web-dev-qa-db-fra.com

Est-ce une mauvaise idée de contourner le mur de connexion pour une adresse IP spécifiée?

J'ai un site Web disponible sur Internet public. Le site Web nécessite une connexion authentifiée avant d'accéder à tout contenu.

On m'a demandé si je pouvais supprimer le mur de connexion des utilisateurs sur une seule adresse IP statique (le bureau de l'organisation) pour leur permettre de lire le contenu. La connexion serait toujours requise pour toutes les opérations d'écriture.

Cela se sent comme une mauvaise idée pour moi, mais j'ai du mal à trouver une raison concrète de ne pas le faire.

L'audit de l'accès en lecture au contenu n'est pas une préoccupation pour le client.

Ignorant la possibilité que l'adresse IP puisse changer, y a-t-il des raisons pour lesquelles c'est une mauvaise idée? Existe-t-il des moyens d'exploiter cela?

authenticationweb-applicationaccess-controlipip-spoofing
43
tommarshall

Vous n'avez pas à vous soucier d'usurper l'IP à partir d'une connexion différente, car les paquets retournés TCP ne parviendraient pas à l'attaquant dans ce scénario.

Il vous suffit donc de vous soucier de la facilité avec laquelle l'attaquant peut utiliser cette adresse IP:

  • Cette adresse IP est-elle partagée entre plusieurs ordinateurs au bureau?
  • Cette IP peut-elle être utilisée sur le WiFi? Dans quelle mesure le mot de passe est-il conservé lorsqu'un visiteur dit "Puis-je utiliser votre WiFi"?
  • Tous les ordinateurs ayant accès à cette adresse IP sont-ils bien sécurisés et ont-ils des utilisateurs compétents?

Si l'adresse IP n'est pas bien conservée, vous devriez demander

  • En plus de l'IP, pouvez-vous avoir un cookie stocké sur la seule machine autorisée?
    (c'est-à-dire une fonction Remember Me à usage limité)

Je félicite votre client de ne pas avoir utilisé la fonction Mémoriser le mot de passe comme il est si tentant de le faire.

De plus, dans quelle mesure votre contenu est-il sécurisé?

  • Quels sont les dommages du contenu consulté par des personnes non autorisées?
  • Quel type d'attaquants serait attiré par votre contenu?
54
Bryan Field

Comme d'autres l'ont souligné, IP surpation d'identité seul n'est pas un problème ici car la négociation à trois voies pour TCP ne se terminera pas.

détournement BGP combiné avec l'usurpation d'adresse IP pourrait entraîner une attaque quelque peu théorique ici si vous utilisez des adresses publiques dans votre liste d'accès. Dans ce cas, l'attaquant usurperait l'adresse IP dans la liste d'accès afin que le trafic provienne de l'IP de confiance, et il insérerait des routeurs dans les tables BGP globales pour rediriger le trafic de retour vers son réseau. De cette façon, une négociation TCP à trois voies serait terminée.

Comme je l'ai dit, cela est loin d'être une attaque courante car cela nécessite des compétences supplémentaires et un accès aux réseaux sans filtrage de route approprié, mais cela peut être fait. Les détournements BGP ne sont pas rares. Bien que la plupart d'entre eux soient des accidents, des détournements BGP ont été utilisés pour des attaques.

Donc, pour finalement répondre à votre question: si vous appréciez vos données, ne vous fiez pas seulement à une connexion basée sur l'adresse IP source.

17
Teun Vink

Je dirais l'usurpation d'adresse IP est à peu près sur la table ici. Rien n'empêche les personnes qui ont accès à l'infrastructure du centre de données (par exemple, les employés) de forger des paquets IP avec l'adresse sans mot de passe et de capturer la réponse en modifiant la configuration du routeur, ou en se connectant au bon endroit et en écoutant en mode promiscuous.

Le PO donne effectivement accès au site Web à son fournisseur d'hébergement ou à toute personne qui pourrait pirater ledit fournisseur.

10
Dmitry Grigoryev

Comme les autres réponses l'ont déjà montré, il est possible de contourner ce système de sécurité. Mais cela demande un certain effort. La question suivante est de savoir ce que vous allez protéger et ce que vaut un accès plus facile et quel est le coût lorsque la protection est contournée. Parce que vous pouvez vous attendre à ce qu'elle soit contournée.

Cette protection est couramment utilisée. Par exemple dans l'acédémie pour permettre l'accès en lecture aux revues à partir du réseau universitaire. Cela permet un accès plus facile au journal pour les professeurs et les étudiants. Si 1% des personnes accédant aux revues sont illégales, c'est négligeable. Si 0,01% des personnes accédant aux PII de votre base de données clients sont illégales, vous avez un gros problème.

7
H. Idden

Toutes les réponses ci-dessus sont excellentes, mais techniques. En utilisant la gestion de la sécurité comme point de vue, pensez aux informations que vous protégez.

