Üzemeltetői Konferencia V. Harmath Zoltán

Kérdezz-felelek Ki tudja mi az a VPN? Ki tudja mi az a VPN? Kik használnak a cégnél VPN-t? Kik használnak a cégnél VPN-t? Kik használnak nem Microsoft alapú VPN kiszolgálót? Kik használnak nem Microsoft alapú VPN kiszolgálót? Kik használnak Microsoft Windows Server 2003 alapú VPN kiszolgálót? Kik használnak Microsoft Windows Server 2003 alapú VPN kiszolgálót?

Gyors áttekintés Internet VPN kliensVPN kiszolgáló Helyi hálózat Internet kapcsolat VPN csőVPN kapcsolat ? A VPN kliens kap egy belső IP címet, amivel eléri a belső erőforrásokat Elég ismernem egy felhasználói nevet, jelszót, tartományt és VPN szerver nevet és betudok tárcsázni bármely szervezethez A VPN csőben átmenő adatok esetében fontos az adatintegrítás, és a privacy Biztonságos módon kell tudnom azonosítani a felhasználót a VPN kiszolgálón A VPN kliens a belső, védett hálózat részeként kommunikál, így akár megfertőzheti a védett gépeket - Forgalom szűrése a VPN csőben - Megbízható azonosítás - Titkosítás kényszerítése - RADIUS alkalmazása - Biztonsági BaseLine kényszerítése a VPN kliensre

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

Megbízható azonosítás I. Cél - a kockázat csökkentése Cél - a kockázat csökkentése Tapasztalat Tapasztalat  A kockázat nem csökkenthető le nullára, erre ne is törekedjünk  Mindenkinek más és más jelenti a kockázatot  Kockázat elemzés során el kell dönteni, hogy mi a vállalható kockázat (MOF) Gyakori megoldások Gyakori megoldások  Forrás IP cím alapján történő szűrés  Kötelező IPSec használata  Smart-card alapú hitelesítés  Biometrikus hitelesítések  A fentiek tetszőleges kombinációja

Megbízható azonosítás II. Azonosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben Azonosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben Smart-Card esetén Smart-Card esetén  EAP Nem SC esetén Nem SC esetén  MS-CHAP v2 Eltérés esetén a kapcsolat nem épül fel Eltérés esetén a kapcsolat nem épül fel

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

Titkosítás kényszerítése MPPE – Microsoft Point-to-Point Encryption MPPE – Microsoft Point-to-Point Encryption Javasolt a 128 bit alkalmazása Titkosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben Figyelnünk kell a kliensek támogatottságára Ha nem azonos a kliens beállításokkal a kapcsolat nem épül fel

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

Forgalom szűrése a „VPN csőben” Ha a VPN csőbe belátnék, akkor nem lenne biztonságos Ha a VPN csőbe belátnék, akkor nem lenne biztonságos  Nem tudunk a csőben szűrni  Csak a végpontokon RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom szűrésére RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom szűrésére  Input Filter  Output Filter

Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

RADIUS alkalmazása I. A felhasználót célszerű a tartományunkból azonosítani (SSO) A felhasználót célszerű a tartományunkból azonosítani (SSO) Milyen azonosítást támogat az RRAS? Milyen azonosítást támogat az RRAS?  Windows Authentication és Accounting  Workgroup esetén helyi csoportok és felhasználók  Tartomány esetén helyi és tartományi csoportok és felhasználók  RADIUS Authentication és Accounting  Külön névtérként kell kezelni és a beállításunknak megfelelően egy vagy több tartományból azonosíthatjuk a felhasználóinkat

RADIUS alkalmazása II. Szótár Szótár  RADIUS kliens  Aki kezdeményezi a RADIUS azonosítást  Microsoft környezetben ez az VPN kiszolgáló  RADIUS szerver  Aki fogadja a RADIUS autentikációs kérést  Microsoft környezetben ez az IAS kiszolgáló Régi újdonságunk Régi újdonságunk  RADIUS Proxy

RADIUS alkalmazása III. VPN Kliens RADIUS kiszolgáló Tartományvezérlő VPN kapcsolat kezdeményezése 2.Bejelentkezési információk továbbítása a RADIUS kiszolgálónak 3.Bejelentkezési információk ellenőrzése 4.Tartományvezérlő válasza 5.Radius kiszolgáló válasza 6.Válasz a felhasználói munkaállomásnak

RADIUS alkalmazása IV. Megfontolások Megfontolások  „Erős” shared secret  Egyedi RADIUS port alkalmazása  Man in the middle Attack elleni védelem  Védett hálózati szakasz a RADIUS kliens és az IAS között  IPSec – teljes mértékben támogatott és javasolt de nem shared key alapon

Demo Azonosítási beállítások Azonosítási beállítások Titkosítási beállítások Titkosítási beállítások Forgalom szűrési beállítások Forgalom szűrési beállítások RADIUS beállítások RADIUS beállítások

Biztonsági BaseLine kiterjesztése a VPN kliensekre Internet Miért szükséges?

