Fülöp Miklós rendszermérnök Microsoft Magyarország

Az előadások a következő témára: "Fülöp Miklós rendszermérnök Microsoft Magyarország"— Előadás másolata:

1 Fülöp Miklós rendszermérnök Microsoft Magyarország
Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország

2 TechNet események 2004 őszén
2004. szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága 2004. október 13. Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága 2004. október 27. Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága 2004. november 10. Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben 2004. november 24. A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004

3 Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

4 Többszintű vírusvédelem
Vezessünk be vírusvédelmi megoldásokat a hálózat minden elemi szintjén! Munkaállomások Otthoni internetelérés Floppy / CD / USB eszközök Saját levelezés Fájlkiszolgálók Levelezési szolgáltatások Vállalati levelezés SPAM-szűrés Tűzfal Internetes letöltés Vírusok terjedésének megakadályozása

5 ISA Server 2004 Message Screener
SMTP forgalom alapszintű ellenőrzése vírusírtó nélkül SMTP parancsok ellenőrzése (SMTP Filter) Engedélyezés / tiltás, max. paraméterhossz Message Screener telepítése nem szükséges Levelek törlése / fenntartása / továbbítása Kulcsszavak alapján Feladó címe alapján Csatolt fájl alapján A levélkezeléshez a Message Screenert telepíteni kell Lokálisan vagy más gépre

6 ISA Antivirus és egyéb bővítmények
Nyílt interface a külső gyártók számára Web Filters (webes forgalom) Application Filters (minden adatforgalom) Partnermegoldások az ISA Server-hez Vírusírtók Behatolásérzékelés Tartalomszűrés Protokoll-szűrők és átalakítók Felügyelet és riportok

7 Exchange vírusvédelem
VS API: Nyílt interface a vírusírtók számára Többszintű ellenőrzés On Access Scanning Amikor az ügyfél hozzáférést kér a levélhez Proactive Scanning Beérkező / postázott üzenetek Background Scanning Az Exchange adatbázis vírusellenőrzése Elsődleges felhasználási területe az üzenetek újraellenőrzése a vírusdefiníciós adatbázis frissítése esetén Dedikált „antivirus” kiszolgáló (gateway)

8 Exchange - AntiVirus teljesítményszámlálók

9 The Spam Problem And, here is our own internal experience (MS IT) with Exchange 2003 ·         IMF - Of the approximately ten million messages Microsoft receives per day, we are blocking or deleting 85-90% of our inbound volumes as spam (IMF rejects about 9.5 M messages per day)

10 Anti-Spam kérdések és az Exchange 2003 megoldásai
1. Honnan jött az üzenet? Connection Filtering (IP alapú) 2. Kitől jött az üzenet? Sender Filtering 3. Kinek szólt az üzenet? Recipient Filtering 4. Miről szól az üzenet? Outlook 2003 Exchange 2003 AntiSpam Infrastructure Intelligent Message Filter

11 1. Honnan jött az üzenet? Connection Filtering - Kapcsolatszűrés
Globálisan engedélyezett és tiltott SMTP kiszolgáló IP címek Csatlakozás 3rd party RBL (Realtime Block List) szolgáltatásokhoz On-line DNS lekérdezés Kombinált szabályrendszer Engedélyezett címek Tiltott címek RBL Manuálisan engedélyezni kell a virtuális SMTP kiszolgálón!

12 1. Honnan jött az üzenet? RBL nslookup
DNS lekérdezés: <„fordított” IP cím>.<spamDB> Nincs válasz: a cím nem található az adatbázisban  nem spam Válasz: x: a cím megtalálható az adatbázisban  SPAM!

13 1. Honnan jött az üzenet? Connection Filtering beállítások

14 2. Kitől jött az üzenet? 3. Kinek szól az üzenet?

