È richiesto un "proxy" ADFS in una distribuzione ADFS di produzione e con connessione Internet?

2

È accettabile semplicemente distribuire ADFS ed esporre 80/443 a Internet, contrario alla distribuzione di server front-end e back-end ridondanti?

Comprendo che mi sto perdendo per la prevenzione degli attacchi Token Replay, ma noto anche che diversi endpoint sono disponibili sul proxy interno o esterno .... vale a dire che kerberos e "trusttcp" sono disabilitati esternamente. Devo disabilitare questi quando esporre il server ADFS interno a Internet?

    
posta random65537 09.02.2015 - 02:04
fonte

1 risposta

1

Non è certamente necessario, ma cambia significativamente la superficie di attacco. Passa dall'avere un server aggiunto al dominio pubblicamente accessibile a un server un salto DMZ lontano da un server aggiunto al dominio.

Il proxy disabilita esplicitamente l'autenticazione integrata di Windows perché l'assunto è che 1) il computer client non avrà accesso ad AD per richiedere un ticket e 2) il proxy si trova in una DMZ che non avrà accesso ad AD per convalidare il biglietto. Se si tentasse di provare WIA, si ricorrerebbe a qualcosa di molto meno sicuro.

È senz'altro opportuno disabilitare quegli endpoint poiché probabilmente non funzioneranno da Internet.

    
risposta data 10.02.2015 - 23:01
fonte

Leggi altre domande sui tag