La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

TechNet Security Workshop IV Milano, 8 Giugno. Internet Information Server 6.0.

PubblicatoAnonciada Longo Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "TechNet Security Workshop IV Milano, 8 Giugno. Internet Information Server 6.0."— Transcript della presentazione:

1 TechNet Security Workshop IV Milano, 8 Giugno

2 Internet Information Server 6.0

3 Agenda Accounts Built-in IIS 6.0 Accounts Built-in IIS 6.0 Autenticazione in IIS: Autenticazione in IIS: Anonymous Authentication Anonymous Authentication Basic Authentication Basic Authentication Integrated Authentication Integrated Authentication Client Certificate Authentication Client Certificate Authentication Protezione del Traffic Web Protezione del Traffic Web

4 Scelta di un Isolation Mode ModeApplicazioni:Compatibilità:Isolamento: IIS 5.0 Isolation Mode Funzionano in Inetinfo.exe, e le applicazioni out-of-process funzionano in DLL host separate Garantisce la compatibilità per la maggior parte delle applicazioni esistenti Impedisce che unapplicazione (o un sito) ne danneggi unaltra Worker Process Isolation Mode Funzionano in un ambiente isolato Le applicazioni devono essere scritte per funzionare come unistanza multipla Permette agli amministratori di isolare qualunque cosa, da una singola applicazione Web a siti multipli nel loro worker process

5 LAutenticazione in IIS 6.0? IIS 4.0 IIS 5.0 IIS 6.0 Authentication Anonymous Basic (clear text) Windows NT Challenge / Response Integrated Digest.NET Passport Non disponibile Disponibile come installazione separata Pienamente integrata

6 Account Built-in in IIS 6.0 AccountDescription LocalSystem Ha molti diritti di accesso Ha molti diritti di accesso Evitare di assegnare LocalSystem come identità di un application pool Evitare di assegnare LocalSystem come identità di un application pool Network Service Pochi privilegi Pochi privilegi IInteragisce attraverso la rete utilizzando il computer account IInteragisce attraverso la rete utilizzando il computer account E lidentità assegnata per default allapplication pool (raccomandata) E lidentità assegnata per default allapplication pool (raccomandata) Local Service Pochi provilegi Pochi provilegi Si collega attraverso la rete in modalità anonima Si collega attraverso la rete in modalità anonima Da usare solo per applicazioni Web locali Da usare solo per applicazioni Web locali IIS_WPG Gruppo di IIS, laccount che assegno come identità dellApplication Pool deve essere membro di questo gruppo Gruppo di IIS, laccount che assegno come identità dellApplication Pool deve essere membro di questo gruppo IUSR_computerna me Account di IIS utilizzato per laccesso anonimo Account di IIS utilizzato per laccesso anonimo IWAM_computern ame Account di IIS per avviare applicazioni out-of-process in IIS 5.0 isolation mode Account di IIS per avviare applicazioni out-of-process in IIS 5.0 isolation mode ASPNET Account di IIS per avviare il worker process di ASP.NET in IIS 5.0 isolation mode Account di IIS per avviare il worker process di ASP.NET in IIS 5.0 isolation mode

7 Flusso del Controllo daccesso 1. Lindirizzo IP è permesso? 2. Lutente è permesso? Credenziali valide (Autenticazione) Credenziali valide (Autenticazione) Restrizioni dellAccount Restrizioni dellAccount Time, Lockout, Password scaduta, Privilegi Time, Lockout, Password scaduta, Privilegi 3. IIS permette laccesso ? 4. NTFS permette laccesso ?

8 Architettura di Autenticazione Client IIS Basic, Digest, Windows, Client certificates Basic, Digest, Windows, Client certificates IIS Backend Server Delega ? Delega ? IIS IE SQL

9 InternetDMZ Scenario di Autenticazione IIS Web Browser Web Proxy SQLServer ActiveDirectory Firewall

10 Anonymous Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 3 SQL authentication SELECT * FROM table 2 1 GET dbquery.asp HTTP/1.1

11 Anonymous Authentication Accesso alle risorse come utente anonimo (IUSR_ Accesso alle risorse come utente anonimo (IUSR_ Identità del Processo: Network Services, LocalSystem, IWAM_ Identità del Processo: Network Services, LocalSystem, IWAM_ Lidentità del processo è configurabile tramite COM+ Lidentità del processo è configurabile tramite COM+ Sicurezza / Prestazioni Sicurezza / Prestazioni