15 4. Mit tartalmaz az üzenet? Exchange AntiSpam Infrastructure
Nyílt (SMTP Sink) interface 3rd party / saját eszközök ellenőrizhetik és minősíthetik a leveleket Spam Confidence Level (SCL) - levélparaméter -1: belső levél (fenntartva, nem spam) 0: nem spam 1..9: a levél valószínűleg spam Határértékek (Thresholds) Gateway Threshold Store Threshold Akciók Archiválás Törlés Visszautasítás

16 4. Mit tartalmaz az üzenet? Outlook 2003 / OWA 2003 funkciók
A felhasználó által definiált biztonságos / tiltott feladók listája Megbízható feladók, Biztonságos címzettek, Letiltott feladók Igény szerint tartalmazhatja a címjegyzéket is „Csak megbízható feladók” üzemmód A lista a kiszolgálón tárolódik Azonos funkcionalitás az OWA 2003-ban is A levélszemétbe kerülés paraméterei: A felhasználó listái Az üzenet SCL szintje Ügyféloldali SmartScreen technológia Külső webes tartalom blokkolása a levelekben

17 Intelligent Message Filter
Exchange Server 2003 bővítmény Ingyenesen letölthető MS Research „SmartScreen” technológia Bayesian-jellegű mesterséges intelligencia Hotmail felhasználók segítségével hangolva Együttműködik az Exchange AntiSpam infrastruktúrával az Outlook 2003 kliensfunkcióival

18 Intelligent Message Filter
Exchange 2003 Gateway Server Exchange 2003 Back-End A felhasználó postafiókja Spam? Kapcsolatszűrés Igen Nem Címzett szűrés Intelligent Message Filter (Store Threshold) Megbízható feladó? Letiltott feladó? Feladó szűrés Igen Nem Igen Nem Intelligent Message Filter (Gateway Threshold) Inbox Levél- szemét Inbox

19 Intelligent Message Filter

20 Exchange - IMF teljesítményszámlálók

21 MOM 2005 – IMF Management Pack

22 IMF Archive Manager http://workspaces.gotdotnet.com/imfarchive
Funkciók: Archivált üzenetek (fa)nézete Dekódolt fejlécinformációk és nyers adatnézet Üzenet újraküldése (a PickUp könyvtárba) Üzenetek törlése Üzenet továbbítása csatolt fájlként külső címre (riport)

23 Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

24 Egy ajánlott logikai felépítés
Internetes szolgáltatások izolált hálózaton  demilitarizált zóna Exchange Server 2003 Front-End Tanúsítványkiadó webfelülete

25 A jelenlegi demokörnyezet
Internetes szolgáltatások a vállalati hálózaton Exchange Server 2003 Windows Server 2003 tanúsítványkiadó

26 A jelenlegi demokörnyezet
Internet CLIENT.INTERNET ISA.MSDEMOS.HU CA.MSDEMOS.HU MAIL.MSDEMOS.HU DCEX.MSDEMOS.HU ISA: ISA Server 2004 DCEX: DC, CA, IIS, Exchange 2003 Intranet

27 A vállalati tanúsítványkiadó
Előnyei Vállalaton belül explicit megbízott (Group Policy) Tanúsítványok és CRL az Active Directory-ban és az intraneten közzétéve Olcsó Hátrányai Külső felhasználók nem bíznak benne A CA tanúsítványának letöltése és importálása szükséges A közzétett tanúsítványok és CRL nem érhető el Publikálni kell a CA webes felületét

28 Kiegészítő mezők a tanúsítványokban
AIA – Authority Information Access A tanúsítványt kiadó CA tanúsítványának elérési útja CDP – Certificate Revocation List A tanúsítványkiadó által visszavont tanúsítványok listája Tegyünk interneten keresztül is elérhetővé! Állítsuk be az internetről is elérhető útvonalakat az AIA és CRL mezőkben Még a tanúsítványok kiadása előtt! Nem titkosított ( kapcsolat Különben az ellenőrzés végtelen ciklusba kerülhet

29 Kiegészítő mezők a tanúsítványokban

30 A kiegészítő mezők módosítása

31 demó A tanúsítványok kiegészítő mezőinek módosítása
A tanúsítványkiadó webes felületének közzététele demó

