az informatikai biztonság eszközei a microsoftnál exchange és isa 2004 környezetben
DESCRIPTION
Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben. Előadó: Keleti Arthur Szendeffy Szilárd. Miről lesz szó?. Milyen pontokon és mi ellen kell védekeznünk? A hatékony védelem rétegei és eszközei a Microsoft tárházából : ISA 2004 EE bejelentés, - PowerPoint PPT PresentationTRANSCRIPT
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004
környezetben
Előadó: Keleti ArthurSzendeffy Szilárd
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Miről lesz szó?– Milyen pontokon és mi ellen kell védekeznünk? – A hatékony védelem rétegei és eszközei a
Microsoft tárházából: • ISA 2004 EE bejelentés, • Exchange szolgáltatások védelme és publikációja ISA
Server segítségével (OWA, OMA, RPC over HTTPS), • Titkosított VPN csatorna azonosítása és használata a
vállalati távmunkához, • Microsoft CA, hitelesség és azonosítás a vállalat
erőforrásainak védelmére.
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozatMi ellen is védekezzünk?
Vírus
Illetéktelen belső hozzáférés
Laptop/mobil lopás
Illetéktelen információ szerzés Rendszer feltörés
Denial of Service
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Mi ellen is védekezzünk?Szabotázs
RendszerbetörésWeb site átírása
Web site feltöréseTelekomm. csalás
Illegális hozzáférésLaptop/mobil lopás
Pénzügyi csalásRádiós hálózat töréseIllegális belső hozzáf.
InformációlopásDenial of Service
Vírus
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Aggasztóan nagy ütemben fejlődő vírusok és fertőzések amiket nehéz felszámolni
Ismeretlenfenyegetettségek amikre nehéz felkészülni
Munkatársak, akik nem tartják be az
előírásokat és a tevékenységük
ellenőrzése is problémás
Jogszabályok, rendeletek,
direktívák,ellenőrző hatóságok
Belső utasítások, a vezetés akarata, a cég stratégiája
MilyenProblémákkal
küzd aBiztonsági
Vezető? Pénz, ami hol van,hol nincs,
de általában nem elegendő és félő, hogy
rossz dolgokra költjük el
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Hogyan épül fel az IT Biztonság?
Biztonságirendszerek Auditok,
Dokumentációk
Felügyelet
Oktatás Hibaelhárítás
DöntésekInformatikaibiztonság
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
BASEL2 SOXBiztonságirendszerekTrend Micro
Entrust
Hogyan épül fel az IT Biztonság?
Auditok,Dokumentációk
Felügyelet
Oktatás Hibaelhárítás
DöntésekInformatikaibiztonság
Checkpoint Microsoft
CiscoSymantec
McAfee
SurfControl
ISS
Balabit
RSA
MSZ ISO/IEC 17799BS 7799-1 BS 7799-2
MSZE 17799-2COBITCommon Criteria
MSZ ISO/IEC TR 13335:2004MSZ ISO/IEC 15408:2002
Counterpane
OneSecureSymantec
ICON
ISS Invesztálás
Kiszervezés
HibakezelésÜgyeletBiztonsági menedzser
Gyártói vizsgákGyártói tanfolyamokCISMGISO
GISECCISA CISSP Incidenskezelés
Támogatás, HD
Garanciák
Szerződések
BérletMunkaerő
Technológiai döntések
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
BiometriaPKI (elektronikus aláírás)
Smart card és jelszó tokenFile titkosítás
Behatolásvédelmi rendszer (IPS)Többször használatos jelszó
Adatfolyam titkosítás (pl. VPN)Behatolásjelző rendszer (IDS)
Szerver hozzáférési listák (ACL)Tűzfalak
Vírusvédelem
Biztonsági eszközök, technológiák
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
ISA Server 2004Csomag és alkalmazásszintű Tűzfal, VPN megoldás és Web
Cache alkalmazás.
