Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Привет! Есть вопрос - есть идея сделать порт маппинг и предоставить доступ контрагентам к ЛВС перенаправляя запросы на внешний айпи компании на предопределённый порт на сервер, находящийся внутри периметра (с поднятой службой windows с .Net Remoting, с шифрованием сообщений) Какие меры безопасности предварительно необходимо соблюсти? И является ли такой вариант интеграции безопасным? Или вопрос номер два - какой метод интеграции с контрагентами является более бескровным с точки зрения безопасности? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 01.05.2009, 23:33 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
SpiageПривет! Есть вопрос - есть идея сделать порт маппинг и предоставить доступ контрагентам к ЛВС перенаправляя запросы на внешний айпи компании на предопределённый порт на сервер, находящийся внутри периметра (с поднятой службой windows с .Net Remoting, с шифрованием сообщений) Какие меры безопасности предварительно необходимо соблюсти? И является ли такой вариант интеграции безопасным? Или вопрос номер два - какой метод интеграции с контрагентами является более бескровным с точки зрения безопасности? Не очень понятна цель такого усложнения. Вы от пользователей локалки хотите защититься? И если новый проэкт - то зачем же Remoting? WCF! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.05.2009, 13:10 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
D129, Не от пользователей локалки, а наоборот - предоставить доступ извне к локалке с минимизацией рисков WCF не получится, т.к. используется только .Net 2.0 Я много времени провёл перерывая интернет, но так и не нашел доказательства или опровержения возможности взлома .Net Remoting ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.05.2009, 14:27 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
SpiageD129, Не от пользователей локалки, а наоборот - предоставить доступ извне к локалке с минимизацией рисков WCF не получится, т.к. используется только .Net 2.0 Я много времени провёл перерывая интернет, но так и не нашел доказательства или опровержения возможности взлома .Net Remoting Такие ограничения для нового проэкта это конечно жесть... Но давайте разберемся - вы собираетесь из интернета получать (что-то) от контрагентов - ловить это на одном компе с какой-то защитной программой, которая будет обертывать полученное от контрагентов в вызов функции через Remoting (к какому-то одному серверу?) и по-видимому, отдавать ответ обратно контрагенту. - Так? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 03.05.2009, 14:33 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
D129, Да, практически так (в локалке будет сервис, который расшифровывает запрос/данные и перенаправляет на сервер приложения, где запрос обрабатывается и перенаправляется соответствующей БД или серверу приложений) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 17:59 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
SpiageD129, Да, практически так (в локалке будет сервис, который расшифровывает запрос/данные и перенаправляет на сервер приложения, где запрос обрабатывается и перенаправляется соответствующей БД или серверу приложений) Ну и что более вероятно - перехват незашифрованного вами запроса-ответа во внешней сети - или перехват и расшифровка того же самого в локальной? Грубо говоря - из вашего танка будет торчать голая ж... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 18:19 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
SpiageD129, Да, практически так (в локалке будет сервис, который расшифровывает запрос/данные и перенаправляет на сервер приложения, где запрос обрабатывается и перенаправляется соответствующей БД или серверу приложений) Да зачем мучаться ... поставьте redirect server и все... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 19:07 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
D129, Я буду толерантен - ваш ответ вызывает недоумение... При чем здесь "перехват незашифрованного вами запроса-ответа во внешней сети " или "перехват и расшифровка того же самого в локальной" Хотел бы попросить больше не писать в эту ветку, т.к. кроме глупостей и флуда больше ничего от вас не ожидаю ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 19:11 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
SpiageХотел бы попросить больше не писать в эту ветку, т.к. кроме глупостей и флуда больше ничего от вас не ожидаю Ок. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 19:24 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Paradoxx, "в локалке будет сервис, который расшифровывает запрос/данные и перенаправляет на сервер приложения" = redirect server (плюс доп. функционал) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 19:26 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
