het punt ligt nogal in de definitie van "voldoende veilig",
want in principe is de kans klein dat het ip inderdaad
gespoofed wordt. het kan wel natuurlijk, maar hoe groot is
de kans is blijft de vraagt.

Bedankt sikkes voor je snelle reactie. "Voldoende" is
inderdaad moeilijk te kwantificeren. De klasse van de
gegevens die verstuurt worden is vertrouwelijk. De eisen aan
de betrouwbaarheid en onweerlegbaarheid zijn soms hoog. Mijn
twijfel is gedeeltelijk te wijden aan een artikel als het
volgende: "double reverse lookup" is not a security measure.
zie:
http://homepages.tesco.net/~J.deBoynePollard/FGA/dns-avoid-double-reverse.html
Dit artikel gaat misschien slaat misschien niet volledig op
deze case maar brengt mij toch aan het twijfelen.

Wat partij B bedoelt is dat je de IP-adressen van hun
clients in je firewall opneemt, en alleen die
adressen toegang geeft tot je server A. Dat heeft gelukkig
niets met (reverse) DNS te maken (dat zou een extra laag aan
onzekerheid toevoegen). Voorwaarde is natuurlijk dat B
uitsluitend statische IP-adressen gebruikt.

De veiligheid hierbij begint met security by
obscurity, nl. dat aanvallers niet weten welke
IP-adressen wel toegang hebben. Zodra ze dat wel
weten geldt het volgende.

Iedereen kan op zijn PC elk gewenst IP adres inkloppen en IP
pakketten (TCP, UDP, ICMP) met dat adzenderadres versturen.
Heen lukt vaak wel (ongeacht het gekozen IP-adres); http(s),
dus TCP, vereist echter een bidirectionele verbinding.
IP-spoofing werkt bij TCP dan ook alleen als pakketten beide
kanten op hun bestemming bereiken. Of dat gebeurt wordt
bepaald door de routers onderweg (en door de ethernet layer
tussen de laatste routers en A c.q. B).

Ik zie zo twee risico's. Ten eerste kunnen kwaadwillende
admins (of onbevoegden die zich toegang hebben weten te
verschaffen) router tabellen manipuleren (zij zien de
IP-adressen van B dus hier geldt geen obscurity
belemmering). De kans hierop is klein maar niet nul.

Ten tweede kan waarschijnlijk ELKE PC achter de laatste
router (aan de B-kant) zich voordoen als client B. Dit geldt
zowel voor NAT als voor de situatie dat nog van publieke
IP-adressen gebruik gemaakt wordt (subnet dus). Enkele
voorbeelden:

Als B gebruikt maakt van een router met NAT (bijv. een ADSL
MODEM), dan zul jij het IP-adres van die router in jouw
firewall zetten. Daarmee maakt elke PC achter die
router gebruik van het "vertouwde" IP adres en krijgt dus
toegang tot A. Als klant B gebruik maakt van een wireless
LAN dat niet grondig is dichtgetimmerd (en die schijnen
zeldzaam te zijn) kunnen ook derden zich eenvoudig voordoen
als B. Ook als niet van WLAN gebruik gemaakt wordt hoeft er
maar 1 PC in dat netwerk gecompromitteerd te zijn om een
derde zich als B te kunnen laten voordoen. Vanuit zo'n LAN
kunnen tunnels naar andere LAN's bestaan; ook vanuit
die LAN's kunnen PC's zich dan mogelijk voordoen als B.

Er zijn instellingen die ook intern gebruik maken van
publieke IP adressen. In veel gevallen kan elke PC zich dan
elk gewenst IP-adres binnen zijn subnet toe-eigenen (ook
hier moet je aan gecompromitteerde PC's denken). Of dat
werkt hangt van een aantal zaken af, bijv. of de de "echte"
B-PC aan staat of niet. Afluisteren van de verbinding is
vaak eenvoudiger, maar daar helpt https tegen.

Ik sluit niet uit dat je in een ADSL- of kabel MODEM het
IP-adres kunt wijzigen in een ander adres uit het subnet
(dus het door de ISP via DHCP o.i.d. aangeboden adres
overschrijven) en dat je daarmee "wegkomt". Denk bijv. aan
de situatie dat B bij ISP X zit; als je als kwaadwillende
een zombie bij X "beheert" die toevallig in hetzelfde subnet
zit, kun je vanaf die zombie PC mogelijk ook de MODEM
instellingen wijzigen, en je zo voordoen als B.

Kortom, op het huidige internet is een IP-adres vooral een
"richting" (d.w.z. tot de laatste nog vertrouwde router);
welke PC daar precies achter zit is, alleen op basis van een
IP-adres, niet met zekerheid vast te stellen.

Succes,
Erik van Straten

Lijkt me nogal simpel.. Partij A is de aanbieder van de data.. Deze EIST dat er clientcertificaten gebruikt worden.. Als Partij B dat niet wil, hebben ze gewoon pech..

Wat bedoel je met "Twee partijen willen veilig communiceren
over http over het internet": authenticatie en/of
confidentiality ?

