1

MAC アドレスまたはマシン ID がインターネット経由で転送されないことは認識していますが、サブスクリプション ベースの Web サイト セキュリティをロックダウンして、特定のコンピューターのみが登録し、そのリソースにアクセスできるようにしたいと考えています。

大規模な組織は私たちのサービスに加入し、間違いなく組織に複数の IP を持っています。同様に、有資格の従業員が物理的な組織外のデバイスから Web サイトにアクセスできるようにしたいと考えています (ロードトリップのプレゼンテーションなど)。

この目的を達成するための確実な方法はありますか (各アカウントに割り当てられたユーザー名/パスワードを超えて)? そうでない場合、最も効果的なアプローチは何ですか?

4

2 に答える 2

2

IP経由のアクセスを制限する代わりに、実際に安全なものを使用する必要があります。

HTTPS接続を介したユーザー名とパスワードは、少なくとも盗聴できないようにする必要がありますが、クライアントのSSL証明書を調べることをお勧めします。これらは、Apacheまたはその他のWebサーバーソフトウェアで構成できます。ユーザー名/パスワード認証が十分でない場合、これは次の(そしておそらく最後の)ステップです。

アップデート:

とはいえ、多くのアプリケーションプロバイダーが行うことは、サブスクライバーが自分のアカウントにACLを実装するための方法を提供することです。サービスへのアクセスを許可する前に、ACLを検討するように強制することもできます。このように考えてください:

  • アカウントがシステムに設定され、どこからでもログインできるようになります。作成時、ACLはUNSETです。
  • ユーザーがログインすると、すぐにACL設定ページに移動します。このページでは、アカウントに関連付けられたIPアドレス、範囲、またはサブネットのいずれかを指定する必要があります。賢く、既存のIPアドレスまたはサブネットを事前に入力することができます。おそらく、ARINを調べて、IPがアカウントの会社名に割り当てられたネットワークにあるかどうかを確認することもできます。
  • ACLが設定されると(または、警告にもかかわらず、ACLを開いたままにしておきたいことを確認した場合)、ACLはサービスにアクセスできます。
  • 他の場所からログインしようとすると、違反の試みが電子メール(またはSMSなど)で通知されます。
  • ACLにリストされたIPにアクセスできなくなった場合(つまり、新しいアップストリームインターネットプロバイダーと不適切な計画のためにIPの番号が付け直された場合)、電話サポートに電話して、他の方法で検証することができます。おそらくFAX確認、それはとても安全だからです...

ユーザー管理のACLは「確実な」方法ではありませんが、ニーズに十分に効果的である可能性があり、顧客に自分の最大の関心事があるという感覚を確実に植え付けることができます。

于 2012-11-07T18:59:42.523 に答える
0

確実な方法はありません。それがネットワークの性質です。リモートマシンからのデータを受け入れ、少なくともある程度信頼する必要があります。

シンプルなユーザー名/パスワードのアプローチを採用してください。ユーザー名とパスワードが一致する場合は、ユーザー名とパスワードが意図された人物によって入力されたものであると信頼する必要があります。クライアントからより多くのデータを送信する必要がある場合、これは基本的に変わりません。

于 2012-11-07T18:57:22.560 に答える