Sikkerhet

WInRm sikker nok?

Autentiseringssikkerhet

Tenk på følgende scenario: to datamaskiner, begge medlemmer av samme domene. Vi kjører winrm quickconfig på begge datamaskiner og tar ikke ytterligere trinn for å låse ting ned. Er det sikkert? Blir legitimasjon eller resultater klart? 

Fra den aller første kommunikasjonen og uten ytterligere konfigurasjon, vil forbindelser mellom de to datamaskinene bruke Kerberos for første autentisering. Hvis du ikke er kjent med det, er det minste minimum å vite at Kerberos er en pålitelig mekanisme som sikrer at legitimasjonen er sterkt beskyttet, og har mange smarte funksjoner som hashing og tickets som brukes til å sikre at legitimasjon informasjon aldri blir vist i klartekst. Så, domene-joinede servere, overfører ikke legitimasjons informasjon.

Vel, hva om de to maskinene er i en arbeidsgruppe i stedet? Arbeidsgruppemaskiner stoler på hverandre, men har ikke en domenekontroller for å fungere som det sentrale autoritetspunktet for identitet, så de må bruke den daterte NT LAN Manager (NTLM) -protokollen i stedet.  NTLM er kjent for å være mindre sikker enn Kerberos , og har sine egne sårbarheter , men benytter fortsatt legitimasjon med en sterk enveis hash. Ingen legitimasjon legitimasjon i dette scenariet heller.

Når godkjenningsfasen er fullført, med enten Kerberos (brukt i et domene) eller NTLM (når maskiner ikke er i et domene), blir all kommunikasjon kryptert ved hjelp av en symmetrisk 256-bit nøkkel, selv med HTTP som protokoll.

Http/Https

I DMZ-scenariet er NTLM autentiseringsmekanismen som brukes. NTLM har kjent problemer ved at det er relativt trivielt for en dyktig angriper å utgi seg for en annen server.

Heldigvis har vi et perfekt middel mot dette etterligningsproblemet! Vi kan ganske enkelt bruke HTTPS som transport for NTLM-kommunikasjon. HTTPS ‘inkludering av SSL løser problemer med Server Identity, men krever litt konfigurasjon for å distribuere. Med SSL må begge datamaskinene kunne registrere seg og motta et gyldig serverautentiseringssertifikat fra en gjensidig pålitelig sertifiseringsmyndighet. Disse sertifikatene brukes til å tilfredsstille behovet for å validere serveridentitet, og effektivt sikre sertifikatet for serverimitasjon som NTLM.

I en verden av WinRM over HTTP-er, når den første autentiseringen er avsluttet, er klientkommunikasjon nå dobbelt sikret, siden vi allerede har fått våre standard AES-256 symmetriske nøkler fra WinRM nevnt tidligere, som ligger innenfor det ytre sikkerhetslaget til SSL-sikret transporttunnel.

For maskiner som er tilknyttet domenet og vil ha tilgang til en domenekontroller for Kerberos-autentisering, er SSL bare ikke nødvendig.

Imidlertid, for maskiner som kan være kompromittert i en DMZ eller arbeidsgruppe, gir SSL et ekstra beskyttelseslag som øker tilliten til et potensielt farlig miljø.

Similar Posts