Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben Előadó: Keleti Arthur Szendeffy Szilárd

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Miről lesz szó? –Milyen pontokon és mi ellen kell védekeznünk? –A hatékony védelem rétegei és eszközei a Microsoft tárházából: ISA 2004 EE bejelentés, Exchange szolgáltatások védelme és publikációja ISA Server segítségével (OWA, OMA, RPC over HTTPS), Titkosított VPN csatorna azonosítása és használata a vállalati távmunkához, Microsoft CA, hitelesség és azonosítás a vállalat erőforrásainak védelmére.

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Mi ellen is védekezzünk? Vírus Illetéktelen belső hozzáférés Laptop/mobil lopás Illetéktelen információ szerzés Rendszer feltörés Denial of Service

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Mi ellen is védekezzünk? Szabotázs Rendszerbetörés Web site átírása Web site feltörése Telekomm. csalás Illegális hozzáférés Laptop/mobil lopás Pénzügyi csalás Rádiós hálózat törése Illegális belső hozzáf. Információlopás Denial of Service Vírus

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Aggasztóan nagy ütemben fejlődő vírusok és fertőzések amiket nehéz felszámolni Ismeretlen fenyegetettségek amikre nehéz felkészülni Munkatársak, akik nem tartják be az előírásokat és a tevékenységük ellenőrzése is problémás Jogszabályok, rendeletek, direktívák,ellenőrző hatóságok Belső utasítások, a vezetés akarata, a cég stratégiája Milyen Problémákkal küzd a Biztonsági Vezető? Pénz, ami hol van, hol nincs, de általában nem elegendő és félő, hogy rossz dolgokra költjük el

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hogyan épül fel az IT Biztonság? Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat BASEL2 SOX Biztonsági rendszerek Trend Micro Entrust Hogyan épül fel az IT Biztonság? Auditok, Dokumentációk Felügyelet Oktatás Hibaelhárítás Döntések Informatikai biztonság Checkpoint Microsoft Cisco Symantec McAfee SurfControl ISS Balabit RSA MSZ ISO/IEC BS BS MSZE COBIT Common Criteria MSZ ISO/IEC TR 13335:2004 MSZ ISO/IEC 15408:2002 Counterpane OneSecure Symantec ICON ISS Invesztálás Kiszervezés Hibakezelés Ügyelet Biztonsági menedzser Gyártói vizsgák Gyártói tanfolyamok CISM GISO GISEC CISA CISSP Incidenskezelés Támogatás, HD Garanciák Szerződések Bérlet Munkaerő Technológiai döntések

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biometria PKI (elektronikus aláírás) Smart card és jelszó token File titkosítás Behatolásvédelmi rendszer (IPS) Többször használatos jelszó Adatfolyam titkosítás (pl. VPN) Behatolásjelző rendszer (IDS) Szerver hozzáférési listák (ACL) Tűzfalak Vírusvédelem Biztonsági eszközök, technológiák

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 Csomag és alkalmazásszintű Tűzfal, VPN megoldás és Web Cache alkalmazás. Emelt szintű védelem Alkalmazásszinten megvalósított védelem a Microsoft technológiák számára már készen, könnyen bővíthető módon Könnyű használhatóság Hatékony telepítés, illesztés, könnyű üzemeltetés Gyors, biztonságos hozzáférés Költségkímélő módon teszi lehetővé, az intranet szolgáltatásainak eljuttatását a mobil felhasználók számára

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 verziói ISA Server 2004 Standard Edition –2004 júliustól ISA Server 2004 Enterprise Edition –RTM 2005 január, 2005 március –Nagy rendelkezésre állás (HA), központi felügyelet és array caching (CARP) ISA Server alapú eszközök: Celestix, HP, RimApp, Network Engines Más gyártók kiegészítései (filtering add-on): –Exchange Anti-Spam:IMF (Microsoft), Symantec (Brightmail) –Exchange Anti-Virus:Trend Micro, McAfee, Symantec, CA, Sophus, Sybari, GFI, Panda, others –ISA Server AntivirusMcAfee, GFI, Panda –Intrusion DetectionISS, GFI

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az Enterprise Edition újdonságai Házirend alapú konfigurációkezelés Központi felügyelet (ADAM) NLB CARP (Cache Array Routing Protocol) Skálázhatóság (NLB, SMP)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Alkalmazási réteg forgalma: ??????????????????????????????? Csak a fejléc ellenőrizve IP fejléc: Source Address, Dest. Address, TTL, Checksum TCP fejléc: Sequence Number Source Port, Destination Port, Checksum Port száma alapján: mehet – nem mehet –Azonos portot használ a szabályszerű forgalom, mint az alkalmazási rétegben jövő támadások Internet Várt HTTP forgalom Nem várt HTTP forgalom Támadás Nem-HTTP forgalom Corporate Network Csomagszűrő tűzfalak

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonságban van? HTTP-Tunnel !