Emelt szintű védelemAlkalmazásszinten megvalósított védelem a Microsoft technológiák
számára már készen, könnyen bővíthető módon
Könnyű használhatóságHatékony telepítés, illesztés, könnyű üzemeltetés
Gyors, biztonságos hozzáférésKöltségkímélő módon teszi lehetővé, az intranet szolgáltatásainak eljuttatását a
mobil felhasználók számára
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
ISA Server 2004 verziói• ISA Server 2004 Standard Edition
– 2004 júliustól• ISA Server 2004 Enterprise Edition
– RTM 2005 január, 2005 március– Nagy rendelkezésre állás (HA), központi felügyelet és
array caching (CARP)• ISA Server alapú eszközök: Celestix, HP, RimApp, Network
Engines• Más gyártók kiegészítései (filtering add-on):
– Exchange Anti-Spam: IMF (Microsoft), Symantec (Brightmail)– Exchange Anti-Virus: Trend Micro, McAfee, Symantec, CA, Sophus,
Sybari, GFI, Panda, others– ISA Server Antivirus McAfee, GFI, Panda– Intrusion Detection ISS, GFI
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Az Enterprise Edition újdonságai• Házirend alapú konfigurációkezelés• Központi felügyelet (ADAM)• NLB• CARP (Cache Array Routing Protocol)• Skálázhatóság (NLB, SMP)
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Alkalmazási réteg forgalma:?????????????????????????????????????????????????????????????????????????????????????????????
• Csak a fejléc ellenőrizveIP fejléc:
Source Address,Dest. Address,
TTL, Checksum
TCP fejléc:Sequence Number
Source Port,Destination Port,
Checksum
• Port száma alapján: mehet – nem mehet– Azonos portot használ a szabályszerű forgalom, mint
az alkalmazási rétegben jövő támadások
Internet
Várt HTTP forgalom
Nem várt HTTP forgalom
Támadás
Nem-HTTP forgalom Corporate NetworkCorporate Network
Csomagszűrő tűzfalak
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Biztonságban van? HTTP-Tunnel !
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Alkalmazás szinten működő tűzfalak
Alkalmazási réteg tartalma:<html><head><META http-equiv="Content-
Type" content="text/html; charset=windows-1250"><title>BOX.sk</title><script
type="text/javascript"><!--// <![CDATA[
IP fejléc:
Source Address,Dest. Address,
TTL, Checksum
TCP fejléc:Sequence Number
Source Port,Destination Port,
Checksum
• Az engedélyezés a tartalom alapján történik– Csak az engedélyezett forgalom kerül feldolgozásra
Internet
Engedélyezett HTTP forgalom
Tiltott HTTP forgalom
TámadásNem-HTTP forgalom
Corporate NetworkCorporate Network
• A fejléc és a tartalom is ellenőrizve
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
ISA Server 2004 felhasználás• Biztonságos e-mail hozzáférés
szolgáltatása• Biztonságos Intranet hozzáférés• Belső hálózat elérése (RAS)• Belső hálózat elérése partnerek számára• Telephelyek összekapcsolása• Káros, vagy nem kívánt tartalom szűrése• Internet elérés gyorsítása• …
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Biztonságos e-mail hozzáférésFunkció Új
Alkalmazás-szintű tűzfal
SMTP szűrésHTTP szűrő / OWA
RPC filter (Exchange 2000)Outlook Web Access (OWA) Front End
FBA (a tűzfalon)
Session timeout (a tűzfalon)
Csatolt tartalom blokkolása(a tűzfalon)
HTTP proxy SSL bridgingAzonosítás RADIUS authentication
SecureID authentication
Adminisztráció
Egyszerű varázslók
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
SMTP protokoll szűrése• Exchange Server 2003 SMTP anti-spam
– DNS blokklisták (RBL)– Allow/Deny lista– Biztonságos feladók (Safe Sender Lists)– Címzettek blokkolása– Ismert junk küldők (Domain/User)
• ISA Server 2004– Kikényszeríti az SMTP szabványnak való
megfelelést– Letiltható akármelyik SMTP parancs
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
E-mail hozzáférés módjai
• A tűzfalon ki kell nyitogatni portokat a be és kimenő forgalomnak:– E-mail kiszolgáló felé: SMTP, POP3, OWA (using SSL,
RPC)– E-mail kiszolgáló felől: SMTP
• Korlát:– Nincs kontrol arra nézve, hogy mi megy a csatornában
Exchange Server
Allow: Port 25 (SMTP)
Allow: Port 110 (POP3)
