Sabtu, 08 Mei 2010
Konfigurasi Server Terminal untuk Otentikasi Server untuk Mencegah "Manusia" dalam serangan tengah
08.18 | 
Diposting oleh
Night Walker Blog |
Intro Umum
"Menyerang Man In The Middle (MITM)" adalah istilah yang digunakan untuk menggambarkan kelas kerentanan keamanan di mana seorang penyerang menyadap komunikasi antara dua pihak dan masing-masing impersonates yang lain. Penyerang dapat melihat dan / atau memodifikasi lalu lintas tanpa pengetahuan kedua belah pihak. Akibatnya, pengguna mungkin akan tertipu untuk memasukkan surat-surat kepercayaannya pada server palsu. Meskipun RDP lalu lintas antara klien dan server dienkripsi, penyerang berpotensi bypass RDP enkripsi jika dia mampu mendapatkan kunci digunakan untuk membuat sesi. Dengan demikian, otentikasi server diperlukan untuk mencegah serangan MITM.
"Menyerang Man In The Middle (MITM)" adalah istilah yang digunakan untuk menggambarkan kelas kerentanan keamanan di mana seorang penyerang menyadap komunikasi antara dua pihak dan masing-masing impersonates yang lain. Penyerang dapat melihat dan / atau memodifikasi lalu lintas tanpa pengetahuan kedua belah pihak. Akibatnya, pengguna mungkin akan tertipu untuk memasukkan surat-surat kepercayaannya pada server palsu. Meskipun RDP lalu lintas antara klien dan server dienkripsi, penyerang berpotensi bypass RDP enkripsi jika dia mampu mendapatkan kunci digunakan untuk membuat sesi. Dengan demikian, otentikasi server diperlukan untuk mencegah serangan MITM.
Perbaikan signifikan dalam otentikasi dan keamanan telah dibuat dalam Terminal Services yang dapat melindungi terhadap serangan tersebut. Terminal server menjalankan Windows 2003 Server SP1 dan kemudian mendukung kemampuan untuk klien TS mengotentikasi server TS, yang melindungi terhadap serangan MITM. Pada Windows 2003 Server SP1 dan kemudian, Anda bisa mengkonfigurasi server TS dengan sertifikat / TLS SSL server yang akan memungkinkan klien untuk memverifikasi identitas server. Pada Windows Server 2008, Tingkat Jaringan Otentikasi (NLA) dirancang untuk menjadi aman terhadap MITM, dan mendukung kemampuan untuk mengotentikasi server dengan baik SSL / TLS sertifikat server atau Kerberos.
Terminal server menjalankan Windows 2003 Server tanpa SP1 atau sebelumnya tidak mendukung kemampuan klien untuk mengotentikasi terminal server. Dengan versi sebelumnya, Anda harus memastikan bahwa jaringan Anda tamper-proof dengan menggunakan mekanisme perlindungan tingkat jaringan (misalnya, IPSec) untuk melindungi terhadap serangan MITM.
Mekanisme otentikasi server yang dapat melindungi terhadap serangan MITM
1.Jaringan Level Authentication (NLA) NLA menggunakan Bukti Diri Penyedia Keamanan (CredSSP) Protokol untuk melakukan otentikasi server yang kuat baik melalui TLS / SSL atau mekanisme Kerberos, yang melindungi terhadap serangan MITM. Selain meningkatkan otentikasi, NLA juga membantu melindungi komputer remote dari pengguna yang jahat dan software dengan mengisi otentikasi pengguna sebelum koneksi RDP penuh dibentuk, sebuah manfaat tambahan adalah bahwa sumber daya lebih sedikit digunakan pada komputer jauh sebelum otentikasi. Silakan lihat artikel ini MSDN atau spesifikasi protokol untuk rincian lebih lanjut tentang protokol CredSSP.
NLA dengan Kerberos
Ini adalah salah satu skema otentikasi server yang paling aman untuk melindungi terhadap MITM. Kedua klien dan server harus menjadi bagian dari sebuah domain yang sama atau dipercaya.
NLA with TLS/SSL NLA dengan TLS / SSL
Ada skenario di mana Kerberos tidak dapat digunakan untuk otentikasi server, yang meliputi:
Jika SSL / TLS sertifikat tidak dikonfigurasi pada server dan otentikasi Kerberos tidak mungkin karena alasan tersebut di atas, CredSSP akan menggunakan mekanisme otentikasi NTLM untuk membangun kepercayaan antara klien dan server. NTLM dapat memverifikasi keanggotaan domain server target; Namun, jika Anda ingin memastikan otentikasi server yang kuat, Anda harus menonaktifkan memungkinkan credential delegasi dengan server otentikasi NTLM-satunya. Untuk menonaktifkan kebijakan ini pada Windows Server 2008, ikuti langkah berikut:
Terminal server menjalankan Windows 2003 Server tanpa SP1 atau sebelumnya tidak mendukung kemampuan klien untuk mengotentikasi terminal server. Dengan versi sebelumnya, Anda harus memastikan bahwa jaringan Anda tamper-proof dengan menggunakan mekanisme perlindungan tingkat jaringan (misalnya, IPSec) untuk melindungi terhadap serangan MITM.
