Question:
Est-ce une mauvaise idée de contourner le mur de connexion pour une adresse IP spécifiée?
tommarshall
2016-08-24 16:50:42 UTC
view on stackexchange narkive permalink

J'ai un site Web disponible sur l'Internet public. Le site Web nécessite une connexion authentifiée avant de pouvoir accéder à tout contenu.

On m'a demandé si je pouvais supprimer le mur de connexion des utilisateurs sur une seule adresse IP statique (le bureau de l'organisation) pour leur permettre de lire le contenu. La connexion serait toujours nécessaire pour toute opération d'écriture.

Cela me semble être une mauvaise idée, mais j'ai du mal à trouver une raison concrète de ne pas le faire.

L'audit de l'accès en lecture au contenu n'est pas une préoccupation pour le client.

Ignorant la possibilité que l'adresse IP puisse changer, y a-t-il des raisons pour lesquelles c'est une mauvaise idée? Y a-t-il des façons dont cela pourrait être exploité?

L'adresse IP peut clairement être usurpée dans la requête, mais je ne pense pas qu'un attaquant puisse recevoir la réponse sans une sorte d'interception du réseau.Est-ce exact?
C'est correct.Les connexions TCP nécessitent une communication bidirectionnelle pour fonctionner.
Euh, si l'accès à ces informations spécifiques doit être vraiment restreint, alors au lieu d'utiliser l'adresse IP, les connexions sont meilleures car de cette façon, tout accès peut être audité.Sinon, il n'y aura pas d'option pour voir qui accédait à quoi.Si l'adresse IP doit toujours être ajoutée à la liste blanche, cela peut être étendu à tous les autres, de sorte que seules les adresses IP de la liste blanche peuvent utiliser le site Web.Cependant, si cela ne peut pas être fait, tout le monde doit se connecter car il s'agit d'un site Web public avec de nombreux utilisateurs.
Vous pouvez envisager une solution de connexion fédérée telle que ADFS.
Si vous désactivez l'authentification, comment auditez-vous les actions de ceux de cette IP?
Une autre solution pourrait être de leur donner un script utilisateur qui se connecte pour eux.Le problème est que vous devez surveiller de près la distribution car les informations d'identification seront probablement intégrées (à moins qu'il ne les saisisse par la suite, ce qui est tout à fait plausible).
Une option que vous devriez probablement poursuivre est de demander * pourquoi * ils ont besoin de la connexion supprimée.La réponse pourrait révéler des alternatives possibles.
L'adresse IP du client n'accorderait-elle l'accès en lecture qu'au contenu déjà partagé avec de nombreux utilisateurs authentifiés par d'autres moyens?Combien d'autres utilisateurs ont déjà accès en lecture au même contenu?Un abus de l'accès en lecture à l'aide de l'authentification basée sur IP serait-il pire qu'un seul utilisateur légitime divulguant le contenu?
À quel niveau accorderez-vous / refuserez-vous l'accès?Cela me rappelle http://blog.ircmaxell.com/2012/11/anatomy-of-attack-how-i-hacked.html.
"La sécurité est un sujet très contextuel: les menaces jugées importantes dans votre environnement peuvent être sans conséquence chez quelqu'un d'autre, et vice versa. Essayez-vous de protéger quelque chose de valeur mondiale contre les menaces persistantes avancées? Ou recherchez-vous une solution rentablepour une petite entreprise discrète? Pour obtenir les réponses les plus utiles, vous devez nous dire: quels actifs vous essayez de protéger, qui utilise l'actif que vous essayez de protéger et qui, selon vous, pourrait vouloir en abuser (etPourquoi), [...]".Veuillez consulter notre [aide / sur le sujet] pour savoir quelles informations inclure et modifier votre message.
Un attaquant peut être en mesure de spécifier le routage source via l'adresse IP de la liste blanche.Cela permettrait à un attaquant d'acheminer ses attaques via l'adresse IP de la liste blanche où il serait autorisé.Il existe des atténuations pour cela et c'est quelque chose qui doit être vérifié avant d'autoriser le contournement.
La vérification de l'adresse IP est plus faible qu'une authentification décente.Si vous contournez l'authentification en vérifiant l'adresse IP, il y aura toujours un attaquant suffisamment intelligent pour exploiter cette faiblesse, quel que soit l'intelligence que vous vouliez pour sécuriser votre solution.
Huit réponses:
Bryan Field
2016-08-24 17:04:52 UTC
view on stackexchange narkive permalink

Vous n'avez pas à vous soucier de l'usurpation de l'adresse IP d'une connexion différente, car les paquets TCP retournés ne parviendraient pas à l'attaquant dans ce scénario.

