Gli indirizzi IP e le porte dovrebbero essere considerati riservati?

Question

Ho a che fare con un cliente che è "preoccupato per la sicurezza" e chiedono che tutti i file contenenti porte e indirizzi IP (le informazioni di configurazione in sostanza) debbano essere crittografati.

La mia vista è che gli indirizzi IP e le porte sono essenzialmente pubblici. Il file può dare via la natura del server ma questa sorta di "segretezza parziale" per me non aggiunge nulla alla sicurezza se non un falso senso di sicurezza.

Questo tipo di informazioni deve essere memorizzato in modo crittografato?

Edit: Un piccolo problema è che si tratta di un dispositivo mobile di crittografia in modo da aggiungere è in realtà un overhead abbastanza significativo in quanto si tratta di un compito abbastanza arduo per il processore e causerà un calo di prestazioni.

Answer 1

Non c'è mai alcun danno nel mantenere il maggior numero di informazioni possibile. Meno un potenziale hacker sarà tanto più difficile sarà il suo lavoro.

Tuttavia, la cosa più importante da notare è, come dici tu, un "falso senso di sicurezza". Finché le parole "nessuno ci hackerà, non conoscono il nostro indirizzo IP" non saranno mai pronunciate, allora va bene. Non appena pensi che questo livello di oscurità sia sufficiente per tenerti al sicuro, allora hai un problema.

Answer 2

La mia opinione è che se il cliente lo richiede, si può anche farlo.

Tuttavia, non vedo un punto in proposito, poiché l'accesso ai file di configurazione indica che il sistema è già fortemente compromesso.

Answer 3

Bene, un indirizzo IP può essere considerato informazioni di identificazione personale a seconda di chi chiedi. Se il cliente lo desidera, si potrebbe anche farlo. A seconda del motivo per cui non si desidera crittografarlo, si potrebbe considerare l'offuscamento come un'altra semplice alternativa. Fintanto che questi sono sufficientemente randomizzati, suppongo che il tuo cliente dovrebbe essere felice.

Answer 4

La tua domanda è soggettiva. Ma sì, dovresti crittografare i tuoi dati di configurazione, ha senso. Per quanto riguarda la riservatezza, dipende davvero dal perché? Il tuo meglio per fare ciò che chiede il cliente.

Sono d'accordo con Robin, l'oscurità non è la sicurezza, se qualcuno dovesse scoprire il tuo IP, che è possibile, e portarlo a scansione, potrebbe diventare chiaro quale vettore di attacco possono usare.

Answer 5

Non c'è alcun danno nell'ecrypting del file. Se il cliente è felice, fallo. Spero che non sarà un gran problema quando si tratta di sviluppo.

Ma quello che vorrei fare è anche educare il cliente che "crittografare l'IP" NON significa che tutto è sicuro. È possibile spiegare la limitazione dell'accesso tramite firewall (se possibile) più sicuro della crittografia.

Più oltre, non penso che questa sia una pratica comune da crittografare. Quindi il tuo documento migliore è correttamente su come lo fai e perché lo fai ;-) in modo che i futuri programmatori sappiano perché è stato fatto.

Answer 6

Penso che la maggior parte degli OS abbia il supporto standard per richiedere tutte le connessioni di rete aperte. (netstat, sotto Windows XP, Linux.) Quindi, se l'applicazione sta effettivamente utilizzando gli indirizzi IP per connettersi con i sistemi, quindi la crittografia non è chiaramente sufficiente. Tuttavia, se l'applicazione può essere avviata solo con una password, posso immaginare un utilizzo per la crittografia, rendendo più difficile la visualizzazione delle informazioni quando l'applicazione non è in esecuzione.

Answer 7

Il modo in cui lo guardo è che un indirizzo IP non è di per sé un privilegio, ma è un'informazione utile per un intruso. Perché renderlo facile per lui ottenerlo? Crittografare i dati potrebbe semplicemente infastidirlo e rallentarlo mentre ottiene quell'informazione attraverso altri mezzi, ma più a lungo l'intrusione diventa più costosa è per lui e maggiore è il rischio che venga catturato e fermato.

Chiudendo la mia porta di legno non si fermerà un determinato ladro, ma lo rallenterà e lo farà attirare l'attenzione dei vicini se cerca di entrare. Rispetto al costo dell'installazione della porta, è ne e 'valsa la pena!

Answer 8

Bene con un semplice portscan l'attaccante avrà comunque le informazioni. Come alcuni altri ragazzi hanno già scritto, fornirà un falso senso di sicurezza.

Answer 9

La risposta è senza dubbio SI. Non è una vera risposta di programmazione; questa è l'opinione di un certo numero di cani da guardia ufficiali per la privacy in Europa. Gli indirizzi IP sono considerati abbastanza simili agli indirizzi fisici; potrebbero non essere affidabili al 100% identificare un singolo personale ma sono ancora dati personali. In quanto tali, rientrano nella legislazione pertinente (disposizioni Safe Harbor, ecc.). Il vostro cliente ha tutto il diritto di prendere in considerazione il mercato europeo, quindi questa richiesta ha perfettamente senso dal punto di vista aziendale/legale.

La domanda migliore è in effetti se essi debbano essere mai memorizzati senza crittografia. Se tu come programmatore stai costruendo un sistema in cui stai memorizzando gli indirizzi IP dall'esterno della tua azienda, è meglio che tu controlli con il servizio legale. quali leggi si applicano alla tua azienda.