az informatikai biztonság eszközei a microsoftnál exchange és isa 2004 környezetben

Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozat

Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004

környezetben

Előadó: Keleti ArthurSzendeffy Szilárd


Miről lesz szó?– Milyen pontokon és mi ellen kell védekeznünk? – A hatékony védelem rétegei és eszközei a

Microsoft tárházából: • ISA 2004 EE bejelentés, • Exchange szolgáltatások védelme és publikációja ISA

Server segítségével (OWA, OMA, RPC over HTTPS), • Titkosított VPN csatorna azonosítása és használata a

vállalati távmunkához, • Microsoft CA, hitelesség és azonosítás a vállalat

erőforrásainak védelmére.

Kommunikációs infrastruktúra és felügyeleteGTM szeminárium sorozatMi ellen is védekezzünk?

Vírus

Illetéktelen belső hozzáférés

Laptop/mobil lopás

Illetéktelen információ szerzés Rendszer feltörés

Denial of Service


Mi ellen is védekezzünk?Szabotázs

RendszerbetörésWeb site átírása

Web site feltöréseTelekomm. csalás

Illegális hozzáférésLaptop/mobil lopás

Pénzügyi csalásRádiós hálózat töréseIllegális belső hozzáf.

InformációlopásDenial of Service

Vírus


Aggasztóan nagy ütemben fejlődő vírusok és fertőzések amiket nehéz felszámolni

Ismeretlenfenyegetettségek amikre nehéz felkészülni

Munkatársak, akik nem tartják be az

előírásokat és a tevékenységük

ellenőrzése is problémás

Jogszabályok, rendeletek,

direktívák,ellenőrző hatóságok

Belső utasítások, a vezetés akarata, a cég stratégiája

MilyenProblémákkal

küzd aBiztonsági

Vezető? Pénz, ami hol van,hol nincs,

de általában nem elegendő és félő, hogy

rossz dolgokra költjük el


Hogyan épül fel az IT Biztonság?

Biztonságirendszerek Auditok,

Dokumentációk

Felügyelet

Oktatás Hibaelhárítás

DöntésekInformatikaibiztonság


BASEL2 SOXBiztonságirendszerekTrend Micro

Entrust

Hogyan épül fel az IT Biztonság?

Auditok,Dokumentációk

Felügyelet

Oktatás Hibaelhárítás

DöntésekInformatikaibiztonság

Checkpoint Microsoft

CiscoSymantec

McAfee

SurfControl

ISS

Balabit

RSA

MSZ ISO/IEC 17799BS 7799-1 BS 7799-2

MSZE 17799-2COBITCommon Criteria

MSZ ISO/IEC TR 13335:2004MSZ ISO/IEC 15408:2002

Counterpane

OneSecureSymantec

ICON

ISS Invesztálás

Kiszervezés

HibakezelésÜgyeletBiztonsági menedzser

Gyártói vizsgákGyártói tanfolyamokCISMGISO

GISECCISA CISSP Incidenskezelés

Támogatás, HD

Garanciák

Szerződések

BérletMunkaerő

Technológiai döntések


BiometriaPKI (elektronikus aláírás)

Smart card és jelszó tokenFile titkosítás

Behatolásvédelmi rendszer (IPS)Többször használatos jelszó

Adatfolyam titkosítás (pl. VPN)Behatolásjelző rendszer (IDS)

Szerver hozzáférési listák (ACL)Tűzfalak

Vírusvédelem

Biztonsági eszközök, technológiák


ISA Server 2004Csomag és alkalmazásszintű Tűzfal, VPN megoldás és Web

Cache alkalmazás.

Emelt szintű védelemAlkalmazásszinten megvalósított védelem a Microsoft technológiák

számára már készen, könnyen bővíthető módon

Könnyű használhatóságHatékony telepítés, illesztés, könnyű üzemeltetés

Gyors, biztonságos hozzáférésKöltségkímélő módon teszi lehetővé, az intranet szolgáltatásainak eljuttatását a

mobil felhasználók számára


ISA Server 2004 verziói• ISA Server 2004 Standard Edition

– 2004 júliustól• ISA Server 2004 Enterprise Edition

– RTM 2005 január, 2005 március– Nagy rendelkezésre állás (HA), központi felügyelet és

array caching (CARP)• ISA Server alapú eszközök: Celestix, HP, RimApp, Network

Engines• Más gyártók kiegészítései (filtering add-on):

