Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben.

Slides:



Advertisements
Hasonló előadás
Microsoft Üzleti Megoldások Konferencia Biztonsági audit a gyakorlatban “eposz a működő informatikai biztonságról” Keleti Arthur ICON Számítástechnikai.
Advertisements

Dolgozni már bárhonnan lehet…
Virtualizált Biztonságos BOINC Németh Dénes Deák Szabolcs Szeberényi Imre.
Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
Hálózati és Internet ismeretek
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Számítógépes hálózatok Páll Boglárka. Meghatározás  A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese.
AZ INFORMATIKAI BIZTONSÁG
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
IBM IT biztonsági szeminárium június 12. Tóth Vencel
Számítógépes rendszerek védelme a biztonsági Főnök szemével
Microsoft Üzleti Megoldások Konferencia Naprakész Microsoft technológiák banki környezetben Bessenyei László Magyar Külkereskedelmi Bank Rt.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Mobil eszközök alkalmazása vállalati környezetben
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
2008. november 17. Fazekas Éva, Processorg Software 82 Kft.
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
Informatikai megoldások egy kézből
Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, Bodnár Gábor,
Jogában áll belépni?! Détári Gábor, rendszermérnök.
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Áttérés Exchange 2003-ra Gazdasági előnyök Ferencz István konzulens.
Áttérés Windows Server 2003-ra és Szerverfelügyelet GTM szeminárium sorozat Áttérés Windows Server 2003-ra heterogén környezetekről Nagy Gábor Műszaki.
Digitális információink védelme Borbély András, Grepton Rt.
Megoldás Felhő szolgáltatások és Windows 7.
Biztonság. Magas Alacsony A behatoló tudása A támadás okozta kár Cross site scripting jelszó próba port próba jelszó feltörés ismert.
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
TT Kovács Sándorné.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Miért felügyeljük az ügyfélkörnyezetet? Tervezési segédlet Ügynök nélküli felügyelet A fontos ügyfelekről Riportok, trendek és amit ezekből tanulhatunk.
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Szoftver, mint szolgáltatás - Innovatív megoldások beruházás nélkül
Mobil eszközök biztonsági problémái
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Dokumentumkezelés Magyarországon
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Óravázlat Készítette: Toldi Miklós
Ingyenes,Multi funkcionális tűzfal szoftver
Intranet, extranet portál GTM szeminárium sorozat Tartalom életútja a keletkezéstől az internetes és intranetes publikációig Microsoft SharePoint Portal.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Exchange migrációs tapasztalatok Előadó: Sali Róbert Vezérigazgató helyettes.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
Számítógépes hálózatok Páll Boglárka. Meghatározás A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese. Például:
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
Irány a felhő Előnyök, tapasztalatok Sárdy Tibor
Tűzfal (firewall).
1 Határtalan határvédelem Illés Márton
Biztonság kábelek nélkül Magyar Dénes május 19.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Nagyvállalati szintű felhős szolgáltatások Eszközök - Szolgáltatások.
Samsung Confidential Újdonságok Illés János2013. május 28.
WLAN-ok biztonsága.
Kinek törték már fel az autóját?
Az INTEGRÁLT RENDSZER Több egymáshoz kapcsolódó, egymást kiegészítő biztonsági rendszer összessége, szoftver és hardver elemekből felépítve.
Előadás másolata:

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben Előadó: Keleti Arthur Szendeffy Szilárd

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Miről lesz szó? –Milyen pontokon és mi ellen kell védekeznünk? –A hatékony védelem rétegei és eszközei a Microsoft tárházából: ISA 2004 EE bejelentés, Exchange szolgáltatások védelme és publikációja ISA Server segítségével (OWA, OMA, RPC over HTTPS), Titkosított VPN csatorna azonosítása és használata a vállalati távmunkához, Microsoft CA, hitelesség és azonosítás a vállalat erőforrásainak védelmére.

