Az ISA Server 2006 újdonságai Van új a Nap alatt Gál Tamás ISA Server MVP.

Az előadások a következő témára: "Az ISA Server 2006 újdonságai Van új a Nap alatt Gál Tamás ISA Server MVP."— Előadás másolata:

1 Az ISA Server 2006 újdonságai Van új a Nap alatt Gál Tamás gal.tamas@netacademia.net ISA Server MVP

2 Tartalom   Összefoglalás 12 percben   Tengernyi hitelesítés újdonság   Tanúsítvány-kezelés   Az ezerarcú publikálás   Flood Mitigation   Kiegészítő szkriptek és alkalmazások

3 Poll2

4 Exchange Intranet Web Server SharePoint Active Directory External Web Server Administrator User ISA 2006 Appliance DMZ Internal Network Internet Erős szerver védelem Teljesen testreszabható űrlapos hitelesítés, mobil kliensek, nem böngésző alk. számára is RADIUS OTP, Smart card támogatás, LDAP névtér használata Hitelesítés delegálás minden hitelesítési metódusnál SSO, automatikus Link Translation az ún. globáls „links table” opcióval Cookie / IP alapú NLB támogatás a Standard verzióban is, fail-over is Exchange, SharePoint publikálás varázslók, sokkal „finomabb” tanúsítvány kezelés Idle vagy session-based időtúllépés az alkalmazásoknál is Alaposabb identitás-kezelés Egyszerűbb elérés Nagyobb teljesítmény Könnyebb kezelhetőség Összefoglalás 12 percben

5 External Web Site Administrator Attacker ISA 2006 Appliance DMZ Internal Network Internet Extranet Web Server Külső támadások ellen Belső támadások ellen Részletesebb információ Korrekt felügyelet Részletesen hangolható, rugalmas és elágazó bejövő kapcsolat ellenőrzés Részletesen hangolható, rugalmas kimenő kapcsolat ellenőrzés (worm resiliency) 90 darab új, beépített riasztási sablon MOM 2005 integráció (System Policy!) Összefoglalás 12 percben

6 Branch Office Connectivity Wizard, S2S VPN válaszfájlok BITS cachelés külön gyorsítótár szabállyal* Rugalmasan konfigurálható HTTP tömörítés* DiffServ támogatás, prioritás szabályzás* Exchange Intranet Web Server SharePoint Active Directory External Web Server Administrator User ISA 2006 Appliance Array DMZ Internal Network Internet S2S VPN BRANCH OFFICE HEAD QUARTERS User CSS Kényelmesebb kivitelezés WU/MU forgalom megsegítése Gyorsabb HTTP forgalom Sávszélesség optimalizás Összefoglalás 12 percben * Már az ISA Server 2004 SP2-ben is megjelent

7 Tartalom   Összefoglalás 12 percben   Tengernyi hitelesítés újdonság   Tanúsítvány-kezelés   Az ezerarcú publikálás   Flood Mitigation   Kiegészítő szkriptek és alkalmazások

8 Hitelesítési újdonságok Single Sign On  Scenario—Two Published Web Sites requiring Authentication  Without SSO-User accesses Exchange  User Prompted for Authentication  User Clicks Link to SharePoint  User Prompted for Authentication ▪ Scenario—Two Published Web Sites requiring Authentication ▪ With SSO-User accesses Exchange ▪ User Prompted for Authentication ▪ User Clicks Link to SharePoint ▪ User NOT Prompted for Authentication

9 Poll1

10  Valamit tudunk és valamit birtoklunk  Támogatott szkenáriók, azaz a felhasználónak van egy  Felhasználói tanúsítványa,  Vagy egy SecurID tokenja, amivel egy ún. „passcode”-t generál  Vagy egy egyszeri jelszót (OTP) generáló eszköze, amivel szintén egy „passcode”-t generál Hitelesítési újdonságok Multifaktoros hitelesítés

