IP-Pinning-Check

Der IP-Pinning-Check prüft, ob IP-Pinning aktiviert ist. IP-Pinning bedeutet, dass eine Session an die IP-Adresse des Clients gebunden wird. Wechselt die IP-Adresse während einer bestehenden Session (z. B. durch einen Proxy-Hop oder Netzwerkwechsel), wird die Session ungültig und der Benutzer muss sich erneut authentifizieren.

Ein Angreifer kann bei aktiviertem IP-Pinning abgegriffene Session-Informationen nicht direkt verwenden.

Vorgehen zur Absicherung

IP-Pinning kann in der Konfigurationsdatei KARAF/etc/de.virtimo.bpc.core.cfg aktiviert werden.

Dazu setzt man die Option ipPinningCheck auf true. Bei der Verwendung eines HTTP-Proxies muss zusätzlich der Header-Name, welcher die ursprüngliche Client-IP-Adresse übermittelt, konfiguriert werden. Dieser ist typischerweise X-Forwarded-For.

Beispiel KARAF/etc/de.virtimo.bpc.core.cfg
de.virtimo.bpc.core.ipPinningCheck = true
de.virtimo.bpc.core.ipPinningCheck.httpHeader = X-Forwarded-For

Bei einer neuen Installation ist die Option standardmäßig aktiviert.

Press Esc to exit full screen
Modal image placeholder
Press Esc to exit full screen