Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaKristóf Lukács Megváltozta több, mint 9 éve
1
TechNet Szeminárium előadások 2002 tavasz 2002. 02. 20. SQL Server adatbázisok adminisztrációja 2002. 03. 06. Windows alapú webes alkalmazások 2002. 03. 20. Biztonságos Windows 2002. 04. 03. Vállalati szintű projektmenedzsment 2002. 04. 17. Üzemeltetői konferencia 2002. 05. 08. A Windows.NET Server technikai újdonságai
2
Biztonságos Windows Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország
3
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
4
Mi az MSO? Microsoft termékek és technológiák integrációja az ügyfelek problémáinak megoldására A Microsoft Consulting Services (MCS) tervezi és az MCS, valamint minősített partnerei valósíthatják meg A megoldás egy keretrendszer, amelyet a Prescriptive Architecture Guide (PAG) definiál Mitől más ez, mintha dobozokból raknánk össze? hardver is szerepel a csomagban integrált tesztelés, dokumentáció, felügyelet, szolgáltatás és támogatás
5
Milyen megoldások készülnek? Business Intelligence Data Warehousing Development HIPAA Internet Business Intranet Management MS Systems Architecture Mobile Communication Office productivity Platform Project collaboration Supplier enablement HIPAA: Health Insurance Portability and Accountability Act
6
A partnerek szepere, avagy a Solution Ecosystem A Microsoft partnereinek szerepét definiálja egy megoldás megvalósítása során Egy partner például kiindulhat az MSA-ból, de egy konkrét (vertikális) megoldásból is Az ecosystem definiálja a Microsoft technológiákra épülő megoldás-fejlesztés életciklusát is
7
Mi az MSA? Solution Architecture Miből áll? hardver dobozos szoftver „plumbing” avagy integrációs kód dokumentumok Egy konkrét megvalósítás a standard megoldáson alapul, de az ügyfél igényei szerint testre szabják
8
MSA IDC dokumentumok Reference Architecture Guide az MSA IDC arhitektúráját és tervezési szompontjait írja le Prescriptive Architecture Guide egy MSA IDC-nek megfelelő megoldás kiépítésének útmutatója Operations Guide az MSA IDC üzemeltetési útmutatója Services Guide a megoldás teljes életciklusát (tervezés, implementáció, üzemeltetés) felölelő üzemeltetési és támogatási útmutató Support Guide a megoldás támogatási ajánlata
9
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
10
Microsoft Systems Architecture E-Business Infrastr uktúra Rendszer arhitektúra Fejlesztő eszközök CímtárBiztonság Mobilitás Extranet/ Internet Felügyelet E-Business Infrastruktúra Kapcsolódó ügyfelek Integrálódó üzeleti partnerek Hatékony munkatársak Feljesztés Rendszer Arhitektúra Internet Biz Beszállítók Céges portál HIPAA Üzleti Intelligencia Felügyleet Internet Biz Keresk. Egyéb gyártók Partnerek Szolgáltatások Támogatás TárolókKiszolgálók Hálózat Szoftver Microsoft Systems Architecture
11
MSA IDC tervezési célok Biztonságosság Alapvető tervezési szempont Skálázhatóság Felfelé és oldalra Rendelkezésre állás Nincs egypontos hibalehetőség Megbízhatóság Konzisztens viselkedés Menedzselhetőség Elejétől a végéig Szabványosság A kiépített infrastruktúra egységes Támogathatóság Egész megoldásként Implementáció Gyorsan megoldható Teljesítmény.NET A skálázhatósággal összhangban.NET-re kész
12
Az MSA 4 megoldást tartalmaz Kulcs partnerek termékei az alkotóelemek Compaq, Unisys / Nortel, Cisco / EMC / ComVault, Veritas / NetIQ, XTremesoft Tárolók, NAS, SAN, Switching Gear… Windows 2000 Serverek Hálózat Útválasztók, Switchek, Tűzfalak… Department Data Center Enterprise Data Center Internet Data Center Hosted Data Center Szoftver Menedzsment, Biztonság, Címtár…
13
