Có thể xác định chính xác địa chỉ IP của ứng dụng khách trong java servlet

Question

Tôi muốn định cấu hình máy trong mạng của mình để chấp nhận tất cả cuộc gọi từ một máy cụ thể mà không cần xác thực. Đối với điều này tôi đang lập kế hoạch để sử dụng địa chỉ IP của máy khách như là yếu tố tin tưởng cần thiết để cho phép xác thực không được kiểm soát.

Mối quan tâm của tôi là có thể xác định chính xác địa chỉ IP của ứng dụng khách trong một servlet java? Có thể là IP mà tôi nhận được trong servlet có thể được thay đổi bởi một số cơ chế hacking để làm cho máy chủ của tôi tin rằng đó là IP đáng tin cậy?

Ví dụ: nếu máy chủ của tôi được định cấu hình để tin tưởng 192.168.0.1, thì có thể một số ứng dụng khách khác không phải là 192.168.0.1 giả vờ là 192.168.0.1 và đánh lừa cơ chế xác thực của tôi không?

Answer 1

Bạn có thể sử dụng phương thức getRemoteAddr() từ lớp HttpServletRequest để nhận địa chỉ IP. Hãy cẩn thận, mặc dù. Nếu khách hàng của bạn ở phía sau máy chủ proxy (hoặc thậm chí là tường lửa NATting), bạn sẽ nhận được địa chỉ IP proxy thay thế.

Vì vậy, bạn cũng có thể tìm tiêu đề X-Forwarded-For HTTP (tiêu chuẩn để xác định địa chỉ IP nguồn của ứng dụng phía sau proxy HTTP). Xem thêm trên Wikipedia. Hãy cẩn thận, mặc dù. Nếu máy khách của bạn KHÔNG ở phía sau proxy, bạn có thể nhận được một tiêu đề XFF rỗng. Vì vậy, nếu bạn theo con đường này, bạn nên sử dụng một hỗn hợp các phương thức servlet và đánh giá tiêu đề XFF. Tuy nhiên, không có gì đảm bảo rằng proxy sẽ chuyển tiếp cho bạn tiêu đề.

Nhưng lưu ý rằng địa chỉ IP nguồn có thể dễ dàng thay đổi hoặc giả mạo bởi bất kỳ ứng dụng khách độc hại nào. Tôi thực sự khuyên bạn nên sử dụng một số loại xác thực ứng dụng khách (ví dụ: chứng chỉ). Không có cách nào cho một ứng dụng web để chính xác xác định địa chỉ IP của khách hàng.

Answer 2

IP có thể dễ dàng bị giả mạo như người gửi email, tôi thực sự khuyên bạn không nên chỉ dựa vào chúng.

Answer 3

Dịch vụ của bạn có thể dễ bị tổn thương đối với IP Spoofing. Thật dễ dàng để giả mạo các gói xuất hiện từ một địa chỉ IP khác. Tuy nhiên, điều về giả mạo là kẻ tấn công sẽ không thể nhận bất kỳ gói phản hồi nào. Do đó, nếu gọi dịch vụ của bạn không gây ra thay đổi trạng thái nội bộ (nghĩa là chỉ đọc), thì bạn sẽ không sao. Tuy nhiên, nếu các cuộc gọi đến dịch vụ của bạn sẽ phát hành ghi, thì bạn không nên chỉ đơn giản dựa vào địa chỉ IP vì gói giả mạo sẽ đủ để thay đổi trạng thái nội bộ của hệ thống của bạn.

Answer 4

Bạn có thể ở địa phương có thể bị lỗi ARP Spoofing. Trường hợp máy độc hại thuyết phục bộ định tuyến kết hợp địa chỉ IP với địa chỉ MAC của nó.

Mức độ và cơ chế của sự tin tưởng thực sự phụ thuộc vào độ nhạy của máy chủ/dịch vụ mà bạn đang cố gắng để bảo vệ và môi trường bạn đang hoạt động tại.

Dường với tôi rằng đây là một sự sắp xếp địa phương cho các cá nhân Dải địa chỉ IP 192.168. Nếu máy chủ này không phải là công chúng phải đối mặt, không quan trọng và bạn đang hoạt động trong một môi trường mạng LAN tương đối an toàn đó là cũng tắt từ công chúng và LANS tư nhân khác thì bạn sẽ được OK. Nếu không, bạn nên xem xét các tùy chọn bảo mật khác ở mức cao hơn.

Answer 5

Quan ngại của tôi là có thể xác định chính xác địa chỉ IP của ứng dụng khách trong một servlet java?

Không thể thực hiện được. Có một số tình huống mà bạn sẽ không thấy địa chỉ IP của ứng dụng khách thực sự do hành động của người dùng hoặc các lý do khác nằm ngoài tầm kiểm soát của người dùng.

Trong các trường hợp sau, việc xác định dựa trên IP kết thúc gây ra đau đầu cho khách hàng trung thực của bạn; tức là khách hàng mà bạn thực sự muốn giữ.

Nếu bạn thực sự cần giới hạn quyền truy cập vào bộ máy tính cụ thể, bạn nên cân nhắc sử dụng một cái gì đó như SSL/TLS với chứng chỉ ứng dụng làm tuyến phòng thủ đầu tiên của bạn. TLS với chứng chỉ ứng dụng khách được mô tả here.