TechNet Szeminárium előadások 2002 tavasz SQL Server adatbázisok adminisztrációja Windows alapú webes alkalmazások Biztonságos Windows Vállalati szintű projektmenedzsment Üzemeltetői konferencia A Windows.NET Server technikai újdonságai
Biztonságos Windows Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
Mi az MSO? Microsoft termékek és technológiák integrációja az ügyfelek problémáinak megoldására A Microsoft Consulting Services (MCS) tervezi és az MCS, valamint minősített partnerei valósíthatják meg A megoldás egy keretrendszer, amelyet a Prescriptive Architecture Guide (PAG) definiál Mitől más ez, mintha dobozokból raknánk össze? hardver is szerepel a csomagban integrált tesztelés, dokumentáció, felügyelet, szolgáltatás és támogatás
Milyen megoldások készülnek? Business Intelligence Data Warehousing Development HIPAA Internet Business Intranet Management MS Systems Architecture Mobile Communication Office productivity Platform Project collaboration Supplier enablement HIPAA: Health Insurance Portability and Accountability Act
A partnerek szepere, avagy a Solution Ecosystem A Microsoft partnereinek szerepét definiálja egy megoldás megvalósítása során Egy partner például kiindulhat az MSA-ból, de egy konkrét (vertikális) megoldásból is Az ecosystem definiálja a Microsoft technológiákra épülő megoldás-fejlesztés életciklusát is
Mi az MSA? Solution Architecture Miből áll? hardver dobozos szoftver „plumbing” avagy integrációs kód dokumentumok Egy konkrét megvalósítás a standard megoldáson alapul, de az ügyfél igényei szerint testre szabják
MSA IDC dokumentumok Reference Architecture Guide az MSA IDC arhitektúráját és tervezési szompontjait írja le Prescriptive Architecture Guide egy MSA IDC-nek megfelelő megoldás kiépítésének útmutatója Operations Guide az MSA IDC üzemeltetési útmutatója Services Guide a megoldás teljes életciklusát (tervezés, implementáció, üzemeltetés) felölelő üzemeltetési és támogatási útmutató Support Guide a megoldás támogatási ajánlata
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
Microsoft Systems Architecture E-Business Infrastr uktúra Rendszer arhitektúra Fejlesztő eszközök CímtárBiztonság Mobilitás Extranet/ Internet Felügyelet E-Business Infrastruktúra Kapcsolódó ügyfelek Integrálódó üzeleti partnerek Hatékony munkatársak Feljesztés Rendszer Arhitektúra Internet Biz Beszállítók Céges portál HIPAA Üzleti Intelligencia Felügyleet Internet Biz Keresk. Egyéb gyártók Partnerek Szolgáltatások Támogatás TárolókKiszolgálók Hálózat Szoftver Microsoft Systems Architecture
MSA IDC tervezési célok Biztonságosság Alapvető tervezési szempont Skálázhatóság Felfelé és oldalra Rendelkezésre állás Nincs egypontos hibalehetőség Megbízhatóság Konzisztens viselkedés Menedzselhetőség Elejétől a végéig Szabványosság A kiépített infrastruktúra egységes Támogathatóság Egész megoldásként Implementáció Gyorsan megoldható Teljesítmény.NET A skálázhatósággal összhangban.NET-re kész
Az MSA 4 megoldást tartalmaz Kulcs partnerek termékei az alkotóelemek Compaq, Unisys / Nortel, Cisco / EMC / ComVault, Veritas / NetIQ, XTremesoft Tárolók, NAS, SAN, Switching Gear… Windows 2000 Serverek Hálózat Útválasztók, Switchek, Tűzfalak… Department Data Center Enterprise Data Center Internet Data Center Hosted Data Center Szoftver Menedzsment, Biztonság, Címtár…
Departmental Data Center Egy osztály alap IT infrastruktúrája Osztályok közötti együttműködést tesz lehetővé Más nagyvállalati adatközpontok szolgáltatásaira épülhet Példák: emberi erőforrás osztály, tervezés, könyvelés Munkaállomás Munkaállomás MunkaállomásMunkaállomás Intranet kiszolgáló Departmental Data Center
Enterprise Data Center A nagyvállalatok és osztályaik átfogó számítástechnikai rendszere Hálózat, címtár, biztonság, adatmentés és más infrastrukturális alapszolgáltatások Belső kommunikáció és adatcsere Több, egymással összekapcsolt telephely Önellátó funkciók, mint pl. HR, ERP, CRM, belső vásárlás Enterprise Intranet kiszolgálók Enterprise Data Center
Internet Data Center Széleskörű e-business funkciókat támogató web alapú infrastruktúra a külvilággal történő kapcsolódáshoz Teljeskörű, skálázható, web alapú IT infrastruktúra A három legfontosabb szempont: biztonság, rendelkezésre állás és megbízhatóság Példák: online boltok, céges- vagy ügyfélkapcsolati webhelyek, fórumok, stb. Enterprise Intranet kiszolgálók Külső gyűrű Céges tűzfal Web szolgáltatások Internet Data Center
Hosted Data Center A legmagasabb szintű rendelkezésre állásra tervezett (geo-fürtözés) Provizionálás és elosztott rendszerek felügyelete Cégek ezreit, felhasználók millióit tudja kiszolgálni egy ilyen rendszer Példák: nagy kiterjedésű cégek központi felügyelettel, szolgáltató cégek HDC Hosted Data Center
Az MSA IDC felépítése
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
Hacker technikák és eszközök Szkennerek (FScan, Superscan, nmap) Ping Sweep (az alhálózat aktív eszközeihez) TCP / UDP Port szkennerek (az alkalmazásokhoz) Banner Grabbing (az OS-t azonosítja) Denial of Service (DoS) támadások Smurf (ICMP támadás) elosztott Denial of Service – Tribe Flood Network Kiskaput kihasználó támadások (Back Orifice) Trójai falovak (I Love You) Webes támadások (URL String támadások, puffer túlcsordulások, pl. Netmeeting) Session eltérítés (Hunt/Kra, Achilles) Jelszó próbálgatás (L0phtCrack/lc3)
Tipikus támadási pontok Elfogadott és meghirdetett biztonsági házirend hiánya Gyenge, könnyen kitalálható vagy közkézen forgó jelszavak Rosszul konfigurált tűzfalak, útválasztók és egyéb eszközök Rosszul kiadott fájl- és könyvtár jogosultságok Az Administrator fiók fölösleges használata Teszt fiókok fölöslegesen magas privilégiumai A belső hálózatra csatlakoztatott “Auto-answer” üzemmódú modemek A hálózat auditálásának és monitorozásának hiánya Hibajavítások alkalmazása nem rendszeres
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
Active Directory tervezés
Organizational Unit tervezés
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
Windows 2000 megerősítése Hálózati és helyi erőforrások A legfrissebb szervizcsomagok és frissítések alkalmazása csak alapos tesztelés után! TCP/IP beállítások a DMZ kiszolgálóin biztonsági sablonban vannak IP csomagszűrők alkalmazása (IPSec) NetBIOS letiltása a DMZ kiszolgálóin A fájlrendszer levédése NTFS, XCACLS, alapértelmezett ($) megosztások letiltása
Windows 2000 megerősítése Helyi és tartományi felhasználók Ne ugyanazt a helyi fiókot használjuk mindenhol Nevezzük át az „Administrator”-t A nevekben ne használjuk az „admin”-t vagy a cég nevét Erős jelszavakat használjunk
Windows 2000 megerősítése Házirendekkel érjük el a biztonságot Default Domain Policy jelszóval kapcsolatos beállítások (nem lehet felülbírálni) fiókok zárolása (kísérletek száma és a zárolás időtartama) auditálási házirend és napló mérete (10MB, wrap) Default Domain Controller Policy a Default Domain Policy nem módosítja az auditálási beállításokat módosítsuk a biztonsági beállításokat és tiltsuk le a fölösleges szervizeket!
Windows 2000 megerősítése Kiszolgáló specifikus házirendek Felhasználói jogok Logon locally - Administrators Access from the network – Authenticated Users Biztonsági beállítások registry értékei „Restrict Access to Anonymous Account” „NTLMv2 – Cluster Servers (Q272129) Szervizek letiltása AlerterMessenger Browser Print Spooler Clipbook Task Scheduler DHCP ClientTelnet
Alapértelmezés szerinti biztonsági sablonok %SystemRoot%\Security\Templates\*.inf Alap sablonok Basicwk – Windows 2000 Pro Basicsv – Windows 2000 Server Basicdc – Windows 2000 Domain Controller Járulékos sablonok (az alapra telepítendő) Securews – Windows 2000 Workstation vagy Server Securedc – Windows 2000 Domain Controller Hisecwks – Windows 2000 Workstation vagy Server Hissecdc – Windows 2000 Domain Controller Hisecwks Windows 2000 Serverre minden kiszolgáló Windows 2000 kell, hogy legyen lebutítja a Power users csoportot
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