12 Basic Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 5 LogonUser (user1, pw) 6 Windows authentication Authorization: Basic Base64 encoded user/pw 4 3 401 Unauthorized WWW-Authenticate: Basic realm="spoon" 2 1 GET dbquery.asp HTTP/1.1

13 Basic Authentication Identità del Processo: Network Services, LocalSystem, IWAM_ Identità del Processo: Network Services, LocalSystem, IWAM_ Accesso alle risorse come authenticated user Accesso alle risorse come authenticated user Vantaggi Vantaggi Tutti i client HTTP supportano la basic auth Tutti i client HTTP supportano la basic auth Supporta delega one hop Supporta delega one hop Svantaggi Svantaggi Password in chiaro (Base64 Encoded) Password in chiaro (Base64 Encoded) Su Internet Su Internet Sul Server Sul Server Deve essere protetto tramite SSL Deve essere protetto tramite SSL

14 Windows Integrated Authentication Security Support Provider (SSPI)-based Security Support Provider (SSPI)-based NTLM o Kerberos NTLM o Kerberos IIS chiede al client che protocollo supporta IIS chiede al client che protocollo supporta Il Protocollo può essere forzato Il Protocollo può essere forzato NTAuthenticationProviders NTAuthenticationProviders Negotiate Negotiate NTLM NTLM Kerberos Kerberos

15 NTLM Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 GET dbquery.asp HTTP/1.1 2 401 Unauthorized WWW-Authenticate: NTLM challenge Authorization: NTLM response 3

16 NTLM Authentication IIS Web Browser SQLServer ActiveDirectory 1 1.GET dbquery.asp HTTP/1.1 2 2. HTTP/1.1 401 Unauthorized WWW-Authenticate: NTLM 3 3. HTTP GET dbquery.asp HTTP/1.1 Authorization: NTLM {…} Connection: Keep-Alive 4 4. HTTP/1.1 401 Access Denied WWW-Authenticate: NTLM {…}Connection: Keep-Alive 5 5. HTTP GET dbquery.asp HTTP/1.1 Authorization: NTLM {hashed challenge} Connection: Keep-Alive 6ImpersonateSecurityContext 7 SQL Login / COM+ SELECT * FROM table WHERE user=user1

17 NTLM Authentication Vantaggi Vantaggi Lavora out-of-the-box Lavora out-of-the-box Fornisce logon automatico / senza logon dialog box Fornisce logon automatico / senza logon dialog box Svantaggi Svantaggi Solo Enterprise– non funziona attraverso i Proxy Server (richiede keep-alive connection) Solo Enterprise– non funziona attraverso i Proxy Server (richiede keep-alive connection) Non supporta delega Non supporta delega Configurata per essere compatibile con i client vecchi Configurata per essere compatibile con i client vecchi

18 Kerberos Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 1.HTTP GET dbquery.asp HTTP/1.1 3 3. Kerberos Session Ticket Request 2. HTTP/1.1 401 Unauthorized WWW-Authenticate: Negotiate, Kerberos 2

19 Kerberos Authentication IIS Web Browser SQLServer ActiveDirectory 1 1.HTTP GET dbquery.asp HTTP/1.1 4 4. Kerberos Session Ticket Response 5 5. HTTP GET dbquery.asp HTTP/1.1 2 2. HTTP/1.1 401 Unauthorized WWW-Authenticate: Negotiate, NTLM 6 ImpersonateSecurityContextNTAuthentication 6. Delegation 3 3. Kerberos Session Ticket Request

20 Kerberos Authentication Robusta, scalabile, veloce, supporta delega Robusta, scalabile, veloce, supporta delega Support client limitato Support client limitato Internet Explorer 5 e Windows 2000 Internet Explorer 5 e Windows 2000 Criticità Criticità Client devono poter accedere ai DC Client devono poter accedere ai DC Delega deve essere abilitata Delega deve essere abilitata Non vincolata in IIS 5 Non vincolata in IIS 5 Setup Setup Vedi designing secure Web-based applications Vedi designing secure Web-based applications

21 Client Certificate Authentication Handshake phase IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 Client Hello 5 Server finish 4 Client finish Client response certificate, crypto parameters 3 2 Server Hello certificate, crypto parameters

22 Client Certificate Authentication IIS Mapping IIS Web Browser SQLServer ActiveDirectory Firewall Proxy 1 HTTPS GET dbquery.asp HTTP/1.1 4 LogonUser( user1, pw) 5 NT Authentication 3Mapping

