Eth*_*han 25 security networking firewall
我打算部署一个包含敏感数据的内部应用程序.我建议我们将它放在一台不暴露于普通互联网的机器上,只是我们的内部网络.IT部门拒绝了这个建议,称为一个应用程序预留一台整机是不值得的.(该应用程序有自己的域,以防相关,但我被告知他们无法阻止基于URL的请求.)
在应用程序内部,我将其编程为仅尊重请求,如果它们来自内部IP地址,否则它只显示一个页面"你不能看这个".我们的内部地址都有一个独特的模式,所以我正在检查请求IP对正则表达式.
但我对这个策略很紧张.对我来说这感觉有点笨拙.这个相当安全吗?
fra*_*yer 16
IP过滤总比没有好,但它有两个问题:
IP地址可能是欺骗性的.
如果内部计算机受到攻击(包括客户端工作站,例如通过安装特洛伊木马程序),则攻击者可以将其用作跳转主机或代理来攻击您的系统.
如果这是非常敏感的数据,它不一定需要专用机器(尽管这是最佳实践),但您至少应该以某种方式对您的用户进行身份验证,并且不要运行不太敏感(并且更容易被攻击)的应用程序.同一台机器.
如果它真的很敏感,请让安全专业人员审查您正在做的事情.
编辑:顺便说一句,如果可以的话,抛弃正则表达式并使用tcpwrappers或OS中的防火墙功能(如果有的话).或者,如果您的应用程序可以使用不同的IP地址,请使用防火墙阻止外部访问.(如果你没有防火墙,那么你也可以放弃并通过电子邮件将数据发送给攻击者:-)
这完全取决于您真正需要它的安全程度。
我假设您的服务器是外部托管的,而不是通过 VPN 连接的。因此,您正在检查您的 HTTPS(您正在使用 HTTPS,不是吗??)站点的请求地址是否在您自己组织的网络中。
使用正则表达式来匹配 IP 地址听起来很可疑,你不能像其他人一样使用网络/网络掩码吗?
它真的需要多安全?IP 地址欺骗并不容易,被欺骗的数据包不能用于建立 HTTPS 连接,除非他们还操纵上游路由器使返回的数据包能够重定向到攻击者。
如果您需要它真正安全,只需让您的 IT 部门安装 VPN 并通过私有 IP 地址空间进行路由。为这些私有地址设置 IP 地址限制。通过基于主机的 VPN 进行路由的 IP 地址限制仍然是安全的,即使有人破坏了上游默认网关。
如果您的应用程序正在检查 IP 地址,则它非常容易受到攻击。那时您在路由器上没有任何保护,而路由器正是 IP 过滤真正需要的地方。您的应用程序可能正在检查发送 IP 地址的 HTTP 标头信息,这非常容易被欺骗。如果您在路由器上锁定 IP 地址,那就是另一回事了,并且将为您提供真正的安全保障,让您知道谁可以从哪里访问该网站。
如果您正在内部访问应用程序,那么 SSL 不会给您带来太多好处,除非您试图保护来自组织内部各方的信息,或者您需要客户端证书。这是假设您永远不会从外部连接访问该站点(VPN 不计算在内,因为您正在通过隧道连接到内部网络并且在技术上是其中的一部分)。它也不会受到伤害,设置起来也不那么难,只是不要认为它会解决您所有的问题。
| 归档时间: |
|
| 查看次数: |
24819 次 |
| 最近记录: |