ASP.net: restringe el inicio de sesión del usuario a una máquina específica

Proporcione sus sugerencias sobre cómo restringir el inicio de sesión de un usuario a una máquina específica para un sitio web ASP.net.

En otras palabras, el requisito es implementar un sistema simple pero efectivo Factor de autenticación 2.

El objetivo es permitir el acceso a los empleados solo desde los puestos de trabajo de la empresa. Esto debería ser aplicable a todas las sucursales de la empresa y autenticarse desde una aplicación de servidor central.

Después de mucho buscar y desplazarse por la WWW, me quedo reflexionando sobre estas 2 soluciones:

  1. Certificados del lado del cliente de Microsoft
  2. RSA SecurID

Proporcione sus valiosas sugerencias sobre Contras de estos métodos O mejores alternativas.

preguntado el 08 de noviembre de 11 a las 10:11

Entonces, ¿el sitio web está destinado a ser público, pero los empleados solo deberían poder acceder a él internamente? -

Publiqué una pregunta similar en Security.Stackexchange - security.stackexchange.com/questions/10835/… -

@Icarus, los empleados deben acceder al sitio web (solo) a través de sus respectivas máquinas. -

Question Guy: Estoy tratando de lograr lo mismo. Estoy considerando los certificados del lado del cliente de Microsoft. Si ha encontrado algún recurso útil sobre cómo configurarlo y usarlo, compártalo. O sugiéreme si has encontrado otra alternativa mejor .... -

2 Respuestas

Vea esta pregunta de antes a hoy sobre cómo determinar si están en la LAN: ¿Cómo puedo obtener información sobre la red de usuarios cuando intenta autenticarse en mi IIS?

Vaya con su información de enrutamiento. Si solo permite el acceso desde las direcciones de su sistema interno que deberían cumplir con sus objetivos. Me parece que los dos enlaces que publicaste son factores de autenticación adicionales que podrían agregarse a esto.

contestado el 23 de mayo de 17 a las 15:05

@JeffFedland - ¿Qué pasa con las sucursales de empresas en todo el mundo? No tienen direcciones IP estáticas. - Chico de la pregunta

@JeffFedland - ¿Me equivocaría al pedir que se requiera que la aplicación se instale en las LAN locales de cada sucursal para filtrar por IP por IIS? - Chico de la pregunta

@QuestionGuy ¿No tienen una conexión VPN entre oficinas periféricas? Si lo hacen, todas las direcciones de solicitud aparecerán internas. Si no lo hacen, lloro de vergüenza. - Jeff Ferland

@JeffFedland: las VPN restringen los inicios de sesión dentro de la red, pero el requisito es restringirlos a Por usuario por máquina. Lo que significa que solo puedo iniciar sesión a través de mi máquina y usted solo a través de la suya. - Chico de la pregunta

Y las direcciones IP pueden ser falsificadas por un usuario malintencionado que se conecta a la red. - Chico de la pregunta

Una solución más fácil y económica es restringir el acceso por dirección IP. Supongo que todas las estaciones de trabajo de la empresa tienen direcciones IP internas, ¿no es así?

Puede obtener la dirección IP del cliente (mirando los encabezados de la solicitud) y junto con el nombre de usuario (es decir, ¿es un nombre de usuario de empleado o no?) Determinar si puede acceder al sitio web desde donde está iniciando sesión.

Respondido el 19 de enero de 12 a las 23:01

Sí, las estaciones de trabajo de la empresa tienen dominios y bosques, pero ¿no podría un usuario malintencionado falsificar la dirección IP para colarse? - Chico de la pregunta

@QuestionGuy Suplantación de IP no es un ataque fácil; requiere algún tipo de triangulación para que funcione, ya que una vez que el servidor responde a la solicitud, la enviará de vuelta a la dirección IP real y el atacante necesitará esa computadora para poder reenviar esos paquetes a su IP real. ¿Qué tan preocupado debería estar ante un escenario como este? La suplantación de IP solía ser muy efectiva al lanzar ataques DoS usando PING flooding a través de redes de amplificación, pero no tanto hoy en día. - Ícaro

En pocas palabras, todavía puedo configurar mi computadora portátil a una IP interna válida y conectarme a la red. - Chico de la pregunta

@QuestionGuy ¿Y? ¿No está eso permitido? Si tiene acceso físico a la red y se le permite, como política de la empresa, conectar su computadora portátil, ¿cuál es el problema si usa su computadora portátil o su estación de trabajo para acceder al sitio web? No se le debería permitir conectar su computadora portátil a la red interna en absoluto. Es por eso que las empresas tienen "Redes INVITADAS" que generalmente se ejecutan en un segmento de red diferente. La conclusión es que si tiene acceso físico al lugar, puede hacer lo que quiera si está decidido. - Ícaro

Es fácil configurar redes de acceso paralelo en las oficinas principales de la empresa principal, pero ¿qué pasa con las sucursales y los franquiciados? - Chico de la pregunta

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.