Allow: Port 25Allow: Port 443 (SSL)Internet
Allow: Port 135 (RPC)
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
RPC hagyományos tűzfalon át
Service UUID PortExchangeInfo Store
{0E4A0156-DD5D-11D2-8C2F-00CD4FB6BCDE}
4402
Active Directory
{E35114235-4B06-11D1-AB04-00C04C2DCD2}
3544
Performance Monitor
{A00C021C-2BE2-11D2-B678-0000F87A8F8E}
9233
RPC Server (Exchange 2000)
RPC Client (Outlook)
TCP 135:
Port for {0
E4A…}
Port 4402: DataTáblázat: UUID – Port1A kliens a kiszolgáló 135-ös portjához kapcsolódik és kéri az UUID-nak megfelelő portot
2
Válaszol a kiszolgáló3A kliens a kiszolgáló kapott portjához kapcsolódik
4Server: P
ort 4402
Internet
Hagyományos tűzfal nem képes
biztonságosan RPC kapcsolatot
kialakítani
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
RPC ISA 2004 kiszolgálóval
RPC Server (Exchange 2000)
Outlook
TCP 135:
Port for {0
E4A… ?Port 4402: Data
Server: Port 4
402
Internet
• Kezdeti kapcsolat:– Csak érvényes RPC, Exchange
forgalom engedélyezett• Másodlagos kapcsolat
– Csak a másodlagos kapcsolatotengedi
– Titkosítástbiztosítja
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
ISA Server 2004 és OWAAz OWA kiszolgáló Az OWA kiszolgáló azonosítást kér - azonosítást kér -
bárkitől, aki eléri ezt a bárkitől, aki eléri ezt a címetcímet
HagyományoHagyományoss
tűzfaltűzfal
OWAOWAÜgyfÜgyfélél
SSLSSL
Az Az SSL SSL átmegy a átmegy a hagyományos hagyományos tűzfalon, mivel tűzfalon, mivel titkosítva van…titkosítva van…
……ami átengedi a ami átengedi a vírusokat, férgeketvírusokat, férgeket……
……és megfertőzi a belső és megfertőzi a belső kiszolgálótkiszolgálót……
ISA ServerISA Server 20042004
Delegált bDelegált basic asic authenticationauthentication
Az Az ISA Server ISA Server azonosítja azonosítja a felhasználóta felhasználót, , csak csak
valós forgalmat enged átvalós forgalmat enged át
SSL or SSL or HTTPHTTP
SSLSSL
Az Az ISA Server ISA Server képes kibontani és képes kibontani és
megvizsgálni az megvizsgálni az SSL forgalmatSSL forgalmat
A megvizsgált kérés továbbküldhető a A megvizsgált kérés továbbküldhető a belső kiszolgálóhoz, újra titkosítottan belső kiszolgálóhoz, újra titkosítottan
vagy nemvagy nem
Internet
ISA Server ISA Server ALFALF
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
• RPC over HTTP becsomagolja az RPC forgalmat HTTP-be– Egy belső Web szerver (RPC proxy) kicsomagolja
azt.– A legtöbb tűzfal átengedi a HTTP forgalmat
• Probléma: RPC proxy támadható (hagyományos web alapú támadások)
Hogyan működik az RPC over HTTP?
RPC forgalom
Web Server Attacks
InternetHTTP forgalom
Exchange Client Access
Services
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Az RPC over HTTP ISA kiszolgálóval• ISA Server terminálja az SSL csatornát
– Átnézi, ellenőrzi a HTTP forgalmat– Blokkol minden forgalmat, kivéve a
„http://.../rcp/...”• Nincs az RPC proxy felé direkt kapcsolat• Alkalmazás szinten szűrés
RPC forgalom
Web Server AttacksInternet Exchange
Client Access Services
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Hagyományos VPN kialakítás• A VPN gateway és a tűzfal különböző eszközök• A VPN kliens teljes hozzáférést kap, mikor
bejön a belső hálózatra• A tűzfal egy külön lábára jön be, esetleg
opcionálisan másik tűzfalon át
Internal Network
Firewall
VPN GatewayInternet
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
ISA Server VPN kialakítás• Tartalmazza a VPN gateway-t és a
tűzfal funkciót is• A VPN kliensek szabályozottan érhetik
el a belső hálózatot
Internal NetworkISA Server
Internet
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Biztonság• Széles protokoll támogatás
– PPTP és L2TP/IPSec– IPSec NAT traversal (NAT-T)
• Azonosítás– Active Directory: a Windows account-ot
használja, támogatja a PKI infrastruktúrát Smart card (így a két faktorú azonosítást – pl. RSA SecurID, ICON HYDRA)
– RADIUS: szabványos régóta használt, nem-alapú fiókadatbázis használata
– SecurID: Erős kétfaktorú azonosítást nyújt, tokenek és RSA kiszolgálók használatával.
