Рекомендации по безопасности служб COM+ SOAP

  • Статья

Служба COM+ SOAP зависит от веб-сервера IIS для обеспечения безопасности. Даже в режиме объекта, активированном клиентом, com+ RPC не передает удостоверение клиента и поэтому не может использовать безопасность на основе ролей или любую другую функцию безопасности, предоставляемую DCOM. Если вы хотите защитить конфиденциальность данных, передаваемых в веб-службу XML и из нее, или защитить веб-службу XML от несанкционированного доступа, можно настроить СЛУЖБЫ IIS, чтобы ограничить доступ к веб-службе XML на основе IP-адреса клиентов или требовать от клиента представить цифровой сертификат для проверки его удостоверения. Если доступ не ограничен, любой клиент, который может взаимодействовать с веб-сервером, может получить доступ к веб-службе XML.

Службы IIS можно настроить для шифрования обмена данными веб-службы XML с клиентами с помощью протоколов SSL или TLS шифрования открытых ключей. Если вы не шифруете обмен данными SOAP, обмен данными между клиентом и сервером может наблюдаться сторонним поставщиком с доступом к любой сети, по которой выполняется обмен данными SOAP; в зависимости от топологии сети это может быть небольшая локальная сеть или это может быть Интернет.

По умолчанию незашифрованные сообщения SOAP получаются по протоколу HTTP-порта (80) и зашифрованные сообщения SOAP получаются через порт HTTPS (443). Для успешного доступа клиента к веб-службе XML все брандмауэры между клиентом и сервером должны быть настроены, чтобы разрешить пакетам TCP SYN доступ к соответствующему порту сервера. И наоборот, чтобы ограничить доступ к веб-службам XML, администратор брандмауэра может закрыть эти порты.

Параметры безопасности по умолчанию для com-компонента, предоставляемого как веб-служба XML, отличаются в зависимости от того, какая версия microsoft платформа .NET Framework установлена. Если установлена версия 1.0, веб-службы XML небезопасны по умолчанию; все вызовы принимаются и шифрование не используется. Если установлена версия 1.1 или более поздняя, веб-службы XML по умолчанию защищены; Вызывающие объекты должны проходить проверку подлинности и шифрование является обязательным.

Безопасная веб-служба XML не поддерживает доступ WKO через WSDL. Вместо этого клиенты, устанавливающие платформа .NET Framework версии 1.1, могут вызывать его в режиме CAO. Если сторонние клиенты должны получить доступ к веб-службе XML через WSDL, необходимо разрешить анонимный доступ.

Компонент COM, предоставляемый как веб-служба XML, выполняется по умолчанию с разрешениями анонимного пользователя (не с разрешениями вызываемого пользователя). Вы можете настроить IIS для запуска веб-службы XML в качестве другого пользователя; Иногда это может потребоваться, так как компонент использует файлы или другие ресурсы, к которым анонимный пользователь не имеет доступа. Тем не менее, вы всегда должны попытаться запустить компонент с минимальными привилегиями, чтобы ограничить ущерб вредоносной вызывающей стороны может вызвать.

Примечание.

Так как метод, предоставляемый через веб-службу XML, потенциально может быть предоставлен злоумышленникам, всегда следует проверять все входные параметры, от которых она зависит.

 

Подробные инструкции по настройке определенных параметров безопасности веб-службы XML см. в разделе "Защита веб-служб XML".

Преобразование безопасного приложения SOAP в небезопасное приложение SOAP

  1. Откройте средство администрирования службы IIS (IIS).
  2. Найдите виртуальный каталог приложения и откройте диалоговое окно "Свойства ".
  3. На вкладке "Документы" установите флажок "Включить содержимое по умолчанию".
  4. На вкладке "Безопасность каталога" щелкните "Изменить" в разделе "Анонимный доступ" и "Контроль проверки подлинности".
  5. Проверьте анонимный доступ, чтобы включить анонимный доступ и нажмите кнопку "ОК".
  6. Щелкните "Изменить" в разделе "Безопасные подключения".
  7. Un проверка поле "Требовать безопасный канал ( SSL) проверка box.

Общие сведения о службе COM+ SOAP