Frage:
Ist es eine schlechte Idee, die Anmeldewand für eine bestimmte IP-Adresse zu umgehen?
tommarshall
2016-08-24 16:50:42 UTC
view on stackexchange narkive permalink

Ich habe eine Website, die im öffentlichen Internet verfügbar ist. Die Website erfordert eine authentifizierte Anmeldung, bevor auf Inhalte zugegriffen werden kann.

Ich wurde gefragt, ob ich die Anmeldewand für Benutzer mit einer einzigen statischen IP-Adresse (dem Büro der Organisation) entfernen kann, damit sie lesen können der Inhalt. Für alle Schreibvorgänge wäre weiterhin eine Anmeldung erforderlich.

Dies scheint mir eine schlechte Idee zu sein, aber ich habe Mühe, einen konkreten Grund dafür zu finden.

Das Überwachen des Lesezugriffs auf den Inhalt ist für den Client kein Problem.

Gibt es Gründe, warum dies eine schlechte Idee ist, wenn man die Möglichkeit ignoriert, dass sich die IP-Adresse ändern könnte? Gibt es Möglichkeiten, dies auszunutzen?

Die IP-Adresse kann in der Anfrage eindeutig gefälscht werden, aber ich glaube nicht, dass ein Angreifer die Antwort ohne irgendeine Art von Netzwerkabfangen empfangen kann.Ist das korrekt?
Das ist richtig.TCP-Verbindungen erfordern eine bidirektionale Kommunikation.
Uhrm, wenn der Zugriff auf diese spezifischen Informationen wirklich eingeschränkt werden soll, sind die Anmeldungen besser, anstatt die IP-Adresse zu verwenden, da auf diese Weise jeder Zugriff überwacht werden kann.Andernfalls wird nicht angezeigt, wer auf was zugegriffen hat.Wenn die IP-Adresse weiterhin auf der Whitelist stehen muss, kann dies auf alle anderen erweitert werden, sodass nur IPs auf der Whitelist die Website verwenden können.Wenn dies jedoch nicht möglich ist, muss sich jeder anmelden, da dies eine öffentliche Website mit vielen Benutzern ist.
Möglicherweise möchten Sie sich eine Verbundanmeldelösung wie ADFS ansehen.
Wie überprüfen Sie die Aktionen dieser IP-Adressen, wenn Sie die Authentifizierung deaktivieren?
Eine alternative Lösung könnte darin bestehen, ihnen ein Benutzer-Skript zu geben, das sich für sie anmeldet.Das Problem ist, dass Sie die Verteilung genau beobachten müssen, da wahrscheinlich die Anmeldeinformationen eingebrannt werden (es sei denn, sie werden anschließend abgerufen, was durchaus plausibel ist).
Eine Option, die Sie wahrscheinlich verfolgen sollten, ist zu fragen, * warum * das Login entfernt werden muss.Die Antwort könnte mögliche Alternativen aufzeigen.
Würde die Client-IP-Adresse nur Lesezugriff auf Inhalte gewähren, die bereits für viele Benutzer freigegeben wurden, die auf andere Weise authentifiziert wurden?Wie viele andere Benutzer haben bereits Lesezugriff auf denselben Inhalt?Wäre der Missbrauch des Lesezugriffs mithilfe der IP-basierten Authentifizierung schlimmer als ein einzelner legitimer Benutzer, der den Inhalt verliert?
Auf welcher Ebene gewähren / verweigern Sie den Zugriff?Erinnert mich an http://blog.ircmaxell.com/2012/11/anatomy-of-attack-how-i-hacked.html.
"Sicherheit ist ein sehr kontextbezogenes Thema: Bedrohungen, die in Ihrer Umgebung als wichtig erachtet werden, können für andere Personen keine Rolle spielen und umgekehrt. Versuchen Sie, etwas von globalem Wert vor fortgeschrittenen dauerhaften Bedrohungen zu schützen? Oder suchen Sie nach einer kostengünstigenAnsatz für ein unauffälliges kleines Unternehmen? Um die hilfreichsten Antworten zu erhalten, sollten Sie uns sagen: Welche Assets möchten Sie schützen, wer verwendet die Assets, die Sie schützen möchten, und wer könnte sie Ihrer Meinung nach missbrauchen (undWarum), [...]".In unserer [Hilfe / zum Thema] finden Sie Informationen dazu, wie Sie Ihren Beitrag aufnehmen und bearbeiten können.
Ein Angreifer kann möglicherweise das Quellrouting über die IP-Adresse auf der weißen Liste angeben.Dies würde es einem Angreifer ermöglichen, seine Angriffe über die IP-Adresse auf der weißen Liste weiterzuleiten, wo sie zulässig wären.Hierfür gibt es Abhilfemaßnahmen, die überprüft werden sollten, bevor der Bypass zugelassen wird.
Das Überprüfen der IP-Adresse ist schwächer als eine anständige Authentifizierung.Wenn Sie die Authentifizierung umgehen, indem Sie die IP-Adresse überprüfen, gibt es immer einen Angreifer, der klug genug ist, um diese Schwachstelle auszunutzen, unabhängig davon, wie klug Sie bei der Sicherung Ihrer Lösung sein wollten.
Acht antworten:
Bryan Field
2016-08-24 17:04:52 UTC
view on stackexchange narkive permalink