BaseLine kiterjesztése a VPN kliensekre Előfeltételek Előfeltételek  Windows Server 2003 alapú VPN kiszolgáló  Windows Server 2003 alapú IAS kiszolgáló  Active Directory  RADIUS azonosítás alkalmazása  Connection Manager alapú VPN kapcsolat  Programozási tudás A fentiek ellenére nem lehetetlen A fentiek ellenére nem lehetetlen

VPN KliensVPN KiszolgálóTartomány A VPN kapcsolat felépítés CM profilból 2.RADIUS azonosítás 3.RADIUS válasz, benne a Quarantine információval 4.Válasz a felhasználónak 5.After Connection script futtatása a kliens oldalon majd visszajelzés a VPN kiszolgálónak 6.Quarantine információ eltávolítása / kapcsolat bontása BaseLine kiterjesztése a VPN kliensekre

Elérhető quarantine opciók Elérhető quarantine opciók  MS-Quarantine-IPFilter (4165)  MS-Quarantine-Session-Timeout (4166) IAS házirendenként definiálható IAS házirendenként definiálható BaseLine kiterjesztése a VPN kliensekre

MS-Quarantine-IPFilter MS-Quarantine-IPFilter  Segítségével a kliensre IP szűrőket definiálhatunk From Client és To Client megközelítésben  Lényege: segítségével beállítható, hogy a BaseLine-nak nem megfelelő kliens mit láthat a hálózaton (pl.: telepítőkészleteket tartalmazó megosztásokat) MS-Quarantine-Session-Timeout MS-Quarantine-Session-Timeout  Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk  Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat A kettő kombinálható egymással A kettő kombinálható egymással BaseLine kiterjesztése a VPN kliensekre

MS-Quarantine-Session-Timeout MS-Quarantine-Session-Timeout  Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk  Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat BaseLine kiterjesztése a VPN kliensekre

Internet Quarantine hálózat BaseLine kiterjesztése a VPN kliensekre

Technikai háttér Technikai háttér  rqc.exe alkalmazást kell meghívni kliens oldalon, ami egy stringet elküld az RRAS kiszolgálón futó rqs.exe modulnak  rqs.exe alkalmazás az RRAS kiszolgálón várja a stringet, ha megérkezik akkor a kliens megfelelt a BasLine-nak és leszedhető róla a Quarantine BaseLine kiterjesztése a VPN kliensekre

Miért biztonságos ez? Miért biztonságos ez?  Mert a kliens oldalon nem jelenik meg a string, kiolvasható formában  Mert a kliens oldalon az rqc.exe –t futtatva még ha ismernénk a string-et sem tudnánk leszedni a Quarantine-t, mivel az rqc.exe csak a CM-től fogadja el a paramétert  Még ha van egy SC-m és tudom a PIN kódját, akkor is rendelkeznek kell a megfelelő CM profillal BaseLine kiterjesztése a VPN kliensekre

Mi az árnyoldala? Mi az árnyoldala?  A PSS jelenleg nem ad terméktámogatást az eszközhöz, csak Best Effort jelleggel lévén, hogy Resource Kit utility-ről van szó  A kliens oldalon lefutó script-et nekünk kell megírnunk, tehát fejlesztők előnyben  Ha egyszerű VB Script-et írunk, a felhasználók kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” az ellenőrzést  Nem VB Script esetén is kifigyelhető az ellenőrzés egy debuger, vagy a klasszikus monitorozó programok segítségével Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését is Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését is BaseLine kiterjesztése a VPN kliensekre

Néhány tipp, hogy mit érdemes ellenőrizni Néhány tipp, hogy mit érdemes ellenőrizni  Internet Connection Firewall állapotát  Internet Connection Sharing  Operációs rendszer verzióját  Javítócsomag szintjét  Hotfix állapotot  Telepített víruskeresőt  Frissített víruskereső adatbázist  Fájlrendszer típusát BaseLine kiterjesztése a VPN kliensekre

Néhány gondolat Határozd meg, hogy mi jelenti számodra a kockázatot Határozd meg, hogy mi jelenti számodra a kockázatot  Milyen kockázatokat rejt a rendszered?  Ezek közül mi az ami vállalható kockázat? Egy port szám önmagában még nem jelent semmit Egy port szám önmagában még nem jelent semmit Egy támadás forgalma általában úgy néz ki, mint egy általános forgalom Egy támadás forgalma általában úgy néz ki, mint egy általános forgalom