it-swarm-eu.dev

Proměnné IP: Jak proměnné jsou? Doporučené postupy pro sledování

Na StackOverflow je spousta otázek týkajících se zabezpečení relace/únosu relace, ale nezdá se, že by to bylo opravdu dobré řešení problému. Tři nejběžnější návrhy jsou následující:

  1. Sledujte IP adresu uživatelů jako součást jejich $ _SESSION dat a případně zrušte relaci, pokud se změní. Nevýhodou je, že mnoho uživatelů má dynamické IP adresy, takže riskujete zneplatnění uživatele zdánlivě náhodně (jejich perspektiva).

  2. Stejné jako 1., ale s použitím agenta uživatele. Zde jsou dva problémy: nemusí existovat UA ke sledování a mohou se měnit během upgradu prohlížeče atd.

  3. Druhý soubor cookie s jedinečným tokenem. Problém je v tom, že pokud útočník podrží normální soubor cookie relace, je velmi pravděpodobné, že bude schopen získat i sekundární token.

Takže s těmito třemi možnostmi se zdá, že IP adresa je nejlepší volba, protože máte zaručeno, že vám bude předána jedna a její nezávislost na fyzické bezpečnosti (a pokud je uživatel fyzicky ohrožen, ztratíte bez ohledu na to). S ohledem na to mám několik otázek týkajících se změn adresy IP:

  1. Jak často by se adresa IP uživatelů za normálních podmínek skutečně změnila. Doma mám DSL s obvyklými dynamickými problémy IP a podle gmailu se moje IP ve dnech nezměnilo. AFAIK, toto se skutečně stane, když se modem stejně cykluje, že? Vypadá to jako dost vzácná událost, že možná bude v pořádku, aby byla relace zneplatněna.

  2. Myslím, že si vzpomínám, jak Jeff řekl v jednom z SO podcastů, že udělali něco podobného, ​​i když to asi bylo pro něco jiného. Myšlenkou bylo, že použití prvních dvou (věřím) oktetů IP adresy by mohlo být za určitých okolností považováno za „dost blízko“. To umožňuje uživateli pohybovat se po stejném poskytovateli služeb Internetu, ale systém by si všiml, zda se uživatel náhle ocitl v jiném rozsahu poskytovatelů ISP. Je to proveditelná taktika?

3
AgentConundrum

Nejsem si stopercentně jistý, že to patří webmastery, ale stejně na to odpovím.

  1. IP adresa uživatele se změní pouze tehdy, když se jejich připojení přepne do režimu offline a vrátí se online. Doma mám dynamickou IP, ale měl jsem ji měsíc, protože to je, jak dlouho to bylo od restartování routeru. Někteří poskytovatelé internetu nutí odpojení každých n dní, jiní ne. Nelze to říct, ale v tomto dni a věku IP adresa obvykle trvá několik dní. ŽE se mohli na vaši webovou stránku přihlásit těsně před změnami IP (výpadek napájení, zakopnutí síťovým kabelem atd.), Takže není bezpečné to vůbec předpokládat.

    Velký problém, který zde najdete, je, pokud cílíte na mobilní uživatele. Všechny sázky jsou poté vypnuty, pokud k přístupu na váš web používají své sítě 3G nebo HSPDA.

  2. První dva oktety se pravděpodobně používají docela bezpečně, ale v Austrálii máme ISP s názvem BigPond, který je (bohužel) největší v zemi. Jejich IP adresy, které přidělují, se velmi liší. Neexistuje způsob, jak zaručit, že jejich první dva oktety budou stejné.

To vše říká, že jsem nikdy, nikdy, nikdy nebyl nikdy odhlášen z mých stránek Stack Exchange na svém iPhone, domácí síti, pracovním notebooku (i když jdu na jiné weby nebo používám HSPDA). Takže ať dělají cokoli, fungují.

Také jsem nikdy neslyšel o použití user-agent jako autentizačního tokenu. To by mohl být pouze jeden část procesu autentizace.

Myslím, že zjistíte, že mít jeden nebo dva soubory cookie relace je obecně dostačující, pokud neuděláte něco tak neuvěřitelně bezpečné, že víte, že se na vašem webu budou vyskytovat závažné pokusy o únos.

1
Mark Henderson

IP adresy se mohou změnit pouze v případě, že zařízení, které bylo vydáno, bylo odpojeno a znovu připojeno k Internetu. Pokud však a jak často k tomu dojde, bude to do značné míry záviset na vašich způsobech používání a na poskytovateli internetových služeb. Někteří poskytovatelé internetových služeb s dynamickými IP se přesto pokusí vždy vydat stejnou IP, zatímco jiní (možná se snaží získat další poplatky za statické IP) vám vydají novou, i když pouze dočasně ukončíte jejich síť.

Podle mých zkušeností je změna IP adresy dostatečně občasným jevem, že by nebylo nadměrné zneplatnit relaci nad ní. Mějte však na paměti, že pokud se váš web nezabývá něčím citlivým, mělo by se tomu stále vyhnout.

Vezměme si například tento web, co je nejhorší, co by se mohlo stát, kdyby někdo ukradl můj účet? Trochu vandalismu (že komunita rychle rozdrví), možná nějaká ztracená pověst. Účinky jsou pro uživatele malé a výhoda pro útočníka je malá. Proto by bylo příliš agresivní používat toto opatření zde.

Můj účet Google by naopak mohl útočníkovi poskytnout přístup ke všem druhům soukromých dat (včetně - jako bonus - přístupu na tento web). Je proto přirozené, že Google je opatrnější a (často) jsem proto často žádal o potvrzení své totožnosti (i když připustím, že nemám ponětí, jaká kritéria používají).

