Restricción de la dirección IP de IIS: ¿puedo confiar en ella en línea?

8

Me han dicho que podría tener más suerte al publicar aquí que en Stack Exchange, así que aquí va:

Estoy buscando una manera de bloquear una aplicación de terceros en IIS. Es un servicio web, por lo que no hay una página de inicio de sesión ni nada, está pensado para su uso en un entorno VPN. Estoy tratando de ponerlo en línea sin una VPN y estoy pensando en maneras de agregarle algún tipo de seguridad. Necesito restringirlo a ciertas redes, es un producto comercial, por lo que probablemente puedo decirle que necesitas estar en una red privada (es decir, no wifi pública) para usarlo. Mi idea es usar la restricción de direcciones IP en IIS y escribir una aplicación que los usuarios instalen y hacer que actualice el servidor con su IP actual cada pocos minutos, luego el servidor bloquea todos excepto los que se actualizaron recientemente.

¿Qué tan seguro sería esto? ¿Hay una falla importante en esta idea? ¿O quizás hay una mejor manera de hacer esto en IIS?

editar: Para aclarar, el software no es modificable por mí. Consiste en algunas aplicaciones web en IIS, que son servicios web de WCF. Entonces la computadora cliente tiene un programa que se conecta a esos. No puedo editar el programa cliente o el servidor, simplemente espero permitir o denegar la conexión mediante la inyección de algún tipo de medidas de seguridad en IIS, o tal vez interceptar los paquetes junto con mi propio software personalizado que podría ser Instalado en el PC cliente para realizar la autentificación.

    
pregunta RodH257 24.05.2011 - 06:13
fuente

2 respuestas

8

Realmente depende de su modelo de amenaza, ¿qué valor tiene la información y la funcionalidad que ofrece el servicio web? ¿Qué tipo de atacantes y ataques específicos le preocupan?

La restricción de la dirección IP es la forma más básica de protección y realmente no le ofrece ninguna seguridad. Es trivial pasar por alto a través de un proxy, por ejemplo. Además, si agrega una dirección pública corporativa, no tiene idea de qué máquinas detrás de esa NAT se están conectando. Entonces, si se trata básicamente de un servicio público o si está utilizando la restricción de la dirección IP como un mecanismo de defensa en profundidad para la autenticación, entonces está bien, de lo contrario no está obteniendo ningún beneficio de seguridad y es posible que no lo haga (para la compensación adicional). gestión y resolución de problemas). Lograr que los usuarios instalen algo con la solución de problemas y el soporte que esto implica es generalmente una muy mala idea.

Si se trata de un servicio web valioso, la forma estándar de autenticación es:

  • Autenticación mutua a través de certificados. enlace . Esto le proporciona una autenticación fuerte y no hay contraseñas para administrar. Un certificado no puede ser forzado ni adivinado y usted garantiza a los terceros que se están conectando con el servicio original. Puede reducir el costo del certificado utilizando algo como startssl.com pero tiene que emitir, dar soporte a la instalación, renovar, revocar certificados

  • Clave de API: el otro método más popular es proporcionar una clave de API para cada usuario del servicio web. Esto es efectivamente una contraseña y conlleva todos los riesgos y beneficios de una contraseña. Necesita la longitud, la complejidad, el bloqueo / retroceso suficientes para mitigar la fuerza bruta y los riesgos de adivinación

Tendría mucho cuidado al poner un servicio web diseñado para un entorno corporativo interno destinado a ser usado a través de una VPN en Internet. Recomendaría que se realice una prueba de seguridad desde una perspectiva de aplicación e infraestructura antes de hacer esto. Existe una alta probabilidad de que los scripts entre sitios, la inyección de SQL y otras vulnerabilidades de aplicaciones web comunes, especialmente si está utilizando servicios web REST.

    
respondido por el Rakkhi 24.05.2011 - 11:04
fuente
6

De acuerdo con los Diez Principales de OWASP (tenga en cuenta que este enlace no es el más reciente porque han silenciado el Proyecto T10 a lo largo del tiempo): no se debe confiar en el uso de autenticación basada en direcciones IP, prefijos de IP o nombres DNS. Es una práctica peligrosa porque A) no está vinculada a una sola persona por credencial, y B) puede ser falsificada, engañada, sustituida o puesta a disposición de los adversarios para su uso ilegítimo.

No confíe en las credenciales falsificadas como la única forma de autenticación, como las direcciones IP o las máscaras de rango de direcciones , DNS o búsquedas de DNS inversas, encabezados de referencia o similares

    
respondido por el atdre 24.05.2011 - 18:24
fuente

Lea otras preguntas en las etiquetas