WinRM publicamente disponível

2

Estou à procura de feedback específico sobre o WinRM. Existem: ainda :: debates por aí sobre se fazer ou não o RDP publicamente disponível sem uma VPN é uma boa idéia - Não há debates sobre se tornar SSH publicamente disponível ou não é uma boa ideia, contanto que seja configurado corretamente ...

Onde o WinRM se encaixa neste ponto: usar com VPN, sem VPN, etc?

    
por Josh Brower 01.03.2015 / 11:14

3 respostas

1

Eu usei o WinRM em algumas ocasiões para expor métricas - sem usar VPNs e outras. Mas há algumas considerações de segurança:

  1. Tente executar winrm get winrm/config para ver como as coisas estão configurado atualmente.
  2. Certifique-se de que o WinRM usa um certificado instalado para fins de HTTPS. Isso tem que ir para a loja Personal na Local Computer (sim - nomenclatura ímpar)
  3. Ativar HTTPS fazendo winrm quickconfig -transport:https

Quando o transporte estiver protegido, você precisará ativar a autenticação de certificado de cliente e desativar todo o resto:

  1. Desativar o material é feito assim winrm set winrm/config/client/auth @{Digest="false"} .
  2. Desative o Kerberos, o Digest e o que mais estiver por aí.
  3. Ativar a autenticação de certificado fazendo winrm set winrm/config/client/auth @{Certificate="true"}
  4. Não consigo lembrar se você precisa de winrm set winrm/config/client/auth '@{CredSSP="true"} para que as coisas funcionem - pode ser necessário para a delegação de credenciais.

Isso funciona bem e se você confia no transporte HTTP do Windows, na infra-estrutura PKI do Windows e possui um firewall que permite filtrar óbvios males, é uma opção que funciona bem. É muito bom se você precisa coletar coisas programaticamente.

Agora, a outra coisa é: você conseguirá obter todas as informações que quiser usando o WinRM? Isso não é tão fácil de responder. Acho que várias coisas são mais difíceis de entender do que você imagina. Eu quero o status em controladores RAID e tal, mas isso é difícil na melhor das hipóteses. Usar o RDP sobre SSH (só para ter certeza) ainda é minha maneira favorita de fazer isso por causa da versatilidade adicional que você obtém.

Em conclusão, sim - você pode usar o WinRM sem VPNs e coisas do tipo, mas você deve considerar se você consegue o que deseja no final.

EDITAR: A comparação do uso do WinRM com o SSH talvez não seja totalmente útil - pelo menos do ponto de vista do pacote de recursos. Usando o SSH, você pode obter qualquer coisa se estiver preparado para escrever algo que colete as informações desejadas. O WinRM é menos versátil nesse sentido. Securitywise, no entanto, ambos estão bem IMHO se você bloquear as coisas corretamente o que é perfeitamente possível.

    
por 09.03.2015 / 13:14
1

Não é um cara do Windows, então não posso falar muito sobre os detalhes do WinRM.

A linha de fundo, porém, é que qualquer serviço de acesso remoto como ssh ou winrm tem riscos e benefícios. Pelo que posso dizer, eles fornecem funcionalidade análoga. Se eles fornecerem níveis semelhantes de AAA, você poderá tratá-los de maneira semelhante em sua postura de segurança. Por exemplo, se o WinRM usar certificados https para autenticação, mas o openssh permitir senhas enviadas pela rede (uma configuração possível), o AAA do WinRM provavelmente será melhor.

Os privilégios de cada serviço são limitados? Por exemplo, no Linux, você pode executar o selinux para que as conexões ssh de entrada possam realizar apenas determinadas operações.

Você também deve considerar o quanto você confia nos diferentes fornecedores / implementações. Você espera ver bugs exploráveis remotamente em openssh & * nix mais ou menos do que no windows? Tentando dizer isso para não ser um troll - é obviamente uma questão carregada. Mas a questão é muito real.

No que diz respeito a essa postura de segurança ... algumas pessoas colocam o ssh aberto na porta 22, algumas pessoas precisam de uma VPN antes de você poder se conectar. Alguns usam a segurança através da obscuridade e colocam o ssh na porta 222 em vez da porta 22.

Alguns têm uma lista de permissões do que os IPs podem conectar. Você pode fazer o whitelisting no sshd ou no iptables. No windows, no firewall do windows, ou possivelmente no próprio winrm? Há muitas possibilidades.

    
por 03.03.2015 / 16:36
0

O WinRM é capaz de usar o transporte HTTPS e, se suas máquinas estiverem no domínio e tiverem seus certificados corporativos nelas já deveria funcionar.

    
por 01.03.2015 / 14:17