Mekanisme otentikasi server yang dapat melindungi terhadap serangan MITM
1.Jaringan Level Authentication (NLA) NLA menggunakan Bukti Diri Penyedia Keamanan (CredSSP) Protokol untuk melakukan otentikasi server yang kuat baik melalui TLS / SSL atau mekanisme Kerberos, yang melindungi terhadap serangan MITM. Selain meningkatkan otentikasi, NLA juga membantu melindungi komputer remote dari pengguna yang jahat dan software dengan mengisi otentikasi pengguna sebelum koneksi RDP penuh dibentuk, sebuah manfaat tambahan adalah bahwa sumber daya lebih sedikit digunakan pada komputer jauh sebelum otentikasi. Silakan lihat artikel ini MSDN atau spesifikasi protokol untuk rincian lebih lanjut tentang protokol CredSSP.
NLA dengan Kerberos
Ini adalah salah satu skema otentikasi server yang paling aman untuk melindungi terhadap MITM. Kedua klien dan server harus menjadi bagian dari sebuah domain yang sama atau dipercaya.
NLA with TLS/SSL NLA dengan TLS / SSL
Ada skenario di mana Kerberos tidak dapat digunakan untuk otentikasi server, yang meliputi:
- Terminal server peternakan, karena peternakan tidak memiliki identitas Kerberos dalam Active Directory
- Skenario koneksi internet (misalnya melalui TS Gateway), di mana klien tidak memiliki akses ke Pusat Distribusi kunci (KDC)
- Dalam skenario seperti mana Kerberos tidak dapat digunakan untuk otentikasi server, penggelaran SSL / TLS sertifikat yang dikeluarkan oleh Certificate Authority yang terpercaya akan memungkinkan klien untuk mengidentifikasi identitas server dan melindungi terhadap serangan MITM. Anda akan perlu untuk menggunakan sertifikat tersebut untuk setiap server TS di mana Anda ingin memiliki otentikasi server dan memastikan bahwa mereka memiliki nama server di kolom Subyek. Untuk mengatur sertifikat SSL untuk koneksi pada Windows Server 2008:
- Pada prompt perintah, jalankan tsconfig.msc. (Catatan: tsconfig.msc hanya tersedia pada Server SKU.)
- Klik dua kali RDP-objek koneksi TCP.
- Pada tab General, klik Pilih.
- Pilih sertifikat sambungan yang ingin Anda tetapkan untuk, dan kemudian klik OK.
- Silakan lihat artikel TechNet ini tentang konfigurasi penerbit rdp dipercaya pada sisi klien melalui Group Policy.
Jika SSL / TLS sertifikat tidak dikonfigurasi pada server dan otentikasi Kerberos tidak mungkin karena alasan tersebut di atas, CredSSP akan menggunakan mekanisme otentikasi NTLM untuk membangun kepercayaan antara klien dan server. NTLM dapat memverifikasi keanggotaan domain server target; Namun, jika Anda ingin memastikan otentikasi server yang kuat, Anda harus menonaktifkan memungkinkan credential delegasi dengan server otentikasi NTLM-satunya. Untuk menonaktifkan kebijakan ini pada Windows Server 2008, ikuti langkah berikut:
- Pada prompt perintah, jalankan gpedit.msc untuk membuka Group Policy Editor Objek.
- Arahkan ke Konfigurasi Komputer - Administrasi> Template - System> - Delegasi> Kredensial.
- Pastikan kebijakan berikut untuk server otentikasi hanya-NTLM dinon-aktifkan:
- "Allow Default Kredensial dengan Server Otentikasi NTLM-satunya"
- "Izinkan Kredensial Segar dengan Server Otentikasi NTLM-satunya"
- "Biarkan tersimpan Kredensial dengan Otentikasi Server NTLM-hanya"
- Lihat langkah-langkah di atas untuk pengaturan sertifikat SSL pada Windows Server 2008.
- Lihat artikel Basis Pengetahuan ini untuk informasi tentang cara mengkonfigurasi Windows Server 2003 SP1 untuk menggunakan TLS untuk otentikasi server
Langganan:
Posting Komentar (Atom)
My Status..
About Me...
- Night Walker Blog
- Bandar Lampung, Tanjung Karang, Indonesia
- Only Common Person, like the other....
0 komentar:
Posting Komentar