– Exchange Anti-Spam: IMF (Microsoft), Symantec (Brightmail)– Exchange Anti-Virus: Trend Micro, McAfee, Symantec, CA, Sophus,

Sybari, GFI, Panda, others– ISA Server Antivirus McAfee, GFI, Panda– Intrusion Detection ISS, GFI


Az Enterprise Edition újdonságai• Házirend alapú konfigurációkezelés• Központi felügyelet (ADAM)• NLB• CARP (Cache Array Routing Protocol)• Skálázhatóság (NLB, SMP)


Alkalmazási réteg forgalma:?????????????????????????????????????????????????????????????????????????????????????????????

• Csak a fejléc ellenőrizveIP fejléc:

Source Address,Dest. Address,

TTL, Checksum

TCP fejléc:Sequence Number

Source Port,Destination Port,

Checksum

• Port száma alapján: mehet – nem mehet– Azonos portot használ a szabályszerű forgalom, mint

az alkalmazási rétegben jövő támadások

Internet

Várt HTTP forgalom

Nem várt HTTP forgalom

Támadás

Nem-HTTP forgalom Corporate NetworkCorporate Network

Csomagszűrő tűzfalak


Biztonságban van? HTTP-Tunnel !

Alkalmazás szinten működő tűzfalak

Alkalmazási réteg tartalma:<html><head><META http-equiv="Content-

Type" content="text/html; charset=windows-1250"><title>BOX.sk</title><script

type="text/javascript"><!--// <![CDATA[

IP fejléc:

Source Address,Dest. Address,

TTL, Checksum

TCP fejléc:Sequence Number

Source Port,Destination Port,

Checksum

• Az engedélyezés a tartalom alapján történik– Csak az engedélyezett forgalom kerül feldolgozásra

Internet

Engedélyezett HTTP forgalom

Tiltott HTTP forgalom

TámadásNem-HTTP forgalom

Corporate NetworkCorporate Network

• A fejléc és a tartalom is ellenőrizve


ISA Server 2004 felhasználás• Biztonságos e-mail hozzáférés

szolgáltatása• Biztonságos Intranet hozzáférés• Belső hálózat elérése (RAS)• Belső hálózat elérése partnerek számára• Telephelyek összekapcsolása• Káros, vagy nem kívánt tartalom szűrése• Internet elérés gyorsítása• …


Biztonságos e-mail hozzáférésFunkció Új

Alkalmazás-szintű tűzfal

SMTP szűrésHTTP szűrő / OWA

RPC filter (Exchange 2000)Outlook Web Access (OWA) Front End

FBA (a tűzfalon)

Session timeout (a tűzfalon)

Csatolt tartalom blokkolása(a tűzfalon)

HTTP proxy SSL bridgingAzonosítás RADIUS authentication

SecureID authentication

Adminisztráció

Egyszerű varázslók


SMTP protokoll szűrése• Exchange Server 2003 SMTP anti-spam

– DNS blokklisták (RBL)– Allow/Deny lista– Biztonságos feladók (Safe Sender Lists)– Címzettek blokkolása– Ismert junk küldők (Domain/User)

• ISA Server 2004– Kikényszeríti az SMTP szabványnak való

megfelelést– Letiltható akármelyik SMTP parancs


E-mail hozzáférés módjai

• A tűzfalon ki kell nyitogatni portokat a be és kimenő forgalomnak:– E-mail kiszolgáló felé: SMTP, POP3, OWA (using SSL,

RPC)– E-mail kiszolgáló felől: SMTP

• Korlát:– Nincs kontrol arra nézve, hogy mi megy a csatornában

Exchange Server

Allow: Port 25 (SMTP)

Allow: Port 110 (POP3)

Allow: Port 25Allow: Port 443 (SSL)Internet

Allow: Port 135 (RPC)


RPC hagyományos tűzfalon át

Service UUID PortExchangeInfo Store

{0E4A0156-DD5D-11D2-8C2F-00CD4FB6BCDE}

4402

Active Directory

{E35114235-4B06-11D1-AB04-00C04C2DCD2}

3544

Performance Monitor

{A00C021C-2BE2-11D2-B678-0000F87A8F8E}

9233

RPC Server (Exchange 2000)

