Kerberos 위임의 위험


8

IIS 7.5의 Windows 인증, Kerberos, SPN 및 제한 위임을 배우고 이해하려고 몇 시간 씩 시간을 보냈습니다. 내가 얻지 못하는 한 가지는 관리자, CEO 등을 위해 위임을 활성화 (즉, 민감한 계정에 대한 위임을 비활성화하지 않음)하는 것이 "위험한"이유입니다. 인트라넷 환경과 관련하여 답변을 작성하십시오.

필자의 이유는 위임이 단순히 다른 서버와 통신 할 때 Windows 인증 된 사람을 대신하여 프런트 엔드 웹 서버가 작동하도록 허용하기 때문에 문제가되지 않아야한다는 것입니다. 그 사람이 접근 할 수 있고 접근 할 수 있다면 왜 이것이 문제가되는지 이해할 수 없습니다.

내 무지를 용서해주세요. 나는 주로 개발자이지만 요즘 회사는 매우 마른 상태로 운영하고 있으며 서버 관리 모자도 착용해야합니다. 불행히도 여전히 잘 맞지 않습니다.

답변:


7

두 가지 예 :

  1. 제한 위임은 사용자의 자격 증명이나 인증 토큰없이 가장을 가능하게합니다. 예를 들어이 답변을 참조하십시오 .

  2. 보다 일반적인 고기와 감자 제한되지 않은 위임 시나리오에서는 Windows 통합 인증이든 양식 인증이든 관계없이 사용자의 인증 토큰에 대한 위임 액세스 권한이 매우 강력합니다. 이것은 말 그대로 토큰을 사용하여 해당 사용자를 가장하여 네트워크 리소스에 액세스 할 수 있음을 의미합니다. 개발자와 같이 해당 프로세스에 관련된 모든 사람은이 프로세스를 악의적으로 사용하여 무단 액세스를 얻을 수 있습니다.

두 예에서 모두 "계정이 민감하고 위임 할 수 없습니다"확인란이 선택되어 있으면 보안 문제가 아닙니다. 이러한 기능이 존재하지만 엄격하게 제어되는 시스템 / 기능을 설계 할 수도 있습니다.

이 상자는 가장이 필요한 응용 프로그램을 거의 사용할 필요가 없으므로 Enterprise Admins 그룹의 구성원과 같은 관리 계정에 대해이 상자를 선택해야합니다. 또한 CIO, COO, 재무 / 재무 책임자 등 민감한 정보에 액세스 할 수있는 고위 임원에게도 좋습니다.

결론적으로, Microsoft는 해당 확인란과 함께 제공되는 경고를 매우 적절한 이유로 제공했으며 특정 시나리오에 바람직하지 않은 위험 노출이 없거나 일부 보상 통제가 없음을 입증 할 수 없다면이를 무시하거나 가볍게 취해서는 안됩니다. 여기에는 일반적으로 응용 프로그램이나 시스템의 실제 구현 또는 개발에 관여하지 않는 일부 유자격자가 심사하는 것이 포함됩니다.


먼저, 매우 유용하고 심층적 인 답변입니다. 내가 얼마나 고마워하는지 말할 수 없습니다. :) 여전히 사람들이 임원의 자격 증명에 액세스하지 못하기 때문에 이것을 악용하기 위해 필요한 것이 무엇인지 궁금합니다. 또한 우리가 제한 위임을 허용하는 시스템은 네트워크상의 모든 직원이 액세스 할 수 있습니다. 또한 통합 파이프 라인 모드와 NO ASP.NET 가장 으로이 작업을 수행하려고합니다.
키라 미수

1
통합 파이프 라인 모드를 사용하더라도 인증 토큰이 있으면 IIS 및 실행중인 모든 응용 프로그램에서이를 활용할 수 있습니다. Windows 통합 인증을 사용하는 경우 인증 토큰은 http 헤더의 일부입니다. 제안 된 구성에 대해 침투 테스트를 수행하여 생각이 올바른지 판단하는 것이 유용 할 수 있습니다.
Greg Askew

이런 세상에! HTTP 헤더의 일부? 적어도 제대로 암호화되어야합니까? 그렇지 않으면 그것은 단지 미쳤다! 마이크로 소프트가 왜 그런 우스꽝스러운 추천을했을까요? 펜 테스트에 대한 첫 번째 단서가 아니기 때문에 걱정하지 않아도됩니다. 그럼에도 불구 하고이 특정 인트라넷 서버의 응용 프로그램은 내부적으로 제한되어 있지 않으므로 안전하다고 생각합니다. 토큰은 시간이 제한되어 있고 동적으로 올바르게 생성됩니까? allow/ deny인증 태그를 사용하여 특정 페이지 만 제한 합니다.
키라 미수

2

나는 대부분의 제약을받지 않고 1000 명의 고객을 위임했습니다. 응용 프로그램을 신뢰하지 않거나 (IIS에 배포되었다고 말하면) 다른 사람이 자유롭게 사용할 수 있도록 위임 된 서비스 계정 자격 증명을 제공하는 경우 제한 위임이 좋은 생각 일 수 있습니다. 그러나 응용 프로그램을 다시 작성할 수있는 사람이 없을 것으로 예상되는 경우 서비스 계정 자격 증명을 안전하게 유지하고 앱이 설계된 서비스에만 위임 할 것이라고 믿습니다. 보통 걱정할 것이 없습니다. 나는 "보안에 민감한"고객들이 이와 같은 문제에 매우 집중하는 것을 보았지만 실제 보안 위협에 대한 작업에 더 많은 자원을 소비 할 수있었습니다 ...


당신의 통찰력에 크게 감사드립니다. 매우 도움이됩니다. 오래 전부터 인트라넷에서 위임 구성을 포기하고 이전에 설정 한대로 필요한 리소스에 액세스 할 수있는 특수 계정으로 IIS에서 AppPool을 다시 실행했습니다. 이 문제를 다시 방문하고 실질적인 해결책을 마련하기를 희망하지만, 위임에 대한 시간과 경험 부족은 현재로서는 그 희망을 배제합니다. :(
Chiramisu
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.