从安全角度来看,通过 SSL 或 VPN 建立的“密码隧道”有什么区别?场景是:一台 Web 服务器为少数(已知)人提供服务。现在身份验证基于 iis 的基本身份验证(通过 SSL)和 Kerberos 系统。可以使用 VPN 在 Web 服务上进行身份验证,而不是使用 SSL+Kerberos?从安全角度来看,这会有所收获吗?
答案1
神秘版本:视情况而定。;)
部署 SSL(v2、md5、重新协商漏洞)和 VPN(某些 VPN 解决方案使用存在严重缺陷的加密算法,如 RC4)的方法有些非常不安全。
这两种技术的现代、配置良好的实现的安全级别大致相当(而且相当好)。
对于您问题的另一个方面 - SSL 可能是您的最佳解决方案;连接到 VPN 并点击未加密的页面将失去 SSL 的一些优势(特别是服务器身份验证),并且会将您的请求以纯文本形式保留在 VPN 终止和 Web 服务器之间。
答案2
如果服务仅限于已知的一组用户,那么 VPN 和防火墙设置将很容易设置。
如果您知道用户的 IP 地址是静态的(公司内部网络),您甚至可以在这里使用防火墙。您所要做的就是添加规则以允许已知主机,然后拒绝所有其他主机。
如果用户是从外部使用动态地址接入的,那么 VPN 加防火墙就可以很好地发挥作用。
您还可以在所有这些基础上使用 SSL 来添加另一层安全性,这不会给您的用户带来不便,因为它是透明的并且不需要他们做任何事情。