Primer "Extended Protection" e guida all'implementazione per prevenire il MITM

Naviga le tue risposte
5

Protezione estesa ( link ) ( link ) è una funzionalità di Windows 7 e Windows 2008 R2 che impedisce determinati attacchi MITM.

Qualcuno ha un primer (o una spiegazione in chiaro inglese) che cos'è questa caratteristica, e se ci sono altri vantaggi oltre alla protezione MITM?

Come faccio a controllare, controllare e verificare che le mie applicazioni stiano utilizzando questa tecnologia?

Esiste un modo per identificare le applicazioni che non utilizzano questa tecnologia e per segnalarle o disabilitarle dal punto di vista amministrativo?

Ci sono casi in cui la protezione estesa non è desiderata o comunque incompatibile?

    
posta random65537 24.09.2011 - 22:10
fonte

2 risposte

7

La protezione estesa è l'implementazione Microsoft di Request For Comments (RFC) 5056 ed esiste per verificare l'autenticità del livello di trasporto in uno scambio IWA (Integrated Windows Authentication). La protezione estesa non fornisce altre funzionalità documentate.

In uno scambio IWA ci sono due canali creati; un canale di trasporto esterno (TLS / SSL) e un canale di autenticazione interno (Kerberos, Digest o NTLM).

Protezione estesa verifica che il canale esterno che arriva sul lato server corrisponda al canale esterno aperto sul lato client. Il server verifica che il canale esterno sul lato client corrisponda in base alle informazioni fornite dal client nello scambio di canali interno. Se i due canali non corrispondono, il server rifiuta la richiesta del client.

Lo scambio di autenticazione dell'IWA è suscettibile a un attacco di riproduzione specificamente "inoltro di credenziali" quando non viene utilizzata la protezione estesa.

Per funzionare con protezione estesa

  1. Applica gli aggiornamenti menzionati nel KB973811 link come richiesto.
  2. Imposta la chiave di registro per i client per abilitare la funzionalità di attivazione come specificato qui KB968389 ( link ).
  3. Configura IIS 7.5, 7.0, 6.0 come specificato in KB973917 ( link o link o link authentication.aspx).
  4. Potrebbero essere necessarie alcune modifiche ai client e alle applicazioni server come specificato in questo collegamento se personalizzato vengono utilizzati meccanismi di autenticazione.

Controllo della protezione estesa

La protezione estesa funziona in tre modalità Off (definite anche come Mai), Accetta (anche indicato come WhenSupported) e Sempre. Quando è impostato su Protezione estesa estesa è richiesto per le comunicazioni. Quando si utilizza questa modalità, i client che non supportano la protezione estesa vengono rifiutati.

Il client respinto dalla protezione estesa registra i messaggi su una traccia di HttpListener Se configurato nelle applicazioni per ulteriori informazioni su come eseguire questa operazione, consultare link .

Supporto per protezione estesa

Non tutte le situazioni supportano la protezione estesa. Se si eseguono versioni più recenti di Windows end-to-end, è probabile che la protezione estesa sia facile da implementare. Se si dispone di un ambiente misto con Kerberos o NTLM tramite server proxy non Windows o delegati, l'implementazione potrebbe richiedere più lavoro.

I browser di terze parti che non sono basati su .NET o Internet Explorer (come Chrome e Firefox, Safari) generalmente non supportano la protezione estesa anche se possono supportare IWA. Questo potrebbe essere un problema se è necessario interagire con sistemi esterni alla rete aziendale o la rete aziendale utilizza un mix di browser.

    
risposta data 26.09.2011 - 14:34
fonte
1

La versione stabile più recente di Chrome (versione 51.0.2704.84) ora supporta la protezione estesa e l'esperienza SSO è simile a IE

    
risposta data 21.06.2016 - 00:51
fonte

Leggi altre domande sui tag

In che modo verrà eseguita l'intercettazione, come impedire l'intercettazione come funzionano i certificati X.509 di convalida estesa?