Departmental Data Center Egy osztály alap IT infrastruktúrája Osztályok közötti együttműködést tesz lehetővé Más nagyvállalati adatközpontok szolgáltatásaira épülhet Példák: emberi erőforrás osztály, tervezés, könyvelés Munkaállomás Munkaállomás MunkaállomásMunkaállomás Intranet kiszolgáló Departmental Data Center
14
Enterprise Data Center A nagyvállalatok és osztályaik átfogó számítástechnikai rendszere Hálózat, címtár, biztonság, adatmentés és más infrastrukturális alapszolgáltatások Belső kommunikáció és adatcsere Több, egymással összekapcsolt telephely Önellátó funkciók, mint pl. HR, ERP, CRM, belső vásárlás Enterprise Intranet kiszolgálók Enterprise Data Center
15
Internet Data Center Széleskörű e-business funkciókat támogató web alapú infrastruktúra a külvilággal történő kapcsolódáshoz Teljeskörű, skálázható, web alapú IT infrastruktúra A három legfontosabb szempont: biztonság, rendelkezésre állás és megbízhatóság Példák: online boltok, céges- vagy ügyfélkapcsolati webhelyek, fórumok, stb. Enterprise Intranet kiszolgálók Külső gyűrű Céges tűzfal Web szolgáltatások Internet Data Center
16
Hosted Data Center A legmagasabb szintű rendelkezésre állásra tervezett (geo-fürtözés) Provizionálás és elosztott rendszerek felügyelete Cégek ezreit, felhasználók millióit tudja kiszolgálni egy ilyen rendszer Példák: nagy kiterjedésű cégek központi felügyelettel, szolgáltató cégek HDC Hosted Data Center
17
Az MSA IDC felépítése
18
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
19
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
20
Hacker technikák és eszközök Szkennerek (FScan, Superscan, nmap) Ping Sweep (az alhálózat aktív eszközeihez) TCP / UDP Port szkennerek (az alkalmazásokhoz) Banner Grabbing (az OS-t azonosítja) Denial of Service (DoS) támadások Smurf (ICMP támadás) elosztott Denial of Service – Tribe Flood Network Kiskaput kihasználó támadások (Back Orifice) Trójai falovak (I Love You) Webes támadások (URL String támadások, puffer túlcsordulások, pl. Netmeeting) Session eltérítés (Hunt/Kra, Achilles) Jelszó próbálgatás (L0phtCrack/lc3)
21
Tipikus támadási pontok Elfogadott és meghirdetett biztonsági házirend hiánya Gyenge, könnyen kitalálható vagy közkézen forgó jelszavak Rosszul konfigurált tűzfalak, útválasztók és egyéb eszközök Rosszul kiadott fájl- és könyvtár jogosultságok Az Administrator fiók fölösleges használata Teszt fiókok fölöslegesen magas privilégiumai A belső hálózatra csatlakoztatott “Auto-answer” üzemmódú modemek A hálózat auditálásának és monitorozásának hiánya Hibajavítások alkalmazása nem rendszeres
22
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
23
Active Directory tervezés
24
Organizational Unit tervezés
25
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
26
Windows 2000 megerősítése Hálózati és helyi erőforrások A legfrissebb szervizcsomagok és frissítések alkalmazása csak alapos tesztelés után! TCP/IP beállítások a DMZ kiszolgálóin biztonsági sablonban vannak IP csomagszűrők alkalmazása (IPSec) NetBIOS letiltása a DMZ kiszolgálóin A fájlrendszer levédése NTFS, XCACLS, alapértelmezett ($) megosztások letiltása
27
Windows 2000 megerősítése Helyi és tartományi felhasználók Ne ugyanazt a helyi fiókot használjuk mindenhol Nevezzük át az „Administrator”-t A nevekben ne használjuk az „admin”-t vagy a cég nevét Erős jelszavakat használjunk
28
Windows 2000 megerősítése Házirendekkel érjük el a biztonságot Default Domain Policy jelszóval kapcsolatos beállítások (nem lehet felülbírálni) fiókok zárolása (kísérletek száma és a zárolás időtartama) auditálási házirend és napló mérete (10MB, wrap) Default Domain Controller Policy a Default Domain Policy nem módosítja az auditálási beállításokat módosítsuk a biztonsági beállításokat és tiltsuk le a fölösleges szervizeket!
