IP cím szimulációja

Hálózatok általános

Sziasztok!

Adott egy felhő alapú alkalmazás, amelynek van API-ja. Ehhez API kulcsot lehet igényelni, azzal lehet hozzáférni. Van egy biztonsági beállítás, fel lehet sorolni azokat az IP címeket, amelyekről engedélyezett a hozzáférés. Egyéb IP címekről nem enged be a rendszer, még érvényes API kulccsal sem.

Tegyük fel én egy támadó vagyok, és tudom valakinek az API kulcsát, és hogy milyen IP címről férhet hozzá az API-hoz az adott kulccsal. De ez az IP cím egyedi IP, én nem tudok hozzáférni.

Ebben az esetben lehet írni olyan programot, ami becsapja a szolgáltatást, azaz elhiteti vele, hogy az adott engedélyezett IP címről kapcsolódok hozzá (közben nem)?

Csak azt akarom tudni, hogy az engedélyezett IP címek listája kijátszható-e valahogy, vagy ezzel a beállítással teljesen ki lehet zárni a támadókat?

  • 2198 megtekintés

( Mcsiv v | 2011. 05. 03., k – 15:11 )

TCP kapcsolat esetében nagyon nem valószínű, UDP esetében van rá mód egy kókler szolgáltatónál

Azt jelenti, hogy route-ol mindent ész nélkül. Csomagok esetében tudod módosítani a forrás címet, mivel az első hop-ig mac address alapon mozognak a csomagok. Ha a szolgáltató kirouteolja a nem saját tartományából származó csomagokat, nah az a kóklerség. Bár 99%-ban az azt követő szolgáltató úgy is megfogja.

Tárhelyszolgáltatónál veszek egyedi IP-t, osztott tárhelyen

Ezt nem vagom. Ugy erted, egy van web.isp.net szolgaltato, ahol legyen 1000 vhost, es minden vhost kulon IP-cimen van? Esetleg vps-re gondoltal, ahol az egyes vps-eknek sajat IP-cimuk van?

Mindenkinek kipostázzák az alkotmányt

Sok tárhelyszolgáltatónál a saját vhostodhoz/vhostjaidhoz vehetsz külön IP címet (mert pl. tanúsítványokat szeretnél használni, vagy másra nem tudod költeni a pénzed). Aztán ilyenkor ezt/ezeket az ip-ket felhúzzák a webszerverre ahol vagy, és oda figyeltetik a vhostjaidat.

Az is tud a te webszájtod IP címével tetszelegni, aki hozzáfér a tárhelyszolgáltatód LAN-jához. Ha az shared hostingban van (ahogy a legtöbb), akkor ez nem nagy kunszt, csak be kell fizetni 1-2 hónapot dedikált co-location-re és máris klónozhatják az IP címed úgy, hogy észre sem veszed.

Ha nagyon fontos lenne a biztonság, akkor gondolom nem shared webhostigban lennél, így szerintem nincs életszerű kockázata annak, hogy kiadd az API kulcsot. Egyszerű megoldás ugyanis nincs.

( egeresz | 2011. 05. 03., k – 22:34 )

Hali,

kozted es a felho kozotti pontokban (ez jopar network szolgaltato es legelabb ket internet szolgaltato) beepult vagy beszervezett emberek tudnak ilyet tenni.

Tehat barki, aki az uton valahol egy root (enab) joggal rendelkezik es/vagy fizikai hozzaferese van.

Ezek tipikusan az ISP/NSP cegek kepzett rendszergazdai vagy routeresei, esetlegesen kepzetlen rendszergazdak eseten az ISP/NSP rendszeret teljesen feltoro tamadok.
Ja, es a kozbulso orszagok osszes titkosszolgalata.

Ha aranyaiban nezzuk, akkor azt mondhatjuk, hogy az internethasznalok kozul szinte senki sem tud igy megtamadni.
Szinte.

Azt hiszem elkaptad a lényeget, soha nem az a kérdés hogy elégséges védelem-e hanem a célnak megfele-e, mert ahogy az előttem szóló kissé túlzó példája is mutatja amit elméletileg nem lehet azt van akinek mégis szabad.

De összeségében, általában elégséges, ip-t hamísitani nem olyan nagyon egyszerű.