Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
1
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben Előadó: Keleti Arthur Szendeffy Szilárd
2
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Miről lesz szó? –Milyen pontokon és mi ellen kell védekeznünk? –A hatékony védelem rétegei és eszközei a Microsoft tárházából: ISA 2004 EE bejelentés, Exchange szolgáltatások védelme és publikációja ISA Server segítségével (OWA, OMA, RPC over HTTPS), Titkosított VPN csatorna azonosítása és használata a vállalati távmunkához, Microsoft CA, hitelesség és azonosítás a vállalat erőforrásainak védelmére.
3
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Mi ellen is védekezzünk? Vírus Illetéktelen belső hozzáférés Laptop/mobil lopás Illetéktelen információ szerzés Rendszer feltörés Denial of Service
4
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Mi ellen is védekezzünk? Szabotázs Rendszerbetörés Web site átírása Web site feltörése Telekomm. csalás Illegális hozzáférés Laptop/mobil lopás Pénzügyi csalás Rádiós hálózat törése Illegális belső hozzáf. Információlopás Denial of Service Vírus
5
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Aggasztóan nagy ütemben fejlődő vírusok és fertőzések amiket nehéz felszámolni Ismeretlen fenyegetettségek amikre nehéz felkészülni Munkatársak, akik nem tartják be az előírásokat és a tevékenységük ellenőrzése is problémás Jogszabályok, rendeletek, direktívák,ellenőrző hatóságok Belső utasítások, a vezetés akarata, a cég stratégiája Milyen Problémákkal küzd a Biztonsági Vezető? Pénz, ami hol van, hol nincs, de általában nem elegendő és félő, hogy rossz dolgokra költjük el
6
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hogyan épül fel az IT Biztonság? Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság
7
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat BASEL2 SOX Biztonsági rendszerek Trend Micro Entrust Hogyan épül fel az IT Biztonság? Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság Checkpoint Microsoft Cisco Symantec McAfee SurfControl ISS Balabit RSA MSZ ISO/IEC 17799 BS 7799-1 BS 7799-2 MSZE 17799-2 COBIT Common Criteria MSZ ISO/IEC TR 13335:2004 MSZ ISO/IEC 15408:2002 Counterpane OneSecure Symantec ICON ISS Invesztálás Kiszervezés Hibakezelés Ügyelet Biztonsági menedzser Gyártói vizsgák Gyártói tanfolyamok CISM GISO GISEC CISA CISSP Incidenskezelés Támogatás, HD Garanciák Szerződések Bérlet Munkaerő Technológiai döntések
8
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biometria PKI (elektronikus aláírás) Smart card és jelszó token File titkosítás Behatolásvédelmi rendszer (IPS) Többször használatos jelszó Adatfolyam titkosítás (pl. VPN) Behatolásjelző rendszer (IDS) Szerver hozzáférési listák (ACL) Tűzfalak Vírusvédelem Biztonsági eszközök, technológiák
9
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 Csomag és alkalmazásszintű Tűzfal, VPN megoldás és Web Cache alkalmazás. Emelt szintű védelem Alkalmazásszinten megvalósított védelem a Microsoft technológiák számára már készen, könnyen bővíthető módon Könnyű használhatóság Hatékony telepítés, illesztés, könnyű üzemeltetés Gyors, biztonságos hozzáférés Költségkímélő módon teszi lehetővé, az intranet szolgáltatásainak eljuttatását a mobil felhasználók számára
10
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 verziói ISA Server 2004 Standard Edition –2004 júliustól ISA Server 2004 Enterprise Edition –RTM 2005 január, 2005 március –Nagy rendelkezésre állás (HA), központi felügyelet és array caching (CARP) ISA Server alapú eszközök: Celestix, HP, RimApp, Network Engines Más gyártók kiegészítései (filtering add-on): –Exchange Anti-Spam:IMF (Microsoft), Symantec (Brightmail) –Exchange Anti-Virus:Trend Micro, McAfee, Symantec, CA, Sophus, Sybari, GFI, Panda, others –ISA Server AntivirusMcAfee, GFI, Panda –Intrusion DetectionISS, GFI
11
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az Enterprise Edition újdonságai Házirend alapú konfigurációkezelés Központi felügyelet (ADAM) NLB CARP (Cache Array Routing Protocol) Skálázhatóság (NLB, SMP)
12
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Alkalmazási réteg forgalma: ??????????????????????????????? Csak a fejléc ellenőrizve IP fejléc: Source Address, Dest. Address, TTL, Checksum TCP fejléc: Sequence Number Source Port, Destination Port, Checksum Port száma alapján: mehet – nem mehet –Azonos portot használ a szabályszerű forgalom, mint az alkalmazási rétegben jövő támadások Internet Várt HTTP forgalom Nem várt HTTP forgalom Támadás Nem-HTTP forgalom Corporate Network Csomagszűrő tűzfalak
13
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonságban van? HTTP-Tunnel !
