Üzemeltetői Konferencia V. Harmath Zoltán

Slides:



Advertisements
Hasonló előadás
A számítógépes hálózatok és az Internet
Advertisements

A hálózat működése 1. A DHCP és az APIPA
Dolgozni már bárhonnan lehet…
Hitelesítés és tanúsítványkezelés
Hálózati alapismeretek
Készítette: Nagy Márton
Kliens-szerver architektúra
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
HÁLÓZATOK.
Vezeték nélküli technológiák
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
WordLearner.com -- Learn or Teach Words in Almost Any Language WordLearner.com online és offline nyelvoktatás mobiltelefonon és interneten Benedek Balázs.
Windows hálózati infrastruktúra kialakítása
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Microsoft Forefront biztonsági megoldások
Hálózati architektúrák
Levelező program beállítása webmail-hez
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
WEB Technológiák Coldfusion ME Általános Informatikai Tsz. dr. Kovács László.
Network Access Protection
Erős bástya – biztonsági újdonságok
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
Exchange Server 2007 Client Access Role
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
Takács Béla Eset: Egyenrangú (peer-to-peer) hálózat Mi kell hozzá? A számítógépekben (PC-kben) legyen hálózati kártya (Network Interface Card)
Peer to Peer fájlmegosztó alkalmazás Médiakommunikáció-labor 2004 Csontos Gergely, Kőszeg György, Somogyi Tamás.
, levelezés … kérdések - válaszok Takács Béla 2008.
a Moodle autentikációjához a PTE FEEK-en
Web Architecture. Development of Computing Architectures Monolithic mainframe programming Client Server Real Client Server Web Programming.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Network Access Protection
A felhasználó központú IT Windows Server 2012 R2 konferencia
Óravázlat Készítette: Toldi Miklós
Hálózatok.
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése.
Ingyenes,Multi funkcionális tűzfal szoftver
Számítógép hálózatok.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
DNS Domain Name System. DNS - WINS WINSDNS Barátságos NetBIOS nevek LAN-okonBarátságos DNS nevek WAN-okonSík névtér, 15 karakteres névHierarchikus névtér,
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
Számítógépes hálózatok Páll Boglárka. Meghatározás A számítógépes hálózat, számítógépek és egyéb hardvereszközök egymással összekapcsolt együttese. Például:
A Windows Server 2003 telepítése. Javasolt, minimális hardver CPU1 GHz RAM512 MB HDD2-2,5 GB + Exchange, SQL…
A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. Számítógép- hálózatok dr. Herdon Miklós dr. Kovács György Magó Zsolt.
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
Tűzfal (firewall).
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
1 Határtalan határvédelem Illés Márton
Biztonság kábelek nélkül Magyar Dénes május 19.
Hálózati architektúrák
WLAN-ok biztonsága.
Hálózati struktúrák, jogosultságok
CONNECTRA rendszer bevezetése
Kisvállalati hálózat kialakítása raspberry szerverrel
Előadás másolata:

Üzemeltetői Konferencia V. Harmath Zoltán

Kérdezz-felelek Ki tudja mi az a VPN? Ki tudja mi az a VPN? Kik használnak a cégnél VPN-t? Kik használnak a cégnél VPN-t? Kik használnak nem Microsoft alapú VPN kiszolgálót? Kik használnak nem Microsoft alapú VPN kiszolgálót? Kik használnak Microsoft Windows Server 2003 alapú VPN kiszolgálót? Kik használnak Microsoft Windows Server 2003 alapú VPN kiszolgálót?

Gyors áttekintés Internet VPN kliensVPN kiszolgáló Helyi hálózat Internet kapcsolat VPN csőVPN kapcsolat ? A VPN kliens kap egy belső IP címet, amivel eléri a belső erőforrásokat Elég ismernem egy felhasználói nevet, jelszót, tartományt és VPN szerver nevet és betudok tárcsázni bármely szervezethez A VPN csőben átmenő adatok esetében fontos az adatintegrítás, és a privacy Biztonságos módon kell tudnom azonosítani a felhasználót a VPN kiszolgálón A VPN kliens a belső, védett hálózat részeként kommunikál, így akár megfertőzheti a védett gépeket - Forgalom szűrése a VPN csőben - Megbízható azonosítás - Titkosítás kényszerítése - RADIUS alkalmazása - Biztonsági BaseLine kényszerítése a VPN kliensre

