Ограничение IP-адреса IIS - могу ли я рассчитывать на это в Интернете?
У меня есть идея, я хотел бы обратиться к умным людям serverFault, чтобы найти дыры в нем.
Я ищу способ заблокировать стороннее приложение в IIS. Это веб-сервис, поэтому здесь нет страницы входа или чего-то еще, она предназначена для использования в среде VPN. Я пытаюсь разместить его в сети без VPN, и я думаю о способах придать ему какую-то безопасность. Мне нужно ограничить его определенными сетями, это бизнес-продукт, так что я могу с уверенностью сказать, что вам нужно быть в частной сети (то есть не в публичном wifi), чтобы использовать его. Моя идея состоит в том, чтобы использовать ограничение IP-адресов в IIS и написать приложение, которое устанавливают пользователи, и обновлять сервер текущими IP-адресами каждые несколько минут, после чего сервер блокирует все, кроме недавно обновленных.
Насколько это было бы безопасно? Есть ли главный недостаток в этой идее? Или, может быть, есть лучший способ сделать это в IIS?
2 ответа
В этом я вижу один существенный недостаток - злоумышленнику нужно лишь перехватить одно сообщение, и тогда приложение будет общаться только со своим компьютером. Реально, было бы не слишком сложно наблюдать за движением, чтобы увидеть, что потребуется.
Конечно, вы можете использовать шифрование с использованием пары открытый / закрытый ключ, чтобы избежать этой проблемы, тогда вы будете проходить аутентификацию - что кажется гораздо лучшей идеей.
Мы использовали клиентские сертификаты. Они требуются на уровне IIS, а не в приложении, поэтому никаких модов там нет. Тогда любой желающий должен иметь сертификат клиента, выданный нами, поэтому не имеет значения, откуда они его запускают. Конечно, это не ограничивает его определенной сетью, только определенными машинами, которые имеют сертификат.