web-dev-qa-db-ja.com

IPアドレスを制限するために何か追加されますか?

ログインフォーム(ユーザー名+パスワード)で保護されているhttps Webサイトがあります。このWebサイトを特定のIPアドレスのみを許可するファイアウォールの背後に配置すると、保護が強化されますか?

firewallsip
18
Gudradain

はい。IPでサービスをロックダウンすると、一般のインターネット人口がサービスを見つけられなくなり、正しく管理されていれば攻撃対象領域が劇的に減少します。これにより、ブルートフォース攻撃だけでなく、サイト全体が安全になります。アプリケーション全体が「見えなくなり」ます。

この事実にもかかわらず、Webアプリケーションとサーバーを他の脆弱性から保護するなど、他の手段の代わりにIPをロックダウンするべきではありません。「良いIP」の1つが侵害された場合、攻撃者はこれをピボットとして使用する可能性がありますあなたのサイトを攻撃するために。また、信頼できるユーザーが実行しているマルウェアは、攻撃者がIP制限を回避するために使用する可能性があることに注意してください。

したがって、これをセキュリティの追加レイヤーとして使用してください。ただし、これにより、誤ったセキュリティの感覚に騙されて、警戒心を落とさないでください。 Webアプリケーションとプラットフォームをインターネットで完全に見えるように扱います-定期的にスキャンして脆弱性をテストし、許可されたIPアドレスの管理が定期的に削除、更新、確認されることにより適切に行われていることを確認します。

27
SilverlightFox

ファイアウォールのIPアドレスホワイトリストは、以下の(かなり明白な)条件が満たされていると仮定すると、ログインフォームに対するブルートフォース攻撃を防ぐのに非常に効果的です。

  • このログインフォームにアクセスする必要があるのはあなただけです。
  • ISPからの静的(動的ではない)IPアドレスを持っている-つまり、ISPはIPアドレスを定期的に変更しません。
  • 見慣れない場所からログインフォームにアクセスする必要があるとは思わないか、アクセスする場合は、「許可」リストにIPアドレスを追加する方法があります。 (もちろん、許可リストにないアドレスから許可リストにIPアドレスを追加する方法があると、システムのセキュリティが大幅に低下します。)

これらの条件が満たされている場合は、先に進み、IPホワイトリストを追加します。そうでない場合、ログインフォームから自分自身(または他の人)をロックアウトするリスクがあります。

実装に関する限り、それを行う最も簡単な方法は、おそらくWebサーバー自体からです(たとえば、Apache .htaccessファイルを使用)。ファイアウォールからそれを行うことにした場合は、誰かがログインフォームをリクエストしていることをファイアウォールが知ることができる方法を見つける必要があります。これにはログインフォーム以外にも他のページがあると想定しますサーバ。 HTTPSを使用しているため、おそらくファイアウォールでSSLを終了する必要があります。

5
tlng05

IP制限のもう1つの利点は、悪意のある内部関係者の緩和に役立つことです。

クライアントのビジネス上重要なデータをホストするクラウドサービスを検討してください。各クライアントにはアカウントを持つ多数の従業員がいて、従業員は会社のワークステーションからのみこの重要なデータにアクセスできるようになっています。最も基本的な配置では、従業員が自宅のコンピュータからログインするのを防ぐための技術的な制御はありません。クライアントで構成可能なIP制限を追加すると、特定のクライアントの管理者は、すべてのユーザーに、組織に属するIP範囲からのログインを強制することができ、自宅からのログインを停止できます。

「フェデレーテッドアイデンティティ」のかなり新しい分野には、より高度な技術がありますが、IP制限は、これを制御する簡単で効果的な方法です。

4
paj28

それはあなたが何から身を守ろうとしているのかに依存します。

ランダムな攻撃者がサイトを閲覧するのを阻止し、ブルートフォースログインを試みようとしているだけの場合、このアプローチはサイトの可視性を低下させ、一部のシナリオでは一部の攻撃者を阻止します。

しかし、攻撃者があなたの設定と特定の脆弱性を知っている場合、攻撃者はサーバーの応答を読み取る必要がなく、サービスを危険にさらすために偽造された送信者IPで細工されたパッケージを送信できる可能性があります。テストがなければ、このように構成されたShellshock攻撃は機能すると思います。これはかなりありそうもないシナリオであり、攻撃者がシステム、セットアップ、および脆弱性について多くの知識を持っている必要があることを認めます。しかし、保護しているものが価値がある場合は、それを考慮する必要があるかもしれません。

3
vidar

それはあなたが「制限する」という意味に依存します。

  • そこにあるすべての「悪い」IPのブラックリストを維持するつもりなら、いいえ、それはあなたのために何もしません。
  • ネットワークサービスへのアクセスを許可する必要がある唯一のクライアントIPのホワイトリストを維持することを意味している場合、はい、これはいくらか役立ちます(ただし、それ自体で本物のセキュリティ対策を表すものではありません)。

何らかの奇妙な理由により、前者は圧倒的に最も一般的なIP制限の形式です。それは、世界のすべての悪いものを列挙しようとする、ほとんどの「プロファイルによる照合」アンチウイルスソフトウェアとまったく同じ誤りに続きます(「悪い」の数は認識できません。一般的にmuch簡単です)代わりに「良い」を列挙する)。

ホワイトリストは本質的に動的である可能性があることに注意してください。このアイデアは、ホワイトリストを信用するよりもはるかに興味深いツールにします。これが一般的なセキュリティ市場で実際に何を意味するかについては、まったく調査しないと思います。

突然、神秘的で困惑する約半分WAN私が大規模なデータセンターでの運用で対処した接続の問題は、「ブラックリスト」のばかげたアプリケーションが原因で発生します。ここで、ブラックリストは実際に非常に有効でした(ボットネットには数万または数十万の利用可能なIPのプールがあり、数分ごとにシフトします)これは、数時間または数分のスパンで一時的に禁止または調整することとはまったく同じではないことに注意してください。スロットルの一種である多くのプロトコルのステートレスな性質を考慮すると、IP、MAC、またはブロックブラックリストよりも、接続スロットルの試行(接続の試行はすべて関連する一連の相互作用)と見なすことができます。

2
zxq9