Combien d'effort faut-il pour usurper une adresse IP lors d'un appel à un service Web?
https://stackoverflow.com/questions/226316
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je ne veux pas savoir comment ... à quel point c'est compliqué ....
Je songe à sécuriser un service Web ou 2 en fonction de l'adresse IP du client entrant de l'appelant. Est-ce que cela est sécurisé?
Si l'adresse IP était falsifiée, le résultat devrait être renvoyé à l'adresse falsifiée et ne pas atteindre le spoofer?
Mise à jour: Ok, donc d'après ce que je peux dire ..., je devrais créer une méthode Gettoken () qui vérifie l'adresse IP et transmet un jeton cryptographiquement significatif avec un délai d'expiration pour toute adresse IP valide. Ceci est ensuite requis par toute autre méthode avant d'autoriser tout type d'effet secondaire.
Puisqu'un attaquant ne peut pas (probablement) obtenir le jeton sans avoir une adresse IP valide, il ne pourra pas appeler valablement aucun de mes "dangereux" méthodes Web?
La solution
Si vous essayez de faire quelque chose de plus complexe que le DDoSing ou le déclenchement d'une faille de sécurité, l'usurpation d'identité n'est pas la solution. Ce dont vous avez besoin est un système qui répondra à votre demande, masquant ainsi la véritable origine de la demande. Puisque nous parlons de trafic HTTP, un proxy anonyme fera l'affaire.
Pour les besoins de la sécurité auxquels vous faites référence, cela dépend si des actions peuvent ou non être entreprises. Si le site est purement informatif, alors vous êtes en sécurité. Si le site permet d'effectuer des actions (par exemple, mettre à jour, supprimer), envisagez d'ajouter au moins une authentification par mot de passe.
Un autre problème à garder à l'esprit est que toute personne contrôlant des routeurs entre votre serveur et l'adresse IP que vous souhaitez autoriser peut intercepter les paquets. Cela leur permettrait d’avoir une communication usurpée bidirectionnelle complète sans que votre serveur ne s’en rende compte. Si vous souhaitez que les informations soient vraiment sécurisées, utilisez HTTPS et un schéma d’authentification pour empêcher de telles interceptions.
Autres conseils
Pas si difficile, aussi simple que d'usurper votre adresse IP pour toute autre communication http://en.wikipedia.org/wiki/IP_address_spoofing
Mais ils ne vont pas obtenir les réponses. L’adresse IP réelle qu’ils ont usurpée sera.
Vous avez raison. Si la réponse de votre serveur doit atteindre le client pour qu'une communication bidirectionnelle soit établie, une adresse IP usurpée ne recevra jamais votre réponse. Toutefois, vous pourriez subir une attaque par déni de service de la part d’une adresse IP usurpée, car le calcul de votre réponse consommera un peu de CPU sur le serveur.
Une partie de la sécurité de nos services Web consiste à demander aux clients d’utiliser le chiffrement à clé publique / clé privée (signatures numériques XML) pour garantir la non-répudiation et garantir que seuls les clients autorisés puissent accéder au service.
