Aurélien Bordes. OSSIR 13 juillet 2010

Documents pareils
Sécurité de RDP. 1 Introduction. Aurélien Bordes, Arnaud Ebalard et Raphaël Rigo prenom.nom@ssi.gouv.fr

Extraction de données authentifiantes de la mémoire Windows

Terminal Server RemoteAPP pour Windows Server 2008

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

Sécurité des réseaux sans fil

Les Protocoles de sécurité dans les réseaux WiFi. Ihsane MOUTAIB & Lamia ELOFIR FM05

SSL ET IPSEC. Licence Pro ATC Amel Guetat

Spécifications système. Démarrage de l application CertiBru-Res. Premier accès à l application à partir de cet ordinateur

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

1. Présentation de WPA et 802.1X

Mise en œuvre des Services Bureau à distance

Tutorial Terminal Server sous

Journée CUME 29 Mars Le déport d affichage. Vincent Gil-Luna Roland Mergoil.

Dix raisons de passer à WINDOWS SERVEUR 2008

EA D S INNOVA TION W ORKS. Pass The Hash. Nicolas RUFF EADS-IW SE/CS nicolas.ruff (à) eads.net

Armelin ASIMANE. Services RDS. de Windows Server 2012 R2. Remote Desktop Services : Installation et administration

Demande d'assistance : ecentral.graphics.kodak.com

HAUTE DISPONIBILITÉ DE MACHINE VIRTUELLE AVEC HYPER-V 2012 R2 PARTIE CONFIGURATION OPENVPN SUR PFSENSE

Transport Layer Security (TLS) Guide de mise en œuvre. Version: 1.0

Sécurité des réseaux wi fi

Demande d assistance : ecentral.graphics.kodak.com. Variable Data Print est désormais une option sous licence de InSite Storefront 6.0.

Fiche technique RDS 2012

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

Tunnels et VPN. 22/01/2009 Formation Permanente Paris6 86

Table des matières. Chapitre 1 Les architectures TSE en entreprise

Secrets d authentification sous Windows

Faiblesses des méthodes d administration en environnement Windows et état des lieux de l outillage intrusif 1/50

GUIDE ADMINISTRATEUR SUR L ASSISTANCE A DISTANCE WINDOWS : CAS DE EXCENT GROUPE

Protocole industriels de sécurité. S. Natkin Décembre 2000

EMV, S.E.T et 3D Secure

Direction des Systèmes d'information

Guide de mise en œuvre d'un Smartcard logon avec une Carte de Professionnel de Santé (CPS) «ASIP Santé / PTS / PSCE» Version 2.5.

ALOHA LOAD BALANCER MICROSOFT TERMINAL SERVICES LOAD-BALANCING AVEC SESSION BROKER

Sommaire Introduction Les bases de la cryptographie Introduction aux concepts d infrastructure à clés publiques Conclusions Références

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Infrastructure RDS 2012

Tunnels. Plan. Pourquoi? Comment? Qu est-ce? Quelles solutions? Tunnels applicatifs ESIL INFO 2005/2006. Sophie Nicoud

SÉCURISATION D'UN SERVEUR WINDOWS 2000

Le protocole RADIUS Remote Authentication Dial-In User Service

Personnaliser le serveur WHS 2011

ERP Service Negoce. Pré-requis CEGID Business version sur Plate-forme Windows. Mise à jour Novembre 2009

FTPS AVEC UNE APPLIANCE FAST360 EN COUPURE. Table des matières

SERVICE CONTACT INSTANTANÉ GUIDE D UTILISATEUR

La citadelle électronique séminaire du 14 mars 2002

Les défis du VDI Le cas de XenDesktop. Les défis du VDI

Le protocole SSH (Secure Shell)

Protocole SSH-2.0. Tuan-Tu, TRAN. Janvier 2009

Service Informatique et Télématique (SITEL), Emile-Argand 11, 2009 Neuchâtel, Tél ,

Guide de mise en œuvre. de la. Cryptolib CPS. environnement TSE/Citrix. V du 24/09/2014

Sécurisation du réseau

Rapport de certification

Les fonctions de hachage, un domaine à la mode

NFS Maestro 8.0. Nouvelles fonctionnalités

Sécurité des réseaux wifi. CREIX Kevin GIOVARESCO Julien

ORTIZ Franck Groupe 4. Terminal serveur pour administrer un serveur Windows à distance, client rdp linux.

Prérequis techniques

WINDOWS Remote Desktop & Application publishing facile!