32 Tanúsítványok A szükséges tanúsítványok: Külső: mail.msdemos.hu
DCEX ISA mail.msdemos.hu Intranet A szükséges tanúsítványok: Külső: mail.msdemos.hu Hozzuk létre a belső kiszolgálón, majd vigyük át a tűzfalra Tanúsítvány + privát kulcs (= .pfx) export / import Belső:

33 OWA publikálás Az Exchange webkiszolgáló közzététele HTTPS
/exchweb/* /public/* HTTPS Authentikációs beállítások Basic csak HTTPS-en! Integrált Windows Form-Based ISA 2004 Mail Server Publishing Wizard

34 ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció
Kimenő és bejövő forgalom is ellenőrizhető SSL Bridging esetén a HTTPS forgalom is Tűzfalszabályonként beállítható korlátozások Szűrés különféle paraméterek alapján Kérés fejléc és teljes mérete URL hossza, karakterkészlet Futtatható tartalom blokkolása HTTP parancsok (Methods) Fájlkiterjesztés HTTP fejlécek típusa

35 ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció
Mintakeresés a kérés URL-ben a kérés fejlécei között a kérés tartalmában a válasz fejlécei között a válasz tartalmában* *: a keresés erőforrás- igényes, adjuk meg a keresés korlátait!

36 Exchange 2003 Form Authentication
Felhasználóazonosítás HTTP form és cookie segítségével Nincs szükség a különféle HTTP azonosítási módokra (Basic, Integrated, stb.) HTTPS használata kötelező!

37 ISA Server 2004 OWA Form Authentication
Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető Előnye Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés Az azonosítás az ISA-n keresztül történik a legkülső rétegben (a kérés közvetlenül nem éri el az Exchange kiszolgálót!)

38 Csatolt fájlok blokkolása
Exchange Server 2003 Csatolt fájlok blokkolása Csatolt fájlok engedélyezése (fájltípus alapján) Csatolt fájlok csak back-end kiszolgálón HKLM \ System \ CurrentControlSet \ Services \ MSExchangeWeb \ OWA \ DisableAttachments (DWORD) 0: csatolt fájlok engedélyezve (fájltípus alapján) 1: csatolt fájlok letiltva 2: csatolt fájlok csak back-en kiszolgálókról ISA Form Authentikáció Csatolt fájlok blokkolása privát gépeken Csatolt fájlok blokkolása publikus gépeken

39 demó Webtanúsítványok Exchange OWA publikálás (HTTPS)
ISA 2004 (Exchange) Form Authentication demó

40 Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

41 Outlook (MAPI) RPC over HTTP
Online kapcsolat az Internet felett MAPI protokoll HTTPS forgalomba ágyazva Nincs szükség RAS/VPN-re A protokoll fordítást egy Exchange 2003 Front-End végzi Biztonságos a MAPI forgalom SSL (128 bit) felett megy Rendszerkövetelemények Exchange 2003 RPC proxy (Front-End Server) - ajánlott Külön Exchange Back-End Server - ajánlott Legalább egy Windows Server 2003 DC a tartományban Outlook Windows XP SP1 + hotfix #331320 vagy Windows XP SP2

42 Az ajánlott felépítés Intranet Exch. közzététel Dedikált SSL listener
SSL bridging Web Publishing URLScan Exch. közzététel Intranet Exchange 2003 RPC proxy Outlook 2003 Cached Mode SSL 128-bit SSL 128-bit Port 443 Port 443 Exchange 2003 Backend ISA Server 2004 Windows Server 2003 Domain Contr.

