Hálózati Operációs Rendszerek

Slides:



Advertisements
Hasonló előadás

Advertisements

Kamarai prezentáció sablon
Adatbázis gyakorlat 1. Szerző: Varga Zsuzsanna ELTE-IK (2004) Budapest
Hálózati és Internet ismeretek
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Erőállóképesség mérése Találjanak teszteket az irodalomban
MATEMATIKA Év eleji felmérés 3. évfolyam
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Humánkineziológia szak
Hálózati architektúrák Novell Netware. Történet 1983/85: Netware első fájl-szerver LAN OS saját hálózati protokoll: IPX/SPX 1986: Netware v2.x telepítőkészlet.
Hálózati Operációs Rendszerek
Mellár János 5. óra Március 12. v
Bemutatkozás Barta Csaba Deloitte Zrt. Manager CHFI
1 Hálózati Operációs Rendszerek Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Hálózati Operációs Rendszerek
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Hálózati Operációs Rendszerek
Az ETR technológia DEXTER Informatikai kft..
Elektronikai Áramkörök Tervezése és Megvalósítása
Elektronikai Áramkörök Tervezése és Megvalósítása
Elektronikai Áramkörök Tervezése és Megvalósítása
Mérés és adatgyűjtés Kincses Zoltán, Mingesz Róbert, Vadai Gergely 10. Óra MA-DAQ – Műszer vezérlése November 12., 15. v
UNIVERSITY OF SZEGED D epartment of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Hálózati Operációs Rendszerek AAA-Azonosítás Dr. Bilicki.
Virtuális méréstechnika MA-DAQ műszer vezérlése 1 Mingesz Róbert V
Ember László XUBUNTU Linux (ami majdnem UBUNTU) Ötödik nekifutás 192 MB RAM és 3 GB HDD erőforrásokkal.
Védőgázas hegesztések
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Előadó: Kárpáti Péter Üzleti folyamatvezérlés nagyvállalati környezetben (BizTalk Server 2004, Office InfoPath 2003 és Windows.
Erős bástya – biztonsági újdonságok
SSL és TLS. Mi a TLS SSL – Secure Socket Layer TLS – Transport Layer Security Biztonságos transport layer a böngésző és a szerver között SSL v3.0 : Internet.
Pandora felhasználók Active Directory migrációja.
Active Directory, a Windows 2000 új címtára
Szerkezeti elemek teherbírásvizsgálata összetett terhelés esetén:
Module 1: A Microsoft Windows XP Professional telepítése
DRAGON BALL GT dbzgtlink féle változat! Illesztett, ráégetett, sárga felirattal! Japan és Angol Navigáláshoz használd a bal oldali léptető elemeket ! Verzio.
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
1 Hálózati Operációs Rendszerek Sun ONE Directory Server, Active Directory Előadó: Bilicki Vilmos
szakmérnök hallgatók számára
2007. május 22. Debrecen Digitalizálás és elektronikus hozzáférés 1 DEA: a Debreceni Egyetem elektronikus Archívuma Karácsony Gyöngyi DE Egyetemi és Nemzeti.
Operációs Rendszerek 1 Felhasználókezelés Windisch Gergely
Csurik Magda Országos Tisztifőorvosi Hivatal
A klinikai transzfúziós tevékenység Ápolás szakmai ellenőrzése
2006. Peer-to-Peer (P2P) hálózatok Távközlési és Médiainformatikai Tanszék.
RDF sémák. RDF  URI-val azonosított erőforrások  Hármasok a kapcsolatrendszer leírására  Egyszerű lekérdezések (rdf:type)  Következtetésre nem alkalmas.
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
QualcoDuna interkalibráció Talaj- és levegövizsgálati körmérések évi értékelése (2007.) Dr. Biliczkiné Gaál Piroska VITUKI Kht. Minőségbiztosítási és Ellenőrzési.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
1. Melyik jármű haladhat tovább elsőként az ábrán látható forgalmi helyzetben? a) A "V" jelű villamos. b) Az "M" jelű munkagép. c) Az "R" jelű rendőrségi.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Iratkezelő rendszerek biztonsági megoldásai
> aspnet_regiis -i 8 9 TIPP: Az „Alap” telepítés gyors, nem kérdez, de később korlátozhat.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
A KÖVETKEZŐKBEN SZÁMOZOTT KÉRDÉSEKET VAGY KÉPEKET LÁT SZÁMOZOTT KÉPLETEKKEL. ÍRJA A SZÁMOZOTT KÉRDÉSRE ADOTT VÁLASZT, VAGY A SZÁMOZOTT KÉPLET NEVÉT A VÁLASZÍV.
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Nyilvános kulcsú titkosítás Digitális aláírás Üzenet pecsétek.
Felhasználók, felhasználócsoportok, jogosultságok.
Hálózati Operációs Rendszerek
Hálózati architektúrák
IT hálózat biztonság Összeállította: Huszár István
IT hálózat biztonság Összeállította: Huszár István
Előadás másolata:

