Elección del escenario de seguridad para el servicio / cliente WCF alojado por IIS

0

Tengo un servidor web (alojado con IIS) en DMZ, tengo múltiples servicios web (WCF), los clientes son aplicaciones que no son de servidor (son aplicaciones .NET independientes) y llegan a estos servicios web a través de Internet utilizando el protocolo HTTPS.

Mi servidor tiene un certificado SSL emitido por Verisign, el punto es que mi cliente no tiene ningún tipo de credencial y cualquier máquina con esa aplicación (o aplicación similar) debe poder consumir los servicios. La información que pasa entre la máquina cliente y el servidor debe estar cifrada y firmada.

Entonces, esta es mi pregunta: ¿es suficiente tener el certificado y la seguridad de transporte para garantizar que nadie pueda leer los mensajes que pasan entre el cliente y el servidor? ¿O tengo que idear algún tipo de credencial de cliente ad hoc y agregar seguridad de mensajes?
Este enlace describe que SSL es bueno para Intranet y para la seguridad de los mensajes de Internet. ¿Por qué? ¿Qué sucede si solo uso SSL y no tengo seguridad de mensajes para el escenario de Internet?

    
pregunta Fred Jand 13.05.2015 - 16:30
fuente

1 respuesta

0
  

es tener el certificado y usar el   seguridad de transporte suficiente para asegurarse de que nadie pueda leer el   ¿Mensajes que pasan entre el cliente y el servidor?

Para todos los efectos, sí. (salvo ataques MitM)

  

¿O tengo que idear algún tipo de cliente ad hoc?   credencial y agregar seguridad de mensajes?

Negativo.

  

Este enlace describe que SSL es bueno para Intranet y para Internet   seguridad del mensaje se sugiere por qué?

Debido a que durante una implementación de la intranet, usted mantiene el control de todos los sistemas en una red privada y puede asegurarse de que cada sistema esté utilizando la seguridad de transporte al enviar datos a través de la LAN / WAN.

Se prefiere la seguridad de los mensajes cuando se utiliza un escenario de "Internet" porque estará interactuando con terceros. Es posible que no pueda asegurarse de que estos terceros no hayan sido comprometidos y / o estén haciendo cumplir la seguridad del transporte en toda la cadena.

  

¿Qué sucede si solo uso SSL y no tengo seguridad de mensajes para el   escenario de internet?

Estoy un poco confuso con respecto a la configuración de su infraestructura y qué partes de ella posee realmente en comparación con las partes que se alquilan a un proveedor de alojamiento, pero según las recomendaciones de Microsoft, Message Security es el método preferido cuando los mensajes pueden enrutarse a través de sistemas intermedios. . (también conocido como internet)

    
respondido por el k1DBLITZ 13.05.2015 - 17:28
fuente

Lea otras preguntas en las etiquetas