14
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Alkalmazás szinten működő tűzfalak Alkalmazási réteg tartalma: BOX.sk <!--// <
15
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 felhasználás Biztonságos e-mail hozzáférés szolgáltatása Biztonságos Intranet hozzáférés Belső hálózat elérése (RAS) Belső hálózat elérése partnerek számára Telephelyek összekapcsolása Káros, vagy nem kívánt tartalom szűrése Internet elérés gyorsítása …
16
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonságos e-mail hozzáférés FunkcióÚj Alkalmazás- szintű tűzfal SMTP szűrés HTTP szűrő / OWA RPC filter (Exchange 2000) Outlook Web Access (OWA) Front End FBA (a tűzfalon) Session timeout (a tűzfalon) Csatolt tartalom blokkolása (a tűzfalon) HTTP proxySSL bridging AzonosításRADIUS authentication SecureID authentication AdminisztrációEgyszerű varázslók
17
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat SMTP protokoll szűrése Exchange Server 2003 SMTP anti-spam –DNS blokklisták (RBL) –Allow/Deny lista –Biztonságos feladók (Safe Sender Lists) –Címzettek blokkolása –Ismert junk küldők (Domain/User) ISA Server 2004 –Kikényszeríti az SMTP szabványnak való megfelelést –Letiltható akármelyik SMTP parancs
18
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat E-mail hozzáférés módjai A tűzfalon ki kell nyitogatni portokat a be és kimenő forgalomnak: –E-mail kiszolgáló felé: SMTP, POP3, OWA (using SSL, RPC) –E-mail kiszolgáló felől: SMTP Korlát: –Nincs kontrol arra nézve, hogy mi megy a csatornában Exchange Server Allow: Port 25 (SMTP) Allow: Port 110 (POP3) Allow: Port 25 Allow: Port 443 (SSL) Internet Allow: Port 135 (RPC)
19
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC hagyományos tűzfalon át ServiceUUIDPort Exchange Info Store {0E4A0156-DD5D-11D2-8C2F- 00CD4FB6BCDE} 4402 Active Directory {E35114235-4B06-11D1-AB04- 00C04C2DCD2} 3544 Performance Monitor {A00C021C-2BE2-11D2-B678- 0000F87A8F8E} 9233 RPC Server (Exchange 2000) RPC Client (Outlook) TCP 135: Port for {0E4A…} Port 4402: Data Táblázat: UUID – Port 1 A kliens a kiszolgáló 135-ös portjához kapcsolódik és kéri az UUID-nak megfelelő portot 2 Válaszol a kiszolgáló 3 A kliens a kiszolgáló kapott portjához kapcsolódik 4 Server: Port 4402 Internet Hagyományos tűzfal nem képes biztonságosan RPC kapcsolatot kialakítani
20
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC ISA 2004 kiszolgálóval RPC Server (Exchange 2000) Outlook TCP 135: Port for {0E4A… ? Port 4402: Data Server: Port 4402 Internet Kezdeti kapcsolat: –Csak érvényes RPC, Exchange forgalom engedélyezett Másodlagos kapcsolat –Csak a másodlagos kapcsolatot engedi –Titkosítást biztosítja
21
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 és OWA Az OWA kiszolgáló azonosítást kér - bárkitől, aki eléri ezt a címet HagyományostűzfalHagyományostűzfal OWAOWA ÜgyfélÜgyfél SSLSSL Az SSL átmegy a hagyományos tűzfalon, mivel titkosítva van… …ami átengedi a vírusokat, férgeket… …és megfertőzi a belső kiszolgálót… ISA Server 2004 Delegált basic authentication Az ISA Server azonosítja a felhasználót, csak valós forgalmat enged át SSL or HTTP SSLSSL Az ISA Server képes kibontani és megvizsgálni az SSL forgalmat A megvizsgált kérés továbbküldhető a belső kiszolgálóhoz, újra titkosítottan vagy nem Internet ISA Server ALF
22
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC over HTTP becsomagolja az RPC forgalmat HTTP-be –Egy belső Web szerver (RPC proxy) kicsomagolja azt. –A legtöbb tűzfal átengedi a HTTP forgalmat Probléma: RPC proxy támadható (hagyományos web alapú támadások) Hogyan működik az RPC over HTTP? RPC forgalom Web Server Attacks Internet HTTP forgalom Exchange Client Access Services
23
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az RPC over HTTP ISA kiszolgálóval ISA Server terminálja az SSL csatornát –Átnézi, ellenőrzi a HTTP forgalmat –Blokkol minden forgalmat, kivéve a „ http://.../rcp/... ” Nincs az RPC proxy felé direkt kapcsolat Alkalmazás szinten szűrés RPC forgalom Web Server Attacks Internet Exchange Client Access Services
24
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hagyományos VPN kialakítás A VPN gateway és a tűzfal különböző eszközök A VPN kliens teljes hozzáférést kap, mikor bejön a belső hálózatra A tűzfal egy külön lábára jön be, esetleg opcionálisan másik tűzfalon át Internal Network Firewall VPN Gateway Internet
25
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server VPN kialakítás Tartalmazza a VPN gateway-t és a tűzfal funkciót is A VPN kliensek szabályozottan érhetik el a belső hálózatot Internal Network ISA Server Internet
26
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonság Széles protokoll támogatás –PPTP és L2TP/IPSec –IPSec NAT traversal (NAT-T) Azonosítás –Active Directory: a Windows account-ot használja, támogatja a PKI infrastruktúrát Smart card (így a két faktorú azonosítást – pl. RSA SecurID, ICON HYDRA) –RADIUS: szabványos régóta használt, nem-alapú fiókadatbázis használata –SecurID: Erős kétfaktorú azonosítást nyújt, tokenek és RSA kiszolgálók használatával.
