1

エクストラネットで Windows 統合セキュリティを使用することは可能で、安全で実用的ですか?

たとえば、イントラネット上に IIS Web サイトがあり、統合認証を使用して LAN 経由で使用できます。ユーザーが LAN から切断するとき、ドメインに参加しているノートブックのブラウザーを使用して、インターネット (VPN なし) 経由で同じ Web サイトに接続できるようにしたいと考えています。個別にログオンする必要はありません。

4

3 に答える 3

4

それが「安全」かどうかという問題は、イントラネットのシナリオではさらされなかったものの、インターネットのシナリオでユーザーをさらしている追加のセキュリティ上の脅威の問題です。さらに、サーバーを追加のセキュリティ脅威にさらしていますか? 問題は「インターネットからのサーバーへのアクセスを許可するかどうか」ではなく、「現在公開されているこのサーバーにどの認証方法を許可するか」であると仮定します。 -the-Internet」、この 2 番目の質問は、「Windows 統合認証プロトコルを使用する方が良いですか、それとも基本、ダイジェスト、またはデジタル証明書の使用を要求する方が良いですか?」に要約されます。

ユーザー/クライアントに対するセキュリティの脅威: ユーザーの資格情報は、「ネットワークから傍受する」攻撃者から適切に保護されていますか? Windows 統合認証は、NTLM または Kerberos を使用します。エクストラネットのシナリオでは、インターネットからも KDC (つまり、Active Directory ドメイン コントローラー) への透過的なアクセスが必要になるため、ユーザー/クライアントは一般に Kerberos に依存できません。これは可能ですが、セキュリティ意識の高い組織がそれを許可するのは珍しいことです。つまり、NTLM について話しているのです。NTLM は、サーバーから送信された「ナンス」(ランダムな文字セット) を使用してユーザーのパスワードをハッシュし、ユーザーのパスワードがネットワーク上で平文で表示されないようにします。NTLM と Basic を比較すると、NTLM の方が明らかに優れています。NTLM とダイジェスト認証を比較すると、やや同等です。NTLM をクライアント証明書認証と比較すると、証明書は常にセキュリティに勝ちます (ただし、展開/ブートストラップの課題では負けます)。一般に、セキュリティ管理者またはサーバー管理者は、インターネットに公開されている IIS リスナーに SSL 証明書を使用して、ユーザーの資格情報が均一になるようにします。「スニファー」からより保護されます。SSL は完璧とは言えず、より巧妙な攻撃者 (またはクライアント デバイスにトロイの木馬/ボットを仕掛けている人物) から保護することはできませんが、追加の安心層にかかる費用はほとんどありません。SSL + NTLM は、多くのユーザーにとって合理的な選択です。

サーバーに対するセキュリティの脅威: サーバーは、認証されたリソースにアクセスしようとする無許可の攻撃者にさらされています。サーバーが許可する場合AD で認証された認証プロトコルの場合、ユーザーのパスワードをブルート フォースしようとする攻撃に対して同様に影響を受けやすく (またはそうではなく)、間違ったパスワードの試行が繰り返された場合に警告ベルを鳴らす何らかの IDS ソリューションが推奨されます (ただし、信号を取得するのは非常に困難です)。 /ノイズ比を管理可能なレベルまで下げる)。サーバーは、外部の攻撃者がサーバーへの特権アクセスを取得するために、悪用可能な穴 (主に IIS 内、またはファイアウォールを介して公開されているその他のもの) を使用できる可能性にもさらされています。頻繁なパッチ適用に備えることをお勧めします。可能性は低いが恐ろしく聞こえるセキュリティ上の脅威は他にもありますが、最初に取り組むべき大きなものです。

于 2010-10-27T18:46:01.953 に答える
0

ParanoidMike が指摘しているように、Windows 認証を使用する Web アプリケーションをインターネットに公開することは、ハッカーに対するブルート フォース攻撃ベクトルを作成することになります。この脅威を軽減しようとするために、次のアクションを実行することを検討する必要があります。

  • IPアドレスによるアクセス制限
  • n 回のログイン試行に失敗するとアカウントをロックアウトするように設定します。
  • 管理者アカウントをロックアウトするように設定することはできないため、それらにはあいまいなユーザー名を選択してください。

管理者アカウントをまとめて除外できないか現在調査中

于 2011-08-05T08:03:09.137 に答える
0

はい、統合セキュリティを使用することは間違いなく可能です。ただし、認証に使用しているフレームワークにも依存します。ASP.NET では、組み込みの認証モジュールを使用できます。認証モードを「Windows」に設定すると、.Net がそれを管理します。Web アプリでさまざまな種類のユーザーを管理するために、さまざまな役割を持つこともできます。Web アプリは LAN の外部で使用できる必要があります (つまり、ファイアウォールが着信 HTTP 要求をブロックしないようにする必要があります)。

ヴァミップ

于 2010-07-28T11:03:05.890 に答える