Impacto de usar una conexión NO SSL / TLS para llamadas a API en el mismo servidor

Question

Impacto de usar una conexión NO SSL / TLS para llamadas a API en el mismo servidor

#1 de Austin Hartzheim (5 votos)

7

Tengo dos dominios alojados en el mismo servidor, Dominio A y Dominio B, ambos dominios tienen direcciones IP diferentes, asumiendo las IP 1.1.1.1 para el Dominio A y 2.2.2.2 para el Dominio B.

Cada dominio tiene un sistema diferente que se comunicará con el otro mediante API. Me pregunto cuáles serían los riesgos si no usara la conexión SSL / TLS para las llamadas a la API.

Si restringí el acceso a las llamadas a la API a 127.0.0.1 y solo a las IP anteriores, ¿todavía será posible que un atacante secuestre la información transmitida? ¿Puede falsificar la IP para que aparezca con la IP del servidor y luego robar la información?

encryption tls linux api

pregunta Mina Hafzalla 14.12.2015 - 14:32

fuente

1 respuesta

Lea otras preguntas en las etiquetas encryption tls linux api

Pruebas de inyección continua de SQL Usando la autenticación de dos factores para detener el paso de Hash

score 5 · Accepted Answer

El tráfico a la dirección de bucle de retorno (127.0.0.1) no dejará la máquina en la que se encuentra, y por lo tanto es seguro si su servidor está seguro.

Si sus dos direcciones IP de ejemplo apuntan al mismo servidor, su servidor debería reconocer esto y nuevamente evitará que el tráfico salga del servidor.

Sin embargo, si esas direcciones IP son para servidores diferentes, existe la posibilidad de interceptar los datos a medida que fluyen a través de la red. Este riesgo podría mitigarse un poco si los servidores están en la misma red privada o en el mismo centro de datos. SSL / TLS puede ayudar a proteger contra esto.

La restricción del acceso de la API a direcciones IP específicas es una buena estrategia para reducir el riesgo de acceso a datos no deseados, pero no lo elimina. Como mencioné, la intercepción de tráfico sigue siendo un riesgo si el tráfico de la red no está encriptado.

Además, con respecto a la suplantación de identidad, depende del protocolo exacto que esté utilizando. Los protocolos que utilizan TCP (HTTP se realiza a través de TCP en el caso estándar), tienen cierta resistencia a la falsificación de direcciones IP, pero aún existen ataques que permiten la falsificación de direcciones IP en algunas circunstancias.