web-dev-qa-db-fra.com

Y a-t-il une différence de sécurité entre une liste blanche d'adresse IP et une liste blanche de domaine avec TLS?

Il me semble qu'une liste blanche d'adresse IP s'appuie sur des informations facilement surpoffées, tandis qu'une liste blanche de domaine, si elle force TLS, au moins, repose sur la validité des systèmes de certificat.

Je suis peut-être en cadrage cette question de manière incorrecte ou comparer des pommes et des oranges ici, mais je pense toujours à ce que j'essaie d'obtenir une réponse spécifique.

Cela semble lié aux deux questions suivantes que j'ai rencontrées sur ce site:


Les unités commerciales, les clients, les collègues, etc. Continuez à poser des adresses IP à des fins de sécurité lors de la certification, des domaines compatibles TLS, parfois même en interne, sont déjà disponibles.

Peut-être qu'il n'y a pas de différence, mais j'ai l'impression que quelque chose ne va pas, ici avec le "s'il vous plaît nous envoyer l'approche des gammes IP".

J'ai vu cela dans la voie de tout, des appels téléphoniques au déploiement continu pour essayer d'utiliser Github, donc je veux savoir:

Filtrage de l'adresse IP vs. TLS Domain Filtrage: Y a-t-il une augmentation de la sécurité?

4
Nathan Basanese

TL; DR: Différentes choses, tant utiles pour différents scénarios, IP Whitelisting n'est pas un mauvais signe

Vous comparez effectivement les pommes et les oranges.

Le filtrage basé sur IP arrive sur la couche réseau du modèle OSI , tandis que la validation du certificat se produit sur la couche de transport (et/ou d'application).

Autoriser l'accès uniquement à/à partir d'adresses IP spécifiques réduit les vecteurs d'attaque éventuels, tandis que la validation du certificat garantit que la connexion est en effet avec la partie attendue.

Le filtrage basé sur l'adresse IP est plutôt un

Je ne veux pas parler aux gens, sauf mes amis

approche, alors que la validation du certificat est plutôt une

Voyons ce que vous avez à dire, puis décidez si nous parlons

approcher.

Il existe plusieurs raisons de filtrage basé sur IP. Voici quelques-unes que je trouve important à mentionner:

  • Il réduit massivement la surface d'un réseau ou d'une machine

    Si vous laissez votre système communiquer avec tout le monde, vous devez être sûr que tous les processus de communication suivent la règle.

    Si vous choisissez d'utiliser une adresse blanche basée sur une adresse IP, vous pouvez au moins s'assurer que les processus de communication, dans la mesure où ils établissent des connexions, ne devraient pas essayer de casser votre système.

  • Il est facile de maintenir

    Un réglage à l'échelle du système est plus facile à mettre à jour que, disons, 20 applications Web.

  • C'est rapide

    l'établissement d'une session TLS est relativement coûteux, jetant des paquets basés sur l'origine.

Donc, si les deux technologies sont utilisées ensemble, elles sont très utiles - et être demandée aux IP pour un whitelist n'est aucun signe de mauvaises mesures de sécurité. Souvent, tout le contraire est vrai.

Il y a une autre partie de votre question que j'aimerais aborder:

Il me semble qu'une liste blanche d'adresse IP s'appuie sur des informations facilement usurées [.]

Bien qu'il soit vrai que vous pouvez spoiser l'adresse IP d'origine d'un paquet, cela ne permet généralement pas d'établir des connexions.

A TCP Handshake échouera et sur UDP, vous n'obtenez pas la réponse - sauf si vous êtes un homme au milieu.

3
Tobi Nary

Même si vous ne vous souciez que du type de TLS où le certificat est requis pour correspondre au nom d'hôte (tel que fait dans HTTPS, mais il existe un cas de TLS qui ne le fais pas), il reste encore des différences de portée et de capacité de Filtrage par adresse IP vs. Nom d'hôte de la poignée de main TLS.

  • Avantage du filtrage basé surName:
    [.____] Il pourrait y avoir plusieurs noms différents derrière la même adresse IP et le même port. Le client doit adresser un nom spécifique à l'aide de indication du nom du serveur (SNI) Dans ce cas. En vérifiant le nom d'hôte donné dans la clientèle et dans le certificat, le serveur peut effectuer un filtrage plus précis, alors simplement basé sur l'adresse IP.
  • Inconvénient Lorsque vous utilisez uniquement le filtrage basé surName:
    [.____] Si vous ne vérifiez que si Sni et certificat contiennent le nom d'hôte correct, vos chèques peuvent facilement être contournés en utilisant des certificats auto-générés. Ainsi, vous devez également vérifier que le certificat a été signé par une autorité de certification.
  • Avantage du filtrage basé sur l'adresse IP:
    Vérification de l'adresse IP est plus tôt et plus rapide. Il est fait avec le premier paquet SYN devait établir le TCP Connection. La vérification au niveau du nom d'hôte ne peut être effectuée que lorsque le nom d'hôte prévu est connu, c'est-à-dire pendant la poignée de main TLS terminée après le TCP La connexion est établie. En dehors de cela, il est beaucoup plus difficile, car vous avez besoin d'une inspection à la couche TLS et uniquement à l'inspection de la couche réseau.

Pour obtenir les meilleurs résultats, vous devez réellement faire les deux: Filtrer par adresse IP pour une correspondance rapide et rapide et si cela passe et si cela passe et le TCP Connection a été établi, vérifiez la poignée de main TLS pour le nom d'hôte attendu au cas où Les noms multiples sont utilisés pour la même adresse IP.

2
Steffen Ullrich