[WCF] Service security

Ik wil graag een WCF (data) service aanmaken echter wil ik niet dat elke willekeurige applicatie hier verbinding mee kan maken. Nu staan er op MSDN een aantal methodes om dit te blokkeren maar zover mij duidelijk werd hebben alle methodes SSL certificates nodig. Echter heb ik alleen FTP toegang tot het systeem en kan ik niet certficates genereren op de host. Een andere oplossing was om username en password in de headers mee te sturen maar aangezien alles dan static is kan dit eenvoudig gesniffed worden zodat andere applicaties hier met de gesnifte gegevens ook nog verbinding mee kunnen maken. Ik had al even op Google e.d. gezocht maar ik kon niet echt andere oplossingen vinden. Zijn er ook manieren om een service te limiten tot een enkele client met de bovengenoemde limitaties?

RobIII schreef op maandag 30 mei 2011 @ 13:33:
Simpelste: gewoon in IIS (of de WCF service zelf) limiteren op 1 ip

Nee, er moeten wel meerdere clients tegelijk verbinding mee kunnen maken, echter wil ik niet dat iemand anders een andere client gaat schrijven voor de service.

CodeCaster schreef op maandag 30 mei 2011 @ 13:42:
... en dan leest Jantje de key van Pietje uit het netwerkverkeer, en kan hij alsnog bij de service.

Precies.

CodeCaster schreef op maandag 30 mei 2011 @ 13:40:
Simpel zat: zolang je het verkeer niet versleutelt, zal elke methode gesniffed kunnen worden. Je kunt zelf een challenge/response-implementatie gaan schrijven, of gewoon even een certificaat (laten) genereren.

Ik heb helaas geen mogelijkheid om een certficaat te (laten) genereren. Echter, zolang alles hetzelfde is wat overgestuurd wordt kan dat natuurlijk eenvoudig gesniffed worden en zit je met hetzelfde probleem.

riezebosch schreef op maandag 30 mei 2011 @ 13:52:
Kan je niet een scriptje maken wat op de server een certificaat maakt + installeert?

Zoals vermeld heb ik alleen maar FTP toegang en meer rechten heb ik helaas niet.

Caelorum schreef op maandag 30 mei 2011 @ 14:09:
Een andere host zoeken dan?

Helaas is dat nog geen optie op dit moment

Herko_ter_Horst schreef op maandag 30 mei 2011 @ 14:24:
Waterdicht ga je dit niet krijgen en als je het al oplost, krijg je een "wapenwedloop". Als dit makkelijk op te lossen was, hadden consolebouwers ook geen problemen met het uitsluiten van gehackte consoles.

De afweging is: hoe belangrijk is het nou echt en hoeveel effort (tijd/geld) wil je er in steken?

Het is in principe belangrijk dat het niet zomaar beschikbaar is voor iedereen, echter bevat het geen persoonlijke data.

Woy schreef op maandag 30 mei 2011 @ 14:27:
In principe moet het volgens mij ook best mogelijk zijn om een Certificaat uit een andere store te laden. Je kunt dan dus gewoon een certificaat maken, en die uploaden via FTP. Je moet dan alleen wat code schrijven om het juiste certificaat te laden.

Afhankelijk van hoe het systeem werkt kun je natuurlijk ook met Client certificaten gaan werken.

Dat klinkt wel interessant als dat mogelijk is, dan moet het ook mogelijk zijn om de SSL encryptions e.d. te gebruiken op MSDN lijkt mij.