¿Las direcciones IP y los puertos deben considerarse confidenciales?

Question

Estoy tratando con un cliente que está "preocupado por la seguridad" y están exigiendo que todos los archivos que contienen puertos y direcciones IP (información de configuración esencialmente) deben estar encriptados.

Mi opinión es que las direcciones IP y los puertos son esencialmente públicos. El archivo puede revelar la naturaleza del servidor, pero este tipo de "secreto parcial" para mí en realidad no agrega nada a la seguridad que no sea una falsa sensación de seguridad.

¿Este tipo de información debe almacenarse encriptada?

Edición: Un pequeño problema es que es un dispositivo móvil, por lo que agregar encriptación es en realidad una sobrecarga considerable ya que es una tarea bastante ardua para el procesador y causará un golpe de rendimiento.

Answer 1

Nunca hay ningún daño en mantener tanta información privada como sea posible. Mientras menos le des a un hacker potencial, más difícil será su trabajo.

Sin embargo, lo más importante a tener en cuenta es, como dices, una "falsa sensación de seguridad". Siempre y cuando las palabras "nadie nos piratee, no conozcan nuestra dirección IP" nunca se pronuncien, está bien. Tan pronto como creas que este nivel de oscuridad es suficiente para mantenerte a salvo, entonces tienes un problema.

Answer 2

Mi opinión es que si el cliente lo solicita, puede hacerlo.

Realmente no veo un punto, ya que el acceso a los archivos de configuración significa que el sistema ya está muy comprometido.

Answer 3

Bueno, una dirección de IP podría considerarse información de identificación personal dependiendo de a quién le pregunte. Si su cliente lo quiere, puede ser que también lo haga. Dependiendo de por qué no desea encriptarlo, puede considerar la ofuscación como otra alternativa simple. Siempre que sean lo suficientemente aleatorias, supongo que su cliente debería estar contento.

Answer 4

Tu pregunta es subjetiva. Pero sí, debes cifrar tus datos de configuración, tiene sentido. En cuanto a que sea confidencial, ¿realmente depende de por qué? Lo mejor que puede hacer es lo que el cliente le pida.

Estoy de acuerdo con Robin, la oscuridad no es la seguridad, si alguien descubriera su IP, que es posible, y le escaneen el puerto, puede ser evidente qué vector de ataque pueden usar.

Answer 5

No hay daños al eclipsar el archivo. Si el cliente está contento, hágalo. Espero que no sea un gran problema cuando se trata de desarrollo.

Pero lo que yo haría también es educar al cliente que "encriptar la ip" NO significa que todo esté seguro. Puede explicar que el acceso restringido a través del firewall (si es posible) es más seguro que el cifrado.

Más de una vez No creo que esta sea una práctica común para encriptar. Así que mejor que documente correctamente cómo lo hace y por qué lo hace ;-) para que los futuros programadores sepan por qué se hizo.

Answer 6

Creo que la mayoría de los OS-es tienen soporte estándar para solicitar todas las conexiones de red abiertas. (netstat, en Windows XP, Linux.) Por lo tanto, si la aplicación utiliza realmente las direcciones IP para conectarse con los sistemas, entonces el cifrado no es suficiente. Sin embargo, si la aplicación solo se puede iniciar con una contraseña, entonces podría imaginar un uso para el cifrado, lo que hace que sea un poco más difícil ver la información cuando la aplicación no se está ejecutando.

Answer 7

La manera en que veo que es, una dirección IP no es en sí privilegiada, pero es información útil para que un intruso pueda tener. ¿Por qué hacer que sea fácil para él obtenerlo? Cifrar los datos puede simplemente irritarlo y desacelerarlo mientras obtiene esa información por otros medios, pero cuanto más tiempo lleva la intrusión, más costoso es para él y mayor es el riesgo de que sea atrapado y detenido.

Bloquear mi puerta de entrada de madera no detendrá a un ladrón determinado, pero lo ralentizará y hará que atraiga la atención de los vecinos si trata de entrar. En comparación con el costo de instalar la puerta, eso es ¡vale la pena!

Answer 8

bien con un simple escaneo de puertos el atacante tendrá la información de todos modos. Como algunos otros chicos ya han escrito, proporcionará una falsa sensación de seguridad.

Answer 9

La respuesta es, sin duda, SÍ. No es una respuesta de programación real; esta es la opinión de varios vigilantes de privacidad oficiales en Europa. Las direcciones IP se consideran lo suficientemente similares a las direcciones físicas; es posible que no sean 100% fiables para identificar a un solo individuo, pero siguen siendo datos personales. Como tales, se incluyen en la legislación pertinente (disposiciones de puerto seguro, etc.). Su cliente tiene todo el derecho de tener en cuenta el mercado europeo, por lo que esta solicitud tiene mucho sentido desde una perspectiva comercial/legal.

La mejor pregunta es, de hecho, si es que alguna vez se deben almacenar sin cifrar. Si usted, como programador, está creando un sistema en el que está almacenando direcciones IP desde fuera de su empresa, será mejor que consulte con el departamento legal. qué leyes se aplicarían a su empresa.