Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Hitelesítés és tanúsítványkezelés
…az ISA Server-rel Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország
2
Tartalom Preambulum Hitelesítés 1x1 Tanúsítványok vs. publikálás
Felhasználók és szolgáltatások Tanúsítványok vs. publikálás IIS, Exchange 2007, Terminal Services Gateway A függelékben a jövő A Forefront TMG és egy érdekesség
3
Preambulum Internet Security and Acceleration Server 2006
Tűzfal feladatok Proxy kiszolgáló Szerver publikálás VPN kiszolgáló Gyorsítótár Standard / Enterprise
4
Hitelesítés 1x1 A web proxy feladatai
Hozzáférés és biztonság Felhasználók hitelesítése Felhasználói kérések szűrése Tartalom-vizsgálat Felhasználói hozzáférés naplózása Belső hálózat elrejtése Teljesítmény Hozzáférés a gyorsítótárhoz
5
Hitelesítés 1x1 Az ISA kliensei
SecureNAT kliens Konfigurálás és telepítés nélkül, több platformra Internet ISA Server Web Proxy kliens Firewall kliens Hitelesítéssel is, HTTP / HTTPS / FTP, több platformra, telepítés nélkül Legmélyebb kapcsolat, telepítéssel, teljeskörű hitelesítéssel, titkosítva is
6
Hitelesítés 1x1 Az ISA kliensei
Mit szeretnénk? Melyik passzol? Kliens beállítás / telepítés nélkül SecureNAT Csak gyorsítótár használat SecureNAT / Web Proxy kliens Kizárólag hitelesítéssel Firewall / Web Proxy kliens Kiszolgáló publikálás (csak) SecureNAT Böngészők használata nem Windows platformon
7
Hitelesítés 1x1 Forward proxy
Feltételek Felhasználó? Számítógép? Protokoll? Cél oldal? Tartalom? ISA Webszerver Proxy Server feladatkör
8
Hitelesítés 1x1 A belső hálózatból
Felhasználók és csoportok Direkt források Active Directory ISA gép felhasználói adatbázis LDAP / RADIUS / SecurID névterek Indirekt forrás Saját összeállítás a direkt forrásokból Csak fw/web proxy kliens esetén!
9
Hitelesítés 1x1 A belső hálózatból - itt dől(het) el minden
Digest vs. WDigest!
10
Hitelesítés 1x1 Hogyan szabályozunk?
Tűzfalszabályokkal Sorrend! System Policy Destination Network Destination IP Destination Site action on traffic from user from source to destination with conditions Allow Deny User Protocol IP Port/Type Source network Source IP Schedule Content Type
11
A demókörnyezet Kiszolgálók: Kliensek: belső: XP SP2, külső: Vista SP1
VistaExt ftp.fenestra.net Denver denver.contoso.com Paris contoso.com XPSP3 Kiszolgálók: Paris – ISA Server 2006 SP1 - W2K3 Denver – DC, TSG, Exchange, Root CA - WS08 Kliensek: belső: XP SP2, külső: Vista SP1
12
Hitelesítés és kliensek
Internet elérés szabályzás
13
Hitelesítés 1x1 Reverse proxy
Feltételek Kérés? Protokoll? Cél oldal? Webszerver 3 DNS szerver 4 5 2 1 6 ISA
14
Hitelesítés 1x1 Hitelesítési megoldások
Nincs HTTP alapú kliens hitelesítési metódus Basic, Digest / wDigest, Integrated HTML űrlap alapú kliens hitelesítési metódus (FBA) Windows (Active Directory) LDAP (Active Directory) RADIUS, RADIUS OTP RSA SecureID Tanúsítványon alapuló hitelesítés
15
Hitelesítés 1x1 HTTP alapú kliens hitelesítés
Basic Hitelesítési infó szimpla szövegben Digest / WDigest A hitelesítési infó hash-elve, azaz nem visszafejthető Csak Windows tartomány, csak HTTP 1.1 Integrated NTLM, Kerberos, Negotiate Mindig a tartomány\felhasználó formula
16
Hitelesítés 1x1 HTML űrlap (FBA)
Jelszó és / vagy passcode űrlapok Jelszóváltoztatás (pl. OWA-ból) Időlimit, értesítés a lejáratról A mobil kliensek automatikus detektálása (User-Agent) és… Fallback > Basic hitelesítés > OWA / OA Szabályozható „Client Credentials Caching” Szerkeszthető űrlap Szimpla, OWA, strings.txt, 26 különböző nyelven, de „megerőszakolás” is
17
Hitelesítés 1x1 HTML űrlap (FBA)
2
18
Hitelesítés 1x1 HTML űrlap (FBA)
Multifaktoros hitelesítés Lényegesen biztonságosabb A felhasználónak rendelkezni kell jelszóval ÉS egy tanúsítvánnyal; vagy egy egyszeri jelszót / kódot (OTP) generáló szoftveres/hardveres eszközzel; vagy egy SecurID-eszközzel, amely minden szükséges esetben egy úgynevezett passcode-ot (nagyon rövid lejáratú számkombináció) képes generálni.