SpiageD129, Не от пользователей локалки, а наоборот - предоставить доступ извне к локалке с минимизацией рисков WCF не получится, т.к. используется только .Net 2.0 Я много времени провёл перерывая интернет, но так и не нашел доказательства или опровержения возможности взлома .Net Remoting А VPN не спасёт отца русской демократии? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 19:27 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
M234, VPN отца спасает в 80%, но не у всех контрагентов есть нормальный канал Есть десяток компаний, у которых диспетчеры находятся в тайге/тундре и имеют GPRS-связь Тестирование VPN через спутниковые телефоны показало, что канал часто падает + по деньгам не совсем красиво ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 19:32 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Расшифровать нужно конкретным алгоритмом или, просто нужен транспорт security ? Если только транспорт прокатит то HTTPS вам на руки, если нет то версий много ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:10 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Может это спасёт автора топика ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:16 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Web Services Enhancements (WSE) 3.0 for Microsoft .NET http://www.microsoft.com/downloads/details.aspx?FamilyID=018a09fd-3a74-43c5-8ec1-8d789091255d&displaylang=en Может это спасёт автора топика ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:17 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Paradoxx, Вот https как раз не хотелось бы выставлять наружу, т.к. есть ксплойты на IIS Поэтому и рассматривается вариант выставления наружу нестандартного порта с нестандартным протоколом и слушающим сервисом Вот и пришла мысль спросить на родном форуме - не встречал ли кто на свете описание возможности взлома .Net Remoting Для защиты от переполнения буфера используется компиляция без оптимизации Для защиты протокола встроенное в .Net синхронное и асинхронное шифрование (фактически аналогичное механизмам VPN) Не хотелось бы чего-нибудь не учесть... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:26 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
segRM, От использования веб-служб пришлось отказаться по вышеописаной причине И WSE не выход, т.к. не лечит проблемы IIS ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:27 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Тогда можете прикрутить rem object под IIS и все, а там уже проблемы взлома и.т.п искать надо не у Remoting а у IIS. Впрочен она нормально протестированная система... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:32 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Paradoxx, При мне аудиторы безопасности (замечательная питерская фирма) вошли на Win 2003 через ксплойт по 443-му порту Правда было это летом, но осадочек остался... С тех пор у нас идут полным ходом операции по сегментированию ЛВС, введению DMZ как внутри локалки, так и на буферных участках (места интеграции контрагентов через VPN) Сейчас я хочу понять - стоит ли открывать доступ описаным мной способом, который я считаю безопасным, но опасаюсь чего-нибудь не учесть В конце концов, есть вариант не проводить интеграцию, а выделить людей, которые руками у нас на месте будут дублировать информацию от диспетчерских :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:42 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Если вам нужен Remoting и HTTPS то без IIS помоему не вариант. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:48 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Paradoxx, Нет, мне нужен только Remoting ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:52 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Spiage, Remoting без IIS не может на HTTPS сидеть... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 20:55 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
ParadoxxSpiage, Remoting без IIS не может на HTTPS сидеть... Может, но для этого в цепочки канала надо шифрование вкрутить (не обязательно SSL). Я как-то начинал писать TLS для Remoting - практически дописал, но вышел WCF и я на него (Remoting) плюнул :) Но плюнули не все, у кого такая идея была и сейчас в интернете можно найти готовые решения. Например, посмотрите на http://www.genuinechannels.com/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 21:10 |
|
||
|
.Net Remoting безопасность
|
|||
|---|---|---|---|
|
#18+
Да, еще в догонку - помню, у майкрософтов был пример цепочки, который позволял генерировать ключ сессии и с его помощью шифровать (простейшее шифрование типа xor, вроде) трафик между двумя точками без использования IIS - можно его попробовать расширить под свои нужды. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 04.05.2009, 21:13 |
|
||
|
|
start [/forum/topic.php?fid=19&msg=35967836&tid=1397888]: |
0ms |
get settings: |
10ms |
get forum list: |
12ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
65ms |
get topic data: |
10ms |
get forum data: |
3ms |
get page messages: |
53ms |
get tp. blocked users: |
1ms |
| others: | 321ms |
| total: | 483ms |
| 0 / 0 |
