Quanto esforço que é necessário para falsificar um Ip Endereço em uma chamada para um webservice?
https://stackoverflow.com/questions/226316
-
03-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu não quero saber como ... Quão complicado ....
Estou pensando em garantir um webservice ou 2 baseada na ipaddress cliente de entrada do chamador. É isso de forma alguma seguro?
Com certeza, se o IPaddress estava sendo falsificado em seguida, o resultado teria que ser enviado de volta para o endereço que estava sendo falsificado e, portanto, não chegar ao spoofer?
Update: Ok, então o que posso dizer .... eu deveria criar um método GetToken () que verifica o ipAddress e passa para fora um símbolo cryptographically significativa com um tempo limite para qualquer endereço IP válido. Este é, então, necessária por qualquer outro método, antes de qualquer tipo de efeito colateral é permitido.
Uma vez que um atacante não pode (provavelmente) obter o token sem ter um IP válido, ele não será capaz de chamar validamente qualquer um dos meus webmethods "perigosos"?
Solução
Se você está tentando fazer algo mais complexo do que DDoSing ou provocando uma falha de segurança, em seguida, spoofing não é a resposta. O que você precisa é um sistema que vai da frente para seu pedido, escondendo assim a verdadeira origem do pedido. Já que estamos falando sobre o tráfego HTTP, um Anonymous Proxy irá fazer o truque.
Para efeitos de segurança que você está se referindo, isso depende se ou não ações podem ser tomadas. Se o site é meramente informativo, em seguida, você está seguro. Se o site permite ações a serem executadas (por exemplo, atualizar isso, exclua isso), então considerar a adição de pelo menos autenticação por senha.
Outra questão a ter em mente é que qualquer um controle roteadores entre o servidor eo endereço IP que você deseja permitir que pode interceptar os pacotes. Isso permitiria que eles têm comunicação bidirecional completa falsificado sem o seu servidor perceber. Se você quer que a informação seja verdadeiramente segura, use HTTPS e um esquema de autenticação para evitar tais interceptações aconteça.
Outras dicas
Não é tão difícil, tão fácil como spoofing o seu endereço IP para qualquer outra comunicação http://en.wikipedia.org/wiki/IP_address_spoofing
Mas eles não vão para obter as respostas. O endereço IP real que eles falsificado vontade.
Você tem razão. Se a sua resposta do servidor precisa alcançar o cliente para uma comunicação de duas vias de ser estabelecida, em seguida, um falsificado IP não irá nunca receber sua resposta. No entanto, você poderia sofrer um ataque de negação de serviço de um IP falsificado como calcular a sua resposta vai consumir alguns CPU no servidor.
Parte de nossa segurança do serviço web é exigir que os clientes para usar a chave pública / criptografia de chave privada (xml assinaturas digitais) para garantir a não-repúdio para garantir que os clientes só permitidos podem acessar o serviço.