43 RPC over HTTP beállítási lépései
Windows 2003 RPC over HTTP Proxy komponens telepítése Exchange Server Back-End / Front-End beállítások RPC Proxy beállítása (kézzel, ha 1 Exchange Server van) IIS authentikáció Registry (RPC portok) ISA Server /rpc/* útvonal engedélyezése az Exchange webkiszolgáló felé Outlook 2003 Exchange Over the Internet dialógusablak engedélyezése (Office Resource Kit) Custom Installation Tools Custom Maintenance Tools profil létrehozása / módosítása

44 Exchange over the Internet Az Outlook postafiók beállításai

45 Outlook MAPI over HTTP demó

46 kávé- szünet

47 Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

48 A PKI alkalmazási területei
Bejelentkezés intelligens kártyával Smartcard logon Távoli hálózati bejelentkezés RAS, VPN Office dokumentumok digitális aláírása Programok, kódok, makrók digitális aláírása Authenticode Titkosított hálózati forgalom IPSec – titkosított és / vagy aláírt forgalom Biztonságos webszolgáltatás ( Felhasználók azonosítása is biztonság (digitális aláírás, titkosítás) S/MIME Titkosított fájlok Encrypting File System (EFS)

49 Windows VPN protokollok
PPTP (RFC 2637) A Windows első VPN protokollja MPPE titkosítás Kliensek Windows 9x-től Különösebb konfigurációt nem igényel L2TP (RFC 2661) over IPSec A Microsoft és a Cisco (L2F) közös fejlesztése A Windows L2TP saját titkosítást nem tartalmaz  a titkosítást az IPSec végzi Kliensek beépítve Windows 2000-től W9x-hez, NT4-hez letölthető Az IPSec miatt további konfiguráció szükséges

50 IPSec over NAT A probléma: A megoldás: IPSec NAT-Traversal (NAT-T)
a NAT módosítja a csomagfejléceket, így elrontva az ESP/AH csomagok digitális aláírását A megoldás: Készítsük fel az ISAKMP protokollt a NAT felismerésére Csomagoljuk be az IPSec forgalmat UDP csomagokba IPSec NAT-Traversal (NAT-T) ISAKMP2 protokoll: UDP 4500 Windows XP SP2 / Windows Server 2003 / ISA 2004 A NAT-T frissítés Windows XP SP1-hez és Windows 2000-hez letölthető További konfigurációt nem igényel

51 Windows VPN / RAS felhasználóazonosítási protokollok
MS-CHAPv2 Felhasználónév / jelszó EAP PKI tanúsítvány Smart Card ... Egyéb protokollok MS-CHAP CHAP SPAP (Shiva) PAP (nyílt)

52 ISA Server 2004 VPN Külön alhálózat a VPN kliensek számára
A valódi alhálózatokkal egyenrangú Saját tűzfalszabályokkal rendelkezik VPN karantén alhálózat

53 ISA Server 2004 VPN A Windows RRAS kiszolgálóját használja Protokollok
Integrált konfiguráció és felügyelet Protokollok PPTP és L2TP over IPSec IPSec Tunnel Mode Felhasználóazonosítás forrása Active Directory / Windows címtár RADIUS RSA SecurID

54 ISA VPN kiszolgáló beállítása
VPN hozzáférés engedélyezése = Windows RRAS szolgáltatás engedélyezése Az ISA Server újraindítása szükséges VPN konfiguráció Csatlakozó kliensek max. száma Csatlakozásra jogosult csoportok VPN protokollok User Mapping Hozzáférés alhálózatokból IP-cím kiosztás / DHCP, DNS, WINS konfiguráció Felhasználóazonosítási protokollok RADIUS

55 Az EAP felhasználóazonosítás feltételei az ISA 2004-ben
Az ISA Server-nek tartományban kell lennie, vagy RADIUS-t kell használnunk Engedélyezzük a User Mapping funkcionalitást Nem kötelező, de ajánlott (felhasználónév-alapú szabályok)

56 demó ISA 2004 VPN kiszolgáló beállítása (PPTP)
VPN kapcsolat létrehozása Felhasználóazonosítás tanúsítvánnyal demó

57 Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

58 IPSec azonosítási módok
Az IPSec házirendben háromféle azonosítási mód közül választhatunk: Szöveges („Előmegosztott kulcs”) csak tesztcélra! Kerberos: csak ha a DC elérhető Tanúsítvány-alapú: a csatorna felépítéséhez mindkét félnek közös CA-tól származó, érvényes tanúsítvánnyal kell rendelkeznie.