Hálózati Operációs Rendszerek ADAM, Titkosítási eljárások, TLS, NTLM, Kerberos Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv

Forrás PKI: (http://www.pgpi.org/doc/guide/6.5/en/intro/ ) NTLM: (http://web.mit.edu/pismere/support/for-cont-admins/security-info/ntlm.html, http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/reskit/prdp_log_cklv.asp) Kerberos: (http://www.windowsitlibrary.com/Content/617/06/toc.html) Kerberos White Paper (http://www.microsoft.com/windows2000/techinfo/howitworks/security/kerberos.asp) ADAM (http://www.microsoft.com/windowsserver2003/adam/default.mspx )

Tartalom (1) ADAM PKI és társai ADAM vs. Active Directory ADAM architektúra ADAM fizikai architektúra ADAM logikai architektúra PKI és társai Kivonat Szimmetrikus titkosítás Aszimmetrikus titkosítás Digitális aláírás Digitális tanúsítvány Tanúsítvány hatóság

Tartalom (2) Azonositási protokollok: TLS NTLM Kerberos V5

ADAM ADAM vs. Active Directory ADAM architektúra ADAM fizikai struktúra ADAM logikai struktúra

ADAM vs. Active Directory Active Directory Application Mode Támogatott operációs rendszerek: Win2003 WinXP Séma: Minden önnálló ADAM példány külön sémával rendelkezhet Független az AD-től Egyszerű alap séma Bármely objektum osztály alapján azonosítható Elnevezés: DNS névtér X.500 névtér Címtár konszolidáció: Egy gépen több címtár is futhat Replikáció: Konfigurációs gyűjtemények Nem replikálható AD-vel Fűggőségek: Nem függ a DNS-től

ADAM architektúra (0)

ADAM architektúra (1) Interfészek LDAP REPL System.DirectoryServices (ADSI for .NET Framework) Directory Services Markup Language (DSML)

ADAM architektúra (2) DSA Független példányok, ugyanaz a dll Konfigurációs partíció: CN=NTDS Settings,CN=computername$instancename,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,CN={GUID} Feladatai: Kliens műveletek kiszolgálása Objektum azonosítás GUID (ezzel vannak összekötve) Séma ellenőrzés Biztonság (SID kezelés) Replikáció Hivatkozások

ADAM architektúra (3) Adatbázis réteg ESE (Extensible Storage Engine) Hierarchikus nézetben prezentálja a lapos adatbázist (a sémát felhasználva) Műveletek támogatása (írás, olvasás, …) ESE (Extensible Storage Engine) Indexelés Tranzakció kezelés Összeomlás uátni visszaállítás Többértékű attribútumok Csak a használt attribútumoknak foglal helyet

ADAM fizikai struktúra Konfigurációs gyűjtemények (configuration set) Közös séma Közös konfiguráció Tetszőleges számú alkalmazás partíció replikálható (csak ebből a gyűjteményből) Helyek (sites)

ADAM logikai felépítése rootDSE Egyik particiónak sem tagja Információt közöl az ADAM szolgáltatásairól, konfigurációjáról Működési információk: supportedLDAPVersion namingContexts subschemaSubentry altServer supportedExtension supportedControl Infromációk: defaultNamingContext dnsHostName isSynchronized …

