Wir versuchen derzeit zu entscheiden, wie wir den SSL-Verkehr in unserer Umgebung am besten handhaben können. Wir haben einen nach außen gerichteten Apache-Proxyserver, der für die Weiterleitung des gesamten Verkehrs in unsere Umgebung verantwortlich ist. Er übernimmt auch die SSL-Arbeit für die Mehrheit unserer Server.
Insbesondere gibt es ein oder zwei IIS-Server, die ihr eigenes SSL verwenden, sich aber auch hinter dem Proxy befinden.
Ich frage mich, ob SSL für den Proxy ausreicht. Es würde bedeuten, dass der Verkehr innerhalb unseres Netzwerks identifizierbar ist, aber ist das so wichtig?
Antwort1
Das hängt vom Datenverkehr ab. Wenn der Datenverkehr sensibel genug ist, um SSL zum Proxy zu rechtfertigen, würde ich auf Nummer sicher gehen und eine durchgehende SSL-Verbindung aufrechterhalten. Wenn Sie mit Informationen wie Kreditkartentransaktionen arbeiten, haben Sie keine andere Wahl.
Wenn ein Host in Ihrem Netzwerk kompromittiert wird, besteht die Möglichkeit, dass der Datenverkehr abgehört und erfasst wird. Auch hier hängt das Risiko von den übertragenen Informationen ab. Wägen Sie das Risiko gegen den zusätzlichen Aufwand und die Komplexität ab, die die Bereitstellung von End-to-End-SSL mit sich bringen würde.
Antwort2
Ich stimme @sdanelson zu; ABER wenn ich das richtig lese, würde ich auch sicherstellen, dass SSL/TLS-Transaktionen durch eine Firewall gehen und diese zum Ziel für den SSL-Verkehr vom Client machen. Dann leiten Sie die Anfragen an das interne System weiter oder leiten sie als Proxy weiter. Dies würde dazu beitragen, einMan-In-The-Middle-Angriff.