Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország.

Hasonló előadás


Az előadások a következő témára: "Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország."— Előadás másolata:

1 Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország

2 TechNet események 2004 őszén október 13. Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága október 27. Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága november 10. Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben november 24. A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004 A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága Biztonságos Windows (I. rész): A Windows XP biztonsága

3 Napirend  Menedzselt biztonság  Felhasználók azonosítása  PKI alapú szolgáltatások  A hálózati forgalom védelme  Tartalomvédelmi szolgáltatás

4 Menedzselt biztonság  A biztonság fenntartása egy folyamat  a beállításokat az új gépekre alkalmazni kell  le kell követni a szervezeti változásokat  Természetesen minden szkriptelhető  naplózás, jelszó beállítások, leállítandó szervizek, hálózatkezelés stb.  Menedzselt biztonság  egyszer adjuk meg a kívánt állapotot  az új gépekre, felhasználókra automatikusan vonatkozik  könnyebb a változás kezelése

5 Csoportházirend Biztonsági beállítások  Fiókházirend  Jelszóházirend  Fiókzárolás  Kerberos-irányelv  Helyi házirend  Naplórend  Felhasználó jogok kiosztása  Biztonsági beállítások  Eseménynapló  Korlátozott csoportok  Rendszerszolgáltatások  Rendszerleíró adatbázis  Fájlrendszer  Vezeték nélküli hálózat (IEEE ) házirendjei  Nyilvános kulcs irányelvei  Fájlrendszer titkosítása  Automatikus tanúsítványkérelem beállításai  Megbízható legfelső szintű hitelesítés szolgáltatók  Vállalati szintű megbízhatóság  Szoftverkorlátozó házirendek  IP-biztonsági házirendek

6 demó  Menedzselt biztonság Active Directory és csoportházirendek segítségével

7 Napirend  Menedzselt biztonság  Felhasználók azonosítása  PKI alapú szolgáltatások  A hálózati forgalom védelme  Tartalomvédelmi szolgáltatás

8 Felhasználók azonosítása  LanMan  CSAK NAGYBETŰK  a jelszó két fele külön-külön törhető  szinte mindegy, hogy 7 vagy 10 karakteres a jelszó  NTLM  Unicode  hálózaton utazik –Challenge, LanMan hash-ből készült hash, NTLM hash-ből készült hash  LanMan törés módszerével ez is törhető  NTLM v2  Unicode  128 bites kulcs, HMAC-MD5  kölcsönös azonosítás  Kerberos  Unicode vagy PKI alapú  Titkosítás: RC4; checksum: MD5; kulcs: K = MD4(UNICODE(password))  A KRB_AS_REQ kérésben található Timestamp mező próbálkozással dekódolható, mert a mező nincs hash-elve

9 A LanMan azonosítás letiltása  HKLM\SYSTEM\CurrentControlSet\Control\LSA  LMCompatibilityLevel érték (Q147706)  0: LanMan és NTLM; NTLMv2 soha  1: NTLMv2 ha lehetséges  2: Csak NTLM  3: Csak NTLMv2  4: A kiszolgáló visszautasítja a LanMan azonosítást  5: A kiszolgáló visszautasítja a LanMan és NTLM azonosítást  NTLMv2 kompatibilitás  Windows 9x + DSClient.exe + Winsock 2.0 update + DUN 1.3  NT4 SP4-től (tartományok között SP6-tól)  Windows 2000, Windows XP, Windows Server 2003 –csoportházirend

10 Kerberos „brute force” támadás  A Kerberos KRB_AS_REQ üzenet feltörésének becsült ideje különböző konfigurációkon egyszerű Támadás 1 db Pentium 1.5 GHz 100 db Pentium 1.5 GHz egyszerű szótártámadás (3 millió szó) < 1 perc Hibrid szótár támadás (3 millió szó plusz szavanként 3 karakter [0-9 és még 10 más karakter]) 2.72 nap 39 perc Brute force [a-z], jelszóhossz: 6 50 perc < 1 perc Brute force [a-z], jelszóhossz: év 5.84 nap Brute force [a-z, A-Z], jelszóhossz: nap 31.7 perc Brute force [a-z, A-Z], jelszóhossz: év 8.6 év Brute force [a-z,A-Z,0-9], jelszóhossz: nap 1.5 óra Brute force [a-z,A-Z,0-9], jelszóhossz: év nap Brute force [a-z,A-Z,0-9], jelszóhossz: év 42 év

