¿Puede una dirección IP estática ser un identificador de usuario confiable en un entorno seguro?

Navega tus respuestas
0

¿Sería una práctica aceptable, si tuviéramos que registrar a un cliente (persona o empresa) al asociarlos con su dirección IP estática para realizar alguna acción segura que solo los clientes autorizados pueden hacer? Miré las respuestas que indican que restringir a los clientes por sus direcciones IP estáticas es una buena protección adicional, y que falsificar una dirección IP no es un ataque práctico en una comunicación bidireccional. Me gustaría entender qué tan aceptable es, desde la perspectiva de la seguridad, usar la IP estática del cliente como el único medio para autenticar al cliente. ¿Cuáles serían los riesgos específicos asociados con dicho método?

    
pregunta sun2sirius 15.09.2018 - 02:18
fuente

2 respuestas

1

Hay varios problemas con la autenticación solo de IP.

  1. No es, por sí mismo, seguro. Un atacante de hombre en el medio puede pretender ser el host esperado en cualquier dirección IP y falsificar a quien desee. Si desea evitarlo, seguirá necesitando un canal autenticado y seguro, como IPSec o TLS.
  2. Un atacante que no necesita ver los mensajes de respuesta aún puede enviar solicitudes al servidor, si el servidor admite UDP o protocolos que no requieren un protocolo de enlace bidireccional antes de enviar cualquier información.
  3. es frágil. Si alguna vez cambia la dirección IP, por cualquier motivo, no solo su host autorizado perderá el acceso, sino que quienquiera que obtenga la IP antigua (por suerte o por malicia) ahora será tratado como autenticado.

Recomiendo encarecidamente otro enfoque. El TLS / DTLS mutuo es una buena opción para las conexiones basadas en Internet donde usted controla, o al menos puede coordinar, ambos puntos finales. El TLS estándar (que solo autentica el servidor) también funciona si tiene alguna otra forma de autenticar al cliente, como una contraseña u otra credencial precompartida, aunque debe protegerse contra todos los ataques estándar en los sistemas de autenticación. En general, agregar filtros IP en la parte superior de [D] TLS está bien, aparte del riesgo de fragilidad

    
respondido por el CBHacking 15.09.2018 - 08:35
fuente
0

Supongo que registrará la dirección MAC de un dispositivo con una IP estática.

Esto no es seguro. Forjar la dirección MAC es muy fácil. No necesita herramientas complicadas, solo puede hacerlo con ifconfig.

    
respondido por el Moonsik Park 15.09.2018 - 02:29
fuente

Lea otras preguntas en las etiquetas

Usar el cifrado AES para generar MAC (y proporcionar autenticación / integridad) Enviar comando de apagado a través de ssh usando sudo de forma no interactiva