29
Windows 2000 megerősítése Kiszolgáló specifikus házirendek Felhasználói jogok Logon locally - Administrators Access from the network – Authenticated Users Biztonsági beállítások registry értékei „Restrict Access to Anonymous Account” „NTLMv2 – Cluster Servers (Q272129) Szervizek letiltása AlerterMessenger Browser Print Spooler Clipbook Task Scheduler DHCP ClientTelnet
30
Alapértelmezés szerinti biztonsági sablonok %SystemRoot%\Security\Templates\*.inf Alap sablonok Basicwk – Windows 2000 Pro Basicsv – Windows 2000 Server Basicdc – Windows 2000 Domain Controller Járulékos sablonok (az alapra telepítendő) Securews – Windows 2000 Workstation vagy Server Securedc – Windows 2000 Domain Controller Hisecwks – Windows 2000 Workstation vagy Server Hissecdc – Windows 2000 Domain Controller Hisecwks Windows 2000 Serverre minden kiszolgáló Windows 2000 kell, hogy legyen lebutítja a Power users csoportot
31
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
32
Az IIS megerősítése Alkalmazzuk a legfrissebb IIS javításokat Hot Fix Checking Tool Tiltsuk le a könyvtárak tallózását Ellenőrizzük a virtuális könyvtárak jogosultságait Védjük le az IIS naplóit és auditáljunk Tiltsuk le vagy töröljük a minta alkalmazásokat Töröljük ki a nem használt szkript megfeleltetéseket (script mapping) Szedjük le a szülő könyvtárat („..”) a pathról
33
Néhány perc szünet…
34
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
35
Alkalmazások biztonsága Hasznos tanácsok (1/2) Használjunk adat titkosítást Erős jelszavakat írjunk elő Tiltsuk le a cookiekat Az SSL-es oldalaknak legyen élettartamuk A HTML és ASP oldalak ne tartalmazzanak bizalmas információt Az állapotot SQL Serverben tároljuk Ellenőrizzük a bevitt adatokat
36
Alkalmazások biztonsága Hasznos tanácsok (2/2) Az üzleti logikai funckiókat tegyük COM komponensekbe A fejlesztők ne írhassanak az éles rendszerbe Használjunk „source control” eszközöket Ne használjunk ftp-t és telnetet
37
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
38
Külső ISA Server konfiguráció Hálózati konfiguráció több hálókártyás statikus útvonalak minden belső VLAN-hoz Telepítési opciók standalone mód (nem címtár integrált) integrált mód – tűzfal és gyorsítótár egyben LAT konfiguráció szervizcsomagok és egyéb javítások ( ISAHF63) ISA tűzfal konfiguráció nincs statikus szűrő (pl. webcat miatt) Web Publishing 2 db IIS NLBS farmot publikálnak a hosts fájljaik alapján Server Publishing
39
Szűrés állapot alapján SecureNAT esetén
40
Web publikálás SSL híd nélkül Egy ISA NLBS farm mögött van két IIS NLBS farm IIS NLBS „Single affinity” esetén a NAT miatt a source IP minden esetben az ISA belső címe minden SSL csomag az egyik farmhoz megy IIS NLBS „No affinity” esetén minden SSL csomag más IIS Serverhez megy mindig újra kell építeni az SSL kapcsolatot (session key) – óriási terhelés
41
Web publikálás SSL híddal Levenni az IIS-ről az SSL okozta terhelést A tanusítványt minden ISA Serverre fel kell tenni Az átmenő adatokat az ISA így már ellenőrizheti SSL harveres gyorsítókártya javasolt nCipher, Rainbow, Atalla
42