11 Erős jelszavak használata  LanMan  gyakorlatilag mindegy, hogy 7 vagy 10 karakteres a jelszó!  Windows NT-s környezetben:  {ALT+0658} típusú karaktereket a jelszóba ;-)  PASSFILT.DLL (Q161990)  Windows 2000, Windows Server 2003  Default Domain Policy nevű csoportházirend –„A jelszónak meg kell felelnie a bonyolultsági feltételeknek”  nem tartalmazhatja a felhasználók fióknevét, sem annak egy részét  legalább 6 karakter hosszú  Az A..Z, a..z, 0..9, nem alfabetikus karakterek (pl.: !, $, #, %) négyféle kategóriájából közül legalább három  egyéni jelszószűrők SDK segítségével

12 Null Session (RPC, IPC$)  net use \\SERVER\IPC$ "" /user:""  Sikeres csatlakozás után RPC hívásokkal mindent elérhet  erőforrások  szolgáltatások  felhasználók  ágy, asztal, tv, stb.

13 Napirend  Menedzselt biztonság  Felhasználók azonosítása  PKI alapú szolgáltatások  A hálózati forgalom védelme  Tartalomvédelmi szolgáltatás

14 Mi az a PKI?  Cél: üzleti kommunikáció és tranzakciók védelme  szoftverek  titkosítási technológiák  folyamatok  szolgáltatások  Feladat  személyes adatok védelme: titkosítás  adat integritás: digitális aláírás  hitelesség: hash algoritmus, üzenet kivonat, digitális aláírás  letagadhatatlanság: digitális aláírás, auditálás  Implementáció  25 éves technológiák gyűjteménye  új terjesztési mechanizmus (pl. csoportházirend)

15 A tanúsítványok kiállításának folyamata  Tanúsítvány házirend  a tanúsítványok felhasználási területe és a CA felelőssége  Tanúsítvány használati nyilatkozat  Certificate Practice Statement (CPS)  a CA hogyan kezelje az általa kiadott tanúsítványokat  a tanúsítvány házirend követelményei hogyan valósuljanak meg a konkrét üzemeltetési szabályzat, rendszer architektúra, fizikai biztonság és IT környezet szempontjait figyelembe véve

16 A tanúsítvány házirend előírja…  A felhasználók hogyan azonosítják magukat a CA felé  Kompromittálódott vagy rossz célra használt CA esetén a felelősséget  A tanúsítványok mire használhatók  A privát kulcsok tárolásának és kezelésének körülményeit  A privát kulcs exportálhatóságát  Mi a teendő, ha a privát kulcs elvész vagy kompromittálódik  A tanúsítványok kiállításának és megújításának menetét  A tanúsítványok érvényességi idejét  A használható kriptográfiai algoritmusokat  A nyilvános és privát kulcsok minimális hosszát

17 A tanúsítvány használati nyilatkozat (CPS) előírja…  A CA azonosítását (CA neve, kiszolgáló neve, DNS címe)  A CA mely tanúsítvány házirendeket alkalmazza és milyen típusú tanúsítványokat állít ki  Tanúsítvány kiadási és megújítási eljárások és folyamatok  A CA kulcsának hosszát, a használt CSP típusát és a használt kriptográfiai algoritmusokat  A CA tanúsítványának élettartamát  A CA-t körülvevő környezet fizikai védelmének előírásait  A CA által kiállított tanúsítványok élettartamát  A tanúsítványok visszavonásának eljárását  A visszavonási lista (CRL) megújításának rendszerességét és publikálási pontját (CDP)  A CA saját tanúsítványának megújítására vonatkozó szabályokat  A CA bizalmi kapcsolatainak (Certificate Trust List, Cross- Certificates) szabályozását