Donc, tout ce dont vous avez à vous soucier est de savoir comment Il est facile pour l'attaquant d'utiliser cette adresse IP:

  • Cette adresse IP est-elle partagée entre plusieurs ordinateurs du bureau?
  • Cette adresse IP peut-elle être utilisée en WiFi? Dans quelle mesure le mot de passe est-il bien conservé lorsqu'un visiteur dit «puis-je utiliser votre WiFi»?
  • Tous les ordinateurs ayant accès à cette adresse IP sont-ils bien sécurisés et ont-ils des utilisateurs compétents?

Si l'IP n'est pas bien conservée, alors vous devriez demander

  • En plus de l'IP, pouvez-vous avoir un cookie stocké sur la seule machine qui est autorisée?
    (c'est-à-dire un utilisation limitée de la fonction Se souvenir de moi)

Je félicite votre client de ne pas avoir utilisé la fonction Se souvenir du mot de passe comme il est si tentant de le faire.

De plus, la sécurité de votre contenu ?

  • Quels sont les dommages causés au contenu vu par des personnes non autorisées?
  • Quel type d'attaquant serait attiré par votre contenu?
Bonne réponse: le fait qu'un bureau puisse bien avoir un wifi ou des machines vulnérables est une raison assez claquante, même sans postuler une attaque IP MitM ou un détournement BGP.Étant donné que les trois attaques sont possibles, il semble qu'il y ait une bonne raison pour laquelle une adresse IP statique seule ne devrait pas être considérée comme suffisante.
De plus, êtes-vous sûr de conserver cette adresse IP?Il est peu probable que l'adresse IP statique soit soudainement prise, mais vous avertiront-ils lorsqu'ils changeront leur adresse IP ou pire, cesseront leurs activités?Ou peut-être le vendre en raison d'une incompétence gérée?En fonction de la valeur de vos données, une bonne offre à un gestionnaire analphabète peut bouleverser certaines choses.
En effet, si vous n'avez pas d'informaticien compétent chez le client, vous ne pourrez pas répondre aux 3 premières questions de mon message.Quant à la faillite, je suppose qu'ils cesseraient de payer le PO à ce moment-là et que le service serait interrompu de toute façon.Le nettoyage des informations d'identification (y compris cette fonction d'adresse IP) est certainement une procédure de maintenance importante lors de la fermeture de l'accès au compte.
@DewiMorgan: En pratique, il est difficile d'effectuer un détournement arbitraire BGP sans ressources de l'État-nation (ou au moins des ressources du FAI).Le modèle de menace du PO ne semble pas être suffisamment sophistiqué pour faire la distinction entre les acteurs des États-nations et les autres adversaires, il est donc peu probable qu'ils soient de toute façon protégés contre les adversaires des États-nations.
Cela me chatouille que la bonne réponse comporte deux fois plus de «questions» que la question elle-même.
Cela va peut-être sans dire, mais vous ne mentionnez pas "le bureau de l'organisation est-il le * seul * bureau sur cette adresse IP, ou est-ce que leurs voisins et / ou d'autres clients du FAI le partagent?"Et même si cela ne pose aucun problème maintenant, il se peut que ce ne soit pas toujours le cas à moins qu'ils n'aient écrit quelque part que l'adresse IP leur appartient uniquement.
En parlant de questions ... :-)
Il existe également un argument de pente glissante qui entre en jeu lorsque les utilisateurs s'habituent à la commodité de l'accès sans mot de passe."Pouvez-vous ajouter le bureau à la liste blanche?""Oh, et l'adresse IP de notre VPN", "Et notre proxy HTTP", "Et la maison du PDG", "Et quel que soit le cybercafé dans lequel le directeur des ventes est actuellement assis avec un client critique, car il a perdu son ordinateur portable normalavec les paramètres VPN ".À un moment donné, vous devez dire "non, utilisez simplement votre mot de passe effrayant" ;-)
Ce.Tout ce qu'il faut, c'est un idiot dans ledit bureau qui met en place un routeur Wi-Fi privé pour sa commodité personnelle, puis oublie de le verrouiller.
Teun Vink
2016-08-24 18:14:59 UTC
view on stackexchange narkive permalink

Comme d'autres l'ont souligné, le usurpation d'adresse IP seule n'est pas un problème ici car la négociation à trois pour TCP ne se terminera pas.

Détournement BGP combiné avec l'usurpation d'adresse IP peut entraîner ici une attaque quelque peu théorique si vous utilisez des adresses publiques dans votre liste d'accès. Dans ce cas, l'attaquant usurperait l'adresse IP dans la liste d'accès afin que le trafic provienne de l'adresse IP de confiance, et il insèrerait des routeurs dans les tables BGP globales pour rediriger le trafic de retour vers son réseau. De cette façon, une connexion TCP à trois voies serait effectuée.