27
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hálózati karantén Kliens oldali script ellenőrzi, hogy az adott ügyfél (pc, account) megfelel-e a vállalati biztonsági szabványoknak: –AntiSpyware telepítve? –Engedélyezett a személyes tűzfal? –Vírusdefiníciós fájl friss? –Biztonsági javítások? Ha az ellenőrzés sikeres, akkor megkapja a hozzáférést, ha nem akkor szétkapcsol (timeout) Cél: Gyengén védett kliensek ne érhessék el a belső hálózatot.
28
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA 2004 VPN használata Távoli hozzáférés biztosítása felhasználóknak Belső hálózat korlátozott elérése partnereknek Telephelyek összekapcsolása
29
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Microsoft CA, hitelesség és azonosítás Microsoft 2003 Certificate Authortiy Microsoft 2003 Active Directory Microsoft Windows XP Microsoft Office Intelligens kártya Microsoft Internet Explorer
30
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat A PKI rendszer ‘magjának’ alkotóelemei.... - Certificate Authority (CA) a tanúsítványok kiállításáért felelős - Címtár szolgáltatás a kulcsok, tanúsítványok és a visszavont tanúsítványok jegyzékét (CRL) tartalmazza - Menedzsment konzol a kulcsok kezelését és szétosztását végzi - Registration Authority (RA) a felhasználók regisztrációját és tanúsítvány kérelmeik feldolgozását végzi (általában a CA-ba integrált) - Kulcs visszaállítási szolgáltatás adatok, vagy üzenetek visszaállítására, ha egy privát kulcs esetlegesen megsérül, vagy elvész...... és a kiegészítő alkotóelemek
31
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat publikus kulcs a tanusítvány birtokosának neve a kiadó CA egyedi neve a tanusítvány verziószáma a tanusítvány szériaszáma aláírás algoritmus azonosító a kiadó CA neve érvényesség bővítések a tanusítvány hitelesítő CA titkos kulcsa szokták root CA tanusítványnak is hívni a CA aláírása a Hogyan is épül fel egy tanúsítvány?
32
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Digitális tanúsítványt kibocsátó szerver Certificate Server Digitális tanúsítványok tár szolgáltatása Certificate Repository Kulcs visszaállító Key Recovery Menedzsment konzol Biztonságos Email kliens VPN Router Távoli hozzáférés Web szerver PKI szerverekkel működő alkalmazások PKI szerverek
33
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Windows XP logon Email digitális aláírása, titkosítása Távoli elérés és VPN csatorna Web felülethez azonosítás Web kapcsolat titkosítás SSL Web form aláírása File és directory titkosítás File tárolás (meghajtóként) Statikus jelszó tárolás Single SignOn Eurocard-Mastercard (EMV) Credit alkalmazások (pl. büfé) Ajtónyitás (fizikai beléptető) Microsoft Windows X P Microsoft Outlook Microsoft Windows XP Microsoft Internet Explorer Microsoft EFS (XP – 2003) Microsoft Windows XP Windows XP + Alkalmaz ások Microsoft Windows XP Harmadik gyártó Microsoft 2003 Certificate Authortiy Microsoft 2003 Active Directory Intelligens kártya (pl. ICON HYDRA)
34
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Certificate autoenrollment Néhány példa a PKI képességekből Folder titkosítási lehetőségek
35
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat + V2.0 PKI JAVA Access Beépített közelítő chip az ajtónyitáshoz Vékony kártyatest minden kártyaolvasóhoz Arckép és személyi adatok lézergravírozására alkalmas biztonsági bevonat Hologram és további biztonsági elemekre előkészítve Intelligens kártya Chip a PKI (pl. elektronikus aláírás) funkciókhoz Eurocard-MasterCard-Visa kompatibilitás JAVA kompatíbilitás az egyedi alkalmazásokhoz (pl. munkaügyi kártya, forgalmi igazolvány stb.)
36
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Köszönjük a figyelmüket!
Hasonló előadás