ADAM névtér DNS stílusú (dc=x,dc=y, ….) X.500 stílusú (c=hu,ou=u-szeged,…) C CN DC L O OU

ADAM partíciók Séma Konfiguráció Alkalmazás Egy lehet belőle (konfigurációs gyűjteményenként) CN=Schema,CN=Configuration,CN={GUID} Itt lehet az attribútumoknál beállítani az indexelést (mindenre!) LDIF fájlokat használhatunk a bővítésre Konfiguráció Egy lehet belőle CN=Configuration,CN={GUID} Tartalma: Replikáció Replikációs gyűjtemények Más partíciók Pl.:CN=Partitions,CN=Configuration,CN={GUID} Alkalmazás Több lehet belőle

ADAM menedzsment Csak az AD-ben hirdeti magát Replikáció Multimaster, Site, …. –> AD LDAP hivatkozások RFC 2251 Többet is tárol, visszaad

PKI és társai Kivonat (Hash) Titkos kulcsú titkosítás (Symetric) Nyilvános kulcsú titkosítás (Asymetric) Digitális aláírás (Digital Siganture) Digitlis tanúsítvány (Digital Certificate) Tanúsítvány hatóság (Certificate Authority)

Kivonat Tetszőleges bemenet Pl.: 128 bites kimenet A bemeneten egy kis változtatás is megváltoztatja a kimenete is Nem visszafejthető

Szimmetrikus kulcsú titkosítás Közös kulcs Gyors Kulcselosztás?

Aszimmetrikus kulcsú titkosítás Nyilvános kulcs Titkos kulcs Lassú

Digitális aláírás

Digitális tanúsítvány

Tanúsítvány hatóság

Biztonsági megoldások

TLS (Tranport Layer Security) Új réteg bevezetése: Netscape SSL Microsoft PCT IETF TLS Megbízhatóság, Adatvédelem, Azonosítás Definiálja a csatorna paramétreinek egyeztetési módszerét Viszony/Kapcsolat

TLS felosztása I. TLS Handshake Session identifier Peer certificate Compression method Cipher spec Master secret Is resumable

TLS felosztása II. TLS Record Fragmentálás Tömörítés Tartalom védelem Titkosítás

Kapcsolat felépítés Hello üzenetcsere Rejtjelezési paraméter csere Bizonyítvány csere Főkulcs Adatcsere

NTLM LAN manager: Kihívás válasz alapú -> Név <- Random Enc(Passwd,név, random)-> A jelszavak szabad szöveges formátumban tároltak! Nem különbözteti meg a kis és a nagy betűket 26 karakter + speciális karakterek A hosszú jelszavak 7 karakteres részekre vannak osztva Következmény kicsi jelszótér, könnyen feltörhető Szótár alapú támadások Brute force támadások

NTLM V1 NTLM V1: Megkülönbözteti a kis és a nagy betűket Nincs 7 karakteres tördelés Szótáras támadásokra még igen érzékeny (gyenge jelszavak esetén) Brute Force módszerrel már nehezebb feltörni (100 2 GHz-es géppel 5.5 év a Microsoft szerint) A protokoll nem gondoskodik az üzenetek titkosításáról azonosításáról. (üzenet beszúrásos támadás)

NTLM V2 NTLM V2: 128 bites kulcstér Kölcsönös azonosítás Biztonságos csatorna a kliens és a szerver között (aláírás és titkosítás) A csatorna titkosítása nem jelszófüggő Jóval nehezebb az Online Feltörés mivel az üzenetek igen változékonyak

Beállítások HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel 0 - LM & NTLM válaszok küldése 1 - LM & NTLM – Amennyiben egyeztetve van NTLMv2 kapcsolat biztonság használata 2 – Csak NTLM válaszok küldése 3 - Csak NTLMv2 válaszok küldése 4 -Csak NTLMv2 válaszok, megszakítja az LM kéréseket 5 - Csak NTLMv2 válaszok megszakítja az LM & NTLM kéréseket Vagy: Local Security: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\LAN Manager Authentication Level