0
Kris
  1. Moje domovská IP adresa se několik měsíců nezměnila. Vím, že u společnosti Shaw Communications (kabelový poskytovatel internetových služeb v Kanadě) se moje adresa IP změní pouze tehdy, když se změní moje externí adresa makra (adresa makra směrovače nebo počítače přímo připojeného k modemu) OR Nepoužívám můj internet na několik dní.

    Není to tak dávno, co jsem používal vytáčené připojení a všiml jsem si, že moje IP adresa se při každém opětovném připojení změnila, i když to všechno moc nezměnilo. Nejsem si jistý, zda by to bylo podobné u telefonů DSL a Wireless.

    Další věcí, kterou je třeba zvážit, je únos relací ze stejné místní sítě. Nejsem si jistý, jestli s tím lze opravdu něco udělat. Některé školy a větší společnosti mají mnoho počítačů na jedné externí IP. (možná je i nějaký isp?)

  2. Nejsem si příliš jistý, jestli můžu odpovědět, pokud je použití dvou oktetů bezpečné. Zajímalo by mě, kdybych viděl některá data na velké uživatelské základně a jak se mění jejich IP adresa.

0
WalterJ89
  • Můj router DSL se odpojí, když jej nepoužívám po dobu 15 minut, a pokaždé získám novou IP.
  • Můj poskytovatel používá dva nebo tři velmi odlišné rozsahy IP.
  • Vynucují odpojení každých 24 hodin (přesně jako moji předchozí dva poskytovatelé DSL).
0
Chris Lercher

Nemyslím si, že je to běžné u rezidenčních poskytovatelů internetového připojení, ale proxy uspořádání používané pro veškerý odchozí HTTP (S) provoz jedním z našich hlavních klientů (dobře známá britská banka, která ze smluvních důvodů bude muset v tomto bodě zůstat bezejmenná) někdy to vypadá, že jejich uživatelé mění IP adresu každých pár minut, někdy i uprostřed bloku požadavků na dílčí objekty (obrázky atd.) na stejné stránce, takže jako součást vaší adresy používají přesnou IPv4 adresu sledování relací je špatný nápad v případě, že někteří z vašich uživatelů mají podobné uspořádání.

V případě, že jsme viděli adresy uvedené tam, kde jsou ve stejném/24 rozmezí, a ne celý rozsah, i když by byly extra bezpečné, doporučil bych se držet maximálně prvních dvou oktetů IP adresy.

I tehdy byste mohli mít potíže s lidmi, pokud vás používají na cestách. Například někdy mám otevřenou relaci webmailu při cestování se svým netbookem - to může začít na domácí bezdrátové síti, poté se přesunout k bezplatné bezdrátové síti na vlakovém nádraží a poté k poskytovateli mobilních telefonů, pokud vlak, na kterém skončím, nemá -board bezdrátové, pak další bezdrátové AP zdarma, pak na jakoukoli síť, kterou používám v cílovém místě. Všechno, aniž by se odhlásilo ze Zimby (je to právě tam a pracuji pokaždé, když odpojím netbook a připojím se k tomu, co je vůbec k dispozici) - na takové cestě bych mohl listovat mezi pár/16 lety. Samozřejmě se jedná o případ Edge a nemusí nikdy ovlivnit dostatek vašich uživatelů, aby se ve vašich plánech vyplatilo zvážit - zejména vzhledem k tomu, že všichni uživatelé, kteří by byli nejvíce vybíraví, by byli v pořádku s potřebou opětovného přihlášení při přechodu z domácí sítě na mobilní síť .

Únos relace je obtížné úplně zablokovat. Pokud únosce může zkontrolovat provoz mezi klientem a serverem než cokoli, posíláte sem a tam přes nezašifrovaný kanál je snadné napodobit a pokud únosce zvládl pracovat z hostitele na trase mezi klientem a server, který by mohl dokonce předstírat požadavky, které vypadají, že pocházejí ze správné IP adresy, takže vám to nemusí vždy pomoci. Chcete-li úplně zastavit únos relace, musíte použít HTTPS (a pokud se chcete cítit opravdu paranoidně: pokud má útočník nějaký způsob získání přístupu (nebo předstírání) vašeho certifikátu HTTPS, nezastaví to spouštění relací MiTM proxy proxy založené na útokech). Předpokládám, že byste mohli také implementovat něco jako výměnu klíčů DH a rozhodnout o sdíleném klíči, aniž byste jej museli přenášet, a použít tento plus aktuální čas a trochu soli k vytvoření hashe, kterou server může velmi ospravedlnit, ale velmi pochybuji, že by to bylo praktické ( na slušném procesoru s moderním motorem JS, který je k dispozici ve verzi FF3.5 +, Chrome nebo podobné, byste mohli provést počáteční výměnu DH za užitečné velikosti klíčů dostatečně rychle, ale žádný mobilní IE uživatel nebude mohli se dovnitř dostat za týden).

Jeden poslední problém s použitím IP adresy žadatele jako součásti sledování vaší relace: pokud jsou za uspořádáním NAT, mohou sdílet tuto IP adresu se stovkami uživatelů. Když se připojím k poskytovateli 3G, dostanu adresu v oficiálně nezměněném rozsahu 10.xxx - nevím, z jakého počtu veřejných adres, z nichž by mé žádosti mohly pocházet, je možné, že sdílím jednu veřejnou adresu s tisíci lidé v tomto bodě (rozhodně nebudu mít veřejnou adresu pro sebe).

Krátký příběh: IP adresa klienta není tak dobrá, jak byste si mysleli pro sledování relací, i když použití prvních dvou oktetů by nabídlo určitou ochranu navíc nad tím, co kdykoli jiné tokeny relací, které používáte, aniž by vás znepokojovalo více než málo uživatelů.

0
David Spillett