18 A CA hierarchia ajánlott mélysége Követelmény Ajánlott mélység Kis biztonság (1 szint)  Egyetlen root CA  Kevés tanúsítvány kérés  Alacsony biztonsági követelmények Közepes biztonság (2 szint)  Offline root és online alárendelt CA-k  Az offline CA leszakítva a hálózatról  Ő engedélyezi az online CA-kat  Az alárendelt CA-k a saját sablonjaik alapján adják ki a tanúsítványokat Magas biztonság (3-4 szint)  Offline root és offline házirend  Online alárendelt kiadók  Maximalizált biztonság  Nagyobb, geográfiailag elosztott vagy magas biztonsági szintű szervezetek

19 A CA hierarchia biztonsági szintjei  Root CA  a legmagasabb biztonság  minimális hozzáférés  Lefelé haladva  csökken a biztonság  nő a hozzáférés igénye

20 Windows Server 2003 PKI Célkitűzés  Windows alapú infrastruktúra számára…  biztosítsa a legjobb PKI platformot  a legkönnyebb bevezetést  a legalacsonyabb TCO-t

21 Windows Server 2003 PKI újdonságok (1/2)  Szerkeszthető tanúsítványsablonok  v2  a régi v1-es sablon másolás esetén v2 lesz  Igénylési, kiadási és használati szabályzatok létrehozása  ki, kinek igényelhet tanúsítványt  Automatikus tanúsítvány igénylés és megújítás  Windows 2000: csak EFS és Computer  Különbözeti visszavonási lista  Delta CRL, RFC-2459

22 Windows Server 2003 PKI újdonságok (2/2)  Szerepen alapuló felügyelet  Kulcs archiválás és kulcs visszaállítás  helyreállító ügynök segítségével  Események naplózása  Minősített alrendszer  minősített CA-hoz  Certutil.exe  -dspublish, -getkey, -recoverkey  Windows 2000 CA helyben frissíthető

23 A Windows PKI jövője  Active Directory független tanúsítvány életciklus menedzsment  Beépített OCSP támogatás  EFS intelligens kártyával  architekturális kérdés

24 A PKI alkalmazási területei  Bejelentkezés intelligens kártyával  Smartcard logon  Távoli hálózati bejelentkezés  RAS, VPN  Office dokumentumok digitális aláírása  Programok, kódok, makrók digitális aláírása  Authenticode  Titkosított hálózati forgalom  IPSec – titkosított és / vagy aláírt forgalom  Biztonságos webszolgáltatás (https://)  Felhasználók azonosítása is  biztonság (digitális aláírás, titkosítás)  S/MIME  Titkosított fájlok  Encrypting File System (EFS)

25 Bejelentkezés intelligens kártyával „Smartcard logon”  Végponttól végpontig Kerberos-on és PKI-n alapul  Nem használ jelszót  a privát kulcsot nem a jelszó titkosítására használja  a jelszavas bejelentkezés csoportházirenddel le is tiltható

26 SC 7 A KDC kiadja a TGT-t, amely a felhasználó nyilvános kulcsával lett titkosítva 8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót. 6 A tanúsítvány ellenőrzése az AD alapján: subject = 4 LSA elkéri a kártyától a tanúsítványt Bejelentkezés intelligens kártyával 5 A Kerberos ügyfél elküldi a tanúsítványt a KDC-nek Kerberos KDC 3 GINA átadja a PIN-t az LSA-nak LSA szerviz Kerberos 2 PIN meg- adása Olvasó 1 A kártya előhívja a GINA-t