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Alkalmazás szinten működő tűzfalak Alkalmazási réteg tartalma: BOX.sk <!--// <![CDATA[ IP fejléc: Source Address, Dest. Address, TTL, Checksum TCP fejléc: Sequence Number Source Port, Destination Port, Checksum Az engedélyezés a tartalom alapján történik –Csak az engedélyezett forgalom kerül feldolgozásra Internet Engedélyezett HTTP forgalom Tiltott HTTP forgalom Támadás Nem-HTTP forgalom Corporate Network A fejléc és a tartalom is ellenőrizve

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 felhasználás Biztonságos hozzáférés szolgáltatása Biztonságos Intranet hozzáférés Belső hálózat elérése (RAS) Belső hálózat elérése partnerek számára Telephelyek összekapcsolása Káros, vagy nem kívánt tartalom szűrése Internet elérés gyorsítása …

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonságos hozzáférés FunkcióÚj Alkalmazás- szintű tűzfal SMTP szűrés HTTP szűrő / OWA RPC filter (Exchange 2000) Outlook Web Access (OWA) Front End FBA (a tűzfalon) Session timeout (a tűzfalon) Csatolt tartalom blokkolása (a tűzfalon) HTTP proxySSL bridging AzonosításRADIUS authentication SecureID authentication AdminisztrációEgyszerű varázslók

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat SMTP protokoll szűrése Exchange Server 2003 SMTP anti-spam –DNS blokklisták (RBL) –Allow/Deny lista –Biztonságos feladók (Safe Sender Lists) –Címzettek blokkolása –Ismert junk küldők (Domain/User) ISA Server 2004 –Kikényszeríti az SMTP szabványnak való megfelelést –Letiltható akármelyik SMTP parancs

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat hozzáférés módjai A tűzfalon ki kell nyitogatni portokat a be és kimenő forgalomnak: – kiszolgáló felé: SMTP, POP3, OWA (using SSL, RPC) – kiszolgáló felől: SMTP Korlát: –Nincs kontrol arra nézve, hogy mi megy a csatornában Exchange Server Allow: Port 25 (SMTP) Allow: Port 110 (POP3) Allow: Port 25 Allow: Port 443 (SSL) Internet Allow: Port 135 (RPC)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC hagyományos tűzfalon át ServiceUUIDPort Exchange Info Store {0E4A0156-DD5D-11D2-8C2F- 00CD4FB6BCDE} 4402 Active Directory {E B06-11D1-AB04- 00C04C2DCD2} 3544 Performance Monitor {A00C021C-2BE2-11D2-B F87A8F8E} 9233 RPC Server (Exchange 2000) RPC Client (Outlook) TCP 135: Port for {0E4A…} Port 4402: Data Táblázat: UUID – Port 1 A kliens a kiszolgáló 135-ös portjához kapcsolódik és kéri az UUID-nak megfelelő portot 2 Válaszol a kiszolgáló 3 A kliens a kiszolgáló kapott portjához kapcsolódik 4 Server: Port 4402 Internet Hagyományos tűzfal nem képes biztonságosan RPC kapcsolatot kialakítani

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC ISA 2004 kiszolgálóval RPC Server (Exchange 2000) Outlook TCP 135: Port for {0E4A… ? Port 4402: Data Server: Port 4402 Internet Kezdeti kapcsolat: –Csak érvényes RPC, Exchange forgalom engedélyezett Másodlagos kapcsolat –Csak a másodlagos kapcsolatot engedi –Titkosítást biztosítja

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server 2004 és OWA Az OWA kiszolgáló azonosítást kér - bárkitől, aki eléri ezt a címet HagyományostűzfalHagyományostűzfal OWAOWA ÜgyfélÜgyfél SSLSSL Az SSL átmegy a hagyományos tűzfalon, mivel titkosítva van… …ami átengedi a vírusokat, férgeket… …és megfertőzi a belső kiszolgálót… ISA Server 2004 Delegált basic authentication Az ISA Server azonosítja a felhasználót, csak valós forgalmat enged át SSL or HTTP SSLSSL Az ISA Server képes kibontani és megvizsgálni az SSL forgalmat A megvizsgált kérés továbbküldhető a belső kiszolgálóhoz, újra titkosítottan vagy nem Internet ISA Server ALF

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat RPC over HTTP becsomagolja az RPC forgalmat HTTP-be –Egy belső Web szerver (RPC proxy) kicsomagolja azt. –A legtöbb tűzfal átengedi a HTTP forgalmat Probléma: RPC proxy támadható (hagyományos web alapú támadások) Hogyan működik az RPC over HTTP? RPC forgalom Web Server Attacks Internet HTTP forgalom Exchange Client Access Services

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Az RPC over HTTP ISA kiszolgálóval ISA Server terminálja az SSL csatornát –Átnézi, ellenőrzi a HTTP forgalmat –Blokkol minden forgalmat, kivéve a „ ” Nincs az RPC proxy felé direkt kapcsolat Alkalmazás szinten szűrés RPC forgalom Web Server Attacks Internet Exchange Client Access Services