! "# Exposé de «Nouvelles Technologies Réseaux»

Services Réseaux - Couche Application. TODARO Cédric

Configuration de l'accès distant

Services RDS de Windows Server 2012 R2 Remote Desktop Services : Installation et administration

JetClouding Installation

AUTHENTIFICATION MANAGEMENT

Système Principal (hôte) 2008 Enterprise x64

Version de novembre 2012, valable jusqu en avril 2013

Manuel du client de bureau distant de KDE

Les nouveautés d AppliDis Fusion 4 Service Pack 3

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Rationalisation de votre flux de travail

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :


2X ThinClientServer Guide d utilisation

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

La sécurité des réseaux. 9e cours 2014 Louis Salvail

Logiciel de conférence Bridgit Version 4.6

TP 2 : Chiffrement par blocs

Le rôle Serveur NPS et Protection d accès réseau

IPS-Firewalls NETASQ SPNEGO

Citrix XenApp 7.5 Concepts et mise en oeuvre de la virtualisation d'applications

Tour d horizon des différents SSO disponibles

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

LA CARTE D IDENTITE ELECTRONIQUE (eid)

IN SYSTEM. Préconisations techniques pour Sage 100 Windows, MAC/OS, et pour Sage 100 pour SQL Server V16. Objectif :

Introduction de la Voix sur IP

Manuel du Desktop Sharing

AUTHENTIFICATION ADAPTATIVE

Configuration pour la connexion au réseau eduroam sous l environnement Windows XP (SP3) et Windows 7&8 au personnel de l IN2P3

VERSION octobre Remote Access (accès à distance) Manuel d'utilisation

Guide de démarrage

Chapitre 1 Windows Server

Les applications Internet

Authentification à deux facteurs Cryptage portable gratuit des lecteurs USB Cryptage du disque dur

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

WIFI sécurisé en entreprise (sur un Active Directory 2008)

Transcription:

Aurélien Bordes aurelien26@free.fr v2.0 1

RDP (Remote Desktop Protocol) Solution d accès distant via un déport : de l affichage graphique du serveur vers le client des entrées du client vers le serveur Historique des versions : 4.0 : Windows NT 4 Terminal Services 5.0 : Windows 2000 5.1 : Windows XP 6.0 : Windows Vista 6.1 : Windows 2008 7.0 : Windows 7 / 2008R2 2

Extensions RDP permet également d utiliser de nombreuses extensions : Multiparty Virtual Channel Clipboard Virtual Channel Audio Output Virtual Channel Remote Programs Virtual Channel Dynamic Channel Virtual Channel File System Virtual Channel Serial Port Virtual Channel Print Virtual Channel Smart Card Virtual Channel XPS Printing Virtual Channel Plug and Play Devices Virtual Channel Video Virtual Channel Audio Input Virtual Channel Composited Remoting V2 Licensing Session Selection Graphics Device Interface (GDI) Acceleration Desktop Composition Remote Programs Virtual Channel NSCode RemoteFX Codec 3

Sécurité de RDP Standard RDP Security : encryptionmethods : Null, 40 bits, 56 bits, 128 bits ou FIPS encryptionlevel : Level C S S C Choix méthode Algo. chiffrement Key Exch. MAC Low Chiffré Clair Max. client RC4 MD5/SHA1 Client Compatible Chiffré Chiffré Max. client RC4 MD5/SHA1 High Chiffré Chiffré Max. serveur RC4 MD5/SHA1 Fips Chiffré Chiffré N/A 3DES SHA1 4

Échanges des clefs : Sécurité de RDP Client Serveur Aléas Aléa serveur / K Aléas K{Aléa client} MD5 SHA1 FIPS (SHA1) MD5 SHA1 FIPS (SHA1) ServerDecryptKey ServerEncryptKey ClientDecryptKey ClientEncryptKey MACKey ServerDecryptKey ServerEncryptKey ClientDecryptKey ClientEncryptKey MACKey 5

Authentification dans RDP Le client s authentifie après du serveur via ses credentials qu il fournit (authentification classique Windows) L authentification du serveur vis-à-vis du client n a pas été initialement prise en compte : Bugtraq (02/04/2003) : Microsoft Terminal Services vulnerable to MITM-attacks 6

Scénario de détournement Client Serveur Attaquant 7

Premier essai Utilisation d un certificat pour transporter K (messages de type CERT_CHAIN_VERSION_2) Certificat dans : HKLM\SYSTEM\CurrentControlSet\Services \TermService\Parameters\Certificate Clef privée associée dans L$HYDRAENCKEY Ce certificat est signé par une clef privée codée en dur (mstlsapi.dll) : SecuriTeam (02/06/2005) : Microsoft RDP Man in the Middle Vulnerability 8

