Fülöp Miklós rendszermérnök Microsoft Magyarország

Slides:



Advertisements
Hasonló előadás
Dolgozni már bárhonnan lehet…
Advertisements

Hitelesítés és tanúsítványkezelés
Feladat Kapcsolat a külvilággal SPAM és Vírus szűrés Biztonság Nem része a szervezetnek Nem AD tag Minimális kommunikáció a szervezettel.
Készítette: Nagy Márton
Hálózati és Internet ismeretek
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Hálózatok.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Windows hálózati infrastruktúra kialakítása
Active Directory.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Teljes funkcionalitású Web kliens Kétféle felület Premium (IE6+) Light (Firefox, Safari, Opera, Netscape, IE7, IE6, IE5.5, IE5.01 és IE5.2 Mac) Eltérések.
A levelezési infrastruktúra hatékony védelmi megoldásai
Korszerű kommunikációs infrastruktúrák
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Hálózati Operációs Rendszerek
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Kommunikációs infrastruktúra és felügyelete GTM szeminárium sorozat Áttérés Exchange 2003-ra Gazdasági előnyök Ferencz István konzulens.
Authentication & Authorization Belinszki Balázs terméktámogató mérnök Juhász Mihály alkalmazásfejlesztési tanácsadó.
Network Access Protection
Üzemeltetői Konferencia V. Harmath Zoltán
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Megoldás Felhő szolgáltatások és Windows 7.
Exchange kiszolgálók védelme Data Protection Manager 2007-tel – 1. rész Leltár - Újdonságok az Exchange 2007 SP1-ben Exchange kiszolgálók védelme Data.
Áttérés az Office 365 szolgáltatásra Microsoft Online Services Áttérés a BPOS rendszerről az Office 365 használatára meglévő BPOS-ügyfelek esetén.
Átállás.
Platform A Vistából örökölt OS alap technológiák Windows Server Core Read-only Domain Controller Hozzáférés szabályzás, erőforrás elérés Network Access.
Operációs Rendszerek WindowsXP®.
Module 1: A Microsoft Windows XP Professional telepítése
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
Windows Server 2008 { Terminal Services }
AD {RMS} Active Directory Rights Management Services
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
„Hagyományos” VPN protokollok PPTP Windows NT és „kortársai” Windows 2000 Windows XP, Windows Server 2003 Windows Vista, Windows Server 2008 L2TP Windows.
Exchange Transport Üzenetek továbbítása Soós Tibor – MCT, MVP
Hálózatkezelési újdonságok Windows 7 / R2
ISA Server alapok Gál Tamás
Exchange Server 2007 Client Access Role
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
{ PKI } Active Directory Certificate Services
Windows Server 2008 Távoli elérés – I.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Üzleti funkciók a SCOM-ban Somogyi Csaba IT üzemeltetési szakértő Microsoft Magyarország.
Network Access Protection
Exchange Rendszerkövetelmények Windows Server 2003 (Windows 2000 SP3) CPU 500 MHz RAM 512 MB 200 MB a rendszermeghajtón 500 MB a telepítés helyén.
Óravázlat Készítette: Toldi Miklós
Levelezés a Jedlikben Borbély Balázs rendszergazda-helyettes Jedlik Ányos Gimnázium.
Ingyenes,Multi funkcionális tűzfal szoftver
Üzleti felhőszolgáltatások ÜZLETI ALKALMAZÁSOK ALKALMAZÁSOKCSOPORTMUNKAADATTÁROLÁSPLATFORMFELÜGYELETHATÉKONYSÁG KOMMUNIKÁCIÓ.
Számítógép hálózatok.
DNS Domain Name System. DNS - WINS WINSDNS Barátságos NetBIOS nevek LAN-okonBarátságos DNS nevek WAN-okonSík névtér, 15 karakteres névHierarchikus névtér,
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
Ismerkedés az Active Directory-val
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
Tűzfal (firewall).
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Internet és kommunikáció
Előadás másolata:

Fülöp Miklós rendszermérnök Microsoft Magyarország Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország

TechNet események 2004 őszén 2004. szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága 2004. október 13. Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága 2004. október 27. Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága 2004. november 10. Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben 2004. november 24. A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004

Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

Többszintű vírusvédelem Vezessünk be vírusvédelmi megoldásokat a hálózat minden elemi szintjén! Munkaállomások Otthoni internetelérés Floppy / CD / USB eszközök Saját levelezés Fájlkiszolgálók Levelezési szolgáltatások Vállalati levelezés SPAM-szűrés Tűzfal Internetes letöltés Vírusok terjedésének megakadályozása

ISA Server 2004 Message Screener SMTP forgalom alapszintű ellenőrzése vírusírtó nélkül SMTP parancsok ellenőrzése (SMTP Filter) Engedélyezés / tiltás, max. paraméterhossz Message Screener telepítése nem szükséges Levelek törlése / fenntartása / továbbítása Kulcsszavak alapján Feladó címe alapján Csatolt fájl alapján A levélkezeléshez a Message Screenert telepíteni kell Lokálisan vagy más gépre

ISA Antivirus és egyéb bővítmények Nyílt interface a külső gyártók számára Web Filters (webes forgalom) Application Filters (minden adatforgalom) Partnermegoldások az ISA Server-hez Vírusírtók Behatolásérzékelés Tartalomszűrés Protokoll-szűrők és átalakítók Felügyelet és riportok

Exchange vírusvédelem VS API: Nyílt interface a vírusírtók számára Többszintű ellenőrzés On Access Scanning Amikor az ügyfél hozzáférést kér a levélhez Proactive Scanning Beérkező / postázott üzenetek Background Scanning Az Exchange adatbázis vírusellenőrzése Elsődleges felhasználási területe az üzenetek újraellenőrzése a vírusdefiníciós adatbázis frissítése esetén Dedikált „antivirus” kiszolgáló (gateway)

Exchange - AntiVirus teljesítményszámlálók

The Spam Problem And, here is our own internal experience (MS IT) with Exchange 2003 ·         IMF - Of the approximately ten million e-mail messages Microsoft receives per day, we are blocking or deleting 85-90% of our inbound volumes as spam (IMF rejects about 9.5 M messages per day)

Anti-Spam kérdések és az Exchange 2003 megoldásai 1. Honnan jött az üzenet? Connection Filtering (IP alapú) 2. Kitől jött az üzenet? Sender Filtering 3. Kinek szólt az üzenet? Recipient Filtering 4. Miről szól az üzenet? Outlook 2003 Exchange 2003 AntiSpam Infrastructure Intelligent Message Filter

1. Honnan jött az üzenet? Connection Filtering - Kapcsolatszűrés Globálisan engedélyezett és tiltott SMTP kiszolgáló IP címek Csatlakozás 3rd party RBL (Realtime Block List) szolgáltatásokhoz On-line DNS lekérdezés Kombinált szabályrendszer Engedélyezett címek Tiltott címek RBL Manuálisan engedélyezni kell a virtuális SMTP kiszolgálón!

1. Honnan jött az üzenet? RBL nslookup DNS lekérdezés: <„fordított” IP cím>.<spamDB> Nincs válasz: a cím nem található az adatbázisban  nem spam Válasz: 127.0.0.x: a cím megtalálható az adatbázisban  SPAM!

1. Honnan jött az üzenet? Connection Filtering beállítások

2. Kitől jött az üzenet? 3. Kinek szól az üzenet?

4. Mit tartalmaz az üzenet? Exchange AntiSpam Infrastructure Nyílt (SMTP Sink) interface 3rd party / saját eszközök ellenőrizhetik és minősíthetik a leveleket Spam Confidence Level (SCL) - levélparaméter -1: belső levél (fenntartva, nem spam) 0: nem spam 1..9: a levél valószínűleg spam Határértékek (Thresholds) Gateway Threshold Store Threshold Akciók Archiválás Törlés Visszautasítás

4. Mit tartalmaz az üzenet? Outlook 2003 / OWA 2003 funkciók A felhasználó által definiált biztonságos / tiltott feladók listája Megbízható feladók, Biztonságos címzettek, Letiltott feladók Igény szerint tartalmazhatja a címjegyzéket is „Csak megbízható feladók” üzemmód A lista a kiszolgálón tárolódik Azonos funkcionalitás az OWA 2003-ban is A levélszemétbe kerülés paraméterei: A felhasználó listái Az üzenet SCL