23 Client Certificate Authentication Active Directory Mapping IIS Web Browser SQLServer ActiveDirectory Firewall Proxy 2 SCHANNEL UPN Mapping or AD Mapping 3 SQL Login / COM+ SELECT * FROM table WHERE user=user1 1 HTTPS GET dbquery.asp HTTP/1.1

24 Client Certificate Authentication Vantaggi Vantaggi Molto sicura Molto sicura Flessibile Flessibile Garantisce Integrità e confidenzialità Garantisce Integrità e confidenzialità Svantaggi Svantaggi Maggiori costi di gestione per la PKI Maggiori costi di gestione per la PKI Scalabilità e Performance Scalabilità e Performance

25 Griglia di Autenticazione SchemaSicurezza Limiti / Commenti Supporto Client Scenario AnonymousNoneTuttiTutti BasicLow Password in chiaro, da usare solo con SSL TuttiTutti DigestMedium IIS 5 o sup IE5 e sup in un dominio Tutti NTLMMedium Non funziona attraverso i proxy Solo Internet Explorer Solo Intranet, non funziona con i Proxy KerberosHigh IIS 5.0 o sup IE 5 su W2000 o XP in un dominio Solo Intranet, DC devono essere accessibili da parte dei client IIS Client Cert Mapping High Gestione PKI rende la gestione dei certificati client costosa (eccetto PKI W2003), IIS 5.0 o sup Tutti i browsers più recenti Tutti AD Client Cert Mapping Very High Gestione PKI rende la gestione dei certificati client costosa (eccetto PKI W2003), IIS 5.0 o sup Tutti i browsers più recenti Tutti

26

Scaricare ppt "TechNet Security Workshop IV Milano, 8 Giugno. Internet Information Server 6.0."

Presentazioni simili

© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.

© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.
Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (www.tissino.it)

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
Guida al Print Spooler in 30 Stampare in rete Laboratorio 4 Sergio Capone ITP ©

Guida al Print Spooler in 30 Stampare in rete Laboratorio 4 Sergio Capone ITP ©
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.

ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Microsoft Identity Management Strategy Fabrizio Grossi.

Microsoft Identity Management Strategy Fabrizio Grossi.
Recovery e Troubleshooting di Active Directory Renato Francesco Giorgini

Recovery e Troubleshooting di Active Directory Renato Francesco Giorgini
Marco Russo DevLeap http://blogs.devleap.com/marco marco@devleap.it 27/03/2017 2:27 AM Il processo di Logon e la sicurezza per l’utente interattivo e per.

Marco Russo DevLeap 27/03/2017 2:27 AM Il processo di Logon e la sicurezza per l’utente interattivo e per.
Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos

Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
La sicurezza di ASP.NET e IIS

La sicurezza di ASP.NET e IIS
Services For Unix 3.5 Lintegrazione di piattaforme e applicazioni UNIX con Windows Server 2003 Lintegrazione di piattaforme e applicazioni UNIX con Windows.

Services For Unix 3.5 Lintegrazione di piattaforme e applicazioni UNIX con Windows Server 2003 Lintegrazione di piattaforme e applicazioni UNIX con Windows.
Configurare VPN e Accesso remoto con Small Business Server 2003

Configurare VPN e Accesso remoto con Small Business Server 2003
Midrange Modernization Conference 1 Scenari evolutivi per le soluzioni basate su AS/400 Walter Poloni Direttore Developer & Platform Evangelism Microsoft.

Midrange Modernization Conference 1 Scenari evolutivi per le soluzioni basate su AS/400 Walter Poloni Direttore Developer & Platform Evangelism Microsoft.
1 Windows SharePoint 2003 Products & Technologies – Overview funzionale Marco Bellinaso Senior trainer & consultant Code Architects S.r.l. Web:

1 Windows SharePoint 2003 Products & Technologies – Overview funzionale Marco Bellinaso Senior trainer & consultant Code Architects S.r.l. Web:
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.

ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT.

Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT.
Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.

Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.
Il nuovo Microsoft ISA Server 2006

Il nuovo Microsoft ISA Server 2006
Accesso centralizzato alle applicazioni con Terminal Services in Windows Server 2008 Renato Francesco Giorgini Evangelist IT Pro

Accesso centralizzato alle applicazioni con Terminal Services in Windows Server 2008 Renato Francesco Giorgini Evangelist IT Pro
Utilizzare PHP 5 Corso Interazione Uomo – Macchina AA 2005/2006.

Utilizzare PHP 5 Corso Interazione Uomo – Macchina AA 2005/2006.
Un DataBase Management System (DBMS) relazionale client/server.

Un DataBase Management System (DBMS) relazionale client/server.

Presentazioni simili

Annunci Google