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hagyományos VPN kialakítás A VPN gateway és a tűzfal különböző eszközök A VPN kliens teljes hozzáférést kap, mikor bejön a belső hálózatra A tűzfal egy külön lábára jön be, esetleg opcionálisan másik tűzfalon át Internal Network Firewall VPN Gateway Internet

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA Server VPN kialakítás Tartalmazza a VPN gateway-t és a tűzfal funkciót is A VPN kliensek szabályozottan érhetik el a belső hálózatot Internal Network ISA Server Internet

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Biztonság Széles protokoll támogatás –PPTP és L2TP/IPSec –IPSec NAT traversal (NAT-T) Azonosítás –Active Directory: a Windows account-ot használja, támogatja a PKI infrastruktúrát Smart card (így a két faktorú azonosítást – pl. RSA SecurID, ICON HYDRA) –RADIUS: szabványos régóta használt, nem-alapú fiókadatbázis használata –SecurID: Erős kétfaktorú azonosítást nyújt, tokenek és RSA kiszolgálók használatával.

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Hálózati karantén Kliens oldali script ellenőrzi, hogy az adott ügyfél (pc, account) megfelel-e a vállalati biztonsági szabványoknak: –AntiSpyware telepítve? –Engedélyezett a személyes tűzfal? –Vírusdefiníciós fájl friss? –Biztonsági javítások? Ha az ellenőrzés sikeres, akkor megkapja a hozzáférést, ha nem akkor szétkapcsol (timeout) Cél: Gyengén védett kliensek ne érhessék el a belső hálózatot.

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat ISA 2004 VPN használata Távoli hozzáférés biztosítása felhasználóknak Belső hálózat korlátozott elérése partnereknek Telephelyek összekapcsolása

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Microsoft CA, hitelesség és azonosítás Microsoft 2003 Certificate Authortiy Microsoft 2003 Active Directory Microsoft Windows XP Microsoft Office Intelligens kártya Microsoft Internet Explorer

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat A PKI rendszer ‘magjának’ alkotóelemei Certificate Authority (CA) a tanúsítványok kiállításáért felelős - Címtár szolgáltatás a kulcsok, tanúsítványok és a visszavont tanúsítványok jegyzékét (CRL) tartalmazza - Menedzsment konzol a kulcsok kezelését és szétosztását végzi - Registration Authority (RA) a felhasználók regisztrációját és tanúsítvány kérelmeik feldolgozását végzi (általában a CA-ba integrált) - Kulcs visszaállítási szolgáltatás adatok, vagy üzenetek visszaállítására, ha egy privát kulcs esetlegesen megsérül, vagy elvész és a kiegészítő alkotóelemek

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat publikus kulcs a tanusítvány birtokosának neve a kiadó CA egyedi neve a tanusítvány verziószáma a tanusítvány szériaszáma aláírás algoritmus azonosító a kiadó CA neve érvényesség bővítések a tanusítvány hitelesítő CA titkos kulcsa szokták root CA tanusítványnak is hívni a CA aláírása a Hogyan is épül fel egy tanúsítvány?

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Digitális tanúsítványt kibocsátó szerver Certificate Server Digitális tanúsítványok tár szolgáltatása Certificate Repository Kulcs visszaállító Key Recovery Menedzsment konzol Biztonságos kliens VPN Router Távoli hozzáférés Web szerver PKI szerverekkel működő alkalmazások PKI szerverek

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Windows XP logon digitális aláírása, titkosítása Távoli elérés és VPN csatorna Web felülethez azonosítás Web kapcsolat titkosítás SSL Web form aláírása File és directory titkosítás File tárolás (meghajtóként) Statikus jelszó tárolás Single SignOn Eurocard-Mastercard (EMV) Credit alkalmazások (pl. büfé) Ajtónyitás (fizikai beléptető) Microsoft Windows X P Microsoft Outlook Microsoft Windows XP Microsoft Internet Explorer Microsoft EFS (XP – 2003) Microsoft Windows XP Windows XP + Alkalmaz ások Microsoft Windows XP Harmadik gyártó Microsoft 2003 Certificate Authortiy Microsoft 2003 Active Directory Intelligens kártya (pl. ICON HYDRA)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Certificate autoenrollment Néhány példa a PKI képességekből Folder titkosítási lehetőségek

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat + V2.0 PKI JAVA Access Beépített közelítő chip az ajtónyitáshoz Vékony kártyatest minden kártyaolvasóhoz Arckép és személyi adatok lézergravírozására alkalmas biztonsági bevonat Hologram és további biztonsági elemekre előkészítve Intelligens kártya Chip a PKI (pl. elektronikus aláírás) funkciókhoz Eurocard-MasterCard-Visa kompatibilitás JAVA kompatíbilitás az egyedi alkalmazásokhoz (pl. munkaügyi kártya, forgalmi igazolvány stb.)

Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Köszönjük a figyelmüket!