如果 IP 地址不是“秘密”,IP 地址白名单是否有用?

【问题标题】:Is IP address whitelisting useful if the IP address is not "secret"?如果 IP 地址不是“秘密”,IP 地址白名单是否有用?
【发布时间】:2019-01-08 11:07:00
【问题描述】:

我正在开发一个可以访问用户提供的 API 密钥的应用程序。该应用程序代表我们的用户进行 API 调用。

我们使用的 API 允许用户将可以使用其 API 密钥的 IP 地址列入白名单。我正在考虑告诉我们的用户将应用程序的 IP 地址列入白名单,以增加一层安全性,以便只允许来自我们 IP 地址的请求。

但我了解到,欺骗 IP 地址相当容易,并且考虑到我将告诉我们的用户将哪个 IP 地址列入白名单(这意味着,坏人不必费力地查看哪些 IP 地址是有效的),我想知道这是否值得付出努力?

如果恶意行为者以某种方式获取用户 API 密钥,IP 地址白名单真的会增加任何有意义的安全层吗?或者这对于坏演员来说只是一个小小的不便?

谢谢!

【问题讨论】:

    标签: security network-programming ip network-protocols


    【解决方案1】:

    向某人发送带有虚假源地址的数据包很容易,但要获得路由回您的响应要困难得多。换句话说,如果 API 需要在源和目标之间建立连接,则通过源 IP 限制访问非常有效。在 TCP 之上运行的所有东西都需要这样的连接。如果您的 API 使用 UDP(不太可能)并且没有验证请求来源的机制,那么它不会有太大帮助。

    另外,您可能想尝试在这里问同样的问题 - https://security.stackexchange.com/

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2011-02-05
      • 1970-01-01
      • 2012-05-27
      • 2013-08-22
      • 1970-01-01
      • 1970-01-01
      • 2013-10-20
      • 2019-03-22
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode