Hitelesítés és tanúsítványkezelés …az ISA Server-rel Gál Tamás v-tagal@microsoft.com Szakmai vezető - TechNet Microsoft Magyarország

Tartalom Preambulum Hitelesítés 1x1 Tanúsítványok vs. publikálás Felhasználók és szolgáltatások Tanúsítványok vs. publikálás IIS, Exchange 2007, Terminal Services Gateway A függelékben a jövő A Forefront TMG és egy érdekesség

Preambulum Internet Security and Acceleration Server 2006 Tűzfal feladatok Proxy kiszolgáló Szerver publikálás VPN kiszolgáló Gyorsítótár Standard / Enterprise

Hitelesítés 1x1 A web proxy feladatai Hozzáférés és biztonság Felhasználók hitelesítése Felhasználói kérések szűrése Tartalom-vizsgálat Felhasználói hozzáférés naplózása Belső hálózat elrejtése Teljesítmény Hozzáférés a gyorsítótárhoz

Hitelesítés 1x1 Az ISA kliensei SecureNAT kliens Konfigurálás és telepítés nélkül, több platformra Internet ISA Server Web Proxy kliens Firewall kliens Hitelesítéssel is, HTTP / HTTPS / FTP, több platformra, telepítés nélkül Legmélyebb kapcsolat, telepítéssel, teljeskörű hitelesítéssel, titkosítva is

Hitelesítés 1x1 Az ISA kliensei Mit szeretnénk? Melyik passzol? Kliens beállítás / telepítés nélkül SecureNAT Csak gyorsítótár használat SecureNAT / Web Proxy kliens Kizárólag hitelesítéssel Firewall / Web Proxy kliens Kiszolgáló publikálás (csak) SecureNAT Böngészők használata nem Windows platformon

Hitelesítés 1x1 Forward proxy Feltételek Felhasználó? Számítógép? Protokoll? Cél oldal? Tartalom? ISA Webszerver Proxy Server feladatkör

Hitelesítés 1x1 A belső hálózatból Felhasználók és csoportok Direkt források Active Directory ISA gép felhasználói adatbázis LDAP / RADIUS / SecurID névterek Indirekt forrás Saját összeállítás a direkt forrásokból Csak fw/web proxy kliens esetén!

Hitelesítés 1x1 A belső hálózatból - itt dől(het) el minden Digest vs. WDigest!

Hitelesítés 1x1 Hogyan szabályozunk? Tűzfalszabályokkal Sorrend! System Policy Destination Network Destination IP Destination Site action on traffic from user from source to destination with conditions Allow Deny User Protocol IP Port/Type Source network Source IP Schedule Content Type

A demókörnyezet Kiszolgálók: Kliensek: belső: XP SP2, külső: Vista SP1 VistaExt - 39.1.1.9 www.fenestra.net ftp.fenestra.net Denver - 10.1.1.4 denver.contoso.com Paris 10.1.1.1 39.1.1.1 contoso.com XPSP3 10.1.1.3 Kiszolgálók: Paris – ISA Server 2006 SP1 - W2K3 Denver – DC, TSG, Exchange, Root CA - WS08 Kliensek: belső: XP SP2, külső: Vista SP1

Hitelesítés és kliensek Internet elérés szabályzás

Hitelesítés 1x1 Reverse proxy Feltételek Kérés? Protokoll? Cél oldal? Webszerver 3 DNS szerver 4 5 2 1 6 ISA

Hitelesítés 1x1 Hitelesítési megoldások Nincs  HTTP alapú kliens hitelesítési metódus Basic, Digest / wDigest, Integrated HTML űrlap alapú kliens hitelesítési metódus (FBA) Windows (Active Directory) LDAP (Active Directory) RADIUS, RADIUS OTP RSA SecureID Tanúsítványon alapuló hitelesítés

Hitelesítés 1x1 HTTP alapú kliens hitelesítés Basic Hitelesítési infó szimpla szövegben Digest / WDigest A hitelesítési infó hash-elve, azaz nem visszafejthető Csak Windows tartomány, csak HTTP 1.1 Integrated NTLM, Kerberos, Negotiate Mindig a tartomány\felhasználó formula

Hitelesítés 1x1 HTML űrlap (FBA) Jelszó és / vagy passcode űrlapok Jelszóváltoztatás (pl. OWA-ból) Időlimit, értesítés a lejáratról A mobil kliensek automatikus detektálása (User-Agent) és… Fallback > Basic hitelesítés > OWA / OA Szabályozható „Client Credentials Caching” Szerkeszthető űrlap Szimpla, OWA, strings.txt, 26 különböző nyelven, de „megerőszakolás” is

Hitelesítés 1x1 HTML űrlap (FBA) 2

Hitelesítés 1x1 HTML űrlap (FBA) Multifaktoros hitelesítés Lényegesen biztonságosabb A felhasználónak rendelkezni kell jelszóval ÉS egy tanúsítvánnyal; vagy egy egyszeri jelszót / kódot (OTP) generáló szoftveres/hardveres eszközzel; vagy egy SecurID-eszközzel, amely minden szükséges esetben egy úgynevezett passcode-ot (nagyon rövid lejáratú számkombináció) képes generálni.

