Por varios sitios y libros de seguridad, entiendo que la seguridad basada en IP (con lo que quiero decir: el usuario es verificado solo por la dirección IP) es una mala idea. Una de las razones es obvia: varios usuarios reales pueden usar la misma dirección IP.
Nuestra idea no es nueva: queremos una validación por única vez y, a partir de ese momento, permitir que cualquier computadora en un determinado rango de IP tenga acceso de edición ligera a un sitio web (considere: todos los empleados de una empresa que están dentro de ese rango). Además, queremos poder configurar esto de antemano en el servidor receptor.
- Entiendo que es posible y fácil falsificar una dirección IP
- Una dirección IP falsificada no puede recibir una respuesta de su servidor
- Cuando se encuentra detrás de un proxy o enrutador, ¿hay alguna forma relacionada que me permita identificar al usuario / sistema de origen original, es decir, algo similar al encabezado HTTP
X-Forwarded-For
?
Me interesa especialmente el segundo artículo. Según Wikipedia, es muy difícil, pero no imposible, detectar el paquete de respuesta de una dirección IP falsificada. Sin embargo, no especifica lo que se necesita.
¿Qué recomendaría siempre que el requisito sea poder configurar este IP basado (o relacionado)?