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Hálózati karantén• Kliens oldali script ellenőrzi, hogy az adott
ügyfél (pc, account) megfelel-e a vállalati biztonsági szabványoknak:– AntiSpyware telepítve?– Engedélyezett a személyes tűzfal?– Vírusdefiníciós fájl friss?– Biztonsági javítások?
• Ha az ellenőrzés sikeres, akkor megkapja a hozzáférést, ha nem akkor szétkapcsol (timeout)
CélCél: : Gyengén védett kliensek ne Gyengén védett kliensek ne érhessék el a belső hálózatot.érhessék el a belső hálózatot.
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
ISA 2004 VPN használata•Távoli hozzáférés biztosítása felhasználóknak
•Belső hálózat korlátozott elérésepartnereknek
•Telephelyek összekapcsolása
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Microsoft CA, hitelesség és azonosítás
Microsoft 2003CertificateAuthortiy
Microsoft 2003Active
Directory
MicrosoftWindows XP
MicrosoftOffice
Intelligenskártya
MicrosoftInternetExplorer
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
A PKI rendszer ‘magjának’ alkotóelemei ....- Certificate Authority (CA)
a tanúsítványok kiállításáért felelős- Címtár szolgáltatás
a kulcsok, tanúsítványok és a visszavont tanúsítványok jegyzékét (CRL) tartalmazza
- Menedzsment konzol a kulcsok kezelését és szétosztását végzi
- Registration Authority (RA)a felhasználók regisztrációját és tanúsítvány kérelmeikfeldolgozását végzi (általában a CA-ba integrált)
- Kulcs visszaállítási szolgáltatás adatok, vagy üzenetek visszaállítására, ha egy privát kulcs esetlegesen megsérül, vagy elvész
...... és a kiegészítő alkotóelemek
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
publikus kulcsa tanusítvány birtokosának nevea kiadó CA egyedi nevea tanusítvány verziószámaa tanusítvány szériaszámaaláírás algoritmus azonosítóa kiadó CA neveérvényességbővítések
a tanusítvány hitelesítő CA titkos kulcsaszokták root CA tanusítványnak is hívnia CA aláírása
a
Hogyan is épül fel egy tanúsítvány?
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Digitális tanúsítványtkibocsátó szerverCertificate Server
Digitális tanúsítványoktár szolgáltatása
Certificate Repository
Kulcs visszaállítóKey Recovery
Menedzsment konzol
BiztonságosEmail kliens
VPN Router
Távoli hozzáférés
Web szerver
PKI szerverekkelműködő alkalmazások PKI szerverek
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Windows XP logonEmail digitális aláírása, titkosításaTávoli elérés és VPN csatornaWeb felülethez azonosításWeb kapcsolat titkosítás SSLWeb form aláírásaFile és directory titkosításFile tárolás (meghajtóként)Statikus jelszó tárolásSingle SignOnEurocard-Mastercard (EMV)Credit alkalmazások (pl. büfé)Ajtónyitás (fizikai beléptető)
Microsoft Windows XP
Microsoft Outlook
Microsoft Windows XP
Microsoft Internet Explorer
Microsoft Internet Explorer
Microsoft Internet Explorer
Microsoft EFS (XP – 2003)
Microsoft Windows XPMicrosoft Windows XPWindows XP + Alkalmazások
Microsoft Windows XPHarmadik gyártó
Harmadik gyártó
Microsoft 2003CertificateAuthortiy
Microsoft 2003Active
Directory
Intelligenskártya
(pl. ICONHYDRA)
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Certificate autoenrollment
Néhány példa a PKI képességekből
Folder titkosítási lehetőségek
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
+V2.0PKI
JAVAAccess
• Beépített közelítő chip az ajtónyitáshoz
• Vékony kártyatest minden kártyaolvasóhoz• Arckép és személyi adatok lézergravírozására alkalmas biztonsági bevonat• Hologram és további biztonsági elemekre előkészítve
Intelligens kártya
• Chip a PKI (pl. elektronikus aláírás) funkciókhoz• Eurocard-MasterCard-Visa kompatibilitás• JAVA kompatíbilitás az egyedi alkalmazásokhoz (pl. munkaügyi kártya, forgalmi igazolvány stb.)
Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat
Köszönjük a figyelmüket!