Viac

Proxy pre zabezpečené serverové služby ArcGIS. Zabezpečiť?


Na prístup k zabezpečeným službám (na základe tokenov alebo poverení) Esri odporúča používať súbory proxy (príklad .net github). Pri smerovaní požiadaviek prostredníctvom servera proxy môžete v mene klienta požadovať zabezpečené služby bez toho, aby ste odhalili svoje poverenia. Môžete definovať vlastnosť s názvompovolenéReferencia priradiť zoznam sprostredkujúcich adries URL, pre ktoré bude server proxy pracovať. Proxy server v zásade nebude robiť žiadne žiadosti o sprostredkujúce adresy URL, ktoré nie sú definované. Ak je nastavené na'*', bude spracovaná akákoľvek sprostredkujúca požiadavka.

Problém je; požadovanú hlavičku ľahko sfalšuje hacker iba nastavením falošnej vlastnosti HTTP Referer. V tejto situácii môžu získať prístup k zabezpečeným službám smerovaním všetkých svojich požiadaviek cez server proxy a nastavením hlavičky sprostredkovateľa na platnú adresu.

Hľadám odporúčania, ako najlepšie vyriešiť tento problém. Nejaké odporúčania?


Hostím server Java proxy v serveri Apache Tomcat, ktorý poskytuje prihlasovaciu stránku. Proxy server ArcGIS beží v rovnakom kontexte aplikácie ako prihlasovacia stránka. Týmto spôsobom moji používatelia získajú prístup pomocou prihlasovacích údajov uložených v samostatnej a zabezpečenej databáze. Tomcat vykonáva obvyklú správu relácií, zatiaľ čo mierne upravený server ArcGIS zaobchádza so skrytými povereniami a tokenmi ArcGIS. To všetko sa deje cez HTTPS.

Výsledkom je, že:

  • Poverenia ArcGIS sa nikdy neprenášajú mimo miestny intranet.
  • Používatelia nemajú prístup k serveru proxy bez platnej relácie.
  • Platné relácie sa vydávajú iba používateľom so správnymi povereniami.

Pri smerovaní požiadaviek prostredníctvom servera proxy môžete v mene klienta požadovať zabezpečené služby bez toho, aby ste odhalili svoje poverenia.

Myslím si, že táto veta je kľúčová. Je proxy nakonfigurovaný pomocou poverení, keď sa server proxy overí na serveri GIS? Ak je to tak, a tieto poverenia majú prístup k požadovanej mapovej službe, zdá sa, že „funguje tak, ako má.“

Ak proxy server ukladá / odovzdáva prihlasovacie údaje, potom sa proxy server viac zaoberá udržiavaním zabezpečených údajov ako zabezpečením údajov. Spomeňte si na intranetový web spoločnosti, ktorý zobrazuje mapové údaje zo zabezpečenej mapovej služby.

požadujúca hlavička môže byť ľahko sfalšovaná hackerom

Znamená vyššie uvedené vyhlásenie, že externý útočník môže osloviť váš proxy priamo? Ak je to tak, máte starostí viac ako sfalšovaná hlavička HTTP.

Sú používatelia, server proxy a server GIS vo vašej sieti alebo používatelia používajú server proxy na pripojenie k službám GIS mimo siete? Poznanie podrobností o topológii vašej siete vám môže pomôcť získať lepšie odpovede.

upraviť: Ak máte verejnú webovú aplikáciu, ktorá načítava zdroje zo zabezpečeného servera GIS v sieti, pravdepodobne budete chcieť radšej reverzný proxy server ako proxy vpred.