Belső tűzfal A belső kiszolgálók védelméhez egy újabb réteget ad Cisco PIX, ISA Server NetBIOS-t le kell tiltani (netbios.sys), hogy az AD- hoz szükséges SMB portot (445) átengedhesse Hardveres terhelés elosztás szükséges a belülről kifelé menő forgalom egyenletes elosztásához BigIP, Local Director default gateway csak egy lehet az NLBS egyszerre csak egy adapterhez köthető a.NET Serverben már többhöz is lehet Szűrés állapot alapján Még magasabb szinten naplózhatunk
43
Belső tűzfal tervezés Az alkalmazások által használt portok Protokoll definíció PortProtokollMegjegyzés Alkalmazás (SQL Server) 1433TCPAz IIS-ek a VLAN12 SQL-einek IP címét DNS-sel kapják meg
44
Belső tűzfal tervezés A címtár által használt portok Protokoll definícióPortProtokoll Kerberos88UDP NTP123UDP RCP Endpoint Mapper135TCP LDAP389TCP, UDP SMB Direct Host115TCP DNS Query53UDP NTDS (más port: Q280132)1026TCP
45
Belső tűzfal tervezés A felügyelet által használt portok Protokoll definícióPortProtokoll App Manager Agent9979 9998 9999 +RPC TCP MOM Agent1270TCP Application Center Server4243 4244 TCP Terminal Services3389TCP
46
Split-split DNS konfiguráció
47
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
48
Az előzmények 2001. nyarának elején a Microsoft Magyarország elérkezettnek látta az időt egy rendszeresen megjelenő biztonsági CD kiadványra Biztonsági eszközlészlet CD Ezzel egyidőben a Microsoft Corporation is meghirdetett egy programot (STPP), melynek szintén része egy biztonsági CD Security Toolkit CD A két CD nem pont ugyanazt a feladatot tölti be
49
Strategic Technology Protection Program (STPP) Get secure vírusfertőzésekkel kapcsolatos támogatás 1-866-PC SAFETY (1-866-727-2338) ingyenesen rendelhető biztonsági CD Security Toolkit CD a W2K SP3 elsődleges célja a biztonság fokozása Stay secure a Security Toolkit CD rendszeresen megjelenik Windows 2000 kumulatív javítások kéthavonta IT rendszerek biztonságával foglalkozó események menedzselhető biztonság nagyvállalati eszközök, automatikus frissítés, stb. http://www.microsoft.com/presspass/features/20 01/oct01/10-03securityqa.asp http://www.microsoft.com/presspass/features/20 01/oct01/10-03securityqa.asp
50
Security Toolkit CD Angol és magyar változat Milyen operációs rendszerhez jó? Windows NT 4.0 Windows 2000 munkaállomásokhoz és kiszolgálókhoz egyaránt Felteszi az összes ismert javítást később leszedhetők Speciális eszközök IIS lockdown tool URLScan hfnetchk.exe qchain.exe
51
IIS lockdown tool v2.1 Telepítéskor sablonok alapján állíthatjuk be az IIS biztonságát most már OWA sablon is van és működik is ;-) A telepítés során napló és a metabaseről másolat készül Újbóli futtatáskor visszaállítja az eredeti állapotot
52
URLScan.dll Az IIS lockdown tool is felteszi, de függetlenül is használható ISAPI szűrő A %windir%\system32\inetsrv\UrlScan\urlscan.ini alapján szűr a HTTP request módjára a HTTP kérésben lévő fejlécekre (request header) a fájl kiterjesztésre gyanús URL kódolásra nem ASCII karakterekre adott karaktersorozatra Az URLScan.log-ba naplózza a letiltott kéréseket
53
hfnetchk.exe Shavlik Technologies Leellenőrzi, hogy egy adott gépen fent vannak-e a legfrissebb javítások Windows NT4, Windows 2000, Windows XP, IE, IIS, SQL Nem minden termék javításait ellenőrzi pl.: Exchange, Office nem Több távoli gépen is futtatható egy fájlban kell felsorolni az IP címeket Egy XML fájlban van a javítások leíró információja minden javítás megjelenésekor frissül az XML fájl
