結論の無い雑記

動的IPアドレス、ポート転送不能な相手にIPアドレス制限検討

• webアクセスをIPアドレス制限をかけて制限で
  • 相手側が固定IPで無い
  • 更にproxy、VPN、SSHソフト利用禁止やそんな操作が出来るか怪しい相手
• ブラウザのみで踏み台等を経由させてアクセスできないか？
• 当該webアプリケーション自体の改造は出来ないパッケージとする（IPアドレスのみ追加可能）そのため、リファラーは不能。

ふわふわした目的

• office365でセキュアブラウザとか高くつくし、ユーザーのパスワード強化を信用できない
• 社外のIT関係無い企業とかにVPSとかで動かしたredmineとかに直接入力して貰えないかな？

office365の場合

• 非固定IP該当ユーザーに関しては多要素認証を必須設定

redmineとかを他社の方に使って貰う方法の未検証案

• 動的IPアドレス設定でDDNSかメール等で通知して貰うのが厳しければ、確立的に低そうという方法で、
  • 繋がらなくなったら（IPアドレスが変わったら）
  • 全く関係の無いVPSやクラウド等で建てたサイトで認証して貰ってIPアドレスを採取（そのサイトには、目的のサイトとの関係性を一切表示・リンク等無しにする）
  • 自動で採取されたIPアドレスを目的のサイトに自動的に許可に入れる

コロコロIPアドレスが変わるプロバイダーを使っていると実用上辛そうですが・・・

目的とは別だが、アクセス対象によっては、

• 動的に開く
• 代替の認証手段を考えないとですが、Web アプリであれば https でアクセスさせる、パスワード認証等を適切に行う
• ポートを開いてる Web サーバーに対しては、総当たり対策で fail2ban 等の仕込みをする。 (Web以外もあるのであれば) ブラウザの認証が通ったらそのIPアドレス等に対しては一定期間ポートを開く仕込みはできそう
• fail2ban の他にsshguardもあり