hitelesítés és tanúsítványkezelés
DESCRIPTION
Hitelesítés és tanúsítványkezelés. …az ISA Server-rel. Gál Tamás [email protected] Szakmai vezető - TechNet Microsoft Magyarország. Tartalom. Preambulum Hitelesítés 1x1 Felhasználók és szolgáltatások Tanúsítványok vs. publikálás IIS, Exchange 2007, Terminal Services Gateway - PowerPoint PPT PresentationTRANSCRIPT
Hitelesítés és tanúsítványkezelés…az ISA Server-rel
Gál Tamá[email protected] vezető - TechNetMicrosoft Magyarország
TartalomPreambulumHitelesítés 1x1
Felhasználók és szolgáltatásokTanúsítványok vs. publikálás
IIS, Exchange 2007, Terminal Services Gateway
A függelékben a jövőA Forefront TMG és egy érdekesség
PreambulumInternet Security and Acceleration Server 2006
Tűzfal feladatokProxy kiszolgálóSzerver publikálásVPN kiszolgálóGyorsítótár
Standard / Enterprise
Hitelesítés 1x1A web proxy feladatai
Hozzáférés és biztonságFelhasználók hitelesítéseFelhasználói kérések szűréseTartalom-vizsgálatFelhasználói hozzáférés naplózásaBelső hálózat elrejtése
TeljesítményHozzáférés a gyorsítótárhoz
Hitelesítéssel is, HTTP / HTTPS / FTP, több
platformra, telepítés nélkül
Legmélyebb kapcsolat, telepítéssel, teljeskörű hitelesítéssel, titkosítva
is
Konfigurálás és telepítés nélkül, több
platformra
ISA Server
Internet
Web Proxy kliens Firewall kliens
SecureNAT kliens
Hitelesítés 1x1 Az ISA kliensei
Mit szeretnénk? Melyik passzol?Kliens beállítás / telepítés nélkül SecureNAT
Csak gyorsítótár használat
SecureNAT / Web Proxy kliens
Kizárólag hitelesítéssel Firewall / Web Proxy kliens
Kiszolgáló publikálás (csak) SecureNAT
Böngészők használata nem Windows platformon
SecureNAT / Web Proxy kliens
Hitelesítés 1x1 Az ISA kliensei
Hitelesítés 1x1Forward proxy
ISA
Webszerver
Proxy Serverfeladatkör
FeltételekFelhasználó?Számítógép?Protokoll?Cél oldal?Tartalom?
Hitelesítés 1x1A belső hálózatból
Felhasználók és csoportokDirekt források
Active DirectoryISA gép felhasználói adatbázisLDAP / RADIUS / SecurID névterek
Indirekt forrásSaját összeállítás a direkt forrásokból
Csak fw/web proxy kliens esetén!
Hitelesítés 1x1A belső hálózatból - itt dől(het) el minden
Digest vs. WDigest!
Hitelesítés 1x1Hogyan szabályozunk?
TűzfalszabályokkalSorrend!System Policy
AllowDeny User
Destination NetworkDestination IPDestination Site
ProtocolIP Port/Type
Source networkSource IP
ScheduleContent Type
action on traffic from user from source to destination with conditions
A demókörnyezet
Kiszolgálók:Paris – ISA Server 2006 SP1 - W2K3Denver – DC, TSG, Exchange, Root CA - WS08
Kliensek: belső: XP SP2, külső: Vista SP1
contoso.com
VistaExt - 39.1.1.9www.fenestra.netftp.fenestra.net Paris
10.1.1.139.1.1.1
Denver - 10.1.1.4denver.contoso.com
XPSP310.1.1.3
demó
Hitelesítés és kliensek
Kép a demóból
Internet elérés szabályzás
Hitelesítés 1x1Reverse proxy
3 DNS szerver
5
4
2
6
1
FeltételekKérés?Protokoll?Cél oldal?
ISA
Webszerver
Hitelesítés 1x1Hitelesítési megoldások
Nincs HTTP alapú kliens hitelesítési metódus
Basic, Digest / wDigest, IntegratedHTML űrlap alapú kliens hitelesítési metódus (FBA)
Windows (Active Directory)LDAP (Active Directory)RADIUS, RADIUS OTPRSA SecureID
Tanúsítványon alapuló hitelesítés
Hitelesítés 1x1HTTP alapú kliens hitelesítés
BasicHitelesítési infó szimpla szövegben
Digest / WDigestA hitelesítési infó hash-elve, azaz nem visszafejthetőCsak Windows tartomány, csak HTTP 1.1
IntegratedNTLM, Kerberos, NegotiateMindig a tartomány\felhasználó formula
Hitelesítés 1x1HTML űrlap (FBA)
Jelszó és / vagy passcode űrlapokJelszóváltoztatás (pl. OWA-ból)
Időlimit, értesítés a lejáratrólA mobil kliensek automatikus detektálása (User-Agent) és…Fallback > Basic hitelesítés > OWA / OASzabályozható „Client Credentials Caching”Szerkeszthető űrlap
Szimpla, OWA, strings.txt, 26 különböző nyelven, de „megerőszakolás” is
Hitelesítés 1x1HTML űrlap (FBA)
1
2
Hitelesítés 1x1HTML űrlap (FBA)
Multifaktoros hitelesítésLényegesen biztonságosabbA felhasználónak rendelkezni kell jelszóval ÉS
egy tanúsítvánnyal;vagy egy egyszeri jelszót / kódot (OTP) generáló szoftveres/hardveres eszközzel;vagy egy SecurID-eszközzel, amely minden szükséges esetben egy úgynevezett passcode-ot (nagyon rövid lejáratú számkombináció) képes generálni.
