Zabezpečení přístupu na webové stránky

Hardware, web hosting, server hosting a housing, peering

Moderátor: Moderátoři Živě.cz

Odeslat odpověď

Odeslat příspěvekod codlxx 6. 8. 2020 15:15

Ahoj všem, rád bych požádal o radu, zda je možné následující řešení.
Ve firemní síti běží web server, který se vystrčí do světa pod určitým portem. Rád bych však, aby se web zobrazil pouze těm počítačům, na které nainstaluji konkrétní certifikát. Lze tohoto docílit příklad v IIS nebo na straně Mikrotiku? Prostě nemáš na PC potřebný certifikát, tak se na web nepodíváš.

Předem děkuji za rady.
Kodl
codlxx
Kolemjdoucí

Odeslat příspěvekod Emil Pastelka 6. 8. 2020 15:43

Jak myslíte to "na které nainstaluji konkrétní certifikát". Píšete, že webserver bude dostupný přes internet, respektive takto chápu "se vystrčí do světa". Logicky pak bude přístupný všem, kdo budou znát adresu. Jednodušší, než certifikát, mi přijde buď základní ochrana přístupu přes .htaccess/.htpasswd (což mi připomnělo, co vlastně na tom PC běží za služby a OS?) nebo přímo přihlášení v rámci dané prezentace (opět netuším, jakou platformu jste pro prezentaci zvolil).
Emil Pastelka
Junior
Uživatelský avatar

Odeslat příspěvekod vladimir 6. 8. 2020 16:28

Pokud neautorizovaní uživatelé nemají stránku ani vidět, tak by to šlo řešit tak, že by se napřed museli přihlásit přes VPN jménem, heslem, certifikátem (OpenVPN, Cisco) a pak by viděli webové stránky, keré jsou dostupné jenom z vnitřku sítě.
vladimir
Expert
Uživatelský avatar

Odeslat příspěvekod Kledr 6. 8. 2020 19:02

Zdravim,

Ano, hledate client certificate authentication. Urcite jde nastavit i na IIS. Rychle vyhledani na mobilu pro apache https://stuff-things.net/2015/09/28/con ... ntication/
Kledr
Junior
Uživatelský avatar

Odeslat příspěvekod JirkaVejrazka 6. 8. 2020 19:37

Presne tak- budete muset vydavat klientske certifikaty. V praxi to vypada tak, ze vas webserver bude mit v konfiguraci verejny klic nejake (vasi) certifikacni autority a pusti na stranky kohokoli, kdo se prokaze certifikatem podepsanym danou certifikacni autoritou.

Emil Pastelka se sice plete v certifikatech (asi nezna klientske SSL certifikaty) ale ma naprostou pravdu v tom, ze nejjednodussi je prihlaseni v aplikaci. Klientske SSL certifikaty jsou otravne a vyzaduji nekoho kdo se o ne bude starat (a taky zaskoli uzivatele - pouzivani klientskych certifikatu je o rad slozitejsi nez "tady mate jmeno a heslo na web")

EDIT: Takhle vypada konfigurace webserveru pro pouziti klientskych certifikatu (tohle je pro nginx ale Apache a IIS to pochopitelne zvladnou take):
Kód: Vybrat vše
        ssl_client_certificate /etc/client-CA/client-ca.crt;
        ssl_verify_client optional;
        location / {
          if ($ssl_client_verify != SUCCESS) {
            return 403;
          }
        }
JirkaVejrazka
Mírně pokročilý

Odeslat příspěvekod codlxx 10. 8. 2020 11:06

Děkuji všem moc za rady. Client certificate authentication je to, co potřebuji.
codlxx
Kolemjdoucí
Odeslat odpověď
Zpět na Servery a hosting

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků

Podmínky pro užívání služby informační společnosti | Informace o zpracování osobních údajů | Cookies
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group