일반적으로 서버 측은 클라이언트 도메인 이름(DN)과 일치하는 클라이언트 인증서 CN(일반 이름)을 확인합니다.
하지만 보안 검사를 연장해야 할 것 같아요. 클라이언트 도메인 이름 DNS IP 주소와 일치하는 클라이언트 인바운드 IP 주소를 확인해야 합니다.
예를 들어:-
- 클라이언트 서버 인증서 CN 및 도메인 이름은 "test.123.net"입니다. 그리고 "test.123.net" DNS(A) 레코드 IP 주소 = 1.1.1.1입니다.
- 연결은 https입니다.
- 이 클라이언트가 내 서버에 요청을 보낼 때. 먼저 클라이언트 IP 주소가 DNS IP 주소와 일치하는지 확인해야 합니다. 이 경우 클라이언트 인바운드 IP 주소는 IP 주소 = 1.1.1.1을 사용해야 합니다.
- 둘째, 도메인 이름과 일치하는 인증서 CN을 확인합니다. 이 경우 클라이언트 수신 도메인 이름과 일치하는 "test.123.net"입니다.
OpenSSL 또는 Apache를 사용하여 CN 및 DN 확인을 수행할 수 있다는 것을 알고 있지만 클라이언트 IP 주소가 DN DNS IP 주소와 일치하는지 확인하는 방법을 찾을 수 없습니다.
시중에 이 작업을 수행할 수 있는 도구가 있는지 알 수 있습니까? 아니면 어떤 웹 서버라도 이것을 할 수 있나요? 오랫동안 구글링을 시도했지만 아무것도 찾을 수 없었습니다.
감사해요,
답변1
다른 접근 방식이 더 나은 결과를 가져올 가능성이 높습니다.
우선, 자신의 IP 주소 공간을 소유한 조직은 거의 없으며, 이들에게 올바른 역방향 DNS를 설정하는 것은 ISP에 연락하여 해당 서비스를 요청하는 번거로움을 수반합니다. 이는 수동 프로세스인 경우가 많습니다. 즉, "일반적인" 경우에는 현재 어떤 조직이 ISP 수준보다 더 세밀하게 특정 IP 주소를 사용하고 있는지 알 수 없습니다.
이는 명시적인 클라이언트 인증서 조회를 수행하려는 경우 클라이언트에게 자체 서명된 인증서를 생성하고 클라이언트의 관점에서 유효한 것으로 식별하는 해당 CA 체인을 전달하도록 요청하거나 독립적으로 확인할 수 있는 잘 알려진 CA의 인증서입니다. 그러한 경우에는 IP 주소 검증이 필요하지 않습니다. 왜냐하면 올바른 개인 키를 소유하지 않은 도청자는 귀하로부터 암호화된 메시지만 받게 되기 때문입니다. 즉, 올바른 클라이언트의 공개 키로 암호화된 메시지입니다.
이 이상으로 보안을 강화하려면 VPN 터널을 계획하세요. 대안(표적 공격에 반드시 좋은 것은 아님)은 시스템에 대한 액세스를 명시적인 IP 주소로 제한하는 것입니다.