TechNet Security Workshop IV Milano, 8 Giugno. Internet Information Server 6.0.

Slides:



Advertisements
Presentazioni simili
© 2010 Colt Telecom Group Limited. All rights reserved. Cloud Computing Lapproccio Colt Dionigi Faccedna.
Advertisements

Gli ipertesti del World Wide Web Funzionamento e tecniche di realizzazione a cura di Loris Tissìno (
Guida al Print Spooler in 30 Stampare in rete Laboratorio 4 Sergio Capone ITP ©
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
Microsoft Identity Management Strategy Fabrizio Grossi.
Recovery e Troubleshooting di Active Directory Renato Francesco Giorgini
Marco Russo DevLeap 27/03/2017 2:27 AM Il processo di Logon e la sicurezza per l’utente interattivo e per.
Fatti e misfatti dei protocolli di autenticazione LM, NTLM e Kerberos
La sicurezza di ASP.NET e IIS
Services For Unix 3.5 Lintegrazione di piattaforme e applicazioni UNIX con Windows Server 2003 Lintegrazione di piattaforme e applicazioni UNIX con Windows.
Configurare VPN e Accesso remoto con Small Business Server 2003
Midrange Modernization Conference 1 Scenari evolutivi per le soluzioni basate su AS/400 Walter Poloni Direttore Developer & Platform Evangelism Microsoft.
1 Windows SharePoint 2003 Products & Technologies – Overview funzionale Marco Bellinaso Senior trainer & consultant Code Architects S.r.l. Web:
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Accesso remoto ai servizi della rete aziendale: tecnologie di protezione Alessandro Appiani Direttore tecnico Pulsar IT.
Luca Bianchi Windows Development Day Bologna 28 gennaio 2005 SQL Server Desktop Engine (MSDE) & SQL Server 2005 Express.
Il nuovo Microsoft ISA Server 2006
Accesso centralizzato alle applicazioni con Terminal Services in Windows Server 2008 Renato Francesco Giorgini Evangelist IT Pro
Utilizzare PHP 5 Corso Interazione Uomo – Macchina AA 2005/2006.
Un DataBase Management System (DBMS) relazionale client/server.
Microsoft Robotics Studio Marco Petrucco Microsoft Student Partner - Udine.
Directory services Directory offline –Elenchi telefonici –Guide TV –Cataloghi acquisti Directory online –Application specific (lotus notes, MS Exchange.
UNIVERSITÀ DI PERUGIA DIPARTIMENTO DI MATEMATICA E INFORMATICA Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della.
SEVER RAS.
Citrix Metaframe. Metaframe è la soluzione client-server prodotta dalla Citrix in grado di rendere disponibili applicazioni e desktop a qualsiasi dispositivo.
Componenti dell’architettura Oracle
Unix Security Checklist1 Security Patches –[] Installare sempre tutte le security patches per il SO in uso per mantenere il sistema collegato in rete up.
11/01/2001Meeting WP1 - CNAF - Bologna1 Valutazione tools LDAP per gestione gruppi C. Rocca I.N.F.N. – Sezione di Catania.
La sicurezza può essere fornita in ciascuno degli strati: applicazione, trasporto, rete. Quando la sicurezza è fornita per uno specifico protocollo dello.
Business Internet light TechChange Migration Usecases novembre 2011.
Click to edit Master title style Click to edit Master text styles –Second level Third level –Fourth level »Fifth level Kaspersky Anti-Virus 2011 Kaspersky.
Livehelp Messenger 18 giugno CHE COSA E LIVEHELP? Livehelp è un servizio finalizzato alle problematiche di help-desk che consente di costruire e.
Procedure ITR02 web da effettuarsi come administrator del PC
7 cose da sapere su Volume Activation con Windows 7 © 2009 Microsoft Corporation. Tutti i diritti riservati. Come professionista IT, devi sapere che l'attivazione.
