Mer

Proxy for Secure ArcGIS Server Services. Sikre?


For å få tilgang til sikre tjenester (tokenbasert eller legitimasjon), anbefaler Esri å bruke proxy-filer (.net github-eksempel). Når du dirigerer forespørsler gjennom proxyen, kan du be om sikre tjenester på vegne av klienten uten å avsløre legitimasjonen din. Du kan definere en eiendom som hetertillatt Henvisereog tilordne en liste over henvisende URL-er som proxyen vil fungere for. I utgangspunktet vil ikke proxy-en komme med forespørsler om henvisende URL-er som ikke er definert. Hvis satt til'*', vil enhver henvisende forespørsel bli behandlet.

Problemet er; den ber om overskriften kan lett spoofes av en hacker ved å bare angi en falsk HTTP Referer-egenskap. I denne situasjonen kan de få tilgang til sikre tjenester ved å dirigere alle forespørslene sine via proxyen og sette referanseoverskriften til en gyldig adresse.

Jeg leter etter anbefalinger om den beste måten å løse dette problemet på. Noen anbefalinger?


Jeg er vert for Java-proxyen i Apache Tomcat som gir en påloggingsside. ArcGIS-proxyen kjører i samme applikasjonskontekst som påloggingssiden. På denne måten får brukerne tilgang med legitimasjon lagret i en separat, sikker database. Tomcat utfører vanlig øktadministrasjon mens den litt modifiserte ArcGIS-proxyen håndterer de skjulte ArcGIS-legitimasjonene og tokens. Alt dette gjøres via HTTPS.

Resultatet er at:

  • ArcGIS-legitimasjon overføres aldri utenfor det lokale intranettet.
  • Brukere har ikke tilgang til proxyen uten en gyldig økt.
  • Gyldige økter utstedes bare til brukere med riktig legitimasjon.

Når du dirigerer forespørsler gjennom proxyen, kan du be om sikre tjenester på vegne av klienten uten å avsløre legitimasjonen din.

Jeg tror denne setningen er nøkkelen. Når proxyen autentiseres til GIS-serveren, er proxyen konfigurert med legitimasjon? I så fall, og disse legitimasjonene har tilgang til karttjenesten som ble forespurt, ser det ut til at den "fungerer etter hensikten."

Hvis proxyen lagrer / sender legitimasjon, er proxyen mer opptatt av å holde legitimasjonen sikker enn å holde dataene sikre. Tenk på et selskapets intranettsted som viser kartdata fra en sikker karttjeneste.

den anmodende overskriften kan lett spoofes av en hacker

Betyr ovenstående uttalelse at en ekstern angriper kan nå din fullmektig direkte? I så fall har du mer å bekymre deg for enn en falsk HTTP-overskrift.

Er brukerne, proxyen og GIS-serveren alle inne i nettverket ditt, eller bruker brukerne proxyen for å koble til GIS-tjenester utenfor nettverket? Å vite noen detaljer om nettverkstopologien din kan hjelpe deg med å få bedre svar.

redigere: Hvis du har en offentlig webapp som henter ressurser fra en sikret GIS-server i et nettverk, vil du sannsynligvis ha en omvendt proxy i stedet for en videre proxy.


Se videoen: ArcGIS Enterprise: Managing ArcGIS Server (Oktober 2021).