Eş Kanalı Uygulamalarını Güvenli Hale Getirme
WinFX'in altındaki diğer bağlamalarda olduğu gibi, NetPeerTcpBinding güvenlik varsayılan olarak etkindir ve hem aktarım hem de ileti tabanlı güvenlik (veya her ikisi) sunar. Bu konuda bu iki güvenlik türü ele alınmaktadır. Güvenlik türü, bağlama belirtimindeki (SecurityMode) güvenlik modu etiketi tarafından belirtilir.
Aktarım Tabanlı Güvenlik
Eş Kanal, aktarımın güvenliğini sağlamak için iki kimlik doğrulama kimlik bilgisi türünü destekler ve bunların her ikisi de ilişkili ChannelFactoryüzerinde özelliğinin ayarlanmasını ClientCredentialSettings.Peer gerektirir:
Parola. İstemciler, bağlantıların kimliğini doğrulamak için gizli parola bilgilerini kullanır. Bu kimlik bilgisi türü kullanıldığında geçerli
ClientCredentialSettings.Peer.MeshPasswordbir parola ve isteğe bağlı olarak birX509Certificate2örnek taşıması gerekir.Sertifika. Belirli uygulama kimlik doğrulaması kullanılır. Bu kimlik bilgisi türü kullanıldığında, içinde
ClientCredentialSettings.Peer.PeerAuthenticationsomut bir uygulaması X509CertificateValidator kullanmanız gerekir.
İleti Tabanlı Güvenlik
Bir uygulama, ileti güvenliğini kullanarak giden iletileri imzalayarak tüm alıcı tarafların iletinin güvenilir bir taraf tarafından gönderildiğini ve iletinin değiştirilmediğini doğrulayabilmesini sağlayabilir. Şu anda, Eş Kanal yalnızca X.509 kimlik bilgisi iletisi imzalamayı destekler.
En İyi Uygulamalar
- Bu bölümde, Eş Kanalı uygulamalarının güvenliğini sağlamaya yönelik en iyi yöntemler ele alınmaktadır.
Eş Kanal Uygulamalarıyla Güvenliği Etkinleştirme
Eş Kanal protokollerinin dağıtılmış yapısı nedeniyle güvenli olmayan bir ağ içinde mesh üyeliğini, gizliliğini ve gizliliğini zorunlu kılmak zordur. İstemciler ile çözümleyici hizmeti arasındaki iletişimin güvenliğini sağlamayı unutmamanız da önemlidir. Eş Adı Çözümleme Protokolü (PNRP) altında, kimlik sahtekarlığına ve diğer yaygın saldırılara karşı güvenli adlar kullanın. İstemcilerin hem ileti hem de aktarım tabanlı güvenlik dahil olmak üzere çözümleyici hizmetine başvurmak için kullandığı bağlantıda güvenliği etkinleştirerek özel bir çözümleyici hizmetinin güvenliğini sağlayın.
Olası En Güçlü Güvenlik Modelini Kullanma
Örneğin, ağın her üyesinin ayrı ayrı tanımlanması gerekiyorsa sertifika tabanlı kimlik doğrulama modelini kullanın. Bu mümkün değilse, bunları güvenli tutmak için geçerli önerileri izleyerek parola tabanlı kimlik doğrulamasını kullanın. Bu, parolaları yalnızca güvenilir taraflarla paylaşmayı, güvenli bir ortam kullanarak parolaları iletmeyi, parolaları sık sık değiştirmeyi ve parolaların güçlü olmasını sağlamayı (en az sekiz karakter uzunluğunda, her iki durumdan en az bir harf, bir rakam ve özel karakter içerir) içerir.
Otomatik olarak imzalanan sertifikaları asla kabul etme
Konu adlarına göre hiçbir zaman sertifika kimlik bilgilerini kabul etme. Herkesin sertifika oluşturabileceğini ve herkesin sizin doğruladığınız bir adı seçebileceğini unutmayın. Kimlik sahtekarlığı olasılığını önlemek için sertifika veren yetkili kimlik bilgilerine (güvenilen veren veya kök sertifika yetkilisi) göre sertifikaları doğrulayın.
İleti Kimlik Doğrulamayı Kullanma
İletinin güvenilir bir kaynaktan geldiğini ve ileti sırasında kimsenin iletiyle oynamadığını doğrulamak için ileti kimlik doğrulamasını kullanın. İleti kimlik doğrulaması olmadan, kötü amaçlı bir istemcinin ağ içindeki iletileri aldatması veya üzerinde oynaması kolaydır.