59 IPSec tanúsítványalapú azonosítás
A házirend csak a tanúsítványt kiadó CA-t definiálja Mindkét félnek ugyanazt a CA-t kell megjelölnie A sikeres működés feltételei: A tanúsítvány a számítógép tanúsítványtárában van A számítógép rendelkezik a privát kulccsal A tanúsítvány érvényességi ideje nem járt le A tanúsítvány Root CA-ja (ami a szabályban is megtalálható) a számítógép Megbízható legfelső szintű hitelesítésszolgáltatók listájában van A tanúsítványlánc hiba nélkül felépíthető Az IPSec NEM igényli az IPSec típusú tanúsítványt!

60 Egyebek A tanúsítvány csak a kulcsgeneráláshoz szükséges, az egyéb titkosítási beállítások az IPSec házirendből származnak Az IPSec nem képes használni a "Strong Private Key Protection" opcióval mentett tanúsítványokat Az IPSec nem ellenőrzi a tanúsítvány CRL-jét A CRL-ellenőrzés bekapcsolása: HKLM\System\CurrentControlSet\Services\PolicyAgent\ Oakley\StrongCrlCheck (REG_DWORD): 1: elutasítva, ha a CRL elérhető és a tanúsítvány visszavont státuszú 2. elutasítva, ha a CRL nem érhető el, vagy a tanúsítvány visszavont státuszú

61 L2TP over IPSec VPN beállítása
ISA Server: L2TP over IPSec engedélyezése, majd ISA Server újraindítása vagy RRAS-ban kézzel bekapcsolni az L2TP portokat Ügyfélszámítógép beállítása „Rendszergazda” típusú tanúsítvány a számítógép tanúsítványtárába A tanúsítványkiadó tanúsítványának importálása a számítógép tanúsítványtárába Ha nincs tanúsítvány, a megosztott szöveges azonosítás is használható (tesztcélra!) ISA: VPN tulajdonságai / Authentication / Allow custom IPSec Policy for L2TP connection Kliens: VPN tulajdonságok / Biztonság / IPSec beállításai

62 demó ISA 2004 VPN kiszolgáló beállítása (L2TP over IPSec)
Kliensoldali géptanúsítvány igénylése demó

63 VPN kiszolgáló tűzfal mögött Kommunikációs csatornák
PPTP TCP 1723 IP 47 (GRE) (L2TP over) IPSec UDP 500 (ISAKMP) IP 50 (ESP) IP 51 (AH) (L2TP over) IPSec over NAT UDP 4500 (ISAKMP2)

64 Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

65 Hálózati (VPN) karantén
A bejelentkező VPN ügyfelet az ISA először egy karanténhálózatba helyezi A többivel egyenrangú alhálózat (Quarantined VPN Clients) Korlátozott hozzáférés a karantén során szükséges erőforrásokhoz A kliensen egy script lefut, és ellenőrzi a hálózatra való csatlakozás feltételeit, pl. Vírusírtó állapota Biztonsági javítások állapota stb. Az ellenőrzés eredményét a script visszajelzi az ISA Server-nek Siker esetén a kliens a VPN Clients alhálózatba került Hiba vagy időtúllépés esetén a klienskapcsolat megszakad

66 Connection Manager Administration Kit
Eszköz előrecsomagolt VPN kliensbeállítások és kiegészítő eszközök disztributálására Windows összetevők / Kezelési és figyelési eszközök / „Csatlakozáskezelő felügyeleti csomag” A CMAK eredménye egy .exe fájl, amit a kliens lefuttat A kliensen létrejön egy testreszabott VPN kapcsolat A karantén során használt funkciók Post-Connect Action: script futtatása csatlakozás után Egyéni fájlok: ellenőrző script, karanténfeloldó komponens (rqc.exe) Remote Access Quarantine Tools for ISA Server