Sie müssen sich keine Gedanken über das Spoofing der IP von einer anderen Verbindung machen, da zurückgegebene TCP-Pakete in diesem Szenario nicht zum Angreifer gelangen.

Sie müssen sich also nur darum kümmern, wie Für den Angreifer ist es einfach, diese IP zu verwenden:

  • Wird diese IP von mehreren Computern im Büro gemeinsam genutzt?
  • Kann diese IP über WLAN verwendet werden? Wie gut wird das Passwort aufbewahrt, wenn ein Besucher sagt: "Kann ich Ihr WLAN nutzen?"
  • Sind alle Computer mit Zugriff auf diese IP gut gesichert und haben kompetente Benutzer?

Wenn die IP nicht gut gepflegt ist, sollten Sie

  • fragen. Können Sie zusätzlich zur IP ein Cookie auf dem einzelnen Computer speichern, der autorisiert ist?
    (dh a Funktion "Angemeldet bleiben")

Ich empfehle Ihrem Kunden, die Funktion "Kennwort speichern" nicht so verlockend zu verwenden.

Wie sicher ist Ihr Inhalt? ?

  • Was sind die Schäden an den Inhalten, die von nicht autorisierten Personen angezeigt werden?
  • Welche Art von Angreifern würde von Ihren Inhalten angezogen werden?
Gute Antwort: Die Tatsache, dass ein Büro möglicherweise über anfälliges WLAN oder Maschinen verfügt, ist ein ziemlich knallharter Grund, auch ohne einen MitM-IP-Angriff oder eine BGP-Entführung.Angesichts der Tatsache, dass alle drei Angriffe möglich sind, scheint es einen guten Grund zu geben, warum eine statische IP allein nicht als ausreichend angesehen werden sollte.
Wie sicher sind Sie auch, diese IP zu behalten?Es ist unwahrscheinlich, dass die statische IP plötzlich übernommen wird. Werden sie Sie jedoch benachrichtigen, wenn sie ihre IP ändern oder, schlimmer noch, das Geschäft einstellen?Oder vielleicht wegen verwalteter Inkompetenz verkaufen?Abhängig vom Wert Ihrer Daten kann ein gutes Angebot an einen IT-Analphabeten-Manager einige Dinge durcheinander bringen.
Wenn Sie keine kompetente IT-Person am Standort des Kunden haben, können Sie die ersten drei Fragen meines Beitrags nicht beantworten.Ich gehe davon aus, dass die Geschäftstätigkeit zu diesem Zeitpunkt eingestellt wird und der Dienst ohnehin eingestellt wird.Die Bereinigung von Anmeldeinformationen (einschließlich dieser IP-Adressfunktion) ist ein wichtiges Wartungsverfahren beim Schließen des Kontozugriffs.
@DewiMorgan: In der Praxis ist es schwierig, willkürliche BGP-Entführungen ohne nationalstaatliche Ressourcen (oder zumindest ISP-Ressourcen) durchzuführen.Das Bedrohungsmodell von OP scheint nicht ausgefeilt genug zu sein, um zwischen nationalstaatlichen Akteuren und anderen Gegnern zu unterscheiden. Daher ist es unwahrscheinlich, dass sie tatsächlich gegen nationalstaatliche Gegner sicher sind.
Es kitzelt mich, dass die richtige Antwort doppelt so viele Fragen enthält wie die Frage selbst.
Vielleicht versteht es sich von selbst, aber Sie erwähnen nicht: "Ist das Büro der Organisation das * einzige * Büro unter dieser IP-Adresse, oder teilen sich ihre Nachbarn und / oder andere Kunden des ISP diese?"Und selbst wenn das jetzt in Ordnung ist, ist es möglicherweise nicht immer so, wenn sie nicht irgendwo aufgeschrieben haben, dass die IP allein ihnen gehört.
Apropos Fragen ... :-)
Es gibt auch ein schlüpfriges Argument, das einsetzt, wenn sich die Benutzer an die Bequemlichkeit des passwortfreien Zugriffs gewöhnt haben."Können Sie das Büro auf die Whitelist setzen?""Oh, und die IP-Adresse unseres VPN", "Und unser HTTP-Proxy", "Und das Zuhause des CEO", "Und in welchem Internetcafé der Vertriebsleiter derzeit mit einem kritischen Kunden sitzt, weil er seinen normalen Laptop verloren hatmit den VPN-Einstellungen ".Irgendwann musst du sagen "Nein, benutze einfach dein verdammtes Passwort" ;-)
Diese.Alles, was es braucht, ist ein Idiot in diesem Büro, der einen privaten WLAN-Router für den persönlichen Komfort aufstellt und dann vergisst, ihn zu sperren.
Teun Vink
2016-08-24 18:14:59 UTC
view on stackexchange narkive permalink

