Quanto sforzo ci vuole per falsificare un indirizzo IP in una chiamata a un servizio web?
https://stackoverflow.com/questions/226316
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Non voglio sapere come ... Quanto complicato ....
Sto pensando di proteggere un servizio web o 2 in base all'indirizzo IP del client in arrivo del chiamante. È in qualche modo sicuro?
Sicuramente se l'indirizzo IP fosse stato falsificato, il risultato avrebbe dovuto essere rispedito all'indirizzo che era stato falsificato e quindi non raggiungere lo spoofer?
Aggiornamento: Ok, da quello che posso dire .... Dovrei creare un metodo Gettoken () che controlla l'indirizzo IP e distribuisce un token crittograficamente significativo con un timeout a qualsiasi indirizzo IP valido. Questo è quindi richiesto da qualsiasi altro metodo prima che sia consentito qualsiasi tipo di effetto collaterale.
Dato che un attaccante non può (probabilmente) ottenere il token senza un IP valido, non sarà in grado di chiamare validamente nessuno dei miei "pericolosi" webmethods?
Soluzione
Se stai cercando di fare qualcosa di più complesso di DDoSing o di innescare una falla di sicurezza, lo spoofing non è la risposta. Ciò di cui hai bisogno è un sistema che faccia fronte alla tua richiesta, nascondendo così la vera origine della richiesta. Dato che stiamo parlando del traffico HTTP, un Proxy anonimo farà il trucco.
Ai fini della sicurezza a cui ti riferisci, dipende dalla possibilità di intraprendere azioni. Se il sito è puramente informativo, allora sei al sicuro. Se il sito consente di eseguire azioni (ad es. Aggiornare questo, eliminarlo), quindi considerare di aggiungere almeno l'autenticazione con password.
Un altro problema da tenere presente è che chiunque controlli i router tra il tuo server e l'indirizzo IP che desideri consentire può intercettare i pacchetti. Ciò consentirebbe loro di avere una comunicazione spoofing bidirezionale completa senza che il server se ne accorga. Se vuoi che le informazioni siano veramente sicure, usa HTTPS e uno schema di autenticazione per evitare che si verifichino tali intercettazioni.
Altri suggerimenti
Non è così difficile, altrettanto facile come falsificare il tuo indirizzo IP per qualsiasi altra comunicazione http://en.wikipedia.org/wiki/IP_address_spoofing
Ma non otterranno le risposte. L'indirizzo IP effettivo che hanno falsificato sarà.
Hai ragione. Se la risposta del tuo server deve raggiungere il client per stabilire una comunicazione a due vie, un IP contraffatto non riceverà mai la tua risposta. Tuttavia, potresti subire un attacco denial-of-service da un IP contraffatto poiché l'elaborazione della tua risposta consumerà un po 'di CPU sul server.
Parte della sicurezza del nostro servizio web è richiedere ai clienti di utilizzare la crittografia a chiave pubblica / chiave privata (firme digitali xml) per garantire il non ripudio per garantire che solo i clienti autorizzati possano accedere al servizio.