Si NON l'authentification est requise pour lire ces informations (d'un point de vue public ou privé), cela signifie que vous n'êtes pas intéressé à les protéger.

Si c'est un bureau, plus d'une personne y a accès, il y a plusieurs considérations de sécurité que le bureau peut même ne pas considérer (pare-feu, pas de mot de passe/wifi protégé par wep, n'importe qui peut brancher un appareil sur le réseau), cela signifie que vous comptez sur un tiers pour accéder à cette information.

Maintenant, vous devez faire les calculs, combien cela coûtera-t-il si ces informations tombent entre de mauvaises mains? Cela vaut-il aux utilisateurs de pouvoir y accéder sans mot de passe?

Créons deux scénarios:

  1. Ceci est une liste interne des aliments que le restaurant interne prépare le menu aka.
  2. Ceci est une liste de clients avec leurs données de carte de crédit.

Évidemment, ces deux scénarios sont extrêmes, chacun à sa manière. Mais le combat de l'utilisabilité contre la sécurité durera pour toujours. J'ai reçu une fois une demande du genre "laissez l'utilisateur se connecter, même si le mot de passe n'est pas correct, mais presque correct". Cela parce que certains PDG, qui ne peuvent pas saisir correctement leur mot de passe, se mettent en colère lorsque l'application rejette cette tentative de connexion.

Faites une analyse de tous les risques, coûts, avantages/inconvénients, vous n'avez pas à les accepter, si vous pensez que c'est trop risqué, apportez-le à votre PDG/CISO et laissez-le décider pour vous, qu'il n'y aura pas de sang sur vos mains quand quelque chose de mauvais se produit. De plus, ils ont généralement un point de vue et une importance différents sur l'entreprise.

4
OPSXCQ

Voici un peu une tangente, mais je pense que c'est un bon conseil - faire des exceptions de sécurité est souvent une pente glissante. Il serait sage de ne pas divulguer l’existence de votre petit contournement à toute personne qui n’a pas strictement besoin de le savoir - ou tôt ou tard vous aurez toutes sortes de demandes pour désactiver la sécurité sur X/Y/Z, car vous fait une exception avant et ça n'a rien cassé!

Je pourrais juste être pessimiste quant aux utilisateurs. Plutôt que de désactiver la connexion côté serveur, ne pourraient-ils pas installer un gestionnaire de mots de passe de leur côté? En prime, cela leur permettrait d'utiliser des mots de passe aléatoires mathématiquement sécurisés.

2
R. Cabell

C'est définitivement une mauvaise idée.

Voici les scénarios où il peut échouer:.

  1. Chaque employé de l'organisation a-t-il des identifiants de connexion? Les autres employés sont-ils dignes de confiance? Vous devez envisager la possibilité que les nouveaux employés puissent également télécharger tout le contenu, puis le distribuer aux personnes qui ne disposent pas d'informations d'identification de connexion.

  2. Si un employé laisse son ordinateur portable flâner, tout le monde peut lire le contenu s'il est connecté au VPN.

Il peut y avoir d'autres attaques possibles en fonction du type de mise en œuvre de l'application Web.

1
Limit

La consultation de l'adresse IP n'est qu'un moyen d'authentification différent. Si c'est une bonne ou une mauvaise idée, cela dépend.

Faire cela signifie généralement passer à un mode d'authentification moins sécurisé. En utilisant le nom d'utilisateur et le mot de passe, vous authentifiez l'utilisateur final, tout en utilisant l'adresse IP, vous authentifiez un périphérique réseau (que beaucoup de gens peuvent utiliser). Cela augmente le risque de violation des objectifs de confidentialité. En effet, vous ouvrez de nouveaux vecteurs d'attaque qui peuvent être utilisés par un attaquant (par exemple, des attaquants ou des employés non autorisés à l'intérieur du réseau du client peuvent lire le contenu; des erreurs dans la configuration du proxy peuvent exposer le contenu au public; les attaques de script intersite peuvent devenir plus probables/pratiques ; votre CMS derrière le mur est probablement plus sensible aux attaques; ...).

D'autre part, vous facilitez l'accès aux données, ce qui augmente le niveau de disponibilité (également un objectif de sécurité) en raison de plusieurs aspects (par exemple, ne peut pas oublier le mot de passe; risque réduit d'erreurs lors de l'authentification).

Vous vous retrouvez également avec une acceptation accrue des utilisateurs. Ne sous-estimez pas ce point! Les utilisateurs ennuyés ont tendance à saper votre sécurité en choisissant des mots de passe faibles ou un comportement humain similaire.

Si votre client pense que la relation entre un risque accru pour la confidentialité et les avantages d'un autre côté est acceptable, laissez lui décider et prendre ce risque. Passez à l'authentification IP et travaillez avec un client satisfait.

0
fr00tyl00p