Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

…az ISA Server-rel Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "…az ISA Server-rel Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország."— Előadás másolata:

1 …az ISA Server-rel Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország

2 Preambulum Hitelesítés 1x1 Felhasználók és szolgáltatások Tanúsítványok vs. publikálás IIS, Exchange 2007, Terminal Services Gateway A függelékben a jövő A Forefront TMG és egy érdekesség

3 Internet Security and Acceleration Server 2006 Tűzfal feladatok Proxy kiszolgáló Szerver publikálás VPN kiszolgáló Gyorsítótár Standard / Enterprise

4 Hozzáférés és biztonság Felhasználók hitelesítése Felhasználói kérések szűrése Tartalom-vizsgálat Felhasználói hozzáférés naplózása Belső hálózat elrejtése Teljesítmény Hozzáférés a gyorsítótárhoz

5 Hitelesítéssel is, HTTP / HTTPS / FTP, több platformra, telepítés nélkül Legmélyebb kapcsolat, telepítéssel, teljeskörű hitelesítéssel, titkosítva is Konfigurálás és telepítés nélkül, több platformra ISA Server Internet Web Proxy kliens Firewall kliens SecureNAT kliens

6

7 ISA Webszerver Proxy Server feladatkör

8 Felhasználók és csoportok Direkt források Active Directory ISA gép felhasználói adatbázis LDAP / RADIUS / SecurID névterek Indirekt forrás Indirekt forrás Saját összeállítás a direkt forrásokból Csak fw/web proxy kliens esetén!

9 Digest vs. WDigest!

10 TűzfalszabályokkalSorrend! System Policy Allow Deny Allow Deny User Destination Network Destination IP Destination Site Destination Network Destination IP Destination Site Protocol IP Port/Type Protocol IP Port/Type Source network Source IP Source network Source IP Schedule Content Type Schedule Content Type action on traffic from user from source to destination with conditions

11 Kiszolgálók: Paris – ISA Server 2006 SP1 - W2K3 Denver – DC, TSG, Exchange, Root CA - WS08 Kliensek: b első: XP SP2, külső: Vista SP1 contoso.com VistaExt ftp.fenestra.net Paris Denver denver.contoso.com XPSP

12 Internet elérés szabályzás

13 3 3 DNS szerver ISA Webszerver

14 Nincs  HTTP alapú kliens hitelesítési metódus Basic, Digest / wDigest, Integrated HTML űrlap alapú kliens hitelesítési metódus (FBA) Windows (Active Directory) LDAP (Active Directory) RADIUS, RADIUS OTP RSA SecureID Tanúsítványon alapuló hitelesítés

15 Basic Hitelesítési infó szimpla szövegben Digest / WDigest A hitelesítési infó hash-elve, azaz nem visszafejthető Csak Windows tartomány, csak HTTP 1.1 Integrated NTLM, Kerberos, Negotiate Mindig a tartomány\felhasználó formula

16 Jelszó és / vagy passcode űrlapok Jelszóváltoztatás (pl. OWA-ból) Időlimit, értesítés a lejáratról A mobil kliensek automatikus detektálása (User-Agent) és… Fallback > Basic hitelesítés > OWA / OA Szabályozható „Client Credentials Caching” Szerkeszthető űrlap Szimpla, OWA, strings.txt, 26 különböző nyelven, de „megerőszakolás” is

17 1 2

18 Multifaktoros hitelesítés Lényegesen biztonságosabb A felhasználónak rendelkezni kell jelszóval ÉS egy tanúsítvánnyal; vagy egy egyszeri jelszót / kódot (OTP) generáló szoftveres/hardveres eszközzel; vagy egy SecurID-eszközzel, amely minden szükséges esetben egy úgynevezett passcode-ot (nagyon rövid lejáratú számkombináció) képes generálni.

19 1. Kliens jogosultság elfogadása 2. A jogosultság elküldése.. 3. …majd befogadása 4. Hitelesítés-delegálás 5. A publikált szerver válasza 6. A válasz továbbküldése ISA Server Hitelesítés- szolgáltató Kliens OWA

20 Csak Active Directory névtér De nem muszáj tartományi tagnak lenni ISA 2006 SP1 > TRCA Fallback Basic, Digest, Integrated Állítható időtúllépés vizsgálat (FBA is) Client Certificate Trust List (FBA is) Client Certificate Restrictions (FBA is)

21 Biztonságos és erőforrás takarékos ISA 2004 – erős korlátok Csak Basic, ergo csak VPN és HTTPS ISA 2006 – szinte mindent Nincs delegálás, és a kliens nem hitelesíthet közvetlenül; Nincs delegálás, de a kliens hitelesíthet közvetlenül; Basic, NTLM, Negotiate (Kerberos / NTLM) Kikényszerített Kerberos-delegálás

22 1. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel Exchange elérés - SSO nélkül Kérem a hitelesítési infókat! Egy ből menjünk tovább a SharePoint oldalunkra! Kérem megint a hitelesítési infókat! 2. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel ▪ Exchange elérés – SSO-val ▪ Kérem a hitelesítési infókat! ▪ Egy ből menjünk tovább a SharePoint oldalunkra! ▪ NEM kérem a hitelesítési infókat! 

23 Az űrlapok lehetőségei - OWA

24 Publikálás A kiszolgálóink szolgáltatásaink biztonságos közzététele Komoly rizikófaktor Nagyon sok segítség az ISA 2006-ban Csoportosítási szempontok Belső vs. külső (pl. Internet) Integrált vs. önálló kiszolgáló Szimpla szerver vs. webszerver

25 Tunneling vs. Bridging Tunneling: SSL forgalom átengedése Bridging: HTTP szűrés is Csonkol, ellenőríz (HTTP filter), ragaszt Mindkét irányban, de csak saját tanúsítvány (webszerver) esetén Publikus kulccsal ellátott tanúsítvány kell hozzá > ISA Computer Certificate Store ISA 2004: mindkettő választható ISA 2006: „csak” Bridging TMG: lásd később

26 A listener Figyel, szűr, szabályoz Hálózat / IP / port Hitelesítés típusa, és ehhez kapcsolódó extrák beállítása Tipikusan egy-egy HTTP és HTTPS listener-ünk van (web listener) Minden publikáló szabályban kötelező De 1-1 listener-t több szabályban is felhasználhatunk

27 Tanúsítványok kezelése

28 Több tanúsítvány használata Ha nincs SAN vagy wildcard Egyesével hozzárendeljük az IP-khez a megfelelő tanúsítványt NLB Outlook Anywhere

29 Tanúsítvány előkészületek IIS, OWA, OA, TSG publikálás

30

31

32

33 Nem túl távoli jövő De a jelen is: Medium Business Edition > EBS (csökkentett tudással) Csak Windows 2008 / x64 Sok változás, néhány példa: Intrusion Prevention System SMTP Protection ISP Redundancy URL filtering, Malware Inspection

34 Tanúsítvány ellenőrzés Lejárt, nem érvényes, visszavonási infó HTTPS forgalom ellenőrzés Haladó „bridging” - kifelé is Bármilyen forgalom esetén – MITM? Kivételek képzése mindkét szinten Felhasználó értesítése Új tűzfal kliens kell hozzá Több új riasztás a tanúsítványokkal

35


Letölteni ppt "…az ISA Server-rel Gál Tamás Szakmai vezető - TechNet Microsoft Magyarország."

Hasonló előadás


Google Hirdetések