[Discussion] LDAP & LDAPS nên hay không ? |
29/03/2012 21:32:38 (+0700) | #1 | 260323 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
Hi mọi người
Mình đang có 1 case khá thú vị trong sở.
Bên mình sử dụng LDAP để authentication cho 1 số dịch vụ cơ bản như
File Server (Samba v3)
Mail Server
Web (Apache + PHP + Postgres)
Hiện tại dịch vụ LDAP đã làm khá tốt chức năng của mình, tuy nhiên mình muốn thực hiện LDAPS cho dịch vụ này cho thêm phần bảo mật. Tuy nhiên mình băn khoăn 2 điểm như sau
- Việc LDAPS sẽ kéo theo việc truy xuất từ các dịch vụ qua trở nên chậm đi. (Lượng user bên mình tầm 4000)
- Đối với các dịch vụ như WEB hay Mail, mình muốn tích hợp SSL từ phía Client -> Web hơn là Web -> LDAP.
Theo ý mọi người mình nên áp dụng SSL ở phía Services -> LDAP, hay từ phía Client -> Services.
Chú ý là ở giữa Serivces & LDAP của mình có 1 firewall.
Chân thành cám ơn |
|
|
|
|
[Discussion] LDAP & LDAPS nên hay không ? |
30/03/2012 05:25:37 (+0700) | #2 | 260337 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Ikut3 wrote:
Hi mọi người
Mình đang có 1 case khá thú vị trong sở.
Bên mình sử dụng LDAP để authentication cho 1 số dịch vụ cơ bản như
File Server (Samba v3)
Mail Server
Web (Apache + PHP + Postgres)
Hiện tại dịch vụ LDAP đã làm khá tốt chức năng của mình, tuy nhiên mình muốn thực hiện LDAPS cho dịch vụ này cho thêm phần bảo mật. Tuy nhiên mình băn khoăn 2 điểm như sau
- Việc LDAPS sẽ kéo theo việc truy xuất từ các dịch vụ qua trở nên chậm đi. (Lượng user bên mình tầm 4000)
- Đối với các dịch vụ như WEB hay Mail, mình muốn tích hợp SSL từ phía Client -> Web hơn là Web -> LDAP.
Theo ý mọi người mình nên áp dụng SSL ở phía Services -> LDAP, hay từ phía Client -> Services.
Chú ý là ở giữa Serivces & LDAP của mình có 1 firewall.
Chân thành cám ơn
Rõ ràng là có 2 chặng khác nhau ở đây:
1. Client --> server.
2. Service --> LDAP.
Theo nguyên tắc, ở đâu có password input, ở đó nên có mã hoá. Ví dụ, user login web-based mail thì ngay chỗ login đó nên là https. Ở phía sau, từ dich vụ (mail service, samba....) đến LDAP, nếu ở khoảng này vẫn có password được tuyền tải ở dạng cleartext thì nên mã hoá. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] LDAP & LDAPS nên hay không ? |
30/03/2012 05:31:15 (+0700) | #3 | 260338 |
|
.lht.
Member
|
0 |
|
|
Joined: 26/09/2010 10:06:38
Messages: 75
Location: Inside you
Offline
|
|
Nên thiết lập SSL tại giao tiếp giữa Client - Server
Nếu cấu hình máy chủ cao, băng thông thoải mái và cần tính bảo mật cao thì cả 2 đi
@Bạn muốn thêm phần bảo mật, nhưng bạn muốn hướng đến bảo mật cho cái gì ? |
|
Trash from trash is the place for new good things ~ |
|
|
|
[Discussion] LDAP & LDAPS nên hay không ? |
30/03/2012 08:23:20 (+0700) | #4 | 260345 |
vd_
Member
|
0 |
|
|
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
|
|
theo tui thì nên SSL càng nhiều càng tốt , tất nhiên phải cân nhắc đến năng lực xử lý nữa => làm risk assesment đi rồi quyết. |
|
|
|
|
[Discussion] LDAP & LDAPS nên hay không ? |
30/03/2012 09:58:36 (+0700) | #5 | 260359 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
cám ơn chú conmale
@.lht. : tất nhiên là mình muốn cân bằng giữa hiệu năng xử lí để đảm bảo performance cho doanh nghiệp song song với tính an toàn rồi
@vd_ : cám ơn lão nhưng thực ra SSL trong nội bộ của mình chủ yếu là Self signed. Mà với môi trường "nhiều cao thủ ẩn giật" như ở đây, chuyện đưa các module mới vào có thể là 1 nguyên nhân để gậy ông đập lưng :-D. Cứ nghĩ đến chuyện 1 tay nào đó cố tình flood login để làm hao tổn tài nguyên của LDAP dựa trên việc encryt data là thấy "ngại" rồi.
Thật ra chi tiết hơn trong việc này là . Bên mình có 1 site quản lí tiền lương của riêng từng nhân viên đang được chứng thực qua LDAP
Server WEB chạy LAMP , authentication qua LDAP. Việc mất account của nhân viên sẽ có thể xảy ra nếu như Attacker cố tình "sniff".
Tất nhiên để làm được việc này mình muốn Attacker đó trước hết phải vượt qua những rules policy về network đã, tức là switch có chức năng chống arp posioning, máy client được kiểm soát chặt chẽ. Và cuối cùng là về phía Server phải có SSL trong việc transfer dữ liệu với người dùng.
Thanks |
|
|
|
|
[Discussion] LDAP & LDAPS nên hay không ? |
03/04/2012 09:35:59 (+0700) | #6 | 260715 |
vd_
Member
|
0 |
|
|
Joined: 06/03/2010 03:05:09
Messages: 124
Offline
|
|
@ikut3
workstation trong LAN nếu flood thì phone lên HR nói chuyện được chứ ta? Multiple attempt trong LAN là đủ để IT lưu ý account rồi.
Theo ý tui thì trong trường hợp bạn nêu nên làm SSL, có điều nhớ lưu ý expired certificate.
Đâu có ai chắc attacker chỉ là user thường mà không là một người net/sys admin bất mãn -> SSL ít nhất cũng hạn chế được 1 phần nào
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|