11  1. A kliens hitelesítési adatainak elfogadása  2. és 3.: Kommunikáció a spéci hitelesítést engedélyező géppel / alkalmazással  4. Hitelesítés delegálás, azaz az ISA „dolgozik” helyettünk Hitelesítési újdonságok Multifaktoros hitelesítés  5. Az OWA válaszol az ISA-nak  6. Az ISA válaszol a kliensnek

12 Hitelesítési újdonságok A kliens hitelesítés variációi

13  Immár három típus választható:  Jelszó űrlap, Passcode űrlap, Passcode/Jelszó űrlap  Ha nem sikerül jöhet a Basic metódus  Külön űrlap a mobil klinseknek  Jelszó változtatás az űrlapon keresztül  Elemi szinten testreszabható  26 nyelven (kierőszakolható módon is)  Szövegek, grafikák > bármi megváltoztatható Hitelesítési újdonságok Az űrlap alapú hitelesítés (FBA)

14

15 Az általunk készített egyedi űrlapra átirányítható a listenerben A publikáló szabály felülírhatja Hitelesítési újdonságok Az űrlap alapú hitelesítés (FBA)

16 Cookies Állandó (csak óvatosan!) SessionTimeout Idle time Session duration Logoff Egyéni logoff URL megadása a publikáló szabályban Hitelesítési újdonságok Az űrlap alapú hitelesítés – Session management

17  Basic  Clear text ergo csak SSL vagy VPN esetén  Digest / WDigest  Hash-elt, nem visszaállítható  Csak az utóbbi ajánlott > a címtár jelszó tárolás miatt  WDigest: csak Windows Server 2003 és minimum ISA Server 2004  Integrated  NTLM, Kerberos és Negotiate (Domain\Username) Hitelesítési újdonságok HTTP hitelesítés

18 Hitelesítési metódusok - összegzés

19 Hitelesítési újdonságok Az extra hitelesítő szerverek

20 Hitelesítési újdonságok Haladó opciók

21   No delegation, and client cannot authenticate directly   No delegation, but client may authenticate directly   Basic   NTLM   NTLM/Kerberos (Negotiate)   Kerberos constrained delegation Hitelesítési újdonságok Delegálás és típusai

22 Tartalom   Összefoglalás 12 percben   Tengernyi hitelesítés újdonság   Tanúsítvány-kezelés   Az ezerarcú publikálás   Flood Mitigation   Kiegészítő szkriptek és alkalmazások

23 Tanúsítvány-kezelés

24 Több tanúsítvány listenerenként Több alkalmazás publikálása > több IP > több tanúsítvány Ergo nem szükséges a „wildcard” tanúsítvány Tanúsítvány-kezelés

25 A tanúsítvány problémák admin riasztásként jelennek meg Tanúsítvány-kezelés

26 Tartalom   Összefoglalás 12 percben   Tengernyi hitelesítés újdonság   Tanúsítvány-kezelés   Az ezerarcú publikálás   Flood Mitigation   Kiegészítő szkriptek és alkalmazások

27 Az ezerarcú publikálás SPS

28

29 Az ezerarcú publikálás Exchange Servers

30 Automatikus engedélyezés Speciális karakterkészletekre is alkalmazható Az ezerarcú publikálás Link Translation

31 Hálózati objektumként vehetjük fel Ergo bármilyen publikáló szabályban használható Az ezerarcú publikálás Server Farms

32 Az ezerarcú publikálás Publikálás NLB-vel

33

34 Connectivity Verification HTTP/S „GET” Ping TCP kapcsolat az adott portra Az ezerarcú publikálás Publikálás NLB-vel

35 A web/SPS, stb. szerveren nem kell NLB 2 típus Cookie (OWA) Source IP (RPC / HTTP) Az ezerarcú publikálás Publikálás NLB-vel

36 Tartalom   Összefoglalás 12 percben   Tengernyi hitelesítés újdonság   Tanúsítvány-kezelés   Az ezerarcú publikálás   Flood Mitigation   Kiegészítő szkriptek és alkalmazások

37 Flood Mitigation

38

39 ISA Server Appliances  The Celestix MSA Security Appliance  The HP ProLiant DL320 Security Server  NS Series Security Appliances  OSST SecureGuard Appliances http://www.microsoft.com/isaserver/partners/hardwarepartners.asp

