IP-Adressen in Anmeldeskripts sind pfui! 7. Juni 2012

Wenn ich als Consultant unterwegs bin, dann sehe ich bei Kunden sehr häufig, das sLaufwerksmappings über die IP-Adresse und nicht über den Hostnamen vorgenommen werden. Für mich ist es dann immer sehr schwierig, mir die ganzen IP Adressen zu merken und auch im Kopf zu behalten, hinter welcher IP sich welcher Server verbirgt.

Allerdings ist das Verwenden von IP Adressen nicht nur unübersichtlich, man handelt sich dadurch auch ein kleines Sicherheitsproblem ein. Seit Windows 2000 verwendet Microsoft als Authentifizierungsprotokoll Kerberos. Wenn ein Client auf einen Fileserver zugreifen möchte, dann benötigt er für diesen Service ein gültiges Serviceticket was er beim Key Distribution Center beantragt. Damit der KDC ein Ticket ausstellen kann, muss der Name, auf den zugegriffen wird, auch als Service Principal Name (SPN) für das Computerkonto des Fileservers registriert sein. Genau hier hapert es aber beim Zugriff über die IP-Adresse, da diese nicht als SPN durch den Fileserver registriert wurde. Wenn man sich das auf einem Client etwas genauer ansieht, wird man auch feststellen, dass kein Ticket beim Zugriff über die IP Adresse ausgestellt wird.

Wenn man jetzt über den Hostnamen auf den Fileserver zugreift, dann wird das Ticket auch korrekt ausgestellt.

Warum kann man aber trotzdem auf die Freigabe zugreifen? Das ist relativ einfach erklärt. Wenn der Client bemerkt, dass er keine Kerberos Authentifizierung durchführen kann, versucht er eine NTLMv2 Authentifzierung durchzuführen. Das kann man auch recht gut im Netzwerkmonitor nachverfolgen.

Bei diesem Netzwerktrace kann man sehr gut sehen, wie der Client im Frame 9 für den SPN cifs/fssrv-neu.spielwiese.intern ein TGS anfordert. Die Kerberos Authentifizierung funktioniert also.

In diesem Mitschnitt kann man gut erkennen, dass der Client eine NTLMv2 Authentifizierung im Frame 5 versucht.

Der Zugriff auf Netzwerkressourcen über die IP Adresse der jeweiligen Server bringt natürlich auch noch weitere Probleme mit sich:

  • Was geschieht, wenn es Umstellungen in den IP Bereichen der Firma gibt? Sind alle Anwendungen und Skripte dokumentiert, die IP Adressen anstatt Hostnamen verwenden?
  • Was geschieht, wenn ein Server ausgetauscht wird? Kann man den neuen Server die alte IP vergeben?
  • [...]

Es sprechen also viele Gründe gegen das Verwenden von IP Adressen beim Zugriff auf Netzwerkressourcen. Deshalb sollte man sich das dreimal Überlegen. Sollte die DNS Infrastruktur einmal nicht mehr verfügbar sein, dann hat man auch andere Probleme, als den Zugriff auf eine Freigabe oder eine Datenbank. Dann liegt das Netzwerk eh komplett am Boden.

 

Leave a Reply

*