Contrôle d’accès par IP : révéler la véritable adresse IP

L’utilisation de proxys est une technique établie de longue date en matière de sécurité réseau. La plupart des utilisateurs les rencontrent sous la forme de proxys directs (forward proxies), par exemple des services VPN conçus pour masquer une adresse IP auprès d’un serveur afin d’accéder à du contenu soumis à des restrictions géographiques. Dans ce cas, le serveur voit l’adresse IP du serveur VPN plutôt que celle du client. Mais cela devient problématique si vous appliquez des contrôles d’accès Active Directory basés sur l’adresse IP. Voici comment UserLock résout ce problème afin d’identifier la véritable adresse IP du client.

Un serveur proxy IP se place entre vous et Internet. Il est là pour vous protéger des dangers potentiels du web. En d’autres termes, il vous sépare des sites que vous consultez et préserve votre identité en ligne.

Les organisations utilisent souvent des proxys inverses (reverse proxies), conçus pour protéger les serveurs exposés à Internet, tels que les serveurs web, contre les attaques ou pour mettre en œuvre l’équilibrage de charge.

Pour tout serveur web accessible publiquement, ces deux fonctions sont essentielles afin de répartir dynamiquement le trafic entre plusieurs serveurs et de bloquer le trafic malveillant avant qu’il n’atteigne le serveur.

Du point de vue d’un attaquant, l’utilisation d’un proxy par le défenseur signifie que l’identité interne et l’adresse IP du serveur ne sont plus visibles, ce qui en fait une cible beaucoup plus difficile à identifier.

Cependant, une complication est que les proxys ont pour effet de masquer la véritable adresse IP d’un client derrière celle du proxy, ce qui rend plus difficile l’application de politiques de sécurité individualisées.

Pour les administrateurs, le chiffre le plus important en réseau est toujours l’adresse IP. Elle est utilisée pour identifier et enregistrer les appareils ou clients individuels lorsqu’ils se connectent, pour acheminer les paquets entre les réseaux, et pour surveiller et contrôler l’accès aux ressources réseau plus larges.

Avec le temps, cette dernière fonction — surveillance, contrôle et journalisation — est devenue encore plus cruciale. Aujourd’hui, lorsqu’un administrateur cherche à comprendre ce qui se passe sur son réseau, la première information qu’il consulte est un journal contenant les adresses IP et les connexions associées.

Tout ce qui compromet la capacité à voir la véritable adresse IP d’un client risque de créer des problèmes pour les solutions de sécurité, y compris les logiciels de gestion des identités et des accès (IAM) tels que UserLock. C’est un exemple de la manière dont l’implémentation de la sécurité à un niveau peut compliquer la gestion à un autre. Heureusement, avec UserLock, cela ne doit pas être le cas.

La plateforme web Microsoft Internet Information Services (IIS) en est un bon exemple. En tant que serveur, IIS est atypique. La plupart des serveurs sont des ressources internes qui ne devraient être accessibles depuis l’extérieur du réseau que via un canal protégé, tel qu’un VPN. IIS, en revanche, peut être configuré pour servir simultanément des utilisateurs Intranet internes et des utilisateurs web externes via HTTPS, ce qui accroît les enjeux en matière de sécurité.

C’est pourquoi un proxy est toujours utilisé pour sécuriser un réseau IIS, en particulier lorsqu’il est ouvert au trafic externe. Mais cela signifie que votre solution de sécurité des accès ne peut plus voir les adresses IP des clients se connectant depuis l’extérieur du réseau, de l’autre côté du proxy. Cela limite souvent la capacité à enregistrer précisément les utilisateurs et à appliquer des restrictions d’accès, telles que la géolocalisation ou des restrictions basées sur l’adresse IP.

Heureusement, l’en-tête HTTP X-Forwarded-For (XFF) offre une méthode normalisée permettant de transmettre la véritable adresse IP à travers le proxy. Avec XFF activé sur le proxy, il suffit aux administrateurs d’ajouter l’adresse IP du proxy dans le paramètre avancé UserLock IISProxyList. Cela permet à UserLock de capturer les véritables adresses IP des clients tout en les distinguant de celle du proxy.

Une approche pour mettre IIS derrière un proxy consiste à utiliser les fonctions de proxy intégrées à IIS. En arrière-plan, IIS est composé de plusieurs modules, dont les fonctions de proxy telles que l’équilibrage de charge et la sécurité sont gérées par Application Request Routing (ARR). Grâce à cela, les administrateurs peuvent rendre visibles les adresses IP des clients dans UserLock via XFF en configurant la préservation de l’adresse IP client dans les paramètres d’en-tête appropriés.

UserLock doit également savoir identifier les adresses IP clients transmises via le proxy. En supposant que XFF ait été configuré dans IIS, cela se fait en entrant l’adresse IP du proxy dans le paramètre avancé IisProxyList de UserLock. Cela permet à UserLock de distinguer les clients du proxy lui-même (voir la documentation UserLock).

Un point important à considérer est que les adresses IP externes peuvent facilement être usurpées, y compris celles transmises via un proxy à l’aide de XFF. Il n’existe pas de solution unique à ce problème, bien que la mise en œuvre d’une détection de manipulation d’en-têtes IIS, l’utilisation d’un pare-feu applicatif web (WAF), d’un système de détection d’intrusion ou d’un pare-feu placé en amont du proxy constituent des moyens de limiter ce risque.