Limitar el acceso de la aplicación web a organizaciones específicas

Question

Limitar el acceso de la aplicación web a organizaciones específicas

#1 de ThoriumBR (3 votos)

1

Soy relativamente nuevo en desarrollo y seguridad web y busco limitar el acceso a mi aplicación web a compañías específicas (y / o direcciones IP).

La autenticación a nivel de usuario mediante nombre de usuario y contraseña no es una opción. Podría configurar un firewall y solo permitir el tráfico de ciertas direcciones IP, pero esta no parece ser la solución más segura, ya que alguien podría falsificar la IP.

¿Hay un patrón de autenticación que pueda manejar este caso? El resultado final tendría a todos los usuarios pertenecientes a una organización determinada que tengan acceso a la aplicación. Utiliza un certificado o algo así?

web-application authentication

pregunta rpm 30.04.2018 - 21:06

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application authentication

¿Qué tan inseguro es publicar mi URL EC2 directa? Tails OS para Android y PC?

score 3 · Accepted Answer

IP Spoofing es difícil. Muy muy difícil. Difícilmente puede enviar un par de bytes en un protocolo simple mediante la suplantación de IP, por no hablar de una respuesta / respuesta.

Imagina hablar con alguien, pero solo poder hablar con él y no escucharlo. IP Spoofing es así. Debe predecir todas sus respuestas (a nivel de protocolo) y dar respuestas creíbles sin recibir nunca nada de ellas. No es fácil en absoluto.

Su problema principal no es que sea fácil de falsificar la IP (no lo es), sino que es fácil atacar a alguien en esas compañías y usar sus computadoras como proxy. Un correo electrónico de phishing terminará con alguien que esté ejecutando un programa de alguien externo y creará un túnel entre el atacante y su aplicación. Es poco probable, pero mucho más probable que una falsificación de IP.

Puede usar de forma segura una lista blanca de IP , y solo permitir a las personas de esa lista. Por lo general, las empresas tendrán un servidor de puerta de enlace (y proxy, e IPS / IDS y escáner de virus, todo en uno) y todas las solicitudes provendrán de esta puerta de enlace. Así que es sencillo crear una lista así.

Usted dijo que el inicio de sesión / contraseña no es una opción. ¿Por qué?