27 Bejelentkezés intelligens kártyával Újdonságok a Windows 2000 óta  Támogatott kártyák  GemPlus GemSafe 4K, 8K  Infineon SICRYPT v2 (új)  Schlumberger Cryptoflex 4K, 8K, Cyberflex Access 16K  Letiltható jelszavas bejelentkezés  Terminál kiszolgáló támogatás  Automatikus tanúsítványkérelem

28 A legtöbb smartcard alapú megoldás és ujjlenyomat olvasó…  a privát kulcsommal vagy az ujjlenyomatommal védi a jelszavamat  „tanítási fázis”  „tanítási fázis”  Nem biztonsági hanem kényelmi eszköz  pl. megkönnyíti a jelszó menedzsmentet  A hálózaton semmivel sem biztonságosabb, mint a jelszavas bejelentkezés  Basic Authentication, LanMan, NTLM v1, NTLMv2 stb.  Részlet a Microsoft Fingerprint Reader ismertetőjéből  „The Fingerprint Reader should not be used for protecting sensitive data such as financial information or for accessing corporate networks. We continue to recommend that you use a strong password for these types of activities.” gerprint.mspx gerprint.mspx gerprint.mspx

29 A különböző eszközök összehasonlítása Képességek Intelligens kártya Biometriai eszköz HW token Költség Támogatás Hordozhatóság Megbízhatóság

30 Az intelligens kártya bevezetésének módszerei  Automatikus  üres kártyák kiosztása  automatikus tanúsítvány kiadás engedélyezése  nem javasolt  Önregisztráció  a felhasználó kezdeményezi a folyamatot, de kommunikálnia kell a regisztrációs hatósággal (RA)  Kiadó ügynök  a tanúsítványt a kiadó ügynök kéri a felhasználó számára  Automatikus megújítás  miután a felhasználó igazolja, hogy birtokolja a privát kulcsot, a tanúsítvány automatikusan megújul

31 Automatikus tanúsítvány kérés intelligens kártyára 1. A Vállalati Rendszergazdák csoport tagja 1. készít egy új tanúsítványsablont, amelyre engedélyezi az automatikus igénylést 2. beállítja a a tanúsítványsablon jogosultságait és megköveteli a felhasználói interakciót a kérelem során 2. A CA adminisztrátora 1. publikálja a testre szabott tanúsítványsablont egy Enterprise CA-ra 3. A Tartománygazdák csoport egy tagja 1. csoportházirenddel engedélyezi az automatikus tanúsítványkérelmet 4. A felhasználó 1. rákattint a tanúsítványkérelem buborékra 2. behelyezi a kártyáját 3. begépeli a PIN kódját

32 A kártyák automatikus előállításának hátrányai  A biztonság nem nagyobb, mint a jelszavas védelem  a smartcard egy kényelmi szolgáltatássá süllyed  aláíró eszközök előállítására nem ajánlott  Az igénylési folyamat bonyolult lehet a felhasználók számára  A kártyaolvasót és CSP-t az automatikus előállítás előtt kell telepíteni  A kulcsok visszaállítása néhány CSP-vel nem működik

33 Intelligens kártyák felügyelete  Registration Authority (RA)  A Microsoft nem készít RA-t  Külső gyártók megoldásai  Alacris idNexus  Aladdin eToken TMS Token Management System  Atos Origin - Worldline Pay Card Management System  Spyrus – Signal Identity Manager  Intercede – MyID Enterprise

34 Office dokumentumok digitális aláírása  Office 2000-től kezdve támogatott  Mit igazol?  az aláíró személyét  a dokumentum tartalma nem változott az aláírás óta  Többszörös aláírás  az aláírások listát alkotnak  a fájl tartalmát meg lehet változtatni, de ekkor eltűnnek az aláírások (az összes egyszerre)

35 Néhány szó az InfoPath-ról  Több aláíró személy  A dokumentumnak részei is aláírhatók  pl. csak az utazási feltételek  Ellenjegyzés lehetséges  Aláíráskor a dokumentum aktuális állapota bitmap formában letárolásra kerül