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

Megbízható azonosítás I. Cél - a kockázat csökkentése Cél - a kockázat csökkentése Tapasztalat Tapasztalat  A kockázat nem csökkenthető le nullára, erre ne is törekedjünk  Mindenkinek más és más jelenti a kockázatot  Kockázat elemzés során el kell dönteni, hogy mi a vállalható kockázat (MOF) Gyakori megoldások Gyakori megoldások  Forrás IP cím alapján történő szűrés  Kötelező IPSec használata  Smart-card alapú hitelesítés  Biometrikus hitelesítések  A fentiek tetszőleges kombinációja

Megbízható azonosítás II. Azonosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben Azonosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben Smart-Card esetén Smart-Card esetén  EAP Nem SC esetén Nem SC esetén  MS-CHAP v2 Eltérés esetén a kapcsolat nem épül fel Eltérés esetén a kapcsolat nem épül fel

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

Titkosítás kényszerítése MPPE – Microsoft Point-to-Point Encryption MPPE – Microsoft Point-to-Point Encryption Javasolt a 128 bit alkalmazása Titkosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben Figyelnünk kell a kliensek támogatottságára Ha nem azonos a kliens beállításokkal a kapcsolat nem épül fel

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

Forgalom szűrése a „VPN csőben” Ha a VPN csőbe belátnék, akkor nem lenne biztonságos Ha a VPN csőbe belátnék, akkor nem lenne biztonságos  Nem tudunk a csőben szűrni  Csak a végpontokon RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom szűrésére RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom szűrésére  Input Filter  Output Filter

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

RADIUS alkalmazása I. A felhasználót célszerű a tartományunkból azonosítani (SSO) A felhasználót célszerű a tartományunkból azonosítani (SSO) Milyen azonosítást támogat az RRAS? Milyen azonosítást támogat az RRAS?  Windows Authentication és Accounting  Workgroup esetén helyi csoportok és felhasználók  Tartomány esetén helyi és tartományi csoportok és felhasználók  RADIUS Authentication és Accounting  Külön névtérként kell kezelni és a beállításunknak megfelelően egy vagy több tartományból azonosíthatjuk a felhasználóinkat

RADIUS alkalmazása II. Szótár Szótár  RADIUS kliens  Aki kezdeményezi a RADIUS azonosítást  Microsoft környezetben ez az VPN kiszolgáló  RADIUS szerver  Aki fogadja a RADIUS autentikációs kérést  Microsoft környezetben ez az IAS kiszolgáló Régi újdonságunk Régi újdonságunk  RADIUS Proxy

RADIUS alkalmazása III. VPN Kliens RADIUS kiszolgáló Tartományvezérlő VPN kapcsolat kezdeményezése 2.Bejelentkezési információk továbbítása a RADIUS kiszolgálónak 3.Bejelentkezési információk ellenőrzése 4.Tartományvezérlő válasza 5.Radius kiszolgáló válasza 6.Válasz a felhasználói munkaállomásnak

RADIUS alkalmazása IV. Megfontolások Megfontolások  „Erős” shared secret  Egyedi RADIUS port alkalmazása  Man in the middle Attack elleni védelem  Védett hálózati szakasz a RADIUS kliens és az IAS között  IPSec – teljes mértékben támogatott és javasolt de nem shared key alapon

Demo Azonosítási beállítások Azonosítási beállítások Titkosítási beállítások Titkosítási beállítások Forgalom szűrési beállítások Forgalom szűrési beállítások RADIUS beállítások RADIUS beállítások

Biztonsági BaseLine kiterjesztése a VPN kliensekre Internet Miért szükséges?

