Normalmente, el lado del servidor verificará que el nombre común (CN) del certificado del cliente coincida con el nombre de dominio (DN) del cliente.
Pero necesitaría ampliar el control de seguridad. Necesito verificar que la dirección IP entrante del cliente coincida con la dirección IP DNS del nombre de dominio del cliente.
Por ejemplo:-
- Certificado de servidor cliente CN y nombre de dominio como "test.123.net". Y la dirección IP del registro DNS (A) "test.123.net" = 1.1.1.1.
- La conexión es https.
- Cuando este cliente envía una solicitud a mi servidor. En primer lugar, necesito verificar que la dirección IP del cliente coincida con la dirección IP DNS. En este caso, la dirección IP entrante del cliente debe usar la dirección IP = 1.1.1.1.
- En segundo lugar, verifique que el certificado CN coincida con el nombre de dominio. En este caso, "test.123.net" coincide con el nombre de dominio entrante del cliente.
Sé que puedo usar OpenSSL o Apache para realizar la verificación CN y DN, pero no pude encontrar ninguna manera de verificar que la dirección IP del cliente coincida con la dirección IP DNS de DN.
¿Puedo saber si existe alguna herramienta en el mercado que pueda hacer esto? ¿O cualquier servidor web puede hacer esto? Intenté buscarlo en Google durante mucho tiempo pero no encontré nada.
Gracias,
Respuesta1
Es probable que otro enfoque le resulte más útil.
En primer lugar, pocas organizaciones poseen su espacio de direcciones IP y, para ellas, configurar el DNS inverso correcto es una molestia que implica comunicarse con su ISP y solicitar ese servicio. Este suele ser un proceso manual. Esto significa que en el caso "típico" no tiene idea de qué organización está utilizando actualmente una dirección IP específica con una granularidad más estricta que a nivel de ISP.
Esto, a su vez, significa que si desea realizar búsquedas explícitas de certificados de cliente, le pedirá que cree un certificado autofirmado y le entregue la cadena de CA correspondiente que lo identifique como válido desde su punto de vista, o que compre un Certificado de una CA reconocida que puede verificar de forma independiente. En tal caso, no se requiere validación de la dirección IP, porque un espía que no posee la clave privada correcta solo recibirá un mensaje cifrado de su parte, uno cifrado con la clave pública del cliente legítimo.
Si desea aumentar la seguridad más allá de esto, planifique un túnel VPN. Una alternativa (que no es necesariamente buena contra ataques dirigidos) sería limitar el acceso a su sistema a direcciones IP explícitas.