Kerberos MIT Athena project (http://web.mit.edu/kerberos/www/) Funkciói (Fejek): Azonosítás (authentication) Hozzáférés vezérlés (access control) Naplózás (auditing) Felépítés: Kliens (Client) Szerver (Server) Jegy központ (KDC) Kerberos V5 (RFC 1510): Azonosítás

Kerberos vs. NTLM, TLS Használhatja úgy a szimmetrikus(RFC 1510) mint az aszimmetrikus titkosítást (PKINIT) Az aszimmetrikus megoldás skálázhatóbb: A másik félnek nem kell online lennie Internetre az SSL-TLS a legalkalmasabb Az aszimmetrikus megoldás: nehezebben adminisztrálható nagyobb a számításigénye (1000x)

Kerberos vs NTLM Gyorsabb azonosítás (pl.: a jegy tárolható, pass-trough azonosítás) Kétoldalú azonosítás (NTLM challenge-response) Tranzitív megbízás (nem feltétlenül kerberos megbízás) Nyílt szabvány (RFC 1510 ) Delegálás, Azonosítás továbbítás támogatása (egy szolgáltatás egy felhasználó nevében cselkedhet, többrétegű alkalmazás) Smart-Card használat támogatása (Kerberos PKINIT) (Védelem a billentyűzet figyelő programok ellen)

Kerberos Működési Elv A Kerberos azonosítás a szimmetrikus titkosításon alapul Kulcs elosztás Kerberosz jegy A jegy kiosztása Az egyed fő kulcs használatának korlátozása

A Kerberos azonosítás a szimmetrikus titkosításon alapul DK(EK(M)) = M; Hasonló megoldás van NTLM esetén is: Ha a közös kulccsal van titkosítva akkor a másik fél hiteles Titkosított Csomag: Azonosító (authenticator) mindig mást kell titkositania Közös titkos kulcs: Viszony Kulcs (session key) Kritikus elem: Időbélyeg (Time Stamp) kisebb a kulönbség mint 5 perc, sorrend figyelés Kölcsönös azonosítás: A szerver is megteszi ugyanezt

Kulcs elosztás Hogyan osztjuk ki a kulcsokat (nem csak ) emberek, … Kerberos nélkül: n (n — 1)/2 kulcs (50,000 -> 1,500,000,000) Minden kliensen Kerberos : Három entitás: Két kommunikáló fél Közvetitő fél (Key Distribution Center - KDC) Minden egyed rendelkezik egy-egy KDC-vel közös kulccsal Az Egyed Mester Kulcsa (Master Key) (pl: a felh. Jelszavából, MD5 tárolás, létrehozáskor), hosszútávú kulcs Kerberos tartományok Windows 2000: Dcpromo -> kdc szolgáltatás (minden DC írható/olvasható KDC adatbázis) Azonosító szolgáltatás Jegy Kiadó Szolgáltatás Multimaster

Kerberos jegy Biztonságos csatorna építhető ki a segítségével Kereberos: Azonosító Szolgáltatás (Authentication Service) Jegykiosztó Szolgáltatás (Ticket-Granting Service) Mindenki megbízik a KDC által legyártott viszonykulcsokban (nem csak a Master Key-ben) A viszonykulcs minősége a Windows 2000 véletlen szám generátorától függ (Nem a felh. Jelszótól !!!) A KDC-nek kellene a viszony kulcsokat kiosztani : A közös kulccsal titkosítja (user, szerver) (Kerberos terminológia : jegy ticket))

Kulcs hierarchia A biztonság növelése érdekében, a gyakran használt kulcsokat gyakrabban változtatják és erősebb kulcsokat generálnak (felh. jelszó): A magasabb szintű kulcsok védik az alacsonyabb szintű kulcsokat A magasabb szintű kulcsok hosszabb élettartamúak

Kulcs elosztás Két megoldás lehetséges: Mindkét fél a szervertől kapja meg: Az erőforrás szervernek minden kulcsot tárolnia kellene Szinkronizációs problémák A szerver a kezdeményező félnek küldi el mindkét jegyet Egyszerű azonosítás (elküldi a jegyet) Gyors azonosítás (tárolhatja a jegyet) Egyszerűbb terhelés elosztás (csak másik jegyet kell küldeni) A kulcsok egy speciális memória területen tárlódnak és soha sem kerülnek ki a merevlemezre (klist.exe, kerbtray.exe ürítés )

