IP-toegangscontrole: Het onthullen van het echte IP-adres

Het gebruik van proxies is een beproefde techniek in netwerkbeveiliging. Proxies worden vaak gebruikt als onderdeel van VPN-diensten die IP-adressen maskeren om toegang te krijgen tot geografisch afgeschermde inhoud. In zulke situaties ziet de doelserver alleen het IP-adres van de proxy of VPN-server, en niet dat van de eindgebruiker.

Voor organisaties die toegangscontroles in Active Directory toepassen op basis van IP-adressen, vormt dit een uitdaging. Proxies kunnen het IP-adres van een client verbergen, waardoor het lastiger wordt om op individueel niveau toegangsbeleid af te dwingen en bijvoorbeeld toegang vanuit bepaalde landen niet toe te staan. UserLock biedt een oplossing om het werkelijke IP-adres van de client te achterhalen, zelfs wanneer proxyservers worden gebruikt.

Wat is een IP-proxyserver?

Een IP-proxyserver fungeert als een tussenstation tussen een gebruiker en het internet, zowel inkomend als uitgaand. Het beschermt de gebruiker tegen externe gevaren en/of zorgt ervoor dat de identiteit van de gebruiker verborgen blijft.

Organisaties maken vaak gebruik van reverse proxies, die ontworpen zijn om intern gehoste servers te beschermen tegen aanvallen en om load balancing mogelijk te maken. Voor publiek toegankelijke webservers zijn deze functies essentieel: ze verdelen inkomend verkeer over meerdere servers en blokkeren kwaadaardig verkeer voordat het de interne server bereikt. Proxies maken het moeilijker voor aanvallers om de interne servers te identificeren en te benaderen, waardoor deze minder kwetsbaar worden.

De uitdaging: Proxies verbergen het echte IP-adres van clients

Hoewel proxies bescherming en schaalbaarheid bieden, zorgen ze er ook voor dat het lastiger wordt om het echte IP-adres van een client te achterhalen. Dit bemoeilijkt het loggen en controleren van individuele verbindingen, evenals het handhaven van toegangsbeperkingen op basis van IP-adressen, zoals regels gebaseerd op geolocatie.

IP-adressen spelen een cruciale rol in netwerkbeheer. Ze worden gebruikt om:

• apparaten en clients te identificeren
• verkeer correct te routeren
• toegang tot netwerkbronnen te monitoren en te beheren

Wanneer beheerders geen toegang hebben tot het werkelijke IP-adres van een client, ontstaat een serieus beveiligingsrisico. UserLock biedt hiervoor een oplossing door de juiste configuratie van proxies mogelijk te maken.

Gebruik van proxies met Microsoft IIS

Microsoft’s Internet Information Services (IIS) is een goed voorbeeld van een platform dat gebruikmaakt van proxies. IIS kan zowel interne intranetgebruikers als externe webgebruikers bedienen via HTTPS, wat het tot een populair platform maakt, maar ook extra veiligheidsrisico’s met zich meebrengt.

Om deze risico’s te beperken, wordt vaak een proxy ingezet om de IIS-server te beveiligen. Dit zorgt er echter voor dat het IP-adres van de client verborgen wordt, wat het loggen van gebruikers en het toepassen van toegangsregels op basis van IP-adres bemoeilijkt.

Hoe UserLock het echte IP-adres identificeert

Gebruik van de X-Forwarded-For-header (XFF)

De HTTP-header X-Forwarded-For (XFF) biedt een gestandaardiseerde methode waarmee proxies het werkelijke IP-adres van de client kunnen doorgeven. Door XFF in de proxy te activeren en het IP-adres van de proxy in de geavanceerde instellingen van de UserLock IISProxyList toe te voegen, kan UserLock onderscheid maken tussen het echte IP-adres van de client en dat van de proxy.

Configuratie van IIS Application Request Routing (ARR)

Een andere methode om proxies in IIS correct te configureren, is door gebruik te maken van Application Request Routing (ARR). ARR, een ingebouwde module in IIS, biedt functies zoals load balancing en beveiliging. Door de instelling ‘preserve client IP’ te activeren, kan het werkelijke IP-adres van de client worden doorgegeven via de XFF-header.

Wanneer XFF correct is geconfigureerd in IIS, kan UserLock met behulp van de IISProxyList de proxy-IP’s herkennen en het echte IP-adres van de client onderscheiden (raadpleeg de UserLock-handleiding voor meer details).

Een kanttekening: IP-adresvervalsing

Een belangrijke overweging is dat externe IP-adressen eenvoudig kunnen worden vervalst, inclusief die welke via de XFF-header worden doorgegeven. Hoewel er geen volledige oplossing bestaat om IP-spoofing te voorkomen, kunnen beheerders extra maatregelen nemen, zoals:

• het configureren van headerdetectie in IIS
• het implementeren van een Web Application Firewall (WAF)
• het inzetten van een Intrusion Detection System (IDS)
• het plaatsen van een firewall vóór de proxy

Deze methoden helpen het risico op IP-spoofing te minimaliseren.

Effectieve IP-toegangscontrole met UserLock

Het correct vastleggen van IP-adressen is een fundamenteel onderdeel van netwerkbeveiliging. Voor interne, vertrouwde verbindingen is dit vooral handig, maar voor externe verbindingen is het essentieel. Zonder inzicht in de werkelijke IP-adressen zouden netwerkbeheer en beveiliging vrijwel onwerkbaar worden.

Voor UserLock is het cruciaal om het juiste IP-adres van clients vast te leggen, aangezien het IP-adressen gebruikt om toegangsbeperkingen te handhaven. Dit geldt vooral voor externe verbindingen, waar de risico’s op aanvallen groter zijn.

Daarom is het essentieel dat proxies correct worden geconfigureerd om het werkelijke IP-adres door te geven via de XFF-header. Deze configuratie is eenvoudig uit te voeren met de standaard beschikbare middelen.

Meer weten over Userlock? Neem contact op. We helpen u graag verder.