it-swarm.com.de

Benutzer nach Änderung der IP-Adresse abmelden?

Ist es sinnvoll, einen Benutzer von einem Webdienst abzumelden, nachdem die IP-Adresse des Benutzers geändert wurde?

Ich verstehe, dass eine Änderung einer IP-Adresse auf einen Man-in-the-Middle-Angriff hinweisen kann. Andererseits können sich die IP-Adressen von Endbenutzergeräten (Mobiltelefonen) häufig ändern, wenn vom Netzwerkanbieter zum lokalen WLAN gewechselt wird.

Ich persönlich denke, dass das Hinzufügen eines solchen Abmeldemechanismus die Sicherheit einer Website nicht wirklich erhöhen würde.

Welche Aspekte muss ich berücksichtigen, um eine solide Entscheidung darüber zu treffen, ob ein solcher Abmeldemechanismus verwendet werden soll oder nicht?

50
Tobias Gassmann

Wenn Sie eine Sicherheitsmaßnahme implementieren möchten, müssen Sie wissen, gegen was Sie sich absichern. In diesem Fall möchten Sie sich gegen einen Man-in-the-Middle-Angriff absichern.

Wie Sie selbst sagten, ist eine Änderung der IP-Adresse aus zwei Gründen kein guter Indikator dafür:

  • Es gibt viele Gründe, warum sich eine IP-Adresse aus legitimen Gründen ändern würde, z. B. wenn der Benutzer eine Wi-Fi-Verbindung gewinnt oder verliert, wenn der Benutzer eine Verbindung zu einem VPN herstellt usw. Dies allein ist ein wirklich schlechter Indikator für einen Angriff.
  • Damit die Erkennung funktioniert, wird davon ausgegangen, dass ein Benutzer zuerst eine Sitzung selbst startet und dann vom Man-in-the-Middle abgefangen wird. Wenn Ihr Benutzer bereits abgefangen wird, ist die IP des Man-in-the-Middle die einzige IP, die Sie jemals sehen werden.

Daher ist diese Sicherheitsmaßnahme eher anfällig für falsch-positive und falsch-negative Ergebnisse, was sie ziemlich unzuverlässig macht.


Es gibt jedoch eine Sicherheitsmaßnahme von Google, die auf ähnliche Weise funktioniert. Es erkennt die üblichen Verhaltensmuster eines Benutzers, z. B. die üblichen Standorte und IP-Adressbereiche, über die er eine Verbindung herstellt. Sollte eine Anmeldung von diesem Muster abweichen, wird eine Sicherheitswarnung ausgelöst.

Dies ist am wichtigsten, wenn Benutzer ihre E-Mails im Urlaub oder ähnlichem abrufen möchten, kann jedoch ein Indikator für mögliche Kompromisse sein, wenn die regelmäßigen Nutzungsmuster des Benutzers eindeutig festgelegt sind.

Dies sollte ein Beispiel dafür sein, wie Informationen aus IP-Adressen (und anderen Quellen) verwendet werden können, um das Verhalten zu analysieren und somit Anomalien zu erkennen. Die Erkennung von Anomalien ist ein eigenständiges Feld. Erwarten Sie daher keine umfassende Einführung in einem Absatz. Dieses Beispiel soll lediglich zur Veranschaulichung dienen.

76
MechMK1

Die Überlegung nur ist die des Risikos .

Kontrollen (wie diese Kontrolle) werden eingerichtet, um Risiken zu mindern. Welche Risiken versuchen Sie zu mindern? Sie sagen, dass es MitM mildern könnte. OK. Ist das die Verantwortung Ihres Webdienstes dafür? Ist es für den Dienst sinnvoll, dies zu tun?

Betrachten wir dann das tatsächliche Szenario. Ihre Kontrolle verringert MitM , wenn der Angriff erfolgt, nachdem sich der Benutzer bereits angemeldet hat. Das ist ziemlich spezifisch und eine wirklich begrenzte Bedrohung. Lassen Sie uns das Szenario fortsetzen. Der Angriff erfolgt und der Dienst meldet den Benutzer ab, dann meldet sich der Benutzer wieder an. Der Angriff findet jedoch weiterhin statt. Jetzt erfasst der Angreifer den Anmeldevorgang und das Kennwort. Haben Sie das Ziel der Kontrolle erreicht? Einige dieser Dinge werden möglicherweise durch andere Steuerelemente gemildert, die Sie möglicherweise eingerichtet haben.

Berücksichtigen Sie auch die Risiken einer schlechten Benutzerfreundlichkeit. Wenn Sie ein Steuerelement installieren, das es Benutzern erschwert, Ihr System zu verwenden, besteht das Risiko, dass Benutzer verloren gehen.

Was für Sie die beste Entscheidung ist , liegt bei Ihnen und all den Faktoren, die Sie nicht in eine Frage auf einer Q & A-Site einbeziehen können.

Risikobewertungen sind wirklich einfach. Sie müssen nur die Punkte langsam nacheinander verbinden und der Versuchung widerstehen, bis zum Ende zu springen.

14
schroeder

Schwer nein.

Abgesehen von Sicherheitsüberlegungen (die durch diese Vorgehensweise nicht wirklich hilfreich sind) wird durch die Beschränkung einer Sitzung auf eine IP-Adresse der Zugriff für Benutzer einiger ISPs, insbesondere mobiler Benutzer, die häufig IP-Adressen wechseln, vollständig unterbrochen. IPv6 verfügt sogar über Funktionen, die dies aus Datenschutzgründen absichtlich tun. Wenn Sie Ihre Benutzerbasis nicht gut kennen und nicht wissen, dass keiner von ihnen von solchen Problemen betroffen ist, handelt es sich um einen vollständigen Nichtstarter.

Dies war früher eine Sache mit z.B. PHP Sitzungen vor etwa 20 Jahren. Möglicherweise auch mit allem anderen, da sie ähnliche/identische Mechanismen verwendeten, aber ich erinnere mich an die Schadensbegrenzungsfunktion von PHP. Sie würden sie einfach in der Konfiguration aktivieren.

Das Problem: Sie melden sich an und erhalten ein Sitzungscookie (möglicherweise sogar in die URL eingebettet), und jemand anderes könnte diese Informationen theoretisch belauschen und fortan Anfragen in Ihrem Namen stellen.

Jetzt verwendet natürlich niemand mehr HTTP, und HTTPS behebt dieses Problem. Sie können Anfragen nicht mehr trivial im Namen einer anderen Person senden (es sei denn, Sie haben ein gefälschtes Zertifikat installiert oder den Netzwerkstapel oder ähnliches untergraben).

Einige neuere hochkarätige Protokolle (Think QUIC) trennen Verbindungen explizit von Adressen, wobei sich die IP-Adresse möglicherweise rechtmäßig ändert. Wenn ein Sicherheitsrisiko besteht, ist es anscheinend nicht so schwerwiegend, dass es jemanden bei Google oder IETF stört.

Also ... kurz gesagt ... keine Sorge.

0
Damon