На сколько безопасен IIS8 + AD Certificate Mapping?

Question

[Ziptar]

Дано: AD, PKI, IIS8 на базе Win Server 2012r2, webdav, 1c
Задача: разместить на базе IIS три сайта - http сугубо для публикации crl, https с webdav для предоставления доступа к офисной файлшаре, и https с 1с для подключения через веб-клиент. На https сайты доступ через клиентские сертификаты через AD Certificate Mapping, для http анонимный доступ на чтение. Выделение сервера с IIS в DMZ исключено.
Вопрос: допустима ли публикация этого добра наружу, без заворачивания в VPN? Какие подводные камни в обеспечении безопасности IIS могут быть?

Answer 1

[CityCat4]

"безопасность IIS" - это по-моему тема для анекдотов :) Хотите попробовать его в роли "большой красной кнопки"? Да еще файлопомойку через него расшарить? Ну-ну. Безумство храбрых - вот мудрость жизни...

Comments

[Сергей Пермяков]

Примеры из личного опыта анегдотичные есть?

[CityCat4]

Сергей Пермяков, Слава Богу нет :) Единственное применение, где у нас стоит IIS - корпоративный CA, и то только потому что он весь на asp. Но он наглухо изолирован от внешнего мира. Нафиг такое счастье.

[Ziptar]

Ну если это мнение подтвердится - таки заверну в ikev2-туннель =) Понавыписывать пользователям машинных сертификатов лет на 5 не самая большая проблема (хотя хотелось полностью избавиться от этого), а от нетаргетированных атак защитит)

Answer 2

[Сергей Пермяков]

Я бы на всякий случай перед IIS поставил nginx в качестве реверс прокси. Там правила проще писать на всяких кравлеров и прочей нечести.

Comments

[Ziptar]

Спасибо, рассмотрю этот вариант