1 vs 2 vías de filtro SSL + IP mutuo

Navega tus respuestas
0

Hemos configurado una comunicación cliente-servidor con un socio. Nosotros alojamos el servidor y el socio es el cliente. Las especificaciones para esta comunicación han sido proporcionadas por nuestro socio.

Las especificaciones son las siguientes:

  • TLS 1.2.
  • SSL de 1 vía, para que el cliente sepa que los datos son proporcionados por el servidor esperado.
  • Filtrado de IP, de modo que solo las entidades autorizadas puedan acceder a los datos almacenados en el servidor.

Sin embargo, también debemos asegurarnos de que la entidad que recupera los datos sea el socio autorizado. Por lo tanto, tenemos algunas dudas sobre la confiabilidad de las especificaciones proporcionadas.

¿No sería un filtro SSL + IP de 2 vías más apropiado en nuestro caso?

    
pregunta BS_C3 12.02.2018 - 17:13
fuente

1 respuesta

2

Sí, la autenticación mutua con un certificado de cliente es ideal aquí. El filtrado de IP es un buen control, pero solo se debe usar como control de seguridad secundario.

Como ejemplo de cómo el filtrado de IP puede fallar aquí, suponga que el cliente (es un servidor, pero en este caso es el que inicia la conexión TLS) está en una red que puede enrutarse a Internet para hablar al servidor. Ahora imagine que, en lugar de atacar esa casilla de cliente, un atacante encuentra la forma de ingresar a un sistema completamente no relacionado en la misma red, o incluso al propio enrutador para esa subred. Ahora pueden hablar con el servidor remoto porque se están enrutando como la misma dirección IP externa.

Con la autenticación mutua, el certificado del cliente solo está en el sistema cliente, por lo que el atacante no puede comunicarse con el servidor remoto, incluso si entran en la misma red que el cliente.

    
respondido por el Polynomial 12.02.2018 - 17:30
fuente

Lea otras preguntas en las etiquetas

Ocultar HMAC-SHA256 en el código fuente y el archivo de configuración Evitar redirecciones