Daha çox

Təhlükəsiz ArcGIS Server Xidmətləri üçün vəkil. Təhlükəsizsiniz?


Təhlükəsiz xidmətlərə (jeton əsaslı və ya etimadnamə) daxil olmaq üçün Esri proxy fayllarını (.net github nümunəsi) istifadə etməyi məsləhət görür. Vəkil vasitəsi ilə istəkləri yönləndirərkən, etimadnamənizi ortaya qoymadan müştəri adından etibarlı xidmətlər tələb edə bilərsiniz. Adlı bir xüsusiyyət təyin edə bilərsinizicazə verilən müraciətçilərvə proxy-nin çalışacağı URL-lərin siyahısını təyin edin. Əsasən, proxy URL-lərə istinad edilməməsi üçün heç bir sorğu verməyəcəkdir. Əgər qurulubsa'*', istənilən müraciət istəyi işlənəcəkdir.

Problem budur; tələb olunan başlıq yalnız bir saxta HTTP Referer mülkü quraraq bir hacker tərəfindən asanlıqla aldadılır. Bu vəziyyətdə, bütün istəklərini proxy vasitəsi ilə yönləndirərək və istinad başlığını etibarlı bir ünvana təyin edərək təhlükəsiz xidmətlərə müraciət edə bilərlər.

Bu məsələni həll etməyin ən yaxşı yolu barədə tövsiyələr axtarıram. Tövsiyələriniz varmı?


Giriş səhifəsini təmin edən Apache Tomcat-da Java proksi-serverini yerləşdirirəm. ArcGIS proxy, giriş səhifəsi ilə eyni tətbiq kontekstində işləyir. Bu yolla, istifadəçilərim ayrı, etibarlı bir verilənlər bazasında saxlanılan etimadnamələri ilə giriş əldə edirlər. Bir az dəyişdirilmiş ArcGIS proxy'si gizli ArcGIS etimadnamələrini və ayələrini idarə edərkən Tomcat adi iclas rəhbərliyini edir. Bütün bunlar HTTPS üzərindən edilir.

Nəticə budur:

  • ArcGIS etimadnamələri heç vaxt yerli intranet xaricində ötürülmür.
  • İstifadəçilər etibarlı bir sessiya olmadan proxy-yə daxil ola bilmirlər.
  • Etibarlı seanslar yalnız müvafiq etimadnamələri olan istifadəçilərə verilir.

Vəkil vasitəsi ilə istəkləri yönləndirərkən, etimadnamənizi ortaya qoymadan müştəri adından etibarlı xidmətlər tələb edə bilərsiniz.

Bu cümlənin açarı olduğunu düşünürəm. Proxy CİS serverində doğrulandıqda proksi etimadnamə ilə konfiqurasiya edilmişdirmi? Əgər belədirsə və bu etimadnamələrin tələb olunan xəritə xidmətinə girişi varsa, o zaman "məqsədinə uyğun işləyir" kimi görünür.

Proxy etimadnaməni saxlayır / ötürürsə, proksi məlumatların təhlükəsizliyini təmin etməkdən daha çox etimadnaməsini təhlükəsiz saxlamaqla məşğul olur. Təhlükəsiz bir xəritə xidmətindən xəritə məlumatlarını göstərən bir şirkət intranet saytını düşünün.

tələb olunan başlıq bir hacker tərəfindən asanlıqla aldadılır

Yuxarıdakı ifadə, kənar bir təcavüzkarın birbaşa vəkilinizə çata biləcəyini göstərir? Əgər belədirsə, saxta bir HTTP başlığından daha çox narahat olmağınız lazımdır.

İstifadəçilər, proxy və CİS serverləri şəbəkənizin içərisindədir, yoxsa istifadəçilər şəbəkədən kənar CİS xidmətlərinə qoşulmaq üçün proksi istifadə edirlər? Şəbəkə topologiyanızdakı bəzi detalları bilmək sizə daha yaxşı cavablar almağa kömək edə bilər.

redaktə: Şəbəkə daxilində təhlükəsiz CİS serverindən mənbələr əldə edən ümumi bir veb tətbiqiniz varsa, ehtimal ki, irəli bir proxy deyil, əks proksi istəyirsiniz.


Videoya baxın: ArcGIS - Add ArcGIS Server (Oktyabr 2021).