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Mi ellen is védekezzünk? Vírus Illetéktelen belső hozzáférés Laptop/mobil lopás Illetéktelen információ szerzés Rendszer feltörés Denial of Service

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Mi ellen is védekezzünk? Szabotázs Rendszerbetörés Web site átírása Web site feltörése Telekomm. csalás Illegális hozzáférés Laptop/mobil lopás Pénzügyi csalás Rádiós hálózat törése Illegális belső hozzáf. Információlopás Denial of Service Vírus

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Aggasztóan nagy ütemben fejlődő vírusok és fertőzések amiket nehéz felszámolni Ismeretlen fenyegetettségek amikre nehéz felkészülni Munkatársak, akik nem tartják be az előírásokat és a tevékenységük ellenőrzése is problémás Jogszabályok, rendeletek, direktívák,ellenőrző hatóságok Belső utasítások, a vezetés akarata, a cég stratégiája Milyen Problémákkal küzd a Biztonsági Vezető? Pénz, ami hol van, hol nincs, de általában nem elegendő és félő, hogy rossz dolgokra költjük el

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hogyan épül fel az IT Biztonság? Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat BASEL2 SOX Biztonsági rendszerek Trend Micro Entrust Hogyan épül fel az IT Biztonság? Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság Checkpoint Microsoft Cisco Symantec McAfee SurfControl ISS Balabit RSA MSZ ISO/IEC BS BS MSZE COBIT Common Criteria MSZ ISO/IEC TR 13335:2004 MSZ ISO/IEC 15408:2002 Counterpane OneSecure Symantec ICON ISS Invesztálás Kiszervezés Hibakezelés Ügyelet Biztonsági menedzser Gyártói vizsgák Gyártói tanfolyamok CISM GISO GISEC CISA CISSP Incidenskezelés Támogatás, HD Garanciák Szerződések Bérlet Munkaerő Technológiai döntések

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biometria PKI (elektronikus aláírás) Smart card és jelszó token File titkosítás Behatolásvédelmi rendszer (IPS) Többször használatos jelszó Adatfolyam titkosítás (pl. VPN) Behatolásjelző rendszer (IDS) Szerver hozzáférési listák (ACL) Tűzfalak Vírusvédelem Biztonsági eszközök, technológiák

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 Csomag és alkalmazásszintű Tűzfal, VPN megoldás és Web Cache alkalmazás. Emelt szintű védelem Alkalmazásszinten megvalósított védelem a Microsoft technológiák számára már készen, könnyen bővíthető módon Könnyű használhatóság Hatékony telepítés, illesztés, könnyű üzemeltetés Gyors, biztonságos hozzáférés Költségkímélő módon teszi lehetővé, az intranet szolgáltatásainak eljuttatását a mobil felhasználók számára

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 verziói ISA Server 2004 Standard Edition –2004 júliustól ISA Server 2004 Enterprise Edition –RTM 2005 január, 2005 március –Nagy rendelkezésre állás (HA), központi felügyelet és array caching (CARP) ISA Server alapú eszközök: Celestix, HP, RimApp, Network Engines Más gyártók kiegészítései (filtering add-on): –Exchange Anti-Spam:IMF (Microsoft), Symantec (Brightmail) –Exchange Anti-Virus:Trend Micro, McAfee, Symantec, CA, Sophus, Sybari, GFI, Panda, others –ISA Server AntivirusMcAfee, GFI, Panda –Intrusion DetectionISS, GFI

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az Enterprise Edition újdonságai Házirend alapú konfigurációkezelés Központi felügyelet (ADAM) NLB CARP (Cache Array Routing Protocol) Skálázhatóság (NLB, SMP)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Alkalmazási réteg forgalma: ??????????????????????????????? Csak a fejléc ellenőrizve IP fejléc: Source Address, Dest. Address, TTL, Checksum TCP fejléc: Sequence Number Source Port, Destination Port, Checksum Port száma alapján: mehet – nem mehet –Azonos portot használ a szabályszerű forgalom, mint az alkalmazási rétegben jövő támadások Internet Várt HTTP forgalom Nem várt HTTP forgalom Támadás Nem-HTTP forgalom Corporate Network Csomagszűrő tűzfalak

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonságban van? HTTP-Tunnel !

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Alkalmazás szinten működő tűzfalak Alkalmazási réteg tartalma: BOX.sk <!--// <![CDATA[ IP fejléc: Source Address, Dest. Address, TTL, Checksum TCP fejléc: Sequence Number Source Port, Destination Port, Checksum Az engedélyezés a tartalom alapján történik –Csak az engedélyezett forgalom kerül feldolgozásra Internet Engedélyezett HTTP forgalom Tiltott HTTP forgalom Támadás Nem-HTTP forgalom Corporate Network A fejléc és a tartalom is ellenőrizve

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 felhasználás Biztonságos hozzáférés szolgáltatása Biztonságos Intranet hozzáférés Belső hálózat elérése (RAS) Belső hálózat elérése partnerek számára Telephelyek összekapcsolása Káros, vagy nem kívánt tartalom szűrése Internet elérés gyorsítása …