RPC Client (Outlook)

TCP 135:

Port for {0

E4A…}

Port 4402: DataTáblázat: UUID – Port1A kliens a kiszolgáló 135-ös portjához kapcsolódik és kéri az UUID-nak megfelelő portot

2

Válaszol a kiszolgáló3A kliens a kiszolgáló kapott portjához kapcsolódik

4Server: P

ort 4402

Internet

Hagyományos tűzfal nem képes

biztonságosan RPC kapcsolatot

kialakítani


RPC ISA 2004 kiszolgálóval

RPC Server (Exchange 2000)

Outlook

TCP 135:

Port for {0

E4A… ?Port 4402: Data

Server: Port 4

402

Internet

• Kezdeti kapcsolat:– Csak érvényes RPC, Exchange

forgalom engedélyezett• Másodlagos kapcsolat

– Csak a másodlagos kapcsolatotengedi

– Titkosítástbiztosítja


ISA Server 2004 és OWAAz OWA kiszolgáló Az OWA kiszolgáló azonosítást kér - azonosítást kér -

bárkitől, aki eléri ezt a bárkitől, aki eléri ezt a címetcímet

HagyományoHagyományoss

tűzfaltűzfal

OWAOWAÜgyfÜgyfélél

SSLSSL

Az Az SSL SSL átmegy a átmegy a hagyományos hagyományos tűzfalon, mivel tűzfalon, mivel titkosítva van…titkosítva van…

……ami átengedi a ami átengedi a vírusokat, férgeketvírusokat, férgeket……

……és megfertőzi a belső és megfertőzi a belső kiszolgálótkiszolgálót……

ISA ServerISA Server 20042004

Delegált bDelegált basic asic authenticationauthentication

Az Az ISA Server ISA Server azonosítja azonosítja a felhasználóta felhasználót, , csak csak

valós forgalmat enged átvalós forgalmat enged át

SSL or SSL or HTTPHTTP

SSLSSL

Az Az ISA Server ISA Server képes kibontani és képes kibontani és

megvizsgálni az megvizsgálni az SSL forgalmatSSL forgalmat

A megvizsgált kérés továbbküldhető a A megvizsgált kérés továbbküldhető a belső kiszolgálóhoz, újra titkosítottan belső kiszolgálóhoz, újra titkosítottan

vagy nemvagy nem

Internet

ISA Server ISA Server ALFALF


• RPC over HTTP becsomagolja az RPC forgalmat HTTP-be– Egy belső Web szerver (RPC proxy) kicsomagolja

azt.– A legtöbb tűzfal átengedi a HTTP forgalmat

• Probléma: RPC proxy támadható (hagyományos web alapú támadások)

Hogyan működik az RPC over HTTP?

RPC forgalom

Web Server Attacks

InternetHTTP forgalom

Exchange Client Access

Services


Az RPC over HTTP ISA kiszolgálóval• ISA Server terminálja az SSL csatornát

– Átnézi, ellenőrzi a HTTP forgalmat– Blokkol minden forgalmat, kivéve a

„http://.../rcp/...”• Nincs az RPC proxy felé direkt kapcsolat• Alkalmazás szinten szűrés

RPC forgalom

Web Server AttacksInternet Exchange

Client Access Services


Hagyományos VPN kialakítás• A VPN gateway és a tűzfal különböző eszközök• A VPN kliens teljes hozzáférést kap, mikor

bejön a belső hálózatra• A tűzfal egy külön lábára jön be, esetleg

opcionálisan másik tűzfalon át

Internal Network

Firewall

VPN GatewayInternet


ISA Server VPN kialakítás• Tartalmazza a VPN gateway-t és a

tűzfal funkciót is• A VPN kliensek szabályozottan érhetik

el a belső hálózatot

Internal NetworkISA Server

Internet


Biztonság• Széles protokoll támogatás

– PPTP és L2TP/IPSec– IPSec NAT traversal (NAT-T)

• Azonosítás– Active Directory: a Windows account-ot

használja, támogatja a PKI infrastruktúrát Smart card (így a két faktorú azonosítást – pl. RSA SecurID, ICON HYDRA)

– RADIUS: szabványos régóta használt, nem-alapú fiókadatbázis használata

– SecurID: Erős kétfaktorú azonosítást nyújt, tokenek és RSA kiszolgálók használatával.


