Vs do servidor proxy do ADFS 2.0 Abrindo o Servidor ADFS para público

Question

Vs do servidor proxy do ADFS 2.0 Abrindo o Servidor ADFS para público

#1 resposta do (2 votos)
#2 resposta do (0 votos)

2

Estamos trabalhando na implantação do ADFS para SSO com o365.

Temos uma empresa de consultoria que lida com nossa configuração de firewall.

Hoje, enquanto tentava fazer com que eles configurassem uma DMZ para instalar meu servidor proxy do ADFS, o consultor tentou me convencer a fazer com que eles abrissem a porta 443 diretamente no servidor ADFS e não usassem um proxy em absoluto. Ele me disse que tal configuração era prática padrão agora.

Devido à natureza dos nossos negócios, temos requisitos de segurança muito rigorosos, incluindo que nenhum servidor interno seja aberto para o exterior.

A pergunta que eu tenho é: ele estava apenas fumando porque era preguiçoso e não queria configurar o DMZ, ou ele tem um ponto legítimo?

proxy firewall adfs

por Matt Bear 09.11.2012 / 00:45

2 respostas

0

Depende do que esse consultor está fazendo. Se eles manipularem o firewall na frente do servidor ADFS com algo como TMG, ele poderá executar a função do proxy e apresentar uma autenticação de webforms para um cliente externo em vez de apenas abrir um furo diretamente para 443 no ADFS 2.0 interno. servidor.

Estou do mesmo lado com absolutamente não expor diretamente o servidor ADFS interno à Internet. Não importa o quão seguro alguém tente me dizer, você ainda está falando sobre expor diretamente um servidor associado a um domínio à Internet pública.

Os servidores proxy não precisam estar associados ao domínio. Outra vantagem de usá-los.

-E

por 09.04.2013 / 18:15

Tags proxy firewall adfs

Multicast em LAN privada com diferentes sub-redes Backup de todo o diretório MySQL

score 2 · Accepted Answer

Oh, não!

NÃO COLOQUE O SERVIDOR ADFS PRIMÁRIO NA INTERNET!

Existe uma razão específica pela qual a função Proxy foi inventada e colocar sua caixa primária de ADFS na Internet não é uma ideia inteligente. Principalmente porque o servidor primário, por padrão, é configurado para permitir apenas a autenticação baseada no Windows, o que significa que qualquer um pode enviar solicitações e tentar entrar brutalmente. Pior, se obtiverem uma senha, eles agora têm um nome de usuário e senha válidos em seu domínio. o pior tipo de dor.

No entanto, o proxy usa uma abordagem baseada em formulários da web para reduzir a ameaça, forçando os usuários fora do firewall corporativo a fazer login por meio de um formulário da web. Se eles forem transmitidos, ele retornará um cookie ou um token de redirecionamento usado pelo serviço confiável (veja O365).

De qualquer forma, isso viola diretamente a configuração recomendada pela Microsoft e certamente não passaria na validação de auditoria de segurança. Além disso, como você só está expondo o tráfego das portas 80 e 443 ao proxy, não seria realmente difícil simplesmente encaminhar somente as duas portas sobre um IP específico para seu proxy (ou proxies com balanceamento de carga). Independentemente disso, uma DMZ é a jogada inteligente, especialmente se você tiver outros serviços públicos.