Az IIS megerősítése Alkalmazzuk a legfrissebb IIS javításokat Hot Fix Checking Tool Tiltsuk le a könyvtárak tallózását Ellenőrizzük a virtuális könyvtárak jogosultságait Védjük le az IIS naplóit és auditáljunk Tiltsuk le vagy töröljük a minta alkalmazásokat Töröljük ki a nem használt szkript megfeleltetéseket (script mapping) Szedjük le a szülő könyvtárat („..”) a pathról
Néhány perc szünet…
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
Alkalmazások biztonsága Hasznos tanácsok (1/2) Használjunk adat titkosítást Erős jelszavakat írjunk elő Tiltsuk le a cookiekat Az SSL-es oldalaknak legyen élettartamuk A HTML és ASP oldalak ne tartalmazzanak bizalmas információt Az állapotot SQL Serverben tároljuk Ellenőrizzük a bevitt adatokat
Alkalmazások biztonsága Hasznos tanácsok (2/2) Az üzleti logikai funckiókat tegyük COM komponensekbe A fejlesztők ne írhassanak az éles rendszerbe Használjunk „source control” eszközöket Ne használjunk ftp-t és telnetet
Az MSA biztonsága Áttekintés Hacker technikák és eszközök Active Directory és Group Policy Objektumok tervezése A Windows 2000 Server megerősítése Az IIS megerősítése Alkalmazások biztonsága (ajánlások) ISA Server tűzfal tervezés
Külső ISA Server konfiguráció Hálózati konfiguráció több hálókártyás statikus útvonalak minden belső VLAN-hoz Telepítési opciók standalone mód (nem címtár integrált) integrált mód – tűzfal és gyorsítótár egyben LAT konfiguráció szervizcsomagok és egyéb javítások ( ISAHF63) ISA tűzfal konfiguráció nincs statikus szűrő (pl. webcat miatt) Web Publishing 2 db IIS NLBS farmot publikálnak a hosts fájljaik alapján Server Publishing
Szűrés állapot alapján SecureNAT esetén
Web publikálás SSL híd nélkül Egy ISA NLBS farm mögött van két IIS NLBS farm IIS NLBS „Single affinity” esetén a NAT miatt a source IP minden esetben az ISA belső címe minden SSL csomag az egyik farmhoz megy IIS NLBS „No affinity” esetén minden SSL csomag más IIS Serverhez megy mindig újra kell építeni az SSL kapcsolatot (session key) – óriási terhelés
Web publikálás SSL híddal Levenni az IIS-ről az SSL okozta terhelést A tanusítványt minden ISA Serverre fel kell tenni Az átmenő adatokat az ISA így már ellenőrizheti SSL harveres gyorsítókártya javasolt nCipher, Rainbow, Atalla
Belső tűzfal A belső kiszolgálók védelméhez egy újabb réteget ad Cisco PIX, ISA Server NetBIOS-t le kell tiltani (netbios.sys), hogy az AD- hoz szükséges SMB portot (445) átengedhesse Hardveres terhelés elosztás szükséges a belülről kifelé menő forgalom egyenletes elosztásához BigIP, Local Director default gateway csak egy lehet az NLBS egyszerre csak egy adapterhez köthető a.NET Serverben már többhöz is lehet Szűrés állapot alapján Még magasabb szinten naplózhatunk
Belső tűzfal tervezés Az alkalmazások által használt portok Protokoll definíció PortProtokollMegjegyzés Alkalmazás (SQL Server) 1433TCPAz IIS-ek a VLAN12 SQL-einek IP címét DNS-sel kapják meg
Belső tűzfal tervezés A címtár által használt portok Protokoll definícióPortProtokoll Kerberos88UDP NTP123UDP RCP Endpoint Mapper135TCP LDAP389TCP, UDP SMB Direct Host115TCP DNS Query53UDP NTDS (más port: Q280132)1026TCP
Belső tűzfal tervezés A felügyelet által használt portok Protokoll definícióPortProtokoll App Manager Agent RPC TCP MOM Agent1270TCP Application Center Server TCP Terminal Services3389TCP
Split-split DNS konfiguráció
Napirend A Microsoft Solutions Offering (MSO) áttekintése A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése Az MSA IDC biztonsági kérdései A biztonsági CD-kről
Az előzmények nyarának elején a Microsoft Magyarország elérkezettnek látta az időt egy rendszeresen megjelenő biztonsági CD kiadványra Biztonsági eszközlészlet CD Ezzel egyidőben a Microsoft Corporation is meghirdetett egy programot (STPP), melynek szintén része egy biztonsági CD Security Toolkit CD A két CD nem pont ugyanazt a feladatot tölti be
Strategic Technology Protection Program (STPP) Get secure vírusfertőzésekkel kapcsolatos támogatás PC SAFETY ( ) ingyenesen rendelhető biztonsági CD Security Toolkit CD a W2K SP3 elsődleges célja a biztonság fokozása Stay secure a Security Toolkit CD rendszeresen megjelenik Windows 2000 kumulatív javítások kéthavonta IT rendszerek biztonságával foglalkozó események menedzselhető biztonság nagyvállalati eszközök, automatikus frissítés, stb. 01/oct01/10-03securityqa.asp 01/oct01/10-03securityqa.asp
Security Toolkit CD Angol és magyar változat Milyen operációs rendszerhez jó? Windows NT 4.0 Windows 2000 munkaállomásokhoz és kiszolgálókhoz egyaránt Felteszi az összes ismert javítást később leszedhetők Speciális eszközök IIS lockdown tool URLScan hfnetchk.exe qchain.exe
IIS lockdown tool v2.1 Telepítéskor sablonok alapján állíthatjuk be az IIS biztonságát most már OWA sablon is van és működik is ;-) A telepítés során napló és a metabaseről másolat készül Újbóli futtatáskor visszaállítja az eredeti állapotot
URLScan.dll Az IIS lockdown tool is felteszi, de függetlenül is használható ISAPI szűrő A %windir%\system32\inetsrv\UrlScan\urlscan.ini alapján szűr a HTTP request módjára a HTTP kérésben lévő fejlécekre (request header) a fájl kiterjesztésre gyanús URL kódolásra nem ASCII karakterekre adott karaktersorozatra Az URLScan.log-ba naplózza a letiltott kéréseket
hfnetchk.exe Shavlik Technologies Leellenőrzi, hogy egy adott gépen fent vannak-e a legfrissebb javítások Windows NT4, Windows 2000, Windows XP, IE, IIS, SQL Nem minden termék javításait ellenőrzi pl.: Exchange, Office nem Több távoli gépen is futtatható egy fájlban kell felsorolni az IP címeket Egy XML fájlban van a javítások leíró információja minden javítás megjelenésekor frissül az XML fájl
hfnetchk.exe kérdések Mit csináljunk, ha nincs Internet kapcsolatunk? nt5/en-us/mssecure.cab nt5/en-us/mssecure.cab Honnét tölthetők le a javítások? Miért nem mutatja ki, hogy kell egy javítás, ha tudom, hogy kell? függőségek lehetnek az egyes javítások és a szervizcsomagok között Minden javasolt javítást tegyek fel? célszerű egyesével végigolvasni a problémák leírását és csak tesztelés után feltenni a javítást
qchain.exe Több javítás újraindítás nélküli, egyszerre történő telepítését teszi lehetővé A javításokat „-z –m” opciókkal kell telepíteni „silent” és „no reboot” nem minden javításnak van ilyen opciója, pl.: ISA ;-) A javítások telepítése után jöhet a qchain.exe meggátolja, hogy egy régebbi javítás felülírjon egy újabbat Csak szigorú tesztelést követően szabad éles gépen alkalmazni!
qcheck.exe Kilistázza a telepített javításokat Nem minden javítás jelenik meg pl.: SP1 előtt ISA javítások ;-) az ISA javítások a jövőben rendesen regisztrálják magukat le lehet őket szedni a Control Panelben látszanak, stb. Nem mentesít a telepítési napló vezetése alól!
Biztonsági eszközkészlet CD Alapvetően munkaállomások védelmére készült Funkciói a legfrissebb biztonsági javítások telepítése különböző biztonsági szintekhez tartozó beállítások biztonsági eszközök telepítése, futtatása egyéb információk, szolgáltatások 1. változat – ősz Windows 2000-hez ha magyar változathoz használjuk, hozzunk létre egy Administrators csoportot és tegyük bele a Rendszergazdát 2. változat – eleje Windows 2000-hez és Windows XP-hez angol vagy magyar változathoz is
Biztonsági eszközkészlet CD Telepítés
Biztonsági eszközkészlet CD Biztonsági beállítások Munkaállomás kiemelt funkciókkal erős jelszavak, fiók kizárás, CRTL+Alt-Del kötelező, leállításhoz be kell jelentkezni, sikertelen bejelentkezést naplózza, helyileg csak az Administrators és a Power Users tagjai jelentkezhetnek be, erős hitelesítés, floppy és CD használat csak helyileg, aláírt meghajtók, registry és NTFS ACL vizsgálat Munkaállomás tűzfal nélkül Munkaállomás tűzfal mögött Otthoni számítógép Internet hozzáféréssel Otthoni számítógép Internet hozzáférés nélkül
További információ Weboldalak Microsoft MSA IDC biztonság hfnetchk FAQ Egyéb
További információ Könyvek Michael Howard: Designing Secure Web- Based Applications for Microsoft Windows 2000 (ISBN: ) Joel Scambray: Hacking Exposed Second Edition (ISBN: ) Joel Scambray: Hacking Exposed Windows 2000 (ISBN: )
wheredoyouwanttogotoday?
Az MSA IDC felépítése