Hálózati karantén• Kliens oldali script ellenőrzi, hogy az adott

ügyfél (pc, account) megfelel-e a vállalati biztonsági szabványoknak:– AntiSpyware telepítve?– Engedélyezett a személyes tűzfal?– Vírusdefiníciós fájl friss?– Biztonsági javítások?

• Ha az ellenőrzés sikeres, akkor megkapja a hozzáférést, ha nem akkor szétkapcsol (timeout)

CélCél: : Gyengén védett kliensek ne Gyengén védett kliensek ne érhessék el a belső hálózatot.érhessék el a belső hálózatot.


ISA 2004 VPN használata•Távoli hozzáférés biztosítása felhasználóknak

•Belső hálózat korlátozott elérésepartnereknek

•Telephelyek összekapcsolása


Microsoft CA, hitelesség és azonosítás

Microsoft 2003CertificateAuthortiy

Microsoft 2003Active

Directory

MicrosoftWindows XP

MicrosoftOffice

Intelligenskártya

MicrosoftInternetExplorer


A PKI rendszer ‘magjának’ alkotóelemei ....- Certificate Authority (CA)

a tanúsítványok kiállításáért felelős- Címtár szolgáltatás

a kulcsok, tanúsítványok és a visszavont tanúsítványok jegyzékét (CRL) tartalmazza

- Menedzsment konzol a kulcsok kezelését és szétosztását végzi

- Registration Authority (RA)a felhasználók regisztrációját és tanúsítvány kérelmeikfeldolgozását végzi (általában a CA-ba integrált)

- Kulcs visszaállítási szolgáltatás adatok, vagy üzenetek visszaállítására, ha egy privát kulcs esetlegesen megsérül, vagy elvész

...... és a kiegészítő alkotóelemek


publikus kulcsa tanusítvány birtokosának nevea kiadó CA egyedi nevea tanusítvány verziószámaa tanusítvány szériaszámaaláírás algoritmus azonosítóa kiadó CA neveérvényességbővítések

a tanusítvány hitelesítő CA titkos kulcsaszokták root CA tanusítványnak is hívnia CA aláírása

a

Hogyan is épül fel egy tanúsítvány?


Digitális tanúsítványtkibocsátó szerverCertificate Server

Digitális tanúsítványoktár szolgáltatása

Certificate Repository

Kulcs visszaállítóKey Recovery

Menedzsment konzol

BiztonságosEmail kliens

VPN Router

Távoli hozzáférés

Web szerver

PKI szerverekkelműködő alkalmazások PKI szerverek


Windows XP logonEmail digitális aláírása, titkosításaTávoli elérés és VPN csatornaWeb felülethez azonosításWeb kapcsolat titkosítás SSLWeb form aláírásaFile és directory titkosításFile tárolás (meghajtóként)Statikus jelszó tárolásSingle SignOnEurocard-Mastercard (EMV)Credit alkalmazások (pl. büfé)Ajtónyitás (fizikai beléptető)

Microsoft Windows XP

Microsoft Outlook

Microsoft Windows XP

Microsoft Internet Explorer



Microsoft EFS (XP – 2003)

Microsoft Windows XPMicrosoft Windows XPWindows XP + Alkalmazások

Microsoft Windows XPHarmadik gyártó

Harmadik gyártó

Microsoft 2003CertificateAuthortiy

Microsoft 2003Active

Directory

Intelligenskártya

(pl. ICONHYDRA)


Certificate autoenrollment

Néhány példa a PKI képességekből

Folder titkosítási lehetőségek


+V2.0PKI

JAVAAccess

• Beépített közelítő chip az ajtónyitáshoz

• Vékony kártyatest minden kártyaolvasóhoz• Arckép és személyi adatok lézergravírozására alkalmas biztonsági bevonat• Hologram és további biztonsági elemekre előkészítve

Intelligens kártya

• Chip a PKI (pl. elektronikus aláírás) funkciókhoz• Eurocard-MasterCard-Visa kompatibilitás• JAVA kompatíbilitás az egyedi alkalmazásokhoz (pl. munkaügyi kártya, forgalmi igazolvány stb.)


Köszönjük a figyelmüket!

az informatikai biztonság eszközei a microsoftnál exchange és isa 2004 környezetben

Documents