36 demó  Office dokumentumok digitális aláírása

37 Biztonságos webszolgáltatás  Kiszolgáló oldali tanúsítvány  azonosítja a kiszolgálót  a nyilvános kulccsal titkosítható a HTTP: adatforgalom (HTTPS:) –az adatfolyamot szimmetrikus kulccsal titkosítják –a PKI a szimmetrikus kulcs cseréjének védelmére kell  Ügyfél oldali tanúsítvány  azonosítja a felhasználót  IIS user mapping –1-1 –1-many –AD

38 demó  IIS 6.0: kiszolgáló és ügyfél oldali tanúsítványok

39 kávé- szünet

40 Napirend  Menedzselt biztonság  Felhasználók azonosítása  PKI alapú szolgáltatások  A hálózati forgalom védelme  Tartalomvédelmi szolgáltatás

41 A hálózati forgalom védelme  Ahány protokoll, annyi megoldás  Fájl és nyomtató megosztás  SMB signing, IPSec  Webkiszolgáló  SSL  LDAP kiszolgáló  LDAP SSL  Terminal Services  RDP adatfolyam titkosítása  Távoli kapcsolat  VPN  PPTP vagy L2TP+IPsec  Telnet  SSH  Bármi más  IPSec

42 Elterjedt VPN protokollok  OSI Layer 2  PPTP –Microsoft+Ascend+3COM –draft-ietf-pppext-pptp-02.txt  L2F (Cisco)  L2TP –Microsoft+Cisco –draft-ietf-pppext-l2tp-09.txt  OSI Layer 3  IPSec –IETF –Transzport mód –Tunnel mód

43 Proto/port Az IPSec belülről  IETF szabvány  3. OSI rétegben működő protokoll  Szűrőként működik DST IPProto/port IP stack IP stack SRC IPAdat Alkalmazás Alkalmazás DST IP SRC IP IPSec, ha a szűrő szerint használni kell IPSec, ha a szűrő szerint használni kell Titkosítható (ESP) Aláírható (AH) IPSec Tunnel mód esetén IPSec Tunnel mód esetén AH: Authenticated Header, ESP: Encapsulated Secure Payload

44 Az IPSec és a NAT  A NAT változtatja a SourceIP-t  AH esetén a fejlécben lévő SourceIP is alá lett írva  ha változik, a csomag érvénytelen lesz  Megoldás  IPSec NAT Traversal (NAT-T)  RFC-3193  az UDP 4500-es porton csinál egy alagutat (tunnel)  Q  A L2TP+IPsec NAT-T-hez nyitva tartandó portok  L2TP  UDP 500, UDP 1701  NAT-T  UDP 4500  ESP  IP protocol 50

45 demó  IPSec

46 Napirend  Menedzselt biztonság  Felhasználók azonosítása  PKI alapú szolgáltatások  A hálózati forgalom védelme  Tartalomvédelmi szolgáltatás

47 Mivel keverik az RMS-t?  RMS  Windows Rights Management Services  zártkörű (AD), vállalati felhasználók számára nyújtott tartalomvédelmi szolgáltatás  DRM  Digital Rights Management  elektronikus licenccel védett Windows Media és eBook tartalom  nyílt (Internetes) szolgáltatás  IRM  Information Rights Management  az RMS Office 2003-ban lévő ügyfele  a „Passport RAC Service” neve  WRM  ilyen nincs  R.M.S Titanic  Royal Mail Streamer Titanic  már elsüllyedt

48 A tartalomvédelemről  Üzletileg érzékeny (belső) információ  kijutása üzleti vagy erkölcsi kárt okozhat  Az információ kijutását megakadályozni nem lehet  lehet, hogy off-line médiára kerül –XP SP2: le tudja tiltani az USB tárolókra írást  portán motozni befelé szokás, kifelé nem ellenőriznek  Nem a kijutást, hanem az információt kell védeni