Wie andere betonten, ist IP Spoofing allein hier kein Problem, da der Drei-Wege-Handshake für TCP nicht abgeschlossen wird.

BGP-Hijacking kombiniert mit IP-Spoofing kann hier zu einem etwas theoretischen Angriff führen, wenn Sie öffentliche Adressen in Ihrer Zugriffsliste verwenden. In diesem Fall würde der Angreifer die IP-Adresse in der Zugriffsliste fälschen, damit der Datenverkehr von der vertrauenswürdigen IP stammt, und Router in die globalen BGP-Tabellen einfügen, um den Rückverkehr an sein Netzwerk umzuleiten. Auf diese Weise würde ein Drei-Wege-TCP-Handshake abgeschlossen.

Wie ich bereits sagte, ist dies alles andere als ein gewöhnlicher Angriff, da einige zusätzliche Fähigkeiten und der Zugriff auf Netzwerke ohne ordnungsgemäße Routenfilterung erforderlich sind, aber kann durchgeführt werden. BGP-Hijacks sind keine Seltenheit. Obwohl die meisten von ihnen Unfälle sind, wurden BGP-Hijacks für Angriffe verwendet.

Um Ihre Frage endgültig zu beantworten: Wenn Sie Ihre Daten schätzen, vertrauen Sie nicht nur einer Verbindung, die auf der Quell-IP-Adresse basiert.

Für den Uneingeweihten (d. H. Mich) ist BGP [Border Gateway Protocol] (https://en.wikipedia.org/wiki/Border_Gateway_Protocol), das für das Routing verwendet wird
Dmitry Grigoryev
2016-08-24 21:01:14 UTC
view on stackexchange narkive permalink

Ich würde sagen, dass IP-Spoofing hier so ziemlich auf dem Tisch liegt . Nichts hindert Personen, die Zugriff auf die Rechenzentrumsinfrastruktur haben (z. B. Mitarbeiter), IP-Pakete mit der kennwortfreien Adresse zu fälschen und die Antwort zu erfassen, indem sie die Routerkonfiguration ändern oder eine Verbindung zum richtigen Ort herstellen und im Promiscuous-Modus abhören. P. >

Das OP gewährt seinem Hosting-Anbieter oder jedem, der diesen Anbieter hacken könnte, effektiv Zugriff auf die Website.

Das ist nicht nur Spoofing, sondern volles MitM- oder BGP-Hijacking.
@Shadur Der Angreifer muss MitM nicht ausführen, da die IP-Adresse in diesem Szenario die einzige Authentifizierung ist.BGP-Hijacking ist hier der richtige Begriff, danke!
H. Idden
2016-08-24 22:18:48 UTC
view on stackexchange narkive permalink

Wie die anderen Antworten bereits gezeigt haben, ist es möglich, dieses Sicherheitssystem zu umgehen. Aber es erfordert einige Anstrengungen. Die nächste Frage ist, was Sie schützen werden und was der einfachere Zugang wert ist und was die Kosten sind, wenn der Schutz umgangen wird. Weil Sie erwarten können, dass es umgangen wird.