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonságos hozzáférés FunkcióÚj Alkalmazás- szintű tűzfal SMTP szűrés HTTP szűrő / OWA RPC filter (Exchange 2000) Outlook Web Access (OWA) Front End FBA (a tűzfalon) Session timeout (a tűzfalon) Csatolt tartalom blokkolása (a tűzfalon) HTTP proxySSL bridging AzonosításRADIUS authentication SecureID authentication AdminisztrációEgyszerű varázslók

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat SMTP protokoll szűrése Exchange Server 2003 SMTP anti-spam –DNS blokklisták (RBL) –Allow/Deny lista –Biztonságos feladók (Safe Sender Lists) –Címzettek blokkolása –Ismert junk küldők (Domain/User) ISA Server 2004 –Kikényszeríti az SMTP szabványnak való megfelelést –Letiltható akármelyik SMTP parancs

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat hozzáférés módjai A tűzfalon ki kell nyitogatni portokat a be és kimenő forgalomnak: – kiszolgáló felé: SMTP, POP3, OWA (using SSL, RPC) – kiszolgáló felől: SMTP Korlát: –Nincs kontrol arra nézve, hogy mi megy a csatornában Exchange Server Allow: Port 25 (SMTP) Allow: Port 110 (POP3) Allow: Port 25 Allow: Port 443 (SSL) Internet Allow: Port 135 (RPC)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC hagyományos tűzfalon át ServiceUUIDPort Exchange Info Store {0E4A0156-DD5D-11D2-8C2F- 00CD4FB6BCDE} 4402 Active Directory {E B06-11D1-AB04- 00C04C2DCD2} 3544 Performance Monitor {A00C021C-2BE2-11D2-B F87A8F8E} 9233 RPC Server (Exchange 2000) RPC Client (Outlook) TCP 135: Port for {0E4A…} Port 4402: Data Táblázat: UUID – Port 1 A kliens a kiszolgáló 135-ös portjához kapcsolódik és kéri az UUID-nak megfelelő portot 2 Válaszol a kiszolgáló 3 A kliens a kiszolgáló kapott portjához kapcsolódik 4 Server: Port 4402 Internet Hagyományos tűzfal nem képes biztonságosan RPC kapcsolatot kialakítani

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC ISA 2004 kiszolgálóval RPC Server (Exchange 2000) Outlook TCP 135: Port for {0E4A… ? Port 4402: Data Server: Port 4402 Internet Kezdeti kapcsolat: –Csak érvényes RPC, Exchange forgalom engedélyezett Másodlagos kapcsolat –Csak a másodlagos kapcsolatot engedi –Titkosítást biztosítja

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 és OWA Az OWA kiszolgáló azonosítást kér - bárkitől, aki eléri ezt a címet HagyományostűzfalHagyományostűzfal OWAOWA ÜgyfélÜgyfél SSLSSL Az SSL átmegy a hagyományos tűzfalon, mivel titkosítva van… …ami átengedi a vírusokat, férgeket… …és megfertőzi a belső kiszolgálót… ISA Server 2004 Delegált basic authentication Az ISA Server azonosítja a felhasználót, csak valós forgalmat enged át SSL or HTTP SSLSSL Az ISA Server képes kibontani és megvizsgálni az SSL forgalmat A megvizsgált kérés továbbküldhető a belső kiszolgálóhoz, újra titkosítottan vagy nem Internet ISA Server ALF

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC over HTTP becsomagolja az RPC forgalmat HTTP-be –Egy belső Web szerver (RPC proxy) kicsomagolja azt. –A legtöbb tűzfal átengedi a HTTP forgalmat Probléma: RPC proxy támadható (hagyományos web alapú támadások) Hogyan működik az RPC over HTTP? RPC forgalom Web Server Attacks Internet HTTP forgalom Exchange Client Access Services

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az RPC over HTTP ISA kiszolgálóval ISA Server terminálja az SSL csatornát –Átnézi, ellenőrzi a HTTP forgalmat –Blokkol minden forgalmat, kivéve a „ ” Nincs az RPC proxy felé direkt kapcsolat Alkalmazás szinten szűrés RPC forgalom Web Server Attacks Internet Exchange Client Access Services

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hagyományos VPN kialakítás A VPN gateway és a tűzfal különböző eszközök A VPN kliens teljes hozzáférést kap, mikor bejön a belső hálózatra A tűzfal egy külön lábára jön be, esetleg opcionálisan másik tűzfalon át Internal Network Firewall VPN Gateway Internet

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server VPN kialakítás Tartalmazza a VPN gateway-t és a tűzfal funkciót is A VPN kliensek szabályozottan érhetik el a belső hálózatot Internal Network ISA Server Internet

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonság Széles protokoll támogatás –PPTP és L2TP/IPSec –IPSec NAT traversal (NAT-T) Azonosítás –Active Directory: a Windows account-ot használja, támogatja a PKI infrastruktúrát Smart card (így a két faktorú azonosítást – pl. RSA SecurID, ICON HYDRA) –RADIUS: szabványos régóta használt, nem-alapú fiókadatbázis használata –SecurID: Erős kétfaktorú azonosítást nyújt, tokenek és RSA kiszolgálók használatával.

