我正在开发一个应用程序,它通过 Internet 接受来自客户端的连接。所有这些客户端都在固定的 IP 地址上,并将建立非加密的 TCP 连接。
当前的计划是让服务器检查连接来自哪个 IP,并仅允许来自已知 IP 列表的客户端连接?
这对 IP 欺骗有多安全?
我的理由是,由于这是一个 TCP 连接,攻击者不能只是伪造它的发送者 IP(这很容易),而是必须确保数据包返回给他,因此他必须破解所有路由器路径,这似乎相当困难。
我知道我可以使用加密,如 SSH,但让我们坚持纯 TCP 连接的安全性问题。
在实际情况下,通过 IP 地址限制连接通常是一种很好的做法,因为它大大减少了攻击面,并使攻击的复杂性更高。如其他答案所述,您现在必须执行 IP 欺骗或攻击网络本身(虚假 BGP 路由等)之类的操作。
也就是说,IP 地址限制应该用作纵深防御方法的一层。你能在没有太多返工的情况下加密 TCP 流吗?也许是 SSL?如果不能修改程序,那网络呢?Site ti site IPSEC VPN 隧道并不难建立,因为几乎所有商业防火墙都支持它们。甚至一些 soho 路由器也可以修改为支持 IPSEC(例如,使用 OpenWrt 和 OpenSwan)。
最后,您能否要求客户端和服务器相互验证?
不安全。BGP 网关不能免于攻击,因此可以发布虚假路由,并且可以欺骗 IP。
首先,使用 IP 您不是在识别客户端,而只是一些数字。即使IP是正确的,用户的计算机上仍然可能有一个木马,代替用户本身进行身份验证(因为我不知道您提供什么样的服务,我认为这可能是有道理的)。
现在,如果一个人可以访问客户端和服务器之间的数据包通过的路由器之一,那么他几乎可以做任何事情 - 他可以以客户端的名义发送和接收数据包,或者他可以修改它们(作为数据未加密)。此外,攻击者不需要破解所有或一个路由器 - 他只需要访问(包括合法的)数据传输的通道,无论是路由器本身还是电缆(可以切断和可以插入路由器)。
综上所述,IP可以在一定程度上作为强化欺骗的组成部分之一,但不能作为主要的安全措施。