Dieser Schutz wird häufig verwendet. Zum Beispiel bei Acedämie, um Lesezugriff auf Zeitschriften aus dem Universitätsnetzwerk zu ermöglichen. Dies ermöglicht Professoren und Studenten einen leichteren Zugang zum Journal. Wenn 1% der Personen, die auf die Zeitschriften zugreifen, unrechtmäßig sind, ist dies vernachlässigbar. Wenn 0,01% der Personen, die auf die PII Ihrer Kundendatenbank zugreifen, unzulässig sind, haben Sie ein großes Problem.

OPSXCQ
2016-08-26 05:16:56 UTC
view on stackexchange narkive permalink

Alle obigen Antworten sind ausgezeichnet, aber technisch. Denken Sie bei der Verwendung des Sicherheitsmanagements an die Informationen, die Sie schützen.

Wenn zum Lesen dieser Informationen eine NEIN Authentifizierung erforderlich ist (aus öffentlicher oder privater Sicht) ), das bedeutet, dass Sie nicht daran interessiert sind, es zu schützen.

Wenn es sich um ein Büro handelt und mehr als eine Person Zugriff darauf hat, gibt es mehrere Sicherheitsaspekte, die das Büro möglicherweise nicht einmal berücksichtigt ( Firewall, kein Passwort / wep-geschütztes WLAN, jeder kann ein Gerät an das Netzwerk anschließen), das heißt, Sie verlassen sich beim Zugriff auf diese Informationen auf einen Dritten.

Jetzt müssen Sie das tun Berechnungen, wie viel kostet es, wenn diese Informationen in die falschen Hände gelangen? Ist es wert, dass Benutzer ohne Passwort darauf zugreifen können?

Erstellen wir zwei Szenarien:

  1. Dies ist eine interne Liste von Lebensmitteln, die das interne Restaurant als Menü zubereitet.
  2. Dies ist eine Liste von Kunden mit ihren Kreditkartendaten.
    3. ol>

    Offensichtlich sind diese beiden Szenarien extrem, jedes auf seine eigene Weise. Aber der Kampf zwischen Benutzerfreundlichkeit und Sicherheit wird ewig dauern. Ich habe einmal eine Anfrage erhalten wie "Lassen Sie den Benutzer sich anmelden, auch wenn das Passwort nicht korrekt, aber fast korrekt ist". Dies liegt daran, dass einige CEOs, die sein Passwort nicht richtig eingeben können, wütend werden, wenn die Anwendung diesen Anmeldeversuch ablehnt.

    Machen Sie eine Analyse aller Risiken, Kosten, Vor- und Nachteile, Sie tun es nicht. Sie müssen sie nicht akzeptieren. Wenn Sie der Meinung sind, dass dies zu riskant ist, bringen Sie dies zu Ihrem CEO / CISO und lassen Sie ihn für Sie entscheiden, da dann kein Blut an Ihren Händen ist, wenn etwas Schlimmes passiert. Außerdem haben sie normalerweise eine andere Sichtweise und Bedeutung für das Geschäft.

+1 für die Geschichte über den CEO, der sein Passwort nicht richtig eingeben kann.* [Gesichtspalme] *
R. Cabell
2016-08-28 12:39:17 UTC
view on stackexchange narkive permalink

Hier ist ein bisschen tangential, aber ich denke, es ist ein guter Rat - Sicherheitsausnahmen zu machen ist oft ein rutschiger Hang. Sie sollten die Existenz Ihres kleinen Bypasses nicht an Personen weitergeben, die dies nicht unbedingt wissen müssen - oder Sie werden früher oder später alle möglichen Anfragen haben, die Sicherheit auf X / Y / Z zu deaktivieren, weil Sie Ich habe vorher eine Ausnahme gemacht und nichts kaputt gemacht!

Ich könnte jedoch nur pessimistisch gegenüber Benutzern sein. Könnten sie nicht einen Passwort-Manager auf ihrer Seite installieren, anstatt die Anmeldung auf der Serverseite zu deaktivieren? Als Bonus könnten sie tatsächlich mathematisch sichere zufällige Passwörter verwenden.

Ich denke, das ist ein bisschen zu viel Tangens.Es sieht so aus, als würde das OP nach technischen Sicherheitsproblemen fragen, nicht nach politischen Problemen.
Limit
2016-08-24 17:00:40 UTC
view on stackexchange narkive permalink

Es ist definitiv eine schlechte Idee.