67 Karantén beállítása ISA 2004-en
Ellenőrző script létrehozása Egyéni értesítő / kiszolgáló komponens létrehozása Előregyártott komponensek: rqc.exe (kliens), rqs.exe (szerver) rqs.exe használata esetén a ConfigureRQSForISA.vbs script futtatása Adjuk meg a „titkos kulcsot” a karantén feloldásához (AllowedSet) Rendszerszolgáltatásként telepíti az rqs.exe-t Tűzfalszabályt hoz létre a karantén-visszajelzéshez (TCP 7250) Elvégzi a szükséges registry-módosításokat és elindítja az RQS rendszerszolgáltatást CMAK profil létrehozása Benne a script és az értesítő komponens

68 Karantén beállítása ISA 2004-en
Karanténbeállítások: RADIUS / ISA házirend alapján Időtúllépés Kivételek a karantén alól Karanténerőforrások elérésének engedélyezése pl. DC, DNS, fájlkiszolgáló

69 A karantén feloldása Visszatérési értékek: 0 – karantén feloldva
1, 2 – hibás hely / válasz – karantén fenntartva

70 Karantén-script létrehozása
A script ellenőrzi a kliens gép „egészségi állapotát” pl. vírusírtó bekapcsolva? (XP SP2) szükséges javítások telepítve? Az ellenőrzés után futtatja az rqc.exe komponenst Ellenőrzi a visszatérési értéket és értesíti a felhasználót Kész példascript letölthető! FamilyID=a290f2ee-0b55-491e-bc4c b2462

71 Windows XP SP2 – a vírusírtó integrációja
A Windows XP SP2 felismer(het)i a telepített vírusírtókat a Microsoft-tal előre egyeztetett registry-adatok segítségével, vagy a WMI segítségével A Security Center WMI providere root\SecurityCenter névtér, AntivirusProduct osztály onAccessScanningEnabled productUptoDate

72

73 A vírusírtó állapotának lekérdezése
Egy rövid WMI lekérdezés: Figyelem! a Windows XP SP2 nem minden vírusírtót ismer fel a Windows XP SP2 nem minden vírusírtót a WMI segítségével ismer fel Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM AntiVirusProduct") bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next

74 A telepített javítások listájának lekérdezése
Az összes javítás: Példa egy adott javítás ellenőrzésére: Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering") Wscript.Echo oOb.HotfixID Next Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering  WHERE HotfixID = 'KB885884'") bQFEFound = True Next

75 Connection Manager Administration Kit
VPN karantén demó

76 Network Access Protection
Karanténszolgáltatások MA: VPN karantén Izolált hálózat, amíg a kliensoldali ellenőrzés vissza nem jelez A scriptet kézzel kell létrehozni Nem biztonsági eszköz! (kikerülhető) Platform: Windows Server 2003 Resource Kit / SP1 ISA Server 2004 (Windows 2000 / 2003)

77 Network Access Protection
Karanténszolgáltatások a jövőben: LAN / WLAN karantén DHCP IPSec Cisco integráció Funkciók: Network Access Point RADIUS Server Policy Server Központi feltételdefiníciók Policy Management Framework: antivirus, IDS, tűzfal, patch, stb. Update Server Javítások, frissítések Karanténból is elérhető

78 Hálózati karantén architektúra
Vállalati hálózat DHCP Servers Helyi számítógépek RADIUS Server Távoli számítógépek VPN/Dial-up Servers Policy Servers (Anti-virus; Patch/System Management, etc.) Update Servers (Anti-virus; Patch/System Management, etc.) Izolációs hálózat

79 Hálózati karantén architektúra
= Hálózati karantén szoftver = Házirend szoftver Házirend? Policy Server Policy Server Policy Server Policy Server Házirend kliens Házirend kiszolgáló Aktuális házirend Riportok Frissítések State of Health Mi a Health Status-om? Rendben Rendben? Házirend ellenőrzése Minden OK API API Karantén koordináció Karantén koordináció Management Reporting Segíts! Health State frissítve! ? Hozzáférés? Karantén kliens: pl. VPN SoH RADIUS/VPN Nincs SoH-em...  Jóváhagyva ? SoH-et kérek! X Karantén! Hálózati elérési pont (Network Access Point)

