TechNet Security Workshop IV Milano, 8 Giugno

Internet Information Server 6.0

Agenda Accounts Built-in IIS 6.0 Accounts Built-in IIS 6.0 Autenticazione in IIS: Autenticazione in IIS: Anonymous Authentication Anonymous Authentication Basic Authentication Basic Authentication Integrated Authentication Integrated Authentication Client Certificate Authentication Client Certificate Authentication Protezione del Traffic Web Protezione del Traffic Web

Scelta di un Isolation Mode ModeApplicazioni:Compatibilità:Isolamento: IIS 5.0 Isolation Mode Funzionano in Inetinfo.exe, e le applicazioni out-of-process funzionano in DLL host separate Garantisce la compatibilità per la maggior parte delle applicazioni esistenti Impedisce che unapplicazione (o un sito) ne danneggi unaltra Worker Process Isolation Mode Funzionano in un ambiente isolato Le applicazioni devono essere scritte per funzionare come unistanza multipla Permette agli amministratori di isolare qualunque cosa, da una singola applicazione Web a siti multipli nel loro worker process

LAutenticazione in IIS 6.0? IIS 4.0 IIS 5.0 IIS 6.0 Authentication Anonymous Basic (clear text) Windows NT Challenge / Response Integrated Digest.NET Passport Non disponibile Disponibile come installazione separata Pienamente integrata

Account Built-in in IIS 6.0 AccountDescription LocalSystem Ha molti diritti di accesso Ha molti diritti di accesso Evitare di assegnare LocalSystem come identità di un application pool Evitare di assegnare LocalSystem come identità di un application pool Network Service Pochi privilegi Pochi privilegi IInteragisce attraverso la rete utilizzando il computer account IInteragisce attraverso la rete utilizzando il computer account E lidentità assegnata per default allapplication pool (raccomandata) E lidentità assegnata per default allapplication pool (raccomandata) Local Service Pochi provilegi Pochi provilegi Si collega attraverso la rete in modalità anonima Si collega attraverso la rete in modalità anonima Da usare solo per applicazioni Web locali Da usare solo per applicazioni Web locali IIS_WPG Gruppo di IIS, laccount che assegno come identità dellApplication Pool deve essere membro di questo gruppo Gruppo di IIS, laccount che assegno come identità dellApplication Pool deve essere membro di questo gruppo IUSR_computerna me Account di IIS utilizzato per laccesso anonimo Account di IIS utilizzato per laccesso anonimo IWAM_computern ame Account di IIS per avviare applicazioni out-of-process in IIS 5.0 isolation mode Account di IIS per avviare applicazioni out-of-process in IIS 5.0 isolation mode ASPNET Account di IIS per avviare il worker process di ASP.NET in IIS 5.0 isolation mode Account di IIS per avviare il worker process di ASP.NET in IIS 5.0 isolation mode

Flusso del Controllo daccesso 1. Lindirizzo IP è permesso? 2. Lutente è permesso? Credenziali valide (Autenticazione) Credenziali valide (Autenticazione) Restrizioni dellAccount Restrizioni dellAccount Time, Lockout, Password scaduta, Privilegi Time, Lockout, Password scaduta, Privilegi 3. IIS permette laccesso ? 4. NTFS permette laccesso ?

Architettura di Autenticazione Client IIS Basic, Digest, Windows, Client certificates Basic, Digest, Windows, Client certificates IIS Backend Server Delega ? Delega ? IIS IE SQL

InternetDMZ Scenario di Autenticazione IIS Web Browser Web Proxy SQLServer ActiveDirectory Firewall

Anonymous Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 3 SQL authentication SELECT * FROM table 2 1 GET dbquery.asp HTTP/1.1

Anonymous Authentication Accesso alle risorse come utente anonimo (IUSR_ Accesso alle risorse come utente anonimo (IUSR_ Identità del Processo: Network Services, LocalSystem, IWAM_ Identità del Processo: Network Services, LocalSystem, IWAM_ Lidentità del processo è configurabile tramite COM+ Lidentità del processo è configurabile tramite COM+ Sicurezza / Prestazioni Sicurezza / Prestazioni

Basic Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 5 LogonUser (user1, pw) 6 Windows authentication Authorization: Basic Base64 encoded user/pw Unauthorized WWW-Authenticate: Basic realm="spoon" 2 1 GET dbquery.asp HTTP/1.1

Basic Authentication Identità del Processo: Network Services, LocalSystem, IWAM_ Identità del Processo: Network Services, LocalSystem, IWAM_ Accesso alle risorse come authenticated user Accesso alle risorse come authenticated user Vantaggi Vantaggi Tutti i client HTTP supportano la basic auth Tutti i client HTTP supportano la basic auth Supporta delega one hop Supporta delega one hop Svantaggi Svantaggi Password in chiaro (Base64 Encoded) Password in chiaro (Base64 Encoded) Su Internet Su Internet Sul Server Sul Server Deve essere protetto tramite SSL Deve essere protetto tramite SSL