BaseLine kiterjesztése a VPN kliensekre Előfeltételek Előfeltételek  Windows Server 2003 alapú VPN kiszolgáló  Windows Server 2003 alapú IAS kiszolgáló  Active Directory  RADIUS azonosítás alkalmazása  Connection Manager alapú VPN kapcsolat  Programozási tudás A fentiek ellenére nem lehetetlen A fentiek ellenére nem lehetetlen

VPN KliensVPN KiszolgálóTartomány A VPN kapcsolat felépítés CM profilból 2.RADIUS azonosítás 3.RADIUS válasz, benne a Quarantine információval 4.Válasz a felhasználónak 5.After Connection script futtatása a kliens oldalon majd visszajelzés a VPN kiszolgálónak 6.Quarantine információ eltávolítása / kapcsolat bontása BaseLine kiterjesztése a VPN kliensekre

Elérhető quarantine opciók Elérhető quarantine opciók  MS-Quarantine-IPFilter (4165)  MS-Quarantine-Session-Timeout (4166) IAS házirendenként definiálható IAS házirendenként definiálható BaseLine kiterjesztése a VPN kliensekre

MS-Quarantine-IPFilter MS-Quarantine-IPFilter  Segítségével a kliensre IP szűrőket definiálhatunk From Client és To Client megközelítésben  Lényege: segítségével beállítható, hogy a BaseLine-nak nem megfelelő kliens mit láthat a hálózaton (pl.: telepítőkészleteket tartalmazó megosztásokat) MS-Quarantine-Session-Timeout MS-Quarantine-Session-Timeout  Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk  Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat A kettő kombinálható egymással A kettő kombinálható egymással BaseLine kiterjesztése a VPN kliensekre

MS-Quarantine-Session-Timeout MS-Quarantine-Session-Timeout  Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk  Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat BaseLine kiterjesztése a VPN kliensekre

Internet Quarantine hálózat BaseLine kiterjesztése a VPN kliensekre

Technikai háttér Technikai háttér  rqc.exe alkalmazást kell meghívni kliens oldalon, ami egy stringet elküld az RRAS kiszolgálón futó rqs.exe modulnak  rqs.exe alkalmazás az RRAS kiszolgálón várja a stringet, ha megérkezik akkor a kliens megfelelt a BasLine-nak és leszedhető róla a Quarantine BaseLine kiterjesztése a VPN kliensekre

Miért biztonságos ez? Miért biztonságos ez?  Mert a kliens oldalon nem jelenik meg a string, kiolvasható formában  Mert a kliens oldalon az rqc.exe –t futtatva még ha ismernénk a string-et sem tudnánk leszedni a Quarantine-t, mivel az rqc.exe csak a CM-től fogadja el a paramétert  Még ha van egy SC-m és tudom a PIN kódját, akkor is rendelkeznek kell a megfelelő CM profillal BaseLine kiterjesztése a VPN kliensekre

Mi az árnyoldala? Mi az árnyoldala?  A PSS jelenleg nem ad terméktámogatást az eszközhöz, csak Best Effort jelleggel lévén, hogy Resource Kit utility-ről van szó  A kliens oldalon lefutó script-et nekünk kell megírnunk, tehát fejlesztők előnyben  Ha egyszerű VB Script-et írunk, a felhasználók kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” az ellenőrzést  Nem VB Script esetén is kifigyelhető az ellenőrzés egy debuger, vagy a klasszikus monitorozó programok segítségével Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését is Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését is BaseLine kiterjesztése a VPN kliensekre

Néhány tipp, hogy mit érdemes ellenőrizni Néhány tipp, hogy mit érdemes ellenőrizni  Internet Connection Firewall állapotát  Internet Connection Sharing  Operációs rendszer verzióját  Javítócsomag szintjét  Hotfix állapotot  Telepített víruskeresőt  Frissített víruskereső adatbázist  Fájlrendszer típusát BaseLine kiterjesztése a VPN kliensekre

Néhány gondolat Határozd meg, hogy mi jelenti számodra a kockázatot Határozd meg, hogy mi jelenti számodra a kockázatot  Milyen kockázatokat rejt a rendszered?  Ezek közül mi az ami vállalható kockázat? Egy port szám önmagában még nem jelent semmit Egy port szám önmagában még nem jelent semmit Egy támadás forgalma általában úgy néz ki, mint egy általános forgalom Egy támadás forgalma általában úgy néz ki, mint egy általános forgalom