Forum
Merhabalar, request ve response u yönlendiren basit bir mekanizma kurmaya uğraşıyorum. ASP.NET MVC
A --- B ---- C
Uzak A bilgisayarında birkaç web sitesi yayınlıyorum, bunlar SSL sertifikalı siteler. C bilgisayarı ( ya da client lar) A bilgisayarına direkt erişmesin istiyorum, bir B bilgisayarı aracılığı ile erişsin istiyorum ama, A ile C arasında SSL ile sağlanan HTTPS güvenli bağlantı korunsun istiyorum.
Web mimarisi tarafında uzman değilim. Dolayısı ile, güvenli bağlantıyı korumak adına, Header ya da BODY eşleştirmeleri konusunda uzman seviyesinde bilgim yok. İsteğim B aracı bilgisayarını filtre olarak kullanmak.
Bunu nasıl sağlarım, A ile C arasında A da yüklü olan SSL nasıl işlevini korur ? İsteğim bir server A server a C client ın isteğini yönlendiren ve yanıtı geri gönderen bir B sunucu metodu geliştirmek.
Fikir ve Destek için çok teşekkürler.
Doğru anladıysam bir proxy oluşturmak istiyorsunuz. Bunun için aşağıdaki örnekler faydalı olacaktır;
http://kiwigis.blogspot.com.tr/2011/08/how-to-create-simple-proxy-in-aspnet.html
https://www.codeproject.com/Articles/7135/Simple-HTTP-Reverse-Proxy-with-ASP-NET-and-IIS
Volkan Bey öncelikle çok teşekkür ederim, Linklerini paylaştığınız örnekleri inceledim, hakikatten istediğim proxy mi, ben de tam olarak bilemiyorum ve önerilerinize ihtiyacım var açıkçası.
A ----- B ----- C
Şöyle bir senaryo / hikaye düşünün, A bir ofsiteki bilgisayar, dolayısı ile internet bağlantısı her ne kadar fiber de olsa metro internet gibi değil.
C ise, bir istemci.
Burada esas husus, B bilgisayarının niteliği.
I) Sadece proxy olarak hizmet eden bir cihaz ise, Firewall, filtre, atak koruması sanırım bulunmuyor bu cihazlarda.
II) Ama buna karşın, bir cloud server ise, ortak ama güçlü bir firewall, filtre, atak koruması ile kötü niyetli kişilere karşı genelde korunur durumdalar.
Bu örnek senaryo / hikayede çözümü aranan nokta şudur;
Özellikle kötü niyetli bir C kişisi, ağı yormak isterse, portları denemek isterse, sisteme ulaşmak isterse A bilgisayarına zarar vermemeli.
B bilgisayarı sadece proxy işlevi görüyor ise, C bilgisayarından her yapılan muameleyi A ya taşıma ihtimali.
Paylaştığınız linklerdeki örnekler sanırım cloud bilgisayarda çalıştığında, hem cloud olmasından dolayı firewall, filtre ve ataklara karşı koruyan hem de proxy olarak işlev yapan bir çözüm galiba, doğru mudur ?
Tekrar teşekkürler...
Bahsettiğiniz B bilgisayarına neden ihtiyaç olduğunu anlayamadım açıkçası. Eğer amacınız iki nokta arasındaki bağlantının güvenliğini sağlamaksa, SSL yeterli olacaktır. Öte yandan bu bağlantıda istemcilerin hangi kaynaklara erişebileceğini uygulama içerisiden kolaylıka set edebilirsiniz.
Bunların dışında farklı ihtiyaçlarınız var ise, uç noktada firewall benzeri bir katman kurmanız işinizi fazlasıyla görecektir.
Bahsettiğiniz B bilgisayarına neden ihtiyaç olduğunu anlayamadım açıkçası. Eğer amacınız iki nokta arasındaki bağlantının güvenliğini sağlamaksa, SSL yeterli olacaktır. Öte yandan bu bağlantıda istemcilerin hangi kaynaklara erişebileceğini uygulama içerisiden kolaylıka set edebilirsiniz.
Bunların dışında farklı ihtiyaçlarınız var ise, uç noktada firewall benzeri bir katman kurmanız işinizi fazlasıyla görecektir.
Şöyle bir senaryo / hikaye düşünebilirsiniz; B bilgisayarı büyük bir cloud şirketinde olduğunu düşünün. Firewall, filtre ve hatta sayısı çok fazla olan ataklara karşı ortak bir duvar tarafından korunduğunu düşünün. B bilgisayarına kurulacak bir proxy yazılımı, gelen talepleri A bilgisayarına iletirken, kötü niyetli kişiler daha B bilgisayarına erişmeden engellenecekler. Bu durumda, B bilgisayarına A bilgisayarını zombie client'lardan korumak amacı ile ihtiyaç duyuluyor.
A bilgisayarı ise 20 - 30 MB hızlarda olduğu için gelen atakları kaldıracak band genişliğine sahip değil. Dolayısı ile B bilgisayarı gibi bir bilgisayara ihtiyaç duyuluyor bu senaryoya göre.
Proxy'nin SSL özelliğini koruması gerekiyor evet ama, aynı zamanda birçok isteği değerlendirip A bilgisayarını bu filtre yükünden kurtarması gerekiyor.
Belki bilgi eksikliğim olabilir, şöyle düşünmeniz beni daha iyi anlamanıza ve öneri vermenize yarar sağlayablir;
A bilgisayarı tüm bilgileri barındıran bilgisayar, 15 - 20 MB bağlantıları rahatlıkla karşılayabilecek bir bilgisayar, ama bu bilgisayara GB oranında kötü niyetli istek yollandığını düşünün. A bilgisayarının önüne koyulan firewall cihazları bir yana, GB larca gelen atakları ya da kötü niyetli istekleri IP bazında filtreleseniz bile, topu topu 30 MB olan trafiğin tıkanması pek muhtemel.
Bu senaryo için bir çözüm araştırıyorum.
Anladığım kadarıyla bir WAF çözümüne ihtiyacınız var. Bunun için on-premise ya da cloud çeşitli hizmet/ürünler mevcut. Tam etkili bir WAF bulmak, faydalanmak zor olsada aşağıdaki hizmetleri https://aws.amazon.com/waf/ ya da https://f5.com/products/security/web-application-firewall-waf incelemenizi öneririm.
Ayrıca başlangıç seviyede ücretsiz hizmet veren 'CloudFlare' vb. Saas ürünleri kullanmayı da düşünebilirsiniz.