40 További információ   Magyar TechNet Portál   http://www.microsoft.hu/technet   Microsoft ISA site (trial, vhd, stb.)   http://www.microsoft.com/isaserver   Minden ami ISA   http://www.isaserver.org   ISA Server Product Team blog   http://blogs.technet.com/isablog   Thomas Shinder blogja   http://blogs.isaserver.org/shinder/feed/

41

42 Függelék   Kiegészítő szkriptek és alkalmazások

43 MSDEToText.exe MSDEToText.exe Az MSDE formátumú logokat konvertálja szövegfile-ba, vagy a képernyőre. MSDEToText.exe RQSUtils.exe RQSUtils.exe Az ISA Server VPN karanténjához szükséges RQS listener komponens, azaz a karantén szerver oldalának frissítése. RQSUtils.exe DNSToolsPack.exe DNSToolsPack.exe A DNS gyorsítótár megjelenítése, illetve a bejegyzések törlése a feladata. DNSToolsPack.exe fwengmonpack.exe fwengmonpack.exe A Firewall Kernel Mode Tool legújabb változata, amely egy kernel módu driver (fweng.sys) segítségével elemzi részletesen tűzfal kapcsolatokat. fwengmonpack.exe ISACertToolPack.exe ISACertToolPack.exe Az ISA MMC-ben is jelentősen fejlődött a tanúsítványok kezelése, ez az eszköz ráadásképpen még abban is segít, hogy az ISA tömb tagjai és a konfigurációt tároló Configuration Storage Server (csak EE verzió) közötti hitelesítési forgalom zökkenőmentes legyen. ISACertToolPack.exe Kiegészítő szkriptek és alkalmazások

44 NLBClear.exe NLBClear.exe Szintén csak az EE verzónál érdekes, konkrétan az ISA tömbök tagjainál az NLB beállítások törlésére használhatjuk, beleértve az ISA NLB egyik spéci jellemzőjének a "bidirectional affinity"-nak azaz a tömb adott tagja és a (mindkét oldali, akár külső/belső) kliens közötti kiépült maradandóságra hajazó kapcsolat jellemzőinek likvidálását is. NLBClear.exe WpadForSBSPack.exe WpadForSBSPack.exe Az IIS és az ISA egy gépen történő alkalmazása esetén az automatikus proxy detektálás információjának szétszórásával vannak problémák. Ezzel az alkalmazással remélhetőleg rendet rakhatunk, majd pl. egy SBS-en is. WpadForSBSPack.exe SCW Update for ISA Server 2006 SCW Update for ISA Server 2006 Az ISA Security Configuration Wizard frissítéssel mindkét verziót passzíthatjuk a Windows Server 2003 SCW varázslójához. SCW Update for ISA Server 2006 CacheDirPack.exe CacheDirPack.exe Régi és kellemes eszköz, melynek a frissítése a gyorsítótár tartalmának machinálását teszi lehetővé. CacheDirPack.exe Kiegészítő szkriptek és alkalmazások

45 ISAServer2006ReportingServicesSample.exe ISAServer2006ReportingServicesSample.exe Az SQL Server Reporting Services és e csomag segítségével egy SQL adatbázis használata esetén jelentéseket generálhatunk. ISAServer2006ReportingServicesSample.exe AdamSitesPack.exe AdamSitesPack.exe Egy parancsssori eszköz, amellyel az EE verzió "címtárát", más néven a Configuration Storage Server-t (ami gyakorlatilag egy spéci ADAM) konfigurálhatunk. AdamSitesPack.exe SdTestPack.exe SdTestPack.exe Azaz: RSA Test Authentication Utility, amellyel az RSA Authentication Manager komponenst futtató gép (azaz a SecurID névtér kiszolgálója) és az ISA közötti hitelesítés ellenőrzése oldható meg. SdTestPack.exe+ ISA Server 2006 Software Development Kit (SDK) ISA Server 2006 Software Development Kit (SDK) Kiegészítő szkriptek és alkalmazások