Jegy biztosító jegyek (ticket-granting ticket ) Minden egyes viszony kulcs létrehozására a felhasználó mester kulcsát használtuk Könnyebben visszafejthető szótáras támadással (L0phtcrack ) Az első azonosítás után egy TGT-t, és egy viszony kulcsot kap a felhasználó e jegy segítségével titkosítja az üzeneteket a KDC számára A TGT újrahasznosítható az élettértartamán belül A KDC nem tartja nyilván a TGT-ket Gyorsabb megoldás mivel nem kell keresgélnie az adatbázisában

Kerberos működése KRB_AS_REQ KRB_AS_REP KRB_TGS_REQ KRB_TGS_REP KRB_AP_REQ KRB_AP_REP

Adat titkosítás A viszony kulcs az adat: Aláírására Titkosítására használható. (CIFS) HKLM\System\CurrentControlSet\Services\LanManServer\Parameters EnableSecuritySignature RequireSecuritySignature HKLM\System\Current-ControlSet\Services\Rdr\Parameters Q161372

Bejelentkezés egy Windows 2000 szerverbe Helyi bejelentkezés (Egy tartományos modell): <CTRL><ALT><DEL> DNS keresés (_kerberos , _kpasswd ) KRB_AS_REQ Az Azonosító Szolgáltatás azonosítja a felhasználót majd KRB_AS_REP üzenetet küld. A helyi gép egy KRB_TGS_REQ üzenetet küld. A kdc KRB_TGS_REP választ küld A jegyet megvizsgálja az LSA

Jegy tulajdonságok FORWARDABLE FORWARDED PROXIABLE PROXY RENEWABLE A szerver szerzi be a jegyet FORWARDED PROXIABLE Kliens szerzi be a jegyet Tudni kell a háttérszerver adatait PROXY RENEWABLE A viszony kulcsok cserélhetőek a jegy újragenerálása nélkül Aktuális kulcs időtartam (tipikusan egy nap) Teljes kulcs időtartam (néhány hét) INITIAL

Hálózati bejelentkezés KRB_TGS_REQ KRB_TGS_REP KRB_AP_REQ KRB_AP_REP

Bejelentkezés más tartományba A felhasználó vagy az erőforrás más tartományhoz tartozik (Alice Europe, Gép NA). KRB_AS_REQ és KRB_AS_REP (Europe) KRB_TGS_REQ , KRB_TGS_REP KRB_TGS_REQ Europe Hivatkozó jegy NA irányába (compaq.com, tartományközi jelszó) DNS kdc keresés compaq.com-ban Hivatkozó jegy NA-ra KDC keresés NA-ban TGS_REP az erőforrásra Ez nem történik meg minden alkalommal (tárolás), a csomagok kicsik

Tartományok közötti kapcsolat Tartományi megbízott fiókok A tartomány közti azonosítást a speciális megbízó (principal) fiókot tárol a másik tartományról Tartomány közti kulcsok (inter-realm key) A kulcs a jelszóból származik mely megfelelő időközönként cserélődik Valós megbízotti kapcsolat: Közös titkos kulcs (dcpromo) krbtgt fiók: Az ő jelszava lesz a Master Key A jelszó menetrend szerint váltakozik Jelentős DC használat (principal, tartomány)

Azonosítás delegálása

Smart card belépés PKINIT CA használat Menet: PA-PK-AS-REQ …

Tartalom (1) ADAM PKI és társai ADAM vs. Active Directory ADAM architektúra ADAM fizikai architektúra ADAM logikai architektúra PKI és társai Kivonat Szimmetrikus titkosítás Aszimmetrikus titkosítás Digitális aláírás Digitális tanúsítvány Tanúsítvány hatóság

Tartalom (2) Azonositási protokollok: TLS NTLM Kerberos V5

A következő előadás tartalma Windows biztonsági architektúra Active Directory biztonsági architektúra