Hitelesítés 1x1 Külső hitelesítő eszköz Kliens Kliens jogosultság elfogadása A jogosultság elküldése.. …majd befogadása Hitelesítés-delegálás A publikált szerver válasza A válasz továbbküldése 1 6 OWA 4 ISA Server 5 2 3 Hitelesítés-szolgáltató

Hitelesítés 1x1 Tanúsítványon alapuló hitelesítés Csak Active Directory névtér De nem muszáj tartományi tagnak lenni ISA 2006 SP1 > TRCA Fallback Basic, Digest, Integrated Állítható időtúllépés vizsgálat (FBA is) Client Certificate Trust List (FBA is) Client Certificate Restrictions (FBA is)

Hitelesítés 1x1 Hitelesítés-delegálás Biztonságos és erőforrás takarékos ISA 2004 – erős korlátok Csak Basic, ergo csak VPN és HTTPS ISA 2006 – szinte mindent Nincs delegálás, és a kliens nem hitelesíthet közvetlenül; Nincs delegálás, de a kliens hitelesíthet közvetlenül; Basic, NTLM, Negotiate (Kerberos / NTLM) Kikényszerített Kerberos-delegálás

Hitelesítés 1x1 SSO 2. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel Exchange elérés – SSO-val Kérem a hitelesítési infókat! Egy e-mailből menjünk tovább a SharePoint oldalunkra! NEM kérem a hitelesítési infókat!  1. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel Exchange elérés - SSO nélkül Kérem a hitelesítési infókat! Egy e-mailből menjünk tovább a SharePoint oldalunkra! Kérem megint a hitelesítési infókat!

Hitelesítés Az űrlapok lehetőségei - OWA

Tanúsítványok vs. publikálás A kiszolgálóink szolgáltatásaink biztonságos közzététele Komoly rizikófaktor Nagyon sok segítség az ISA 2006-ban Csoportosítási szempontok Belső vs. külső (pl. Internet) Integrált vs. önálló kiszolgáló Szimpla szerver vs. webszerver

Tanúsítványok vs. publikálás Tunneling vs. Bridging Tunneling: SSL forgalom átengedése Bridging: HTTP szűrés is Csonkol, ellenőríz (HTTP filter), ragaszt Mindkét irányban, de csak saját tanúsítvány (webszerver) esetén Publikus kulccsal ellátott tanúsítvány kell hozzá > ISA Computer Certificate Store ISA 2004: mindkettő választható ISA 2006: „csak” Bridging TMG: lásd később

Tanúsítványok vs. publikálás A listener Figyel, szűr, szabályoz Hálózat / IP / port Hitelesítés típusa, és ehhez kapcsolódó extrák beállítása Tipikusan egy-egy HTTP és HTTPS listener-ünk van (web listener) Minden publikáló szabályban kötelező De 1-1 listener-t több szabályban is felhasználhatunk

Tanúsítványok vs. publikálás Tanúsítványok kezelése

Tanúsítványok vs. publikálás Több tanúsítvány használata Ha nincs SAN vagy wildcard Egyesével hozzárendeljük az IP-khez a megfelelő tanúsítványt NLB Outlook Anywhere

Publikálás tanúsítvánnyal Tanúsítvány előkészületek IIS, OWA, OA, TSG publikálás

Függelék

A jövő: Forefront TMG Röpke bemutatás Nem túl távoli jövő De a jelen is: Medium Business Edition > EBS (csökkentett tudással) Csak Windows 2008 / x64 Sok változás, néhány példa: Intrusion Prevention System SMTP Protection ISP Redundancy URL filtering, Malware Inspection

A jövő: Forefront TMG HTTPS Inspection – most! Tanúsítvány ellenőrzés Lejárt, nem érvényes, visszavonási infó HTTPS forgalom ellenőrzés Haladó „bridging” - kifelé is Bármilyen forgalom esetén – MITM? Kivételek képzése mindkét szinten Felhasználó értesítése Új tűzfal kliens kell hozzá Több új riasztás a tanúsítványokkal