¿Necesito proteger con contraseña los servicios [web] a los que solo se puede acceder internamente?

Navega tus respuestas
0

Tengo la configuración del demonio de transmisión con RPC habilitado usando una lista blanca. La lista blanca solo contiene 127.0.0.1 y el rango de mi red privada virtual de direcciones IP. Conecto la mayoría de mis dispositivos a través de un servidor openvpn, por lo que me pregunto por qué tendría que habilitar la autenticación estándar (usuario / contraseña) para los servicios a los que solo puedo acceder internamente. Sé que esto es tan seguro como seguro. Conservo mis claves VPN / ssh. Soy el único (además de la empresa de alojamiento) que tiene acceso a este servidor, por lo que realmente no puedo encontrar una razón para tener un nombre de usuario / contraseña que me dé más cosas para recordar y haga que el proceso de uso de estos servicios sea más general. incómodo. ¿Pensamientos?

    
pregunta sk009 22.12.2013 - 20:56
fuente

2 respuestas

1

Al tener mo auth estás abriendo más vectores de ataque. Un par de ejemplos que puedo adelgazar de:

  • La red está comprometida y el atacante logra obtener una de las IP del rango de VPN
  • VPN está comprometida y el atacante tiene acceso a la red de esa manera
  • Otro servicio en el servidor está comprometido y el atacante realiza las solicitudes desde el servidor (127.0.0.1)

Todos estos vectores de ataque le darían al atacante acceso completo al servicio que has descrito. Tener autenticación en el servicio solucionaría eso.

    
respondido por el valentinas 22.12.2013 - 21:59
fuente
0

Su red o VPN ni siquiera tiene que estar comprometida. Cualquier sitio web externo podría, a través de un cliente con acceso a ese servidor, solicitar una url. Un escenario de ataque común es, por ejemplo, llamar a algunos servicios en "fritz.box" desde un sitio web normal, que podría tener algunas vulnerabilidades xss. Por lo general, no se puede acceder a fritz.box desde el exterior, pero muchas redes internas utilizan ese nombre de host, por lo que puede obtener un acceso muy fácil a un host interno, a través del sitio web comprometido que un cliente ha visitado.

    
respondido por el Tobias 23.12.2013 - 14:02
fuente

Lea otras preguntas en las etiquetas

Desafíos en las autenticaciones Pregunta sobre una definición de "Espacio de contraseña"