2017-02-16 18 views
-1

Я раньше не задумывался над тем, какие внешние URL-адреса моих служб и приложений и сайтов должны быть.Как мне структурировать внешние URL-адреса для защиты моего шлюза федерации?

Однако в настоящее время мы реализуем новую архитектуру единого знака с целевой страницей, используя OAuth и Open ID Connect. Для этого мы используем IdentityServer4 с шлюзом федерации, провайдером внутренней идентификации, связанным с Active Directory и поставщиком идентификации для базы данных для одного из наших существующих приложений. Поставщик удостоверений для нашего существующего приложения уже существует с внешним URL-адресом, но ни один из них еще не создан. Это означает, что извне мне теперь нужно создать 3 новых URL-адреса

  1. для сайта целевой страницы, который мы защищаем.
  2. Шлюз федерации
  3. Поставщик удостоверения личности для моей активной директории.

Существуют ли какие-либо известные соглашения об именах для шлюза федерации и поставщика удостоверения личности, чтобы они не оставляли их уязвимыми для атаки из внешних источников или я ни о чем не беспокоюсь.

Например, если я использую

WWW. [Домен] .com/federationGateway

WWW. [Домен] .com/ADIdentityProvider

Могу ли я оставить себя открытым для кого-то найти эти адреса , думая, что «повесьте это на ссылку на их AD, или это их объединенные шлюзы», а затем бомбардируют их DDoS-атакой и снижают мой единственный знак в архитектуре.

Любое руководство, которое может дать любой человек, будет с благодарностью оценено. Cheers

ответ

0

Как правило, вы не должны допускать публичного доступа к каталогам, если вы не хотите, чтобы кто-либо их находил. Вы можете защитить их, добавив логин для доступа к ним (я не уверен, что вы это сделали?).

Что касается ваших опасений по поводу DDOS-атак, вам не о чем беспокоиться. Атаки DDOS затрагивают весь домен, а не только подкаталог. Например, кто-то, кто DDOS'ид www.domain.com/RandomPath/Stuff уничтожит весь сайт www.domain.com, а не только подкаталог. Если вас беспокоят атаки DDOS, вы можете купить «более сильный» сервер или установить программное обеспечение для предотвращения DDOSing.

Чтобы подвести итог, вам не о чем беспокоиться. Если вы специально не нацелены, никто не найдет ваши федерации или каталоги AD. DDOSing, скорее всего, не будет проблемой для вас, если кто-то с большим количеством ресурсов начинает DDOS вас.