Hitelesítés 1x1Külső hitelesítő eszköz
1. Kliens jogosultság elfogadása
2. A jogosultság elküldése..
3. …majd befogadása
4. Hitelesítés-delegálás
5. A publikált szerver válasza
6. A válasz továbbküldése
ISA Server
Hitelesítés-szolgáltató
Kliens
OWA
4
5
2 3
1 6
Hitelesítés 1x1Tanúsítványon alapuló hitelesítés
Csak Active Directory névtérDe nem muszáj tartományi tagnak lenni
ISA 2006 SP1 > TRCAFallback
Basic, Digest, IntegratedÁllítható időtúllépés vizsgálat (FBA is)Client Certificate Trust List (FBA is)Client Certificate Restrictions (FBA is)
Hitelesítés 1x1Hitelesítés-delegálás
Biztonságos és erőforrás takarékosISA 2004 – erős korlátok
Csak Basic, ergo csak VPN és HTTPSISA 2006 – szinte mindent
Nincs delegálás, és a kliens nem hitelesíthet közvetlenül;Nincs delegálás, de a kliens hitelesíthet közvetlenül;Basic, NTLM, Negotiate (Kerberos / NTLM)Kikényszerített Kerberos-delegálás
`
Exchange.Company.Com
SharePoint.Company.Com
Hitelesítés 1x1SSO1. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel
Exchange elérés - SSO nélkülKérem a hitelesítési infókat!Egy e-mailből menjünk tovább a SharePoint oldalunkra!Kérem megint a hitelesítési infókat!
FBA
2. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel▪ Exchange elérés – SSO-val▪ Kérem a hitelesítési infókat!▪ Egy e-mailből menjünk tovább a SharePoint oldalunkra!▪ NEM kérem a hitelesítési infókat!
demó
Hitelesítés
Kép a demóból
Az űrlapok lehetőségei - OWA
Tanúsítványok vs. publikálás
PublikálásA kiszolgálóink szolgáltatásaink biztonságos közzétételeKomoly rizikófaktorNagyon sok segítség az ISA 2006-ban
Csoportosítási szempontokBelső vs. külső (pl. Internet)Integrált vs. önálló kiszolgálóSzimpla szerver vs. webszerver
Tanúsítványok vs. publikálás
Tunneling vs. BridgingTunneling: SSL forgalom átengedéseBridging: HTTP szűrés is
Csonkol, ellenőríz (HTTP filter), ragasztMindkét irányban, de csak saját tanúsítvány (webszerver) eseténPublikus kulccsal ellátott tanúsítvány kell hozzá > ISA Computer Certificate Store
ISA 2004: mindkettő választhatóISA 2006: „csak” BridgingTMG: lásd később
Tanúsítványok vs. publikálásA listener
Figyel, szűr, szabályozHálózat / IP / port Hitelesítés típusa, és ehhez kapcsolódó extrák beállításaTipikusan egy-egy HTTP és HTTPS listener-ünk van (web listener)Minden publikáló szabályban kötelező
De 1-1 listener-t több szabályban is felhasználhatunk
Tanúsítványok vs. publikálásTanúsítványok kezelése
Tanúsítványok vs. publikálásTöbb tanúsítvány használata
Ha nincs SAN vagy wildcardEgyesével hozzárendeljük az IP-khez a megfelelő tanúsítványtNLBOutlook Anywhere
demóPublikálás tanúsítvánnyal
Kép a demóból
Tanúsítvány előkészületekIIS, OWA, OA, TSG publikálás
Szünet...
Függelék
A jövő: Forefront TMGRöpke bemutatás
Nem túl távoli jövőDe a jelen is: Medium Business Edition > EBS (csökkentett tudással)
Csak Windows 2008 / x64Sok változás, néhány példa:
Intrusion Prevention SystemSMTP ProtectionISP RedundancyURL filtering, Malware Inspection
A jövő: Forefront TMGHTTPS Inspection – most!
Tanúsítvány ellenőrzésLejárt, nem érvényes, visszavonási infó
HTTPS forgalom ellenőrzésHaladó „bridging” - kifelé isBármilyen forgalom esetén – MITM?
Kivételek képzése mindkét szintenFelhasználó értesítése
Új tűzfal kliens kell hozzáTöbb új riasztás a tanúsítványokkal