En muchos casos, bloquear el acceso a un sitio es una buena medida de defensa en profundidad. No debería reemplazar elementos como la autenticación de usuarios y las buenas políticas de contraseña, pero puede ser un complemento útil.

En cuanto a que causa problemas, tiene razón si las direcciones IP de las empresas cambian, esto causaría un problema. Sin embargo, la mayoría de las empresas tendrán direcciones IP estáticas asignadas a ellas (tiende a ser una característica del acceso a Internet de nivel empresarial). paquetes)

En cuanto a evitar que esto ocurra, recomendaría hablar con su administrador de red y / o ISP para asegurarse de que se le notifique con anticipación si va a cambiar la dirección IP. si se integra en el proceso de gestión del cambio, es de esperar que la posibilidad de interrupción sea mínima.

Ajá. Di una respuesta en la entrada de su lugar de trabajo, ahora aquí está el lado de implementación de las cosas.

Suena como si su jefe quisiera asegurarse de que su aplicación solo esté disponible en la intranet de la empresa (red interna)

En realidad, esto no es tanto una preocupación del desarrollador como una preocupación para el equipo de infraestructura de su empresa (quienquiera que configure la red y sus servidores web)

Hay dos enfoques. Si su servidor web está en la intranet de la empresa, no es más que una cuestión de indicar explícitamente en su configuración que solo se permiten rangos de direcciones a.b.c.d - e.f.g.h. Podría compartir este servidor con sitios web que permitan visitantes externos, pero si lo declara explícitamente, entonces debería ser suficiente.

El segundo enfoque es un servidor web que NO está en la intranet de la empresa. En este escenario, tendrá que restringir la configuración del servidor web para permitir solo el tráfico de las direcciones IP externas de su empresa. Tenga en cuenta que si está usando hosting compartido, esto no siempre será una opción disponible. Si coloca su contenido en un servidor privado virtual (VPS), puede lograrlo a través de un firewall en la máquina, la configuración del servidor web o ambos. El alojamiento de VPS es económico, por ejemplo, $ 5 / mes a través de digitalocean.com.

Esto es algo que evitaría hacer en el código usuario por usuario si pudiera evitarlo. Los enfoques de redes serán mucho más fáciles de mantener porque probablemente pueda esperar que su escenario de redes cambie con menos frecuencia que los usuarios vayan y vengan.

Es una práctica común bloquear el uso de algunos servicios a las direcciones IP de los visitantes. La forma en que una solución está administrando esto es tener un superusuario / usuario de soporte que puede solicitar acceso a direcciones IP específicas para la empresa. Este superusuario es un empleado de una empresa diferente. A continuación, puede crear una rutina para otorgar / rechazar estas solicitudes. Es decir. Información de Whois en la dirección IP, hablar con el superusuario, etc.

Si un usuario que debería tener acceso al sitio tiene una dirección IP "incorrecta", puede tener una página de información que indique por qué se le deniega el acceso y que deben comunicarse con su superusuario para solicitar acceso a su sitio.

Al final, debe confiar en el superusuario que realmente solicita las direcciones IP que deberían poder conectarse a su sitio, y no las direcciones IP a las esposas de sus amigos.

Las empresas generalmente tienen direcciones IP estáticas en lugar de direcciones dinámicas. La razón principal por la que los consumidores tienen IP dinámicas es en realidad específicamente para que estén más protegidos de los ataques basados en su IP (y también para evitar que hagan cosas que no le gustan al ISP, como ejecutar un servidor web desde casa. )

Mientras la empresa tenga una IP estática, no va a cambiar y el uso de una dirección IP bloqueada no será un problema.

La idea de bloqueo de IP es en realidad muy comúnmente utilizada para este tipo de cosas y es ideal como un paso en un sistema de seguridad más grande. No se debe confiar en él como el único mecanismo, pero es un método bien establecido. Además, incluso si algo cambia, a menos que también se trate de actualizaciones de bloqueo de IP para el software del sistema, siempre se pueden cambiar los listados de IP a los que se permite el acceso bajo el capó del sitio.

No agrega ninguna profundidad de defensa si su empresa tiene una VPN para personal de ventas ambulante o empleados que trabajan desde su casa.

Tuvimos una situación similar con una aplicación que hice que trata con información de salud protegida en un entorno hospitalario. Debido a HIPAA, las posibles consecuencias de un acceso no autorizado podrían ser muy costosas, por lo que estas decisiones no se tomaron a la ligera.

Aquí está la principal opción de seguridad que ofrecemos para restringir el acceso al sitio:

1. Los administradores del sitio para cada sitio pueden agregar la dirección IP de la computadora en la que están a la lista de IP restringida de su organización. Esto funciona en la mayoría de los casos, ya que cada hospital normalmente tiene una IP única, por lo que un administrador debe estar en el sitio en cualquier computadora allí para realizar la configuración. También protege contra la adición accidental de la dirección IP incorrecta.
2. Los administradores del sitio para cada sitio pueden eliminar cualquier dirección IP de la lista de IP restringida de su organización. Esto les permitirá eliminar una IP antigua incluso si no tienen acceso a una máquina que usa esa IP.
3. Los usuarios regulares deben iniciar sesión desde una IP autorizada para que su organización vea la PHI.
4. Los usuarios regulares solo pueden ver la PHI de su organización.
5. Los administradores pueden agregar cualquier dirección IP o rango en una página de configuración oculta. Esto es solo para uso interno y solo se usa en los casos excepcionales en que un administrador local no está disponible para realizar la instalación o necesitamos agregar un rango de IP para el hospital.
6. Se registra cada cambio de IP. Por lo tanto, si un administrador agregó la computadora de su hogar, vio un PHI y luego eliminó su dirección IP, podemos rastrearlo.

Curiosamente, un problema con esto terminó siendo que algunos hospitales no relacionados tenían la misma IP que otros hospitales en el área. Esto sucedió porque su ISP compartido usó la misma dirección IP externa para enrutarlos a ambos. Afortunadamente, no hubo incumplimiento de HIPAA debido al # 4.

Desconfiaba de la suplantación de direcciones IP, ya que esto permitiría a los usuarios hacerse pasar por otras direcciones IP. Además, el uso de un token RSA (o dispositivo similar) que solo está presente en el lugar de trabajo en un área segura también puede ayudar a aumentar la seguridad.