80 RSA SecurID

81

82 További információk Exchange Anti-Spam Infrastructure
Microsoft Exchange Intelligent Message Filter Intelligent Message Filter Overview & Deployment Guide imf/imf_wp.asp IMFDeploy/b1d0b6aa-203d a d99203.mspx IMF Archive Manager How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003

83 További információk RBL szolgáltatások SPEWS: http://www.spews.org
MAPS: ORDB: OpenRBL: Dorkslayers: Spamhaus: CAUBE.au: Combat Spam: Spam Cop: Osirusoft:

84 További információk Configuring Outlook 2003 for RPC over HTTP
E2k3RPCHTTPDep/9abaf7ee-1ea5-46ad-a68b-551e5dda459d.mspx

85 További információk Cikkek, publikációk (Megjelentek a TechNet magazinban) VPN - virtuális magánhálózatok, I. rész VPN - virtuális magánhálózatok, II. rész – az L2TP protokoll IPSec NAT-Traversal: IPSec hálózati címfordításon keresztül

86 További információk Windows Server 2003 Resource Kit Tools
familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd Remote Access Quarantine Tool for ISA Server 2004 FamilyID=3396c f-4b2e-ab4d-1c44356ce37a Remote Access Quarantine Agent (RQS.exe) FamilyID=d4ec94b2-1c9d-4e98-ba02-b18ab07fed4e VPN Quarantine Sample Scripts for Verifying Client Health Configurations FamilyID=a290f2ee-0b55-491e-bc4c b2462

87 További információk ISA Server 2004 dokumentáció
ISA Server partnerbővítmények: RSA SecurID for Microsoft Windows

88 A demoban használt karantén script
On Error Resume Next bAVFound = False bAVEnabled = False bAVUpToDate = False bQFEFound = False sDialRasEntry = WScript.Arguments(0) sTunnelRasEntry = WScript.Arguments(1) sDomain = WScript.Arguments(2) sUserName = WScript.Arguments(3) Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery("SELECT * FROM " & _ "AntiVirusProduct") bAVFound = True bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next 1. oldal (folyt. köv.)

89 A demoban használt karantén script
Err.Clear Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery ("SELECT * FROM Win32_QuickFixEngineering WHERE HotfixID = 'Q828026'") bQFEFound = True Next If Not bQFEFound Then DisableAccess "Kötelező javítás nem található" WScript.Quit Else WScript.Echo "Kötelező javítás rendben." If bAVFound Then WScript.Echo "Virusirtó felismerve..." If Not bAVEnabled Then DisableAccess "A virusirtó nincs engedélyezve" End If 2. oldal (folyt. köv.)

90 A demoban használt karantén script
If Not bAVUpToDate Then DisableAccess "A virusirtó adatbázisa elavult" WScript.Quit End If Else WScript.Echo "Virusirtó nem ismerhető fel..." EnableAccess '======================================================= Function GetRQCPath() '%DialRasEntry% és %Domain% VPN és EAP miatt nem használt! GetRQCPath = """" & Replace( WScript.ScriptFullName, _ WScript.ScriptName, "rqc.exe") & """ """" """ & _ sTunnelRASEntry & """ 7250 """" """ & sUserName & """ " End Function 3. oldal (folyt. köv.)

91 A demoban használt karantén script
Sub EnableAccess On Error Resume Next WScript.Echo "VPN hozzáférés engedélyezve." sRun = GetRQCPath & "TITOK" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & sRun Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If If nRetVal = 0 Then WScript.Echo "Karantén feloldva." Else WScript.Echo "Karantén feloldása sikertelen, hiba:" & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 4. oldal (folyt. köv.)

92 A demoban használt karantén script
Sub DisableAccess( sCause ) On Error Resume Next WScript.Echo "VPN hozzáférés megtagadva: " & sCause sRun = GetRQCPath() & " ""/log " & sCause & """" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & GetRQCPath() Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If WScript.Echo "Karantén feloldása sikertelen, hiba: " & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 5. oldal