Primi passi con Windows: Gestione del Desktop Barra Applicazioni Menu Avvio ISTITUTO COMPRENSIVO N.7 - VIA VIVALDI - IMOLA Via Vivaldi, Imola.
1 Web Design Internet Agency. 2 Web Design Internet Agency Qual è il valore aggiunto che può portare allimpresa ? Perché è fondamentale oggi avere un.
INTERNET Internet è una rete a livello mondiale che permette alle persone di comunicare ed ad accedere a banca dati da qualunque parte del mondo e su qualunque.
© Copyright 2012 Elitecore Technologies Pvt. Ltd. All Rights Reserved. Securing You Autenticazione Hotspot tramite UTM Cyberoam Unified.
Gruppo 4: Gelmi Martina, Morelato Francesca, Parisi Elisa La mia scuola ha un sito Web: modelli per la qualità dei siti (Ingegneria del Web)
Internet Explorer 8.0: Gestione centralizzata tramite Group Policy
INTERNET Antonio Papa Classe 2^ beat I.S.I.S. G. Meroni a.s. 2007/2008.
System for Card DOCUMENTO PROGRAMMATICO SULLA SICUREZZA Presentazione del Servizio ASP di System for Card.
AC mobile Versione 1.1 AC mobile Guida per l’utente
Il Boot Il boot loader Grub Esistono altri boot lader (Es. LILO). Le modalità di avvio. Normal mode – Rescue mode. Users e passwords Lo user con cui effettuiamo.
All rights reserved © 2006, Alcatel EB V4 SMB Solution Marketing 2006 Alcatel SMB Sales Training.
Active Directory Federation Services 2
Fabio Cozzolino Vito Arconzo
Attribution-NonCommercial-ShareAlike Le novità
Scoprirete che su Office non si può solo contare ma anche sviluppare.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Installazione di Drupal su Linux (sistemista) Installazione step-by-step e note.
Internet Explorer 8.0: Architettura e funzionalità di sicurezza Renato Francesco Giorgini Evangelist IT Pro
IIS7 Media Services Piergiorgio Malusardi IT Pro Evangelist
Visual Studio Tools for Office: Developer Solutions Platform Fulvio Giaccari MCSD.NET / MCT Responsabile Usergroup ShareOffice Blog:
SQL Server 2005 Sicurezza Davide Mauri Factory Software
Customer Support Research & Development Come registrarsi ed entrare in......ITRC.
ASP – Active Server Pages - 1 -Giuseppe De Pietro Introduzione ASP, acronimo di Active Server Pages, sta ad indicare una tecnologia per lo sviluppo di.
Negli ultimi anni, la richiesta di poter controllare in remoto la strumentazione e cresciuta rapidamente I miglioramenti nell’hardware e nel software insieme.
Sistemi di elaborazione dell’informazione Modulo 3 -Protocolli applicativi Unità didattica 4 - Protocolli del Web Ernesto Damiani Lezione 3 – Esempi HTTP.
CREAZIONE UTENTE SU DATATOP. CREAZIONE UTENTE Andate su //datatop.di.unipi.it/webdb Login come utente: webdb password: ****** Administer -> User Manager.
Azure: Mobile Services e Notification Hub ANDREA GIUNTA.
Eprogram informatica V anno. ASP.NET Introduzione ASP.NET (Active Server Page) è il linguaggio che, sfruttando la tecnologia.NET, permette di: -scrivere.
Sviluppo per Pocket PC con SQL Server CE 2.0 Fabio Santini Silvano Coriani.NET Developer Evangelist Microsoft Corporation.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Certificati e VPN.
Protocolli per la sicurezza. Le tre AAA Ai livelli più bassi del protocollo ISO/OSI i meccanismi di sicurezza garantiscono le tre AAA Autenticazione Autorità.
Project Cerberus : Portale per la Gestione dei Server
INFN-AAI Autenticazione e Autorizzazione
INFN-AAI Autenticazione e Autorizzazione
Virtual Private Network SSL
Transcript della presentazione:

