none
Детальная настройка IIS RRS feed

  • Вопрос

  • Коллеги, добрый день!

    Требуется пробросить IIS наружу по протоколу https. Что сделано: на сетевом оборудовании открыт порт 443 до нужного внутреннего IP.

    Вопрос в целях безопасности:

    1. Можно ли вводить данный сервер в домен предприятия?

    2. Стоит ли настраивать ограничения в Firewall или хватит ограничения на оборудовании для запрета?

    Примечание: Можно ли вообще выключить все правила в Firewall и оставить только RDP c локальной сети, и 443 порт (не повлияет ли это на работу системы)?

    5 февраля 2020 г. 13:15

Ответы

  • 1. рекомендую оставить в DMZ. Если нужна пре-аутентификация, то использовать ADFS+WAP

    2. Ограничения как на сетевом оборудовании, так и в винде на Firewall. И включаем логирование firewall.

    3. Да, почти все можно отключить. Так делал на большинстве машин - особых проблем не обнаружил. В любом случае логи firewall вам покажут дропы с какого адреса и на какой порт были.

    • Помечено в качестве ответа Razor1212007 6 февраля 2020 г. 13:23
    5 февраля 2020 г. 13:27

Все ответы

  • 1. рекомендую оставить в DMZ. Если нужна пре-аутентификация, то использовать ADFS+WAP

    2. Ограничения как на сетевом оборудовании, так и в винде на Firewall. И включаем логирование firewall.

    3. Да, почти все можно отключить. Так делал на большинстве машин - особых проблем не обнаружил. В любом случае логи firewall вам покажут дропы с какого адреса и на какой порт были.

    • Помечено в качестве ответа Razor1212007 6 февраля 2020 г. 13:23
    5 февраля 2020 г. 13:27
  • Вопрос в целях безопасности:

    1. Можно ли вводить данный сервер в домен предприятия?

    2. Стоит ли настраивать ограничения в Firewall или хватит ограничения на оборудовании для запрета?


    Когда возникает вопрос в целях безопасности, то первое, что нужно выяснить, хотя бы для себя - каковы эти цели. То есть - от каких угроз вы хотите защититься (это у безопасников "модель угроз" называется).

    В вашем случае я полагаю, что вы хотите защититься от угроз внутренней инфраструктуре в результате взлома веб-сервера извне (с получением атакующим максимально возможного уровня локального доступа). В таком случае ответы очевидны:

    1. Сервер в домен лучше не вводить - чтобы не давать в руки атакующему учетную запись, действующую на других компьютерах домена (как минимум - это учетная запись сервера). Если по каким-то соображениям вам сервер в домен ввести все же желательно, а возникающую из-за этого возможность доступа атакующего к непривилегированной учетной записи можно считать допустимой, то необходимо предусмотреть такую политику использования сервера, которая предотвращает попадание в руки атакующего более привилегированных учетных данных (например, запретить на нем групповой политикой локальный вход под учетными записями с повышенными привилегиями - администраторов домена и т.п.).

    2. Встроенный брандмауэр в плане защиты от угрозы внешнего взлома в данном случае  (сервер находится за NAT и доступен только по порту HTTPS) не помогает никак. Поэтому политика его настройки определяется соображениями защиты от угроз, возникающих внутри сети - т.е. настраивать его нужно точно так же, как и на остальных серверах. Если же вам необходимо защититься от угрозы атаки со взломанного компьютера на внутреннюю сеть, то необходимо изолировать этот компьютер от остальной сети внешним брандмауэром - т.е., разместить его в DMZ - т.к. встроенный брандмауэр от такой угрозы сколь-нибудь надежной защитой не является.


    Слава России!




    • Изменено M.V.V. _ 5 февраля 2020 г. 14:49
    5 февраля 2020 г. 14:45
  • Спасибо за помощь.

    1. Получается в домен я его не ввожу. Но вот задача, данный ресурс будет брать определённую информацию в внутреннего Web Serverа (точнее с его базы данных) и передавать ее. Доступ к внешнему сервису по HTTPS, а вход при помощи логина и пароля. (учетные данные не доменные). Я так понимаю тогда смысл роли ADFS пропадает?

    Мне получается нужно будет создать ограниченные учетные записи для обмена с внутренним Web Server (так как он в домене)?

        2. Так и сделал, включил легирование буду смотреть.

        3. Отлично. Еще раз спасибо.

    6 февраля 2020 г. 10:42
  • Да, в таком случае ADFS вам не нужен. Для внутреннего web можно создать локальную УЗ (недоменную) со сложным логином/паролем и далее пробросить порт из DMZ к этому серверу (например 1433/1434), либо развернуть ещё один сервер для БД в DMZ, на него выгружать БД с внутреннего (и открывать соответственно порт только в DMZ, что более безопасно) и синкать уже между собой web и db в DMZ.
    6 февраля 2020 г. 10:59
  • Спасибо большое, очень подробный и пояснительный ответ.
    6 февраля 2020 г. 13:24