Shandurai 10 Geschrieben 15. Juli 2005 Melden Teilen Geschrieben 15. Juli 2005 Hallo NG, hmm mein Betreff ist nicht ganz glücklich gewählt, aber mal sehen. Wir müssen demnächst eine Applikation unseren Kunden zur VErfügung stellen, die von überall drauf zugreifen müssen, also weltweit. Es handelt sich dabei um ein Informationssystem, kritische Daten sind vorhanden! Den Rest einfach mal so hinnehmen ;) Da wir zusehen müssen, dass ein Großteil ohne komplizierte Handhabung und mit "Standards" zugreifen kann, werden wir die Applikation als Webanwendung anbieten. Also per Browser, Port 443 SSL verschlüsselt Die Anwendung ansich stell ich mal als "sicher" da. Darum kümmern sich andere Leute. Jetzt zu meinem Problem: Wie stelle ich sicher, dass am besten nur authorisierte Clients auf den IIS zugreifen können? Wenn ich SSL verschlüssel, werden die Daten nicht gelesen werden können. Das ist schonmal gut, trotzdem ist entweder der Client eine potentielle Schwachstelle (z.B. Keylogger) oder aber der Dienst ansich, der für jedermann im Internet sichtbar ist. Gibt es eine Möglichkeit dem IIS zu sagen, dass er nur bestimmten Clients antworten soll? Feste IP's sind leider nicht generell vorhanden :rolleyes: Was ist mit ZErtifikaten? Kann mir das beim Sichern des Dienstes helfen? Siehe Clientzertifikate voraussetzen. VPN fällt leider leider weg, da nicht jeder Kunde in der Lage sein wird das einzurichten :rolleyes: Eine weitere Möglichkeit wäre eine RSA SecurID Appliance. Damit wäre der Zugriff auf den Dienst eingeschränkt. Die Verbindung SSL verschlüsselt und ein Keylogger dadurch ausgeschaltet, dass die RSA SecurID Appliance den Zugang nur für eine Minute gewährt und sich ein Angreifen ganz schön spurten muss :) Na lasst mal bitte hören Danke & Gruß, Andre Zitieren Link zu diesem Kommentar
zahni 524 Geschrieben 15. Juli 2005 Melden Teilen Geschrieben 15. Juli 2005 Ich bin jetzt kein SSL-Spezialist, aber ich glaube, mann kann SSL so konfigurieren, dass keine automatisches Client-Zertifikat herausgegeben wird. Dann bekommen nur Nutzer eine Verbindung, auf dessen PC man des Client-Zertifikat fest installiert hat. Dwoas kann event. auch noch in Richtung SmartCard aufbohren. [.....] -Zahni Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 15. Juli 2005 Melden Teilen Geschrieben 15. Juli 2005 Hi, du hast meiner Meinung nach schon alle möglichen Wege beschrieben. Wenns ganz sicher werden soll würde ich wie du schon erwähnt hast VPN verwenden. Die Stufe darunter wären die Token und die vermutlich am einfachsten / kostengünstigsten umsetzbare Idee ist die Verwendung von Zertifikaten. Alles darunter würde ich als potenziell knackbar bezeichnen. Gegen einen keylogger (sodenn es jemand schafft diesen am Rechner zu installieren / montieren) kannst du dich nur mit Version 1 und 2 schützen (vorausgesetzt du baust das VPN auch über einen Token auf :)). Nachteil, den alle drei Möglichkeiten mit sich bringen - Sie können nur von einem bestimmten Rechner aus auf die Seite gehe. Mal eben schnell geht da nichts, da min. ein Zertifikat installiert werden muss. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.