19
Hitelesítés 1x1 Külső hitelesítő eszköz
Kliens Kliens jogosultság elfogadása A jogosultság elküldése.. …majd befogadása Hitelesítés-delegálás A publikált szerver válasza A válasz továbbküldése 1 6 OWA 4 ISA Server 5 2 3 Hitelesítés-szolgáltató
20
Hitelesítés 1x1 Tanúsítványon alapuló hitelesítés
Csak Active Directory névtér De nem muszáj tartományi tagnak lenni ISA 2006 SP1 > TRCA Fallback Basic, Digest, Integrated Állítható időtúllépés vizsgálat (FBA is) Client Certificate Trust List (FBA is) Client Certificate Restrictions (FBA is)
21
Hitelesítés 1x1 Hitelesítés-delegálás
Biztonságos és erőforrás takarékos ISA 2004 – erős korlátok Csak Basic, ergo csak VPN és HTTPS ISA 2006 – szinte mindent Nincs delegálás, és a kliens nem hitelesíthet közvetlenül; Nincs delegálás, de a kliens hitelesíthet közvetlenül; Basic, NTLM, Negotiate (Kerberos / NTLM) Kikényszerített Kerberos-delegálás
22
Hitelesítés 1x1 SSO 2. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel Exchange elérés – SSO-val Kérem a hitelesítési infókat! Egy ből menjünk tovább a SharePoint oldalunkra! NEM kérem a hitelesítési infókat! 1. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel Exchange elérés - SSO nélkül Kérem a hitelesítési infókat! Egy ből menjünk tovább a SharePoint oldalunkra! Kérem megint a hitelesítési infókat!
23
Hitelesítés Az űrlapok lehetőségei - OWA
24
Tanúsítványok vs. publikálás
A kiszolgálóink szolgáltatásaink biztonságos közzététele Komoly rizikófaktor Nagyon sok segítség az ISA 2006-ban Csoportosítási szempontok Belső vs. külső (pl. Internet) Integrált vs. önálló kiszolgáló Szimpla szerver vs. webszerver
25
Tanúsítványok vs. publikálás
Tunneling vs. Bridging Tunneling: SSL forgalom átengedése Bridging: HTTP szűrés is Csonkol, ellenőríz (HTTP filter), ragaszt Mindkét irányban, de csak saját tanúsítvány (webszerver) esetén Publikus kulccsal ellátott tanúsítvány kell hozzá > ISA Computer Certificate Store ISA 2004: mindkettő választható ISA 2006: „csak” Bridging TMG: lásd később
26
Tanúsítványok vs. publikálás
A listener Figyel, szűr, szabályoz Hálózat / IP / port Hitelesítés típusa, és ehhez kapcsolódó extrák beállítása Tipikusan egy-egy HTTP és HTTPS listener-ünk van (web listener) Minden publikáló szabályban kötelező De 1-1 listener-t több szabályban is felhasználhatunk
27
Tanúsítványok vs. publikálás
Tanúsítványok kezelése
28
Tanúsítványok vs. publikálás
Több tanúsítvány használata Ha nincs SAN vagy wildcard Egyesével hozzárendeljük az IP-khez a megfelelő tanúsítványt NLB Outlook Anywhere
29
Publikálás tanúsítvánnyal
Tanúsítvány előkészületek IIS, OWA, OA, TSG publikálás
32
Függelék
33
A jövő: Forefront TMG Röpke bemutatás
Nem túl távoli jövő De a jelen is: Medium Business Edition > EBS (csökkentett tudással) Csak Windows 2008 / x64 Sok változás, néhány példa: Intrusion Prevention System SMTP Protection ISP Redundancy URL filtering, Malware Inspection
34
A jövő: Forefront TMG HTTPS Inspection – most!
Tanúsítvány ellenőrzés Lejárt, nem érvényes, visszavonási infó HTTPS forgalom ellenőrzés Haladó „bridging” - kifelé is Bármilyen forgalom esetén – MITM? Kivételek képzése mindkét szinten Felhasználó értesítése Új tűzfal kliens kell hozzá Több új riasztás a tanúsítványokkal
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.