Deuxième essai Il est possible d utiliser un certificat issu d une chaîne de certification en lieu et place du certificat autogénéré Recommandation : Mettre à jour son client vers la dernière version Imposer au client la validation du certificat présenté par le serveur 9

Enhanced RDP Security Changement complet des méthodes : d authentification client/serveur de chiffrement et d intégrité des messages RDP Toutes les fonctions de sécurité sont déléguées à un SSP (Security Support Provider) Pour RDP, il est possible d utiliser : PROTOCOL_SSL : Schannel PROTOCOL_HYBRID : CredSSP 10

Rôles d un SSP (Security Support Provider) Authentification Client / Serveur Chiffrement de messages (PRIVACY) : EncryptMessage DecryptMessage Signature de messages (INTEGRITY) : MakeSignature VerifySignature 11

Échanges SSP Protocole Programme client SSPI Programme serveur OK SSPI LSASS LSASS SSP msv1_0 Token Base sessions SSP msv1_0 Base sessions Base (SAM) 12

Principaux SSP NTLM protocoles LM et NTLM Kerberos Negotiate (SPNego) GSS-API et SPNego Négociation de NTLM ou Kerberos Schannel SSL/TLS CredSSP Utilisation de Schannel et SPNego 13

Modes d utilisation Utilisation d une Security-Enhanced Connection Sequence Deux modes d utilisation : Negotiation-based : négociation de l extension de sécurité dans les messages RDP Direct : utilisation de l extension de sécurité avant les messages RDP 14

Modes d utilisation Négociation RDP Négociation SSP Messages RDP Negotiation-based security-enhanced connection sequence Négociation SSP Négociation RDP Messages RDP Direct security-enhanced connection sequence 15

CredSSP CredSSP est un SSP (Security Service Provider) apparu avec Vista et 2008 (activé par défaut) CredSSP est également disponible sur XP depuis le SP3 (mais n est pas activé par défaut) CredSSP est principalement utilisé par le service de connexion au bureau à distance (Terminal Services) afin de renforcer l authentification client/serveur 16

CredSSP Implémente le mécanisme d authentification NLA (Network Layer Authentication), dont le principe repose sur : La mise en place d une session TLS (Schannel) L authentification du client via SPNego La validation de la clef présentée par le serveur dans son certificat Permet la transmission de credentials utilisateur (mot de passe ou du code PIN) du client vers le serveur (protégés par TLS + SPNego) 17

Type de credentials Trois types de credentials peuvent être délégués : Default credentials (ceux utilisés pour l authentification implicite de l utilisateur courant) Saved credentials (credentials sauvés) Fresh credentials (credentials saisis) 18

Échanges CredSSP Client Serveur Mise en place de la session TLS Authentification du client par SPNego Validation de la clef présentée par le serveur Envoi des credentials utilisateur Schannel TLS{ TSRequest[Token SPNEGO] } TLS{ TSRequest[Token SPNEGO] } TLS {TSRequest[SPNEGO{ SubjectPublicKeyInfo }] } TLS{ TSRequest[SPNEGO{ SubjectPublicKeyInfo+1 }] } TLS{ TSRequest[SPNEGO{ TSCredentials }] } Échanges protégés par TLS Échanges protégés par SPNego 19

Autorisation de la délégation La délégation doit préalablement être autorisée au travers d une stratégie de groupe définissant les services et noms des serveurs accrédités Stratégie [ Ordinateur ] : Modèles d administration Système Exemples : Délégation d informations d identification TERMSRV/serveur-01.domaine.tld */* 20

Échanges RDP et CredSSP mstsc.exe SSPI Négo. RDP Négo. SSP Messages RDP TCP/3389 Serveur TS SSPI TERMSRV/10.0.0.191 TERMSRV/10.0.0.191 LSASS LSASS Base sessions Base sessions CredSSP Token CredSSP Policies CredentialsDelegation 21

Principe de récupération du bloc TSCredentials Faire exécuter à un utilisateur un programme qui réalise une authentification via CredSSP du client vers lui-même : La partie cliente est une authentification CredSSP à destination d un serveur autorisé pour la délégation La partie serveur est simulée : mise en place de la session TLS authentification SPNEGO du client récupération des credentials 22

Fonctionnement Récupération d un service/serveur autorisé et initialisation de CredSSP Mise en place de la session TLS CredSSP Authentification du client par SPNego Validation de la clef présentée par le serveur SPNego Schannel (TLS) Envoi des credentials 23

Recommandation la délégation des credentials (default ou saved) doit être utilisée avec la plus grande parcimonie L'autorisation d'une seule délégation fait courir au client le risque de compromission de son mot de passe 24

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back