Elección del escenario de seguridad para el servicio / cliente WCF alojado por IIS

Question

Elección del escenario de seguridad para el servicio / cliente WCF alojado por IIS

#1 de k1DBLITZ (0 votos)

0

Tengo un servidor web (alojado con IIS) en DMZ, tengo múltiples servicios web (WCF), los clientes son aplicaciones que no son de servidor (son aplicaciones .NET independientes) y llegan a estos servicios web a través de Internet utilizando el protocolo HTTPS.

Mi servidor tiene un certificado SSL emitido por Verisign, el punto es que mi cliente no tiene ningún tipo de credencial y cualquier máquina con esa aplicación (o aplicación similar) debe poder consumir los servicios. La información que pasa entre la máquina cliente y el servidor debe estar cifrada y firmada.

Entonces, esta es mi pregunta: ¿es suficiente tener el certificado y la seguridad de transporte para garantizar que nadie pueda leer los mensajes que pasan entre el cliente y el servidor? ¿O tengo que idear algún tipo de credencial de cliente ad hoc y agregar seguridad de mensajes?
Este enlace describe que SSL es bueno para Intranet y para la seguridad de los mensajes de Internet. ¿Por qué? ¿Qué sucede si solo uso SSL y no tengo seguridad de mensajes para el escenario de Internet?

web-service wcf

pregunta Fred Jand 13.05.2015 - 16:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-service wcf

¿Por qué Hydra devuelve 16 contraseñas válidas cuando ninguna es válida? ¿Los beneficios de seguridad de tener un filtro de IP en HttpModule en lugar de la carga de página en la canalización de asp.net?

score 0 · Accepted Answer

es tener el certificado y usar el seguridad de transporte suficiente para asegurarse de que nadie pueda leer el ¿Mensajes que pasan entre el cliente y el servidor?

Para todos los efectos, sí. (salvo ataques MitM)

¿O tengo que idear algún tipo de cliente ad hoc? credencial y agregar seguridad de mensajes?

Negativo.

Este enlace describe que SSL es bueno para Intranet y para Internet seguridad del mensaje se sugiere por qué?

Debido a que durante una implementación de la intranet, usted mantiene el control de todos los sistemas en una red privada y puede asegurarse de que cada sistema esté utilizando la seguridad de transporte al enviar datos a través de la LAN / WAN.

Se prefiere la seguridad de los mensajes cuando se utiliza un escenario de "Internet" porque estará interactuando con terceros. Es posible que no pueda asegurarse de que estos terceros no hayan sido comprometidos y / o estén haciendo cumplir la seguridad del transporte en toda la cadena.

¿Qué sucede si solo uso SSL y no tengo seguridad de mensajes para el escenario de internet?

Estoy un poco confuso con respecto a la configuración de su infraestructura y qué partes de ella posee realmente en comparación con las partes que se alquilan a un proveedor de alojamiento, pero según las recomendaciones de Microsoft, Message Security es el método preferido cuando los mensajes pueden enrutarse a través de sistemas intermedios. . (también conocido como internet)