Im Folgenden sind die Szenarien aufgeführt, in denen dies fehlschlagen kann:

    Verfügt jeder Mitarbeiter in der Organisation über Anmeldeinformationen? Sind die anderen Mitarbeiter vertrauenswürdig? Sie sollten die Möglichkeit in Betracht ziehen, dass die neuen Mitarbeiter auch den gesamten Inhalt herunterladen und dann an Personen verteilen können, die keine Anmeldeinformationen haben.

  1. Wenn ein Mitarbeiter seinen Laptop herumlungern lässt, kann jeder den Inhalt lesen, wenn der Mitarbeiter mit dem VPN verbunden ist.

    2. ol>

    Je nach Art der Implementierung der Webanwendung können weitere Angriffe möglich sein.

@billc.cn für Punkt 3 wäre es sinnlos, wenn alle Anforderungen authentifiziert werden müssten und der Benutzerangreifer keine Anmeldeinformationen / Token usw. hätte. Für Punkt 1 würde die Motivation des Angriffs verringert, wenn jeder eine Authentifizierung benötigt
Für den Zugriff auf den Inhalt von @techraf müssen Sie sich authentifizieren
Wenn ein Teil des Codes platziert werden kann, kann es sich auch um Malware handeln, die eine bereits angemeldete Sitzung entführt. (Wenn Code auf dem Computer des Benutzers platziert werden kann, ist eine Diskussion über die Websicherheit grundsätzlich sinnlos.)
Hallo @Limit,, danke für deine Antwort. 1. In diesem Szenario haben derzeit alle Benutzer der IP-Adresse bereits über die Anmeldung Zugriff auf den Inhalt, sodass ich nicht sehe, wie dies für die Whitelist der IP-Adresse relevant ist. 2. Dies ist wahr, aber in diesem speziellen Beispiel gibt es kein VPN, sodass ein Laptop vor Ort sein müsste. 3. Wenn sich im Netzwerk Malware befindet, kann dies die Anmeldung erkennen und dies bereits tun.Auch hier sehe ich nicht, wie relevant dies für die IP-Whitelist ist.
Hallo @tommarshall Ich habe meine Antwort bearbeitet, um Ihre Beobachtung zum ersten Punkt zu beantworten.Und wie andere sagten, ist Punkt 3 hier nicht wirklich gültig, also habe ich ihn entfernt.
fr00tyl00p
2016-08-28 16:25:08 UTC
view on stackexchange narkive permalink

Das Betrachten der IP-Adresse ist nur eine andere Art der Authentifizierung. Ob es sich um eine gute oder eine schlechte Idee handelt, hängt davon ab.

Dies bedeutet normalerweise, dass Sie zu einem weniger sicheren Authentifizierungsmodus wechseln. Mit Benutzername und Passwort authentifizieren Sie den Endbenutzer, während Sie mit der IP-Adresse ein Netzwerkgerät authentifizieren (das von vielen Personen verwendet werden kann). Dies erhöht das Risiko, dass Vertraulichkeitsziele verletzt werden. Dies liegt daran, dass Sie neue Angriffsmethoden öffnen, die von einem Angreifer verwendet werden können (z. B. können Angreifer oder nicht autorisierte Mitarbeiter im Netzwerk des Clients Inhalte lesen; Fehler in der Proxy-Konfiguration können Inhalte öffentlich zugänglich machen; Cross-Site-Scripting-Angriffe können wahrscheinlicher / praktischer werden ; Ihr CMS hinter der Mauer ist wahrscheinlich anfälliger für Angriffe; ...).

Andererseits erleichtern Sie den Zugriff auf die Daten, was die Verfügbarkeit (auch ein Sicherheitsziel) aufgrund erhöht verschiedene Aspekte (z. B. Passwort nicht vergessen; verringertes Fehlerrisiko bei der Authentifizierung).

Sie haben auch eine erhöhte Benutzerakzeptanz. Unterschätze diesen Punkt nicht! Gelangweilte Benutzer neigen dazu, Ihre Sicherheit zu untergraben, indem sie schwache Passwörter oder ähnliches menschliches Verhalten wählen.

Wenn Ihr Kunde den Zusammenhang zwischen einem erhöhten Risiko für die Vertraulichkeit und den Vorteilen für akzeptabel hält, lassen Sie ihn stark> entscheide und gehe dieses Risiko ein. Wechseln Sie zur IP-basierten Authentifizierung und arbeiten Sie mit einem zufriedenen Kunden zusammen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...