在外联网上使用Windows集成安全性是否可行,安全和实用?
E.g。 Intranet上有一个IIS网站,可以通过LAN使用集成身份验证。当用户与局域网断开连接时,他希望能够使用其加入域的笔记本电脑上的浏览器通过互联网(无VPN)连接到同一网站,而无需单独登录。
答案 0 :(得分:4)
它是否“安全”的问题是您在Internet方案中暴露用户的其他安全威胁的问题,即他们在Intranet方案中未暴露的问题。此外,您是否将服务器暴露给其他安全威胁 - 并且假设问题不是“是否允许从Internet访问服务器”,而是“我们应该允许哪种身份验证方法允许此服务器 - 现在暴露 - “互联网”,这个次要问题归结为“使用Windows集成身份验证协议还是需要使用基本,摘要或数字证书更好”?
对用户/客户端的安全威胁:合理地保护用户的凭据免受“嗅探他们”的攻击者的攻击吗? Windows集成身份验证使用NTLM或Kerberos;在外联网方案中,用户/客户端通常不能依赖Kerberos,因为这也需要从因特网透明地访问KDC(即Active Directory域控制器)。虽然可以做到这一点,但看到有安全意识的组织允许这样做是不寻常的。所以我们讨论的是NTLM - 用服务器发送的“nonce”(随机字符集)对用户的密码进行哈希处理,这样用户的密码就不会通过网络以纯文本形式出现。将NTLM与Basic比较,这是一个明显的胜利;将NTLM与Digest身份验证进行比较,它有点等同;比较NTLM与客户端证书身份验证,并且证书总是赢得安全性(但在部署/引导挑战上失败)。通常,您会发现您的安全性或服务器管理员希望为暴露于Internet的IIS侦听器使用SSL证书,以便用户的凭据甚至可以更多保护免受“嗅探器”的攻击。 SSL并不是完美的,并且不能防止中间更复杂的攻击者(或者在客户端设备上有木马/机器人的人),但是为了额外的安心,它的成本非常低。 SSL + NTLM是许多人做出的合理选择。
服务器的安全威胁:服务器暴露给试图访问经过身份验证的资源的未经授权的攻击者。如果服务器允许任何 AD认证的身份验证协议,那么它同样容易受到(或者不会)对试图暴力破解用户密码的攻击,以及某种IDS解决方案会引发重复密码错误的警钟尝试是可取的(但要将信号/噪声比降低到可管理的水平,这是一个很大的挑战)。服务器还可能会出现任何可利用的漏洞(主要是在IIS或通过防火墙暴露的任何其他漏洞),以获得外部攻击者对服务器的特权访问。最好为频繁修补做好准备。其他不太可能但可怕的安全威胁是可能的,但这是首先要解决的重大问题。
答案 1 :(得分:0)
是的,绝对可以使用集成安全性。但是,它还取决于您用于身份验证的框架。在ASP.NET中,您可以使用内置身份验证模块。您可以将身份验证模式设置为“Windows”,然后.Net将为您管理。您还可以使用不同的角色来管理Web应用程序中的不同类型的用户。您的网络应用程序必须在您的局域网外可用(即您的防火墙不应阻止传入的HTTP请求)
Vamyip
答案 2 :(得分:0)
正如ParanoidMike通过向使用Windows身份验证的互联网公开Web应用程序指出的那样,您正在为黑客创建一个暴力攻击向量。要尝试缓解此威胁,您应该考虑采取以下措施:
我目前正在调查是否可以一起排除管理员帐户