssl vea enlace para obtener algunos consejos iniciales sobre por qué y cómo usar los certificados de cliente. Tenga en cuenta que parte del artículo mencionado anteriormente no se aplica, ya que está autentificando servidores no cliente a servidor.

    
respondido por el David Waters 14.01.2015 - 00:03
fuente
1

En una red Ethernet normal, hay varias formas en que un atacante con control total de una máquina en la red podría tomar el control de una dirección IP.

En primer lugar, podrían falsificar la dirección MAC. Debido a la forma en que funcionan los conmutadores Ethernet una vez que el atacante envía paquetes desde una dirección MAC, también recibirán respuestas a esa dirección MAC. La desventaja de este enfoque es que probablemente "pelearán" con el propietario legítimo de la dirección MAC, lo que llevará a una entrega no confiable de respuestas tanto para el atacante como para el cliente legítimo.

En segundo lugar, podrían falsificar paquetes ARP para convencer a su servidor de que su dirección MAC es la dirección MAC legítima de la dirección IP. Lo mejor de este método es que luego pueden reenviar los paquetes que no les interesan al cliente legítimo. Por lo tanto, es más probable que pasen desapercibidos.

    
respondido por el Peter Green 12.10.2016 - 00:16
fuente
0

La suplantación de TCP activa normalmente solo es viable si estás en la misma red que la persona que estás secuestrando, por lo que es probable que no te afecte en absoluto. Sin embargo, mientras usa ssl, ¿ha considerado usar la validación de certificados de clientes para asegurarse de que solo se puedan hacer conexiones legítimas?

    
respondido por el wireghoul 13.01.2015 - 23:21
fuente

Lea otras preguntas en las etiquetas