Zugriffskontrolle anhand von IP-Adressbereichen

[Olli123]

Hi Leute!

Szenario:
"Eine Firma mit mehreren Standorten möchte ein Web-Portal einrichten, auf das die Mitarbeiter an allen Standorten zugreifen können sollen.
Hierzu ist es unter vielen anderen Sicherheitsmaßnahmen notwendig die IP-Adresse auszuwerten, von welcher der Zugriff kommt."

Jetzt könnte ich anfangen und mit lauter if-abfragen zu prüfen!
Das mag ja auch noch bei den Standorten (die von ausserhalb zugreifen) sinnvoll sein, aber bei den vielen IP-Adressen im internen Netz, wäre eine "Bereichsangabe" schon nicht schlecht.

Beispiel: 172.16.0.0 bis 172.16.255.255 haben Zugriff

Jemand ne Ahnung wie ich sowas angehen könnte?
Umgebung: Java 5!

Gruss
Oliver

 

[Final_guy]

Hallo Olli 123,

Idee: Wandel doch die IP-Adressen deines Bereichs in Binärdarstellung um, diese dann in eine natürliche Zahl (Integer) und schon hast du ein Interval gegen dass Du die IP der ankommenden Anfrage prüfen kannst.

 

[Sergeant_Pepper]

Hallo Olli,

mal unabhängig von der Java-Realisierung: ist es denn wirklich tragfähig, die Standort-Zugehörigkeit über die IP-Adresse zu ermitteln? Im Internet ist das völlig unzuverlässig, und auch in einem Intranet mit mehreren hundert Clients kann man sich der Adressbereiche nicht ewig sicher sein. Was ist z.B. , wenn die Netz-Admins etwas umkonfigurieren, und nicht dran denken, die Programmierer über Änderungen zu informieren? Meiner Meinung nach sollte ein Programm nicht von IP-Adressen abhängig sein.

Gruß aus Hannover

 

[Leroy42]

Meiner Meinung nach sollte ein Programm nicht von IP-Adressen abhängig sein.

Dem kann ich nur beipflichten!

 

[Janus]

in der anforderung steht lediglich, dass die adresse ausgewertet werden soll. da steht nichts davon, in welcher art sie ausgewertet werden soll. das system soll also erstmal nur in der lage sein, die adresse zu ermitteln, von welcher der zugriff erfolgt. die landet dann z.b. in einem log o.ä.

 

[Sergeant_Pepper]

@Janus: bist du ein Kollege von Olli? Oder ist "Janus" ein Alias für "Olli123" ?

Unabhängig von der "Art der Auswertung": eine IP-Adressen-spezifische Verarbeitung ist in einer fachbezogenen Anwendung nicht zeitgemäß.

 

[Janus]

wie kommst du jetzt auf die frage? ich hab mich lediglich auf das bezogen, was der OP als anforderung zitiert hat.

und ich weiss ja nicht, was für anwendungen du so entwickelst, aber in meiner firma stellen ip-adressen immer noch eine zentrale rolle in der session verwaltung TCP basierter protokolle dar

 

[Sergeant_Pepper]

wie kommst du jetzt auf die frage? ich hab mich lediglich auf das bezogen, was der OP als anforderung zitiert hat.

Nichts für ungut, ich hatte irgendwie den Eindruck, dass du mit dem OP identisch bist. Habe mich wohl getäuscht.

und ich weiss ja nicht, was für anwendungen du so entwickelst, aber in meiner firma stellen ip-adressen immer noch eine zentrale rolle in der session verwaltung TCP basierter protokolle dar

Ich selbst habe mal vor 4-5 Jahren den gleichen Ansatz verfolgt wie der OP (in einem Intranet, wohlgemerkt). Damals war das noch überschaubar. Inzwischen wurde "mein" Intranet mit anderen gekoppelt (VPN oder so ähnlich), sodass mehrere tausend Clients vernetzt sind. Und nun habe ich auf ein Login mit Benutzer-Kennungen umgeschwenkt. Jeder Kennung ist über eine Benutzerverwaltungs-Datenbank so etwas zugewiesen wie eine "Rolle". Die Rolle steuert die Sichtbarkeit von Funktionen und Informationen des Web-Auftritts.
Ich bleibe dabei: IP-Adressen sind zur eindeutigen Identifikation eines Clients nur sehr, sehr bedingt brauchbar. Und die Bedingung ist: Nutzung der Anwendung in einem Intranet mit der langfristigen GARANTIE, dass die Zuordnung von IP-Adressen zu Clients statisch ist.

Gruß aus Hannover

 

[Janus]

wer hat behauptet, dass die ip-adresse als alleiniges mittel zur eindeutigen identifikation des clients herhalten soll? seh ich hier in keinem wort erwähnt.

 

[Final_guy]

Tach,

ich fürchte wir kommen so langsam ein wenig vom ursprünglichen Thema ab. Ob eine Authentifizierung auf Basis von IP-Adressen sinnvoll ist oder eher nicht, ist zwar durchaus eine berechtigte Diskussion, jedoch hat Olli123 eine ganz konkrete Frage nach einer Idee zur Implementierung gestellt. Vielleicht sollten wir uns wieder darauf fokussieren - oder ist das Thema schon längst erledigt? (In diesem Fall das Häckchen nicht vergessen :roll

 

[Olli123]

Sorry, dass ich mich jetzt erst melde!
Aber das Thema hat sich noch nicht erledigt :bae:

Ich hatte eine derartige Reaktion schon fast erwartet. Sicherheitsmaßnahme war wohl das falsche Wort.
Es geht eher darum, je nach IP-Adresse im Web-Portal andere Inhalte anzeigen zu lassen UND bei fremder IP den Zugang zu verweigern. Ein User muss sich immer noch zusätzlich am Portal anmelden.
Dabei handelt es sich nicht um sicherheitstechnisch hochbrisante Inhalte!

Die Inhalte sind aber auch aus dem WWW erreichbar! Nur wenn das mit den IP-Adressen abgefragt wird, bekäme ein Mitarbeiter in der Firma Zugang zum Portal, von zu Hause jedoch nicht.

Wie auch immer, habt ihr noch andere Ideen um IP-Adressbereiche abzufragen ausser die Umwandlung in Binärdarstellung?

Gruss
Oliver

 

[maki]

Steht doch in der TC Doku wie es geht: http://tomcat.apache.org/tomcat-4.1-doc/config/valve.html

Nachtrag: Hatten wir auch schon im Forum: http://www.java-forum.org/de/viewtopic.php?t=64273&highlight=valve