49 Téveszmék  Egy újság az RMS-ről: „A szakemberek szerint a digitális aláírás is meg tudja oldani ezt a problémát…”  ez önmagában igaz, de…  Digitális aláírás  lehet olyan rendszert fejleszteni, amely az aláírásom ellenőrzése után enged másolni, nyomtatni stb.  Mi van, ha a projektnek új tagja lesz? Újra kell publikálni. –a dokumentum végső (publikált) verzióját szokás levédeni vele –az RMS a csoportmunka során sokkal kényelmesebb  A dokumentumot titkosítani is kell  Titkosítás  önmagában még nem tartalomvédelem  ha meg tudom nyitni fájlt, akkor akármit csinálhatok vele –másolás, módosítás, továbbítás, nyomtatás stb.

50 Windows RMS 1.0  Nagyvállalati tartalomvédelmi megoldás  skálázható, magas rendelkezésre állású, külső rendszerekkel összekapcsolható (Trust)  Széleskörű alkalmazás támogatás  Office, , Web böngésző, külső alkalmazások SDK-val  Dinamikusan kiértékelt jogosultságok  emiatt csoportmunkára is jó, nem csak a végső publikálásra  Finoman hangolható korlátozások  Korlátozás sablonok  Off-line működés  Cégen kívülről történő elérés (pl. kioszk)

51 Mi kell az RMS-hez?  Active Directory  2000 vagy 2003, üzemmódtól független, nincs séma bővítés  írási jog a Configuration konténerbe  Legalább egy RMS kiszolgáló  Windows Server 2003 (IIS 6.0 kell hozzá)  magyar RMS is van  Legalább egy SQL Server  lehetőleg fürtözött  Ügyfél oldali alkalmazás  Office 2003 Pro, Standard vagy egyedi dobozos  Rights Management Add-on for Internet Explorer (pl. OWA-hoz)  magyar ügyfél is van  Internet kapcsolat a kiszolgáló és a gépek tanúsítványához  RMS CAL akár publikáláshoz akár olvasáshoz  EA-ban nincs benne, de RMS CAL akció Core CAL vásárlóknak  Külső felhasználók esetén RMS Internet Connector

52 Egy teljes RMS implementáció RMS ügyfél és alkalmazás AD Felhasználók címe RMS Service Connection Point objektum Cert/licensing NLBS Root cluster Logging/Konfig. Licensing NLBS Licensing Licensing cluster Logging/Konfig.

53 RMS kompatibilis alkalmazások AlkalmazásLétrehozásHasználat Office 2003 Professional  Igen Office 2003 Standard  N em  Igen Egyedi Office 2003 alkalmazások  Igen Office XP  N em Office 2000  N em Rights Management Add-on for Internet Explorer (5.5, 6.0  N em  Igen

54 RMS 1.0

55 Felhasználási területek  Csoportmunka belső anyagokkal  Portál  SPS integráció még nem tökéletes  Érzékeny anyag hazavitele és off-line olvasása  Partnerekkel történő együttműködés  Passport IRM felhasználókkal történő együttműködés

56

57 További információ  Általában   Kerberos   draft-brezak-win2k-krb-rc4-hmac-04.txt draft-brezak-win2k-krb-rc4-hmac-04.txt draft-brezak-win2k-krb-rc4-hmac-04.txt  Jelszó feltörés         feasibility_of_w2k_kerberos_attack.htm feasibility_of_w2k_kerberos_attack.htm feasibility_of_w2k_kerberos_attack.htm 

58 Tudásbázis cikkek  How to enable NTLM 2 authentication   How to Enable Strong Password Functionality in Windows NT   IPSec Does Not Secure Kerberos Traffic Between Domain Controllers   IPSec NAT-Traversal 

59 Az XrML szabványról   Az RMS 1.0 az XrML 1.2-n alapul  idén jelent meg az XrML 2.0  A szabvány mögött álló cégek  ContentGuard, Microsoft, Hewlett-Packard, Reuters, VeriSign  ContentGuard  Xerox-Microsoft közös vállalat


Letölteni ppt "Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország."

Hasonló előadás


Google Hirdetések