54
hfnetchk.exe kérdések Mit csináljunk, ha nincs Internet kapcsolatunk? http://download.microsoft.com/download/xml/security/1.0/ nt5/en-us/mssecure.cab http://download.microsoft.com/download/xml/security/1.0/ nt5/en-us/mssecure.cab Honnét tölthetők le a javítások? http://www.microsoft.com/technet/security/current.asp http://www.microsoft.com/technet/security/current.asp Miért nem mutatja ki, hogy kell egy javítás, ha tudom, hogy kell? függőségek lehetnek az egyes javítások és a szervizcsomagok között Minden javasolt javítást tegyek fel? célszerű egyesével végigolvasni a problémák leírását és csak tesztelés után feltenni a javítást
55
qchain.exe Több javítás újraindítás nélküli, egyszerre történő telepítését teszi lehetővé A javításokat „-z –m” opciókkal kell telepíteni „silent” és „no reboot” nem minden javításnak van ilyen opciója, pl.: ISA ;-) A javítások telepítése után jöhet a qchain.exe meggátolja, hogy egy régebbi javítás felülírjon egy újabbat Csak szigorú tesztelést követően szabad éles gépen alkalmazni!
56
qcheck.exe Kilistázza a telepített javításokat Nem minden javítás jelenik meg pl.: SP1 előtt ISA javítások ;-) az ISA javítások a jövőben rendesen regisztrálják magukat le lehet őket szedni a Control Panelben látszanak, stb. Nem mentesít a telepítési napló vezetése alól!
57
Biztonsági eszközkészlet CD Alapvetően munkaállomások védelmére készült Funkciói a legfrissebb biztonsági javítások telepítése különböző biztonsági szintekhez tartozó beállítások biztonsági eszközök telepítése, futtatása egyéb információk, szolgáltatások 1. változat – 2001. ősz Windows 2000-hez ha magyar változathoz használjuk, hozzunk létre egy Administrators csoportot és tegyük bele a Rendszergazdát 2. változat – 2002. eleje Windows 2000-hez és Windows XP-hez angol vagy magyar változathoz is
58
Biztonsági eszközkészlet CD Telepítés
59
Biztonsági eszközkészlet CD Biztonsági beállítások Munkaállomás kiemelt funkciókkal erős jelszavak, fiók kizárás, CRTL+Alt-Del kötelező, leállításhoz be kell jelentkezni, sikertelen bejelentkezést naplózza, helyileg csak az Administrators és a Power Users tagjai jelentkezhetnek be, erős hitelesítés, floppy és CD használat csak helyileg, aláírt meghajtók, registry és NTFS ACL vizsgálat Munkaállomás tűzfal nélkül Munkaállomás tűzfal mögött Otthoni számítógép Internet hozzáféréssel Otthoni számítógép Internet hozzáférés nélkül
60
További információ Weboldalak Microsoft MSA IDC http://www.microsoft.com/solutions/idc/ biztonság www.microsoft.com/security www.microsoft.com/technet/itsolutions/security hfnetchk FAQ http://www.microsoft.com/business/solutions/default.asp Egyéb www.securityfocus.com www.securityfocus.com http://www.rsasecurity.com/ http://www.rsasecurity.com/
61
További információ Könyvek Michael Howard: Designing Secure Web- Based Applications for Microsoft Windows 2000 (ISBN: 0-7356-0753-2) Joel Scambray: Hacking Exposed Second Edition (ISBN: 0-07-212748-1) Joel Scambray: Hacking Exposed Windows 2000 (ISBN: 0-07-219262-3)
62
wheredoyouwanttogotoday?
63
Az MSA IDC felépítése
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.