Sichere Adminpannels über DNS / IP filtering

S

Schurke

0
Hi,

also ich hatte gerade die Idee man könnte ja ein Adminpanel bauen das sich die IP's der über eine DNS Admins holt, also sagen wir mal von No-IP, eben einer seriöseren gesellschaft von deren zugang man als geschützt ausgehen kann.Nun könnte man ja dan je danach welche IP die seite requestet die "Admin" version und die "normale" version schiken.

Aber wie sieht das aus mit den IP's, kann man seine eigene IP auf eine definierte setzen, also nicht mittels proxy sondern anders so das man bsp. die admin ip an die seite sendet, oder ist das unmöglich?

Weil sonst wäre dieses System je danach wie sicher die DNS ist soweit schwer erkennbar und somit auch schwer umgehbar. Was denkt ihr dazu, ist sowas realisierbar? Denn zurzeit gibt es ja sehr viele exploits die sich die session ids etc. zunutze machen welche verteilt werden damit sich der benutzer nicht ständig einloggen muss, nur das wäre bei der IP nunmal unnötig.
 
Original von Schurke
Hi,

also ich hatte gerade die Idee man könnte ja ein Adminpanel bauen das sich die IP's der über eine DNS Admins holt, also sagen wir mal von No-IP, eben einer seriöseren gesellschaft von deren zugang man als geschützt ausgehen kann.Nun könnte man ja dan je danach welche IP die seite requestet die "Admin" version und die "normale" version schiken.
Zum Vergrößern anklicken....

Hä?! ?(
 
Wenn ich ihn richtig verstanden habe spricht er von einer unterschiedlichen Auflösung eines Domainnamens, je nach anfragender IP-Adresse. Den Sinn dahinter und den Unterschied zu klassischen IP-Filtern verstehe ich allerdings auch nicht. Wirkliche Vorteile erschliessen sich mit dadurch nicht. Das ganze wirkt eher nachteilig, da eine komplexere Konfiguration entwickelt werden müsste. Der Mehraufwand lohnt sich somit nicht.

Wer es dennoch schön findet, wenn ein Domainname in eine andere IP aufgelöst werden soll, der kann sich die entsprechenden Daten in die hosts-Datei oder in einen eigenen DNS-Server eintragen, welcher vor allen anderen abgefragt wird.
 
also ich verstehe ihn so, dass er z.B. auf seinem Rechner einen DynDNS / NoIP Client installieren will und dann meinetwegen schurke.dyndns.org immer auf seine aktuelle IP geht und dass er dann dementsprechend, wenn die IP, die unter schurke.dyndns.org erreichbar ist, auf seine Seite kommt, automatisch das Admin-Panel läuft und ansonsten die normale Seite.

das ganze hat einen großen Haken:
wenn du die Internet-Verbindung trennst, bleibt, solange das Programm keine neue IP an DynDNS / NoIP übertragen hat, der alte IP-Eintrag vorhanden. Diese IP kann dann in der Zwischenzeit jedoch schon ein ganz anderer User bekommen, der dann frei rum administrieren kann...

Oder stell dir vor, du hast den DynDNS-Client auf deinem Laptop und wählst dich über ein Netzwerk ins Internet ein (z.B. Hochschul-Netzwerk, Internet-Cafe, etc.)

Dann können alle User, die auch in diesem Netzwerk sind, auf deiner Seite herum-administrieren.


Fazit: zusätzlich zum Login ist's möglich, aber als Ersatz für ein herkömmliches Login mehr als gefährlich...

Ich würde das ehr so realisieren, dass ich beim Login zu dem Nutzer die SessionID sowie einen Hash-Wert aus IP und Browser-Identifikation speichern würde und sollte sich während einer Session der Hash ändern (was zwangsläufig in dem Moment passiert, wo entweder die SessionID entführt wird oder sich der Router zwecks 24h-Zwangstrennung neu connectet), lässt du dich dann automatisch ausloggen.
 
so wie breavis hatte ichs gemein ^^ die formulierung is eher im stiel einer geistigen umnachtung von mir ^^ :D war grad net auf der höhe .. aber das alle im netzwerk die gleiche ip haben hätt ich nicht gedacht. weil bei mir sind es unterschiedliche ( mehrere clienten am router )
 
In deinem Netzwerk haben alle angeschlossenen Rechner unterschiedliche IP Adressen
das ist Richtig würde sonst auch nicht gehen, aber zum Internet hin haben alle Clients
eine IP Adresse!
 
Die Frage bleibt weiterhin, welchen Sinn das ganze machen soll und welchen Vorteil du dir gegenüber normalem, klassischen IP-Filtering per Serverkonfiguration versprichst.
Das ganze wäre auch mit div. Routing-Mechanismen einfacher durchzuführen, anstatt z.b. über 2 DynIP-Clienten, welche jeweils nur ausgeführt werden, wenn es der andere nicht wird. Dadurch würdest du zumindest dem von beavisbee genannten Adressen-Konflikt entgegen wirken.
Sofern du einen eigenen DNS-Server betreibst (oder Zugriff auf einen hast) könntest du dieses Vorhaben auch relativ einfach ohne einen DynDNS-Service automatisieren. Zur Verifizierung der DNS-Informationen könntest du ausserdem DNSSEC (bzw. DNSCurve) einsetzen.
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben