В следующем сценарии я хочу посмотреть, смогу ли я обеспечить адекватную безопасность как есть, или будет ли какая-то ощутимая выгода от изменения архитектуры вещей (например, изменение ее так, чтобы рассматриваемая служба находилась в DMZ, или что-то в этом роде). как это). Предположим, что данные, которые я пытаюсь защитить, очень конфиденциальны, и если бы они были раскрыты, это стало бы главным заголовком.
Насколько мне удалось придумать, это должно быть более чем приемлемо, потому что единственный способ иметь возможность подключиться к этому порту - это либо законно иметь этот IP-адрес (и это статический IP-адрес, которому мы доверяем объект, которому был назначен IP-адрес) или подделать его, и потенциальный злоумышленник должен знать, что вам придется подделать этот конкретный IP-адрес, что кажется маловероятным без инсайдерской информации (и даже тогда вы сможете отправлять пакеты, пытаясь повредить вещи, и не получать ответы, потому что они перенаправляются на реальный IP-адрес, верно?). Предполагая, что злоумышленник должен был получить контроль над этим IP-адресом, им все равно потребуется соответствующий сертификат для прохождения части TLS, знать тип протокола, который они пытаются использовать, потенциально потребуются учетные данные уровня приложения, Я считаю это вероятным только в том случае, если фактическая клиентская машина, к которой я собираюсь подключиться, будет взломана; Насколько мне известно, у него хорошая физическая / сетевая безопасность, поэтому я думаю, что это очень маловероятно.
Вдобавок, а что если я вообще не буду использовать брандмауэр? Будет ли уровень безопасности по-прежнему приемлемо высоким, поскольку вам потребуется либо иметь законный сертификат, подписанный тем же центром сертификации, что и сертификат сервера, либо иметь в рукаве эксплойт, чтобы пройти проверку подлинности TLS? В любом случае я бы использовал брандмауэр, так как на самом деле я хочу подключиться только к одному клиенту, но мне также любопытно это.
Есть ли другие проблемы, о которых я не думаю, или какие-либо другие веские причины, которые должны заставить меня отказаться от такой установки как небезопасной? Заранее спасибо.
Ваша настройка очень похожа на то, что делается в индустрии доменных имен, прочтите RFC 5734 например. Существует 3 уровня безопасности: ограничение IP-адреса, с которого клиент может подключиться, и использование TLS, ограничение сертификата X.509, который он может использовать, а затем логин + пароль на уровне протокола (EPP).
Вы не можете просто основывать свою аутентификацию на IP-адресах, даже если используете TCP, потому что происходит спуфинг BGP, что означает, что кто-то может «захватить» ваш IP-адрес и иметь возможность создавать с него трафик и получать ответы. Это может длиться всего несколько минут, но уже достаточно, чтобы нанести некоторый вред. Следовательно, вам также необходимо пройти аутентификацию на уровне TLS: TLS предоставляет несколько услуг, среди которых конфиденциальность и аутентификация; где все больше внимания уделяют конфиденциальности (также потому, что это легкая часть для правильного выполнения), на самом деле аутентификация более важна, без нее вы можете отправлять зашифрованный контент, но неизвестной стороне, что можно рассматривать так же, как отправку в виде обычного текста.
Конечно, особенно с DV-сертификатами, если произойдет спуфинг BGP, кто-то также сможет сгенерировать сертификаты. Это будет смягчено центрами сертификации, использующими распознаватель с поддержкой DNSSEC и многоцелевые точки для проверки. Это означает, что эта проблема возникнет только в том случае, если вы потеряете одновременно контроль над своим пространством IP-адресов, а также над вашими официальными серверами имен. Проблема также может быть уменьшена, если вы не полагаетесь на внешние общедоступные центры сертификации, но если вы управляете им исключительно изнутри и, следовательно, доверяете только сертификатам, созданным вашим центром сертификации. Конечно, ваш центр сертификации должен быть надежно защищен, а его ключи должны быть выгружены в какое-нибудь холодное хранилище, например HSM.
Если вы вообще не фильтруете IP-адреса с некоторыми правилами брандмауэра, вы рискуете DOS и DDOS: даже если люди не взломают вашу систему, просто сделав это, они могут сделать ее недоступной, а доступность можно рассматривать как часть безопасности .
Кроме того, для любой новой настройки сегодня, когда вы контролируете оба конца и не нуждаетесь в обратной совместимости, вам рекомендуется начать напрямую с TLS 1.3 поскольку он имеет множество преимуществ перед TLS 1.2