Je voorbeelden gaan enkel over authenticatie en het antwoord
ligt voor de hand:
A: authenticatie van beide partijen,
B: enkel authentcatie van de server

" ..., dat is voldoende veilig" is een toevoeging van je
zelf, kennelijk in de verondersteling dat in situatie B toch
een beetje client authenticatie plaats moet vinden. Dat is
niet zo, de server kan niet weten wie de client is. Dat
heeft niets met IP adressen te maken. Een IP adres kun je
uiteindelijk gewoon intypen :-) Het wordt pas bijgehouden
als je een beveiligde verbinding opzet (ssl, https). Een
screening router kan daar niet veel mee, daar heb je
een stateful firewall voor nodig.

Als 1 of beide partijen zich bekend gemaakt hebben (of
niet!), kan het daadwerkelijke data transport
encrypted worden, tegen afluisteren, manipulatie en
verminking (confidentiality en integrity) Staat los van
authenticatie.

Veilig over het Internet (bijv. web-mail) werkt meestal via
SSL (http+ssl=https), enkel client-authenticatie en
encrypted data verkeer. Werkt met diverse cryptografische
technieken, zit best goed in elkaar !

SF

Klopt, kan afgedwongen worden, maar dat zie je enkel in
B2B, niet bij B2E.

Heb jij soms een certificaat voor je email ?
Nee dus (behalve als je in Belgie woont misschien), je hebt
een password om je te authenticeren. Dat kan versleuteld
over het internet, ook als partijen helemaal niet
geauthenticeerd zijn. Dat komt trouwens goed uit, want
anders moet je altijd je certificaat bij je hebben als je
ergens je email wilt bekijken .
Cryptografie is zo mooi :-)

SF

Ja, toevallig wel.. (en nee, ik woon niet in Belgie)
Laptop.. USB key met (passphrase beveiligd) certificaat... No problem.. Overigens gebruik je het certificaat, bij e-mail, alleen voor digitaal ondertekenen en eventueel versleutelen van berichten.. "Gewone" e-mail kan normaal gelezen worden zonder certificaat.. Om versleutelde berichten te kunnen lezen heb ik wel m'n certificaat nodig..

Dit is zowieso al onveilig.. Gebruik SSL (https dus).. Je
zou http kunnen gebruiken zolang de data zelf maar
versleuteld is.. Belangrijk in deze:

Integrity: (integriteit; is de data onderweg niet veranderd?)
digitaal ondertekenen

confidentiality: (confidentieel: kan niemand 'afluisteren' ?)
versleutelen

nonrepudiation: (Niet-weerlegbaarheid; de verzender mag niet
kunnen ontkennen iets verzonden te hebben)
digitaal ondertekenen

Voor alle drie hebben zowel de ontvanger als de verzender
toch echt een certificaat nodig..

He SirDice !

Altijd leuk je hier te zien, maar ik moet je nu wel even
corrigeren:
voor geen van de drie gevallen heb je een
certificaat nodig !
Wel 1 of twee encryptie sleutels. Die kun je anoniem
uitwisselen (met RSA, DiffieHellman,...' wiskundige
truukjes' om door uitwisseling van bepaalde getallen, die
gezien mogen worden, een geheime sleutel overeen te kunnen
komen) Je kunt dus met een onbekende computer een sleutel
overeen komen om te en/decrypten. Dan kun je bijv.
secure communiceren met elkaar, signen e.d.,
maar je weet nog steeds niet met wie je te maken hebt.

Een certificaat heb je enkel nodig voor
authenticatie, dmv PKI. Daar staat een digitale
handtekening onder van de 'trusted third party'. Een
certificaat is niet geheim. (wordt in cleartext over
gestuurd)
'Equifax Secure Ebusiness CA' in het certificaat van
XS4ALL-webmail bijv.( nooit van gehoord..) , bekendere zijn
Verisign. American Express schijn er ook in te willen gaan
boeren, samen me M$.
(PGP is een andere optie, zelfde principe)

SSL (officieel 'TLS' ofwel SSLv3.1)gebruik een combinatie
van deze cryptografische technieken. HTTPS is gewoon
HTTP-on-top-of--SSL. Het is erg veilig voor data
communicatie, zolang beide partijen doen wat het protocol
voorschrijft (dus handtekening controleren ed.).
Versleutelen, signen, enkel/dubbelzijdige authenticatie kan
allemaal, maar non-repudiation zit er helaas niet in.

En wat betreft die USB stick van je; je zult wel in een
'secure' bedrijf werken. Ik ook; ik mag niet eens
denken om, op kantoor, een USB stick in een computer
te steken. En in Belgie schijnen ze overheids-certificaten
uit te delen, heel wat beter dan die stomme cijfercode van
de belastingdienst!
En hoe doe je dat in een Internet cafe, trouwens ?

Gr. SF

Sleutel, certificaat.. Ok.. Eens :)
Wat ik wilde aangeven was dat het opnemen van een IP op een firewall niet genoeg kan zijn.. Het gaat om de classificering van de data.. En die drie dingen die ik opnoemde zijn dan best belangrijk..

Non-repudiation zul je inderdaad met 'extra' handelingen moeten bewerkstelligen.. Maar is zeker iets waar je rekening mee moet houden..

Niet.. ;) Die vertrouw ik zowieso nooit.. En met een UMTS kaartje in je laptop kun je een heel eind komen..

Ja, of gewoon met je PDA, op staat ;-)

SF

Beste Reageerders,

Allemaal hartelijk bedankt voor jullie inbreng in deze
discussie.