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hálózati karantén Kliens oldali script ellenőrzi, hogy az adott ügyfél (pc, account) megfelel-e a vállalati biztonsági szabványoknak: –AntiSpyware telepítve? –Engedélyezett a személyes tűzfal? –Vírusdefiníciós fájl friss? –Biztonsági javítások? Ha az ellenőrzés sikeres, akkor megkapja a hozzáférést, ha nem akkor szétkapcsol (timeout) Cél: Gyengén védett kliensek ne érhessék el a belső hálózatot.

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA 2004 VPN használata Távoli hozzáférés biztosítása felhasználóknak Belső hálózat korlátozott elérése partnereknek Telephelyek összekapcsolása

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Microsoft CA, hitelesség és azonosítás Microsoft 2003 Certificate Authortiy Microsoft 2003 Active Directory Microsoft Windows XP Microsoft Office Intelligens kártya Microsoft Internet Explorer

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat A PKI rendszer ‘magjának’ alkotóelemei Certificate Authority (CA) a tanúsítványok kiállításáért felelős - Címtár szolgáltatás a kulcsok, tanúsítványok és a visszavont tanúsítványok jegyzékét (CRL) tartalmazza - Menedzsment konzol a kulcsok kezelését és szétosztását végzi - Registration Authority (RA) a felhasználók regisztrációját és tanúsítvány kérelmeik feldolgozását végzi (általában a CA-ba integrált) - Kulcs visszaállítási szolgáltatás adatok, vagy üzenetek visszaállítására, ha egy privát kulcs esetlegesen megsérül, vagy elvész és a kiegészítő alkotóelemek

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat publikus kulcs a tanusítvány birtokosának neve a kiadó CA egyedi neve a tanusítvány verziószáma a tanusítvány szériaszáma aláírás algoritmus azonosító a kiadó CA neve érvényesség bővítések a tanusítvány hitelesítő CA titkos kulcsa szokták root CA tanusítványnak is hívni a CA aláírása a Hogyan is épül fel egy tanúsítvány?

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Digitális tanúsítványt kibocsátó szerver Certificate Server Digitális tanúsítványok tár szolgáltatása Certificate Repository Kulcs visszaállító Key Recovery Menedzsment konzol Biztonságos kliens VPN Router Távoli hozzáférés Web szerver PKI szerverekkel működő alkalmazások PKI szerverek

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Windows XP logon digitális aláírása, titkosítása Távoli elérés és VPN csatorna Web felülethez azonosítás Web kapcsolat titkosítás SSL Web form aláírása File és directory titkosítás File tárolás (meghajtóként) Statikus jelszó tárolás Single SignOn Eurocard-Mastercard (EMV) Credit alkalmazások (pl. büfé) Ajtónyitás (fizikai beléptető) Microsoft Windows X P Microsoft Outlook Microsoft Windows XP Microsoft Internet Explorer Microsoft EFS (XP – 2003) Microsoft Windows XP Windows XP + Alkalmaz ások Microsoft Windows XP Harmadik gyártó Microsoft 2003 Certificate Authortiy Microsoft 2003 Active Directory Intelligens kártya (pl. ICON HYDRA)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Certificate autoenrollment Néhány példa a PKI képességekből Folder titkosítási lehetőségek

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat + V2.0 PKI JAVA Access Beépített közelítő chip az ajtónyitáshoz Vékony kártyatest minden kártyaolvasóhoz Arckép és személyi adatok lézergravírozására alkalmas biztonsági bevonat Hologram és további biztonsági elemekre előkészítve Intelligens kártya Chip a PKI (pl. elektronikus aláírás) funkciókhoz Eurocard-MasterCard-Visa kompatibilitás JAVA kompatíbilitás az egyedi alkalmazásokhoz (pl. munkaügyi kártya, forgalmi igazolvány stb.)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Köszönjük a figyelmüket!