Windows Integrated Authentication Security Support Provider (SSPI)-based Security Support Provider (SSPI)-based NTLM o Kerberos NTLM o Kerberos IIS chiede al client che protocollo supporta IIS chiede al client che protocollo supporta Il Protocollo può essere forzato Il Protocollo può essere forzato NTAuthenticationProviders NTAuthenticationProviders Negotiate Negotiate NTLM NTLM Kerberos Kerberos

NTLM Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 GET dbquery.asp HTTP/ Unauthorized WWW-Authenticate: NTLM challenge Authorization: NTLM response 3

NTLM Authentication IIS Web Browser SQLServer ActiveDirectory 1 1.GET dbquery.asp HTTP/ HTTP/ Unauthorized WWW-Authenticate: NTLM 3 3. HTTP GET dbquery.asp HTTP/1.1 Authorization: NTLM {…} Connection: Keep-Alive 4 4. HTTP/ Access Denied WWW-Authenticate: NTLM {…}Connection: Keep-Alive 5 5. HTTP GET dbquery.asp HTTP/1.1 Authorization: NTLM {hashed challenge} Connection: Keep-Alive 6ImpersonateSecurityContext 7 SQL Login / COM+ SELECT * FROM table WHERE user=user1

NTLM Authentication Vantaggi Vantaggi Lavora out-of-the-box Lavora out-of-the-box Fornisce logon automatico / senza logon dialog box Fornisce logon automatico / senza logon dialog box Svantaggi Svantaggi Solo Enterprise– non funziona attraverso i Proxy Server (richiede keep-alive connection) Solo Enterprise– non funziona attraverso i Proxy Server (richiede keep-alive connection) Non supporta delega Non supporta delega Configurata per essere compatibile con i client vecchi Configurata per essere compatibile con i client vecchi

Kerberos Authentication IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 1.HTTP GET dbquery.asp HTTP/ Kerberos Session Ticket Request 2. HTTP/ Unauthorized WWW-Authenticate: Negotiate, Kerberos 2

Kerberos Authentication IIS Web Browser SQLServer ActiveDirectory 1 1.HTTP GET dbquery.asp HTTP/ Kerberos Session Ticket Response 5 5. HTTP GET dbquery.asp HTTP/ HTTP/ Unauthorized WWW-Authenticate: Negotiate, NTLM 6 ImpersonateSecurityContextNTAuthentication 6. Delegation 3 3. Kerberos Session Ticket Request

Kerberos Authentication Robusta, scalabile, veloce, supporta delega Robusta, scalabile, veloce, supporta delega Support client limitato Support client limitato Internet Explorer 5 e Windows 2000 Internet Explorer 5 e Windows 2000 Criticità Criticità Client devono poter accedere ai DC Client devono poter accedere ai DC Delega deve essere abilitata Delega deve essere abilitata Non vincolata in IIS 5 Non vincolata in IIS 5 Setup Setup Vedi designing secure Web-based applications Vedi designing secure Web-based applications

Client Certificate Authentication Handshake phase IIS Web Browser Proxy SQLServer ActiveDirectory Firewall 1 Client Hello 5 Server finish 4 Client finish Client response certificate, crypto parameters 3 2 Server Hello certificate, crypto parameters

Client Certificate Authentication IIS Mapping IIS Web Browser SQLServer ActiveDirectory Firewall Proxy 1 HTTPS GET dbquery.asp HTTP/1.1 4 LogonUser( user1, pw) 5 NT Authentication 3Mapping

Client Certificate Authentication Active Directory Mapping IIS Web Browser SQLServer ActiveDirectory Firewall Proxy 2 SCHANNEL UPN Mapping or AD Mapping 3 SQL Login / COM+ SELECT * FROM table WHERE user=user1 1 HTTPS GET dbquery.asp HTTP/1.1

Client Certificate Authentication Vantaggi Vantaggi Molto sicura Molto sicura Flessibile Flessibile Garantisce Integrità e confidenzialità Garantisce Integrità e confidenzialità Svantaggi Svantaggi Maggiori costi di gestione per la PKI Maggiori costi di gestione per la PKI Scalabilità e Performance Scalabilità e Performance

Griglia di Autenticazione SchemaSicurezza Limiti / Commenti Supporto Client Scenario AnonymousNoneTuttiTutti BasicLow Password in chiaro, da usare solo con SSL TuttiTutti DigestMedium IIS 5 o sup IE5 e sup in un dominio Tutti NTLMMedium Non funziona attraverso i proxy Solo Internet Explorer Solo Intranet, non funziona con i Proxy KerberosHigh IIS 5.0 o sup IE 5 su W2000 o XP in un dominio Solo Intranet, DC devono essere accessibili da parte dei client IIS Client Cert Mapping High Gestione PKI rende la gestione dei certificati client costosa (eccetto PKI W2003), IIS 5.0 o sup Tutti i browsers più recenti Tutti AD Client Cert Mapping Very High Gestione PKI rende la gestione dei certificati client costosa (eccetto PKI W2003), IIS 5.0 o sup Tutti i browsers più recenti Tutti