无需访问用户IP地址即可保护HTTPS Internet门户?

时间:2012-04-15 11:35:31

标签: security http https load-balancing

我正在尝试修改一个有一些继承安全漏洞的小型在线门户网站。最值得注意的是,由于网络架构和负载平衡器,应用程序无法访问请求的IP地址。通常我会坚持对来自每个唯一地址的请求数量进行限制,但考虑到疯狂的范围,有些人可以访问这可能不是最终的最佳解决方案。

我可以限制平衡器上每个地址的打开连接数量,但它仍然让我受到暴力破解。

显然,由于造成任何合法用户造成的不便,我在n次尝试后锁定帐户时犹豫不决,但这似乎是实现此目的的极少数方法之一。

简单地想到为每个用户分配一个唯一的id并简单地将它们弹回到HTTP连接以捕获X-Forwarded-For标头,然后将它们跳回到HTTPS,但似乎它可能是一个糟糕的选择, MITM可以轻松拦截这个以劫持会话。 一个IT人员究竟如何应对这种限制?

附加:似乎正在使用的负载平衡器将允许您减少每秒的连接数。这将有所帮助,但仍可能在一段时间内导致可疑数量的无效请求。然而,时间似乎是我们可以使用的一个因素。

1 个答案:

答案 0 :(得分:0)

您描述的每个时间间隔对策的连接数最好在负载均衡器上实现;这是该技术的继承功能,是实施的理想场所。对于尝试登录太多次但没有成功的用户,您不需要在经过多次不良尝试后锁定帐户,而是执行类似CAPTCHA的操作,这会提示用户输入难以看到的内容码。这将阻止自动脚本/攻击启动以用户身份登录的强力尝试。

我不主张出于任何原因将任何人从HTTPS连接弹跳到HTTP连接。