Comme je l'ai dit, c'est loin d'être une attaque courante car elle nécessite des compétences supplémentaires et un accès aux réseaux sans filtrage de route approprié, mais peut être fait. Les détournements BGP ne sont pas rares. Bien que la plupart soient des accidents, les détournements BGP ont été utilisés pour des attaques.

Donc, pour enfin répondre à votre question: si vous appréciez vos données, ne vous fiez pas seulement à une connexion basée sur l'adresse IP source.

Pour les non-initiés (c'est-à-dire moi), BGP est [Border Gateway Protocol] (https://en.wikipedia.org/wiki/Border_Gateway_Protocol), qui est utilisé pour le routage
Dmitry Grigoryev
2016-08-24 21:01:14 UTC
view on stackexchange narkive permalink

Je dirais que l'usurpation d'adresse IP est à peu près sur la table ici. Rien n'empêche les personnes qui ont accès à l'infrastructure du centre de données (par exemple, les employés) de forger des paquets IP avec l'adresse sans mot de passe, et de capturer la réponse en modifiant la configuration du routeur ou en se connectant au bon endroit et en écoutant en mode promiscuité.

L'OP donne effectivement accès au site Web à leur fournisseur d'hébergement ou à toute personne qui serait en mesure de pirater ledit fournisseur.

Ce n'est pas seulement de l'usurpation d'identité, c'est un piratage complet de MitM ou BGP.
@Shadur L'attaquant n'a pas besoin de faire MitM, car l'adresse IP est ** la seule chose nécessaire pour l'authentification ** dans ce scénario.Le détournement BGP est le bon terme ici, merci!
H. Idden
2016-08-24 22:18:48 UTC
view on stackexchange narkive permalink

Comme les autres réponses l'ont déjà montré, il est possible de contourner ce système de sécurité. Mais cela demande des efforts. La question suivante est de savoir ce que vous allez protéger et ce que vaut l'accès plus facile et quel est le coût lorsque la protection est contournée. Parce que vous pouvez vous attendre à ce qu'elle soit contournée.

Cette protection est couramment utilisée. Par exemple dans l'acédémie pour permettre l'accès en lecture à des revues à partir du réseau universitaire. Cela permet un accès plus facile à la revue pour les professeurs et les étudiants. Si 1% des personnes accédant aux revues sont illégitimes, c'est négligeable. Si 0,01% des personnes accédant aux PII de votre base de données clients sont illégales, vous avez un gros problème.

OPSXCQ
2016-08-26 05:16:56 UTC
view on stackexchange narkive permalink

Toutes les réponses ci-dessus sont excellentes, mais techniques. En utilisant la gestion de la sécurité comme point de vue, pensez aux informations que vous protégez.

Si une authentification NON est requise pour lire ces informations (d'un point de vue public ou privé ), cela signifie que vous n'êtes pas intéressé à le protéger.

S'il s'agit d'un bureau, plusieurs personnes y ont accès, il y a plusieurs considérations de sécurité que le bureau ne prend peut-être même pas en compte ( pare-feu, pas de mot de passe / wifi protégé par wep, n'importe qui peut brancher un appareil sur le réseau), cela signifie que vous comptez sur un tiers pour l'accès à cette information.

Maintenant, vous devez faire le calculs, combien cela coûtera-t-il si ces informations vont entre de mauvaises mains? Cela vaut-il la peine que les utilisateurs puissent y accéder sans mot de passe?

Créons deux scénarios:

  1. Ceci est une liste interne d'aliments que le restaurant interne prépare aka menu.
  2. Voici une liste de clients avec leurs données de carte de crédit.

De toute évidence, ces deux scénarios sont extrêmes, chacun de cette manière. Mais le combat entre convivialité et sécurité durera pour toujours. Une fois, j'ai reçu une demande du type "laisser l'utilisateur se connecter, même si le mot de passe n'est pas correct, mais presque correct". Parce que certains PDG, qui ne peuvent pas saisir correctement son mot de passe, se mettent en colère lorsque l'application rejette cette tentative de connexion.

Faites une analyse de tous les risques, coûts, avantages / inconvénients, vous ne le faites pas ' t devez les accepter , si vous pensez que c'est trop risqué, apportez-le à votre PDG / RSSI, et laissez-le décider à votre place, car il n'y aura pas de sang sur vos mains en cas de problème. De plus, ils ont généralement un point de vue et une importance différents sur l'entreprise.

