¿Qué servidor es responsable de la "seguridad" cuando ASP.NET Core Kestrel está alojado detrás de IIS?

2

Quiero entender cómo funciona el flujo entre IIS y Kestrel con respecto a la seguridad. Parece que la integración entre IIS y Kestrel es que IIS simplemente envía absolutamente todo lo que recibe a Kestrel, ya sea una solicitud HTTP válida o no. Sin embargo, IIS maneja el SSL, por lo que es bastante transparente para Kestrel.

Tengo una pregunta: ¿eso significa que, con la excepción de SSL, la seguridad la maneja Kestrel? Entonces, ¿todas las vulnerabilidades potenciales en IIS no son posibles o fáciles de explotar? Como por ejemplo un error que permitiera obtener el web.config hace algún tiempo de IIS solo sería posible abusar si Kestrel tiene un tipo de error similar.

    
pregunta Ilya Chernomordik 21.10.2016 - 10:13
fuente

1 respuesta

1

La respuesta simple es: ambas. Tienen diferentes roles y administran diferentes funciones de seguridad, pero hay algunos aspectos de la seguridad que cada uno debe manejar.

En este modelo, IIS funciona como un proxy inverso, y Kestrel es el servidor web de la aplicación. Los proxies inversos (IIS y otros) a menudo son responsables de algo más que el enrutamiento simple. Como ha notado, si está utilizando HTTPS, la terminación se produce en la capa IIS. IIS también puede servir a otras funciones, como la compresión y el almacenamiento en caché, al igual que cualquier proxy inverso. También sigue necesitando web.config, para descubrir qué es esa configuración. Cada una de estas funciones tiene algunas varias implicaciones de seguridad que deben tenerse en cuenta.

Las funciones de seguridad específicas de la aplicación, como la mayoría de la autenticación y autorización, la codificación de entrada y salida, y otras funciones específicas de la aplicación se manejarán dentro de la línea de ejecución de la aplicación y el entorno dentro de Kestrel, como espera.

Entonces, mientras que el papel de IIS en la seguridad se reduce considerablemente en este modelo, no se elimina por completo.

    
respondido por el Xander 19.10.2017 - 21:10
fuente

Lea otras preguntas en las etiquetas