tipos servir servidores servidor qué que poisoning podría para kaspersky hijacking fuerza falso evitar español envenenamiento contra como cache bruta ataques ataque wcf security wcf-security

servir - Usar un caché compartido en un entorno de granja de servidores web para detectar ataques de repetición en WCF



que es envenenamiento de cache (1)

En primer lugar, no hay balas de plata para esto. Cada opción tiene sus inconvenientes. Microsoft recomienda una de dos opciones :

  • Utilice la seguridad del modo de mensaje con tokens de contexto de seguridad con estado (con o sin conversación segura habilitada)
  • Configure el servicio para usar seguridad de nivel de transporte

Si bien proteger su servicio utilizando seguridad de nivel de transporte protegerá al hombre en el escenario intermedio, no lo protegerá contra un cliente comprometido. Por lo tanto, en realidad no es una solución sólida y el uso de tokens de contexto de seguridad de estado es la mejor manera de los dos. Esto requiere algunas consideraciones al desarrollar e implementar.

Como dije en mi respuesta anterior, no hay balas de plata para esto. Aquí hay otra opción (que ya puede haber considerado) usando detectReplays, maxClockSkew, replayWindow y replayCacheSize settings. Aunque no estoy seguro de su robustez en un escenario WebFarm, debería funcionar dada la operación subyacente de WCF. Aquí hay un breve artículo que lo demuestra . El inconveniente de esta opción es que cuando tienes un cliente en una zona horaria diferente al servidor obtendrás fallas si tu maxClockSkew no está configurado para permitir las diferencias de la zona horaria.

Estoy tratando de descubrir cómo implementar un mecanismo de detección de ataques de repetición con WCF en un escenario de granja web.

WCF proporciona dicho mecanismo de detección mediante el uso de un caché nonce. Corrígeme si me equivoco, pero la única forma de garantizar la prevención de este ataque en un escenario de seguridad de mensajes y de granja de servidores web es mediante el uso de un caché de nonce compartido en todos los servidores.

En WSE3.0, solía ser posible proporcionar implementaciones personalizadas de caché nonce

http://msdn.microsoft.com/en-us/library/ff647945.aspx

pero no parece haber ninguna manera de hacerlo en WCF (Sin opciones de configuración, además encontré con Reflector que la clase NonceCache está marcada como sellada e interna ...)

¿Alguna idea?