+1 pour l'histoire du PDG qui ne peut pas saisir correctement son mot de passe.* [facepalm] *
R. Cabell
2016-08-28 12:39:17 UTC
view on stackexchange narkive permalink

Voici un peu une tangente, mais je pense que c'est un bon conseil - faire des exceptions de sécurité est souvent une pente glissante. Il serait sage de ne pas divulguer l'existence de votre petit contournement à quiconque n'a pas strictement besoin de savoir - ou tôt ou tard vous aurez toutes sortes de demandes pour désactiver la sécurité sur X / Y / Z, car vous fait une exception avant et cela n'a rien cassé!

Je pourrais juste être pessimiste à propos des utilisateurs. Plutôt que de désactiver la connexion côté serveur, ne pourraient-ils pas installer un gestionnaire de mots de passe de leur côté? En prime, cela leur permettrait d'utiliser des mots de passe aléatoires réellement sécurisés mathématiquement.

Je pense que c'est un peu trop tangent.Il semble que le PO pose des questions sur les problèmes de sécurité technique, pas sur les problèmes de politique.
Limit
2016-08-24 17:00:40 UTC
view on stackexchange narkive permalink

C'est certainement une mauvaise idée.

Voici les scénarios où cela peut échouer :.

  1. Tous les employés de l'organisation ont-ils des identifiants de connexion? Les autres employés sont-ils dignes de confiance? Vous devriez envisager la possibilité que les nouveaux employés puissent également télécharger tout le contenu, puis le distribuer aux personnes qui n'ont pas d'informations de connexion.

  2. Si un employé laisse son ordinateur portable flâner, n'importe qui peut lire le contenu si l'employé est connecté au VPN.

D'autres attaques peuvent être possibles en fonction du type d'implémentation de l'application Web.

@billc.cn pour le point 3, cela ne servirait à rien si toutes les requêtes devaient être authentifiées et que l'utilisateur attaquant n'avait pas d'identifiants / jetons etc. Pour le point 1, la motivation de l'attaque serait réduite si tout le monde avait besoin d'une authentification
@techraf même accéder au contenu vous oblige à vous authentifier
Si un morceau de code peut être placé, il peut également s'agir d'un logiciel malveillant qui détourne une session déjà connectée. (Fondamentalement, si le code peut être placé sur la machine de l'utilisateur, toute discussion sur la sécurité Web est inutile.)
Salut @Limit, merci pour votre réponse. 1. Dans ce scénario, tous les utilisateurs de l'adresse IP ont actuellement déjà accès au contenu via la connexion, donc je ne vois pas en quoi cela est pertinent pour la liste blanche d'adresses IP. 2. C'est vrai, mais il n'y a pas de VPN dans cet exemple spécifique, donc un ordinateur portable devrait être sur place. 3. S'il y a un logiciel malveillant sur le réseau, cela pourrait détecter la connexion et le faire déjà.Encore une fois, je ne vois pas en quoi cela est pertinent pour la liste blanche IP.
Bonjour @tommarshall J'ai édité ma réponse pour répondre à votre observation sur le premier point.Et comme d'autres l'ont dit, le point 3 n'est pas vraiment valable ici, alors je l'ai supprimé.
fr00tyl00p
2016-08-28 16:25:08 UTC
view on stackexchange narkive permalink

Regarder l'adresse IP n'est qu'une manière différente d'authentification. Si c'est une bonne ou une mauvaise idée dépend.

Faire cela signifie généralement passer à un mode d'authentification moins sécurisé. En utilisant le nom d'utilisateur et le mot de passe, vous authentifiez l'utilisateur final, tout en utilisant l'adresse IP, vous authentifiez un périphérique réseau (que de nombreuses personnes peuvent utiliser), ce qui augmente le risque de violation des objectifs de confidentialité. En effet, vous ouvrez de nouveaux vecteurs d'attaque qui peuvent être utilisés par un attaquant (par exemple, des attaquants ou des employés non autorisés à l'intérieur du réseau du client peuvent lire le contenu; des erreurs dans la configuration du proxy peuvent exposer le contenu au public; les attaques de script intersite peuvent devenir plus probables / pratiques ; votre CMS derrière le mur est probablement plus sensible aux attaques; ...).

D'un autre côté, vous facilitez l'accès aux données, ce qui augmente le niveau de disponibilité (également un objectif de sécurité) grâce à plusieurs aspects (par exemple, ne peut pas oublier le mot de passe; risque réduit d'erreurs lors de l'authentification).

Vous vous retrouvez également avec une acceptation accrue de l'utilisateur. Ne sous-estimez pas ce point! Les utilisateurs qui s'ennuient ont tendance à nuire à votre sécurité en choisissant des mots de passe faibles ou un comportement humain similaire.

Si votre client pense que la relation entre un risque accru pour la confidentialité et les avantages d'un autre côté est acceptable, laissez lui fort> décidez et prenez ce risque. Passez à l'authentification IP et travaillez avec un client satisfait.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...