在外联网上使用 Windows 集成安全性是否可能、安全且实用?
例如,内部网上有一个 IIS 网站,可以通过集成身份验证在 LAN 上使用。当用户从 LAN 断开连接时,他希望能够使用其加入域的笔记本电脑上的浏览器通过 Internet(无 VPN)连接到同一网站,而无需单独登录。
问问题
3324 次
3 回答
4
它是否“安全”的问题是您在 Internet 场景中向用户暴露了哪些额外的安全威胁,而他们在 Intranet 场景中没有暴露。此外,您是否将服务器暴露于额外的安全威胁 - 并假设问题不是“是否允许从 Internet 访问服务器”而是“我们应该允许该服务器使用哪些身份验证方法 - 现在暴露 - -the-Internet”,这个次要问题归结为“使用 Windows 集成身份验证协议还是要求使用基本、摘要或数字证书更好”?
对用户/客户端的安全威胁:用户的凭据是否得到合理的保护,免受“从网络上嗅探”的攻击者的攻击?Windows 集成身份验证使用 NTLM 或 Kerberos;在外联网场景中,用户/客户端通常不能依赖 Kerberos,因为这也需要从 Internet 对 KDC(即 Active Directory 域控制器)进行透明访问。虽然可以做到这一点,但很少有安全意识强的组织允许这样做。所以我们谈论的是 NTLM - 它使用从服务器发送的“nonce”(随机字符集)对用户的密码进行哈希处理,这样用户的密码就不会以明文形式出现在网络上。将 NTLM 与 Basic 进行比较,这是一个明显的胜利;将 NTLM 与 Digest 身份验证进行比较,它有点等价;将 NTLM 与客户端证书身份验证进行比较,证书总是在安全性方面获胜(但在部署/引导挑战中失败)。通常,您会发现您的安全或服务器管理员会希望为暴露于 Internet 的 IIS 侦听器使用 SSL 证书,以便用户的凭据是均匀的更能抵御“嗅探器”。SSL 几乎不是完美的,并且不能防止中间更复杂的攻击者(或在客户端设备上拥有木马/机器人的人),但它的成本非常低,可以让您安心无忧。SSL + NTLM 是许多人做出的合理选择。
对服务器的安全威胁:服务器暴露给试图访问经过身份验证的资源的未经授权的攻击者。如果服务器允许任何AD 认证的身份验证协议那么它同样容易(或不)受到试图暴力破解用户密码的攻击,并且某种 IDS 解决方案可以为重复的错误密码尝试发出警报(但获得信号是一个相当大的挑战) /噪声比降至可管理的水平)。服务器还面临任何可利用漏洞(主要在 IIS 中,或通过防火墙暴露的任何其他漏洞)可被外部攻击者用于获得对服务器的特权访问的可能性。最好为频繁打补丁做好准备。其他不太可能但听起来很吓人的安全威胁是可能的,但这是首先要解决的大问题。
于 2010-10-27T18:46:01.953 回答
0
是的,绝对可以使用集成安全性。但是,它还取决于您用于身份验证的框架。在 ASP.NET 中,您可以使用内置的身份验证模块。您将身份验证模式设置为“Windows”,.Net 将为您管理它。您还可以拥有不同的角色来管理 Web 应用程序中不同类型的用户。您的网络应用程序必须在您的 LAN 之外可用(即您的防火墙不应阻止传入的 HTTP 请求)
瓦米普
于 2010-07-28T11:03:05.890 回答
0
正如 ParanoidMike 所指出的,通过将一个使用 Windows 身份验证的 Web 应用程序暴露在互联网上,您正在为黑客创建一个暴力攻击向量。要尝试减轻这种威胁,您应该考虑采取以下措施:
- 通过 IP 地址限制访问
- 将帐户设置为在 n 次登录尝试失败后锁定。
- 管理员帐户不能设置为锁定,因此请为他们选择晦涩的用户名。
我目前正在调查是否可以一起排除管理员帐户
于 2011-08-05T08:03:09.137 回答