TechNet Security Workshop IV Milano, 8 Giugno

Internet Information Server 6.0

Agenda Accounts Built-in IIS 6.0 Accounts Built-in IIS 6.0 Autenticazione in IIS: Autenticazione in IIS: Anonymous Authentication Anonymous Authentication Basic Authentication Basic Authentication Integrated Authentication Integrated Authentication Client Certificate Authentication Client Certificate Authentication Protezione del Traffic Web Protezione del Traffic Web

Scelta di un Isolation Mode ModeApplicazioni:Compatibilità:Isolamento: IIS 5.0 Isolation Mode Funzionano in Inetinfo.exe, e le applicazioni out-of-process funzionano in DLL host separate Garantisce la compatibilità per la maggior parte delle applicazioni esistenti Impedisce che unapplicazione (o un sito) ne danneggi unaltra Worker Process Isolation Mode Funzionano in un ambiente isolato Le applicazioni devono essere scritte per funzionare come unistanza multipla Permette agli amministratori di isolare qualunque cosa, da una singola applicazione Web a siti multipli nel loro worker process

LAutenticazione in IIS 6.0? IIS 4.0 IIS 5.0 IIS 6.0 Authentication Anonymous Basic (clear text) Windows NT Challenge / Response Integrated Digest.NET Passport Non disponibile Disponibile come installazione separata Pienamente integrata

Account Built-in in IIS 6.0 AccountDescription LocalSystem Ha molti diritti di accesso Ha molti diritti di accesso Evitare di assegnare LocalSystem come identità di un application pool Evitare di assegnare LocalSystem come identità di un application pool Network Service Pochi privilegi Pochi privilegi IInteragisce attraverso la rete utilizzando il computer account IInteragisce attraverso la rete utilizzando il computer account E lidentità assegnata per default allapplication pool (raccomandata) E lidentità assegnata per default allapplication pool (raccomandata) Local Service Pochi provilegi Pochi provilegi Si collega attraverso la rete in modalità anonima Si collega attraverso la rete in modalità anonima Da usare solo per applicazioni Web locali Da usare solo per applicazioni Web locali IIS_WPG Gruppo di IIS, laccount che assegno come identità dellApplication Pool deve essere membro di questo gruppo Gruppo di IIS, laccount che assegno come identità dellApplication Pool deve essere membro di questo gruppo IUSR_computerna me Account di IIS utilizzato per laccesso anonimo Account di IIS utilizzato per laccesso anonimo IWAM_computern ame Account di IIS per avviare applicazioni out-of-process in IIS 5.0 isolation mode Account di IIS per avviare applicazioni out-of-process in IIS 5.0 isolation mode ASPNET Account di IIS per avviare il worker process di ASP.NET in IIS 5.0 isolation mode Account di IIS per avviare il worker process di ASP.NET in IIS 5.0 isolation mode

Flusso del Controllo daccesso 1. Lindirizzo IP è permesso? 2. Lutente è permesso? Credenziali valide (Autenticazione) Credenziali valide (Autenticazione) Restrizioni dellAccount Restrizioni dellAccount Time, Lockout, Password scaduta, Privilegi Time, Lockout, Password scaduta, Privilegi 3. IIS permette laccesso ? 4. NTFS permette laccesso ?

Architettura di Autenticazione Client IIS Basic, Digest, Windows, Client certificates Basic, Digest, Windows, Client certificates IIS Backend Server Delega ? Delega ? IIS IE SQL

InternetDMZ Scenario di Autenticazione IIS Web Browser Web Proxy SQLServer ActiveDirectory Firewall

Anonymous Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 3 SQL authentication SELECT * FROM table 2 1 GET dbquery.asp HTTP/1.1

Anonymous Authentication Accesso alle risorse come utente anonimo (IUSR_ Accesso alle risorse come utente anonimo (IUSR_ Identità del Processo: Network Services, LocalSystem, IWAM_ Identità del Processo: Network Services, LocalSystem, IWAM_ Lidentità del processo è configurabile tramite COM+ Lidentità del processo è configurabile tramite COM+ Sicurezza / Prestazioni Sicurezza / Prestazioni

Basic Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 5 LogonUser (user1, pw) 6 Windows authentication Authorization: Basic Base64 encoded user/pw Unauthorized WWW-Authenticate: Basic realm="spoon" 2 1 GET dbquery.asp HTTP/1.1

Basic Authentication Identità del Processo: Network Services, LocalSystem, IWAM_ Identità del Processo: Network Services, LocalSystem, IWAM_ Accesso alle risorse come authenticated user Accesso alle risorse come authenticated user Vantaggi Vantaggi Tutti i client HTTP supportano la basic auth Tutti i client HTTP supportano la basic auth Supporta delega one hop Supporta delega one hop Svantaggi Svantaggi Password in chiaro (Base64 Encoded) Password in chiaro (Base64 Encoded) Su Internet Su Internet Sul Server Sul Server Deve essere protetto tramite SSL Deve essere protetto tramite SSL

Windows Integrated Authentication Security Support Provider (SSPI)-based Security Support Provider (SSPI)-based NTLM o Kerberos NTLM o Kerberos IIS chiede al client che protocollo supporta IIS chiede al client che protocollo supporta Il Protocollo può essere forzato Il Protocollo può essere forzato NTAuthenticationProviders NTAuthenticationProviders Negotiate Negotiate NTLM NTLM Kerberos Kerberos

NTLM Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 GET dbquery.asp HTTP/ Unauthorized WWW-Authenticate: NTLM challenge Authorization: NTLM response 3

