Configurer un SP Shibboleth pour contrôler l'adresse IP du client
Documentation Internet2 :
Le SP Shibboleth propose des fonctionnalités de contrôle de l'adresse IP du client HTTP, dans le but de limiter les risques de Session Highjacking. Le logiciel vérifie que l'adresse IP du client reste la même à différentes étapes de l'authentification. Cependant l'activation de ces vérifications peuvent être incompatibles avec certaines architectures (NAT, proxy, IPv6, 3G).
Le SP Shibboleth distingue deux fonctionnalités de vérification, paramétrables séparément :
- consistentAddress : le SP mémorise l'adresse IP du client lorsqu'il initialise la session et vérifie à chaque requête que l'adresse IP est inchangée.
- checkAddress : l'IdP vérifie que l'adresse IP de l'utilisateur est la même lors de l'accès à l'IdP et au SP, l'IdP transmettant l'adresse IP dans l'assertion SAML. La documentation mentionne les problèmes de fonctionnement que posent cette fonctionnalité lorsqu'un établissement utilise NAT, proxy ou tout simplement IPv6.
Paramètre checkAddress
On constate que la valeur par défaut de cette option de configuration est “true”, cependant l'exemple de configuration distribué avec le SP Shibboleth la positionne à “false”. De notre côté, les supports de nos formations suggèrent une valeur checkAddress=“false”.
L'apport de cette fonctionnalité en terme de sécurité ne nous semble pas cruciale. En effet, tous les IdP membres de la fédération utilisent exclusivement HTTPS et seules quelques ressources fédérées sont accessibles en HTTP uniquement. Le risque lié au vol de session est donc très limité. En revanche, de nombreux établissements ont des architectures incompatibles avec checkAddress (NAT, proxy, IPv6).
Nous suggérons donc aux administrateurs de SP membre de la Fédération Education-Recherche de désactiver l'option Sessions/checkAddress.
Si votre SP est accessible en HTTP uniquement, nous vous recommandons de mettre en place HTTPS (cf. le service TCS)
Paramètre consistentAddress
Cette fonctionnalité est une bonne protection contre le vol de session, mais peut poser problème avec des utilisateurs dont l'adresse IP est fréquemment renouvelée. C'est le cas avec certains smartphone 3G.