Müssen interne Intranet-Websites sicher sein?

7

Die Frage steht im Titel.

Muss eine interne Site sicher sein https?

Zum Beispiel haben wir eine interne Site, die die Lizenzschlüssel unserer Kunden verwaltet. Müssen diese sicher sein, da sie sich in unserem internen Netzwerk befinden?
(Die Website ist mit IIS- und Windows-Benutzerüberprüfung gesichert.)

Naftali alias Neal
quelle

Antworten:

4

Wenn der Inhalt Ihres Netzwerks vertraulich ist und Benutzer nicht über die erforderlichen Berechtigungen verfügen, um einen Teil oder den gesamten Inhalt anzuzeigen, sollten Sie SSL in Ihrem Intranet verwenden. Glücklicherweise ist das Einrichten von SSL in Ihrem Intranet nicht schwierig und Sie können ein selbstsigniertes Zertifikat verwenden, da die Identität Ihres Unternehmens nicht überprüft werden muss.

John Conde
quelle
Die Website ist mit IIS und Windows-Benutzerüberprüfung (aber ohne https) gesichert
Naftali aka Neal
Dies schränkt ein, wer in das Netzwerk gelangen kann, verhindert jedoch nicht das Paket-Sniffing im Netzwerk.
John Conde
Aber die einzigen Leute, die in das Netzwerk gelangen können, sind Leute, die direkten Zugang zu unserem kabelgebundenen Netzwerk haben
Naftali aka Neal
1
@Neal, Nur weil die Benutzer möglicherweise ein höheres Maß an Vertrauen haben als Benutzer einer öffentlich zugänglichen Website, bedeutet dies nicht, dass sensible Inhalte nicht so weit wie möglich geschützt werden sollten. Viele Hacks und Diebstähle finden innerhalb der eigenen oder virtuellen Wände eines Unternehmens statt.
John Conde
4

Wenn Sie für Ihre Besucher im selben Netzwerk einen offenen drahtlosen Zugang haben und dieser nicht über https bereitgestellt wird, können Besucher den Netzwerkverkehr anderer Personen in Ihrem Intranet problemlos abfangen.

Paulmorriss
quelle
3

Wenn Sie Windows-Kennwörter zur Anmeldung verwenden, sollten Sie auch SSL verwenden. (Dies ist wichtiger, wenn Sie die grundlegende Authentifizierung zulassen.) Dies dient dazu, eine Eskalation von Berechtigungen sowohl für Ihre eigenen Benutzer als auch als mehrschichtige Sicherheitsstrategie zu vermeiden.

James Ryan
quelle
100% stimmen zu. Wir haben eine WordPress-Installation in unserem Intranet, die sich gegen Active Directory authentifiziert und daher mit SSL geschützt ist.
Nic