NTLM Authentication IIS Web Browser SQLServer ActiveDirectory 1 1.GET dbquery.asp HTTP/ HTTP/ Unauthorized WWW-Authenticate: NTLM 3 3. HTTP GET dbquery.asp HTTP/1.1 Authorization: NTLM {…} Connection: Keep-Alive 4 4. HTTP/ Access Denied WWW-Authenticate: NTLM {…}Connection: Keep-Alive 5 5. HTTP GET dbquery.asp HTTP/1.1 Authorization: NTLM {hashed challenge} Connection: Keep-Alive 6ImpersonateSecurityContext 7 SQL Login / COM+ SELECT * FROM table WHERE user=user1

NTLM Authentication Vantaggi Vantaggi Lavora out-of-the-box Lavora out-of-the-box Fornisce logon automatico / senza logon dialog box Fornisce logon automatico / senza logon dialog box Svantaggi Svantaggi Solo Enterprise– non funziona attraverso i Proxy Server (richiede keep-alive connection) Solo Enterprise– non funziona attraverso i Proxy Server (richiede keep-alive connection) Non supporta delega Non supporta delega Configurata per essere compatibile con i client vecchi Configurata per essere compatibile con i client vecchi

Kerberos Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 1.HTTP GET dbquery.asp HTTP/ Kerberos Session Ticket Request 2. HTTP/ Unauthorized WWW-Authenticate: Negotiate, Kerberos 2

Kerberos Authentication IIS Web Browser SQLServer ActiveDirectory 1 1.HTTP GET dbquery.asp HTTP/ Kerberos Session Ticket Response 5 5. HTTP GET dbquery.asp HTTP/ HTTP/ Unauthorized WWW-Authenticate: Negotiate, NTLM 6 ImpersonateSecurityContextNTAuthentication 6. Delegation 3 3. Kerberos Session Ticket Request

Kerberos Authentication Robusta, scalabile, veloce, supporta delega Robusta, scalabile, veloce, supporta delega Support client limitato Support client limitato Internet Explorer 5 e Windows 2000 Internet Explorer 5 e Windows 2000 Criticità Criticità Client devono poter accedere ai DC Client devono poter accedere ai DC Delega deve essere abilitata Delega deve essere abilitata Non vincolata in IIS 5 Non vincolata in IIS 5 Setup Setup Vedi designing secure Web-based applications Vedi designing secure Web-based applications

Client Certificate Authentication Handshake phase IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 Client Hello 5 Server finish 4 Client finish Client response certificate, crypto parameters 3 2 Server Hello certificate, crypto parameters

Client Certificate Authentication IIS Mapping IIS Web Browser SQLServer ActiveDirectory Firewall Proxy 1 HTTPS GET dbquery.asp HTTP/1.1 4 LogonUser( user1, pw) 5 NT Authentication 3Mapping

Client Certificate Authentication Active Directory Mapping IIS Web Browser SQLServer ActiveDirectory Firewall Proxy 2 SCHANNEL UPN Mapping or AD Mapping 3 SQL Login / COM+ SELECT * FROM table WHERE user=user1 1 HTTPS GET dbquery.asp HTTP/1.1

Client Certificate Authentication Vantaggi Vantaggi Molto sicura Molto sicura Flessibile Flessibile Garantisce Integrità e confidenzialità Garantisce Integrità e confidenzialità Svantaggi Svantaggi Maggiori costi di gestione per la PKI Maggiori costi di gestione per la PKI Scalabilità e Performance Scalabilità e Performance

Griglia di Autenticazione SchemaSicurezza Limiti / Commenti Supporto Client Scenario AnonymousNoneTuttiTutti BasicLow Password in chiaro, da usare solo con SSL TuttiTutti DigestMedium IIS 5 o sup IE5 e sup in un dominio Tutti NTLMMedium Non funziona attraverso i proxy Solo Internet Explorer Solo Intranet, non funziona con i Proxy KerberosHigh IIS 5.0 o sup IE 5 su W2000 o XP in un dominio Solo Intranet, DC devono essere accessibili da parte dei client IIS Client Cert Mapping High Gestione PKI rende la gestione dei certificati client costosa (eccetto PKI W2003), IIS 5.0 o sup Tutti i browsers più recenti Tutti AD Client Cert Mapping Very High Gestione PKI rende la gestione dei certificati client costosa (eccetto PKI W2003), IIS 5.0 o sup Tutti i browsers più recenti Tutti