結論の無い雑記
動的IPアドレス、ポート転送不能な相手にIPアドレス制限検討
- webアクセスをIPアドレス制限をかけて制限で
- 相手側が固定IPで無い
- 更にproxy、VPN、SSHソフト利用禁止やそんな操作が出来るか怪しい相手
- ブラウザのみで踏み台等を経由させてアクセスできないか?
- 当該webアプリケーション自体の改造は出来ないパッケージとする(IPアドレスのみ追加可能)そのため、リファラーは不能。
ふわふわした目的
- office365でセキュアブラウザとか高くつくし、ユーザーのパスワード強化を信用できない
- 社外のIT関係無い企業とかにVPSとかで動かしたredmineとかに直接入力して貰えないかな?
office365の場合
- 非固定IP該当ユーザーに関しては多要素認証を必須設定
redmineとかを他社の方に使って貰う方法の未検証案
- 動的IPアドレス設定でDDNSかメール等で通知して貰うのが厳しければ、確立的に低そうという方法で、
- 繋がらなくなったら(IPアドレスが変わったら)
- 全く関係の無いVPSやクラウド等で建てたサイトで認証して貰ってIPアドレスを採取(そのサイトには、目的のサイトとの関係性を一切表示・リンク等無しにする)
- 自動で採取されたIPアドレスを目的のサイトに自動的に許可に入れる
コロコロIPアドレスが変わるプロバイダーを使っていると実用上辛そうですが・・・
目的とは別だが、アクセス対象によっては、
- 動的に開く
- 代替の認証手段を考えないとですが、Web アプリであれば https でアクセスさせる、パスワード認証等を適切に行う
- ポートを開いてる Web サーバーに対しては、総当たり対策で fail2ban 等の仕込みをする。 (Web以外もあるのであれば) ブラウザの認証が通ったらそのIPアドレス等に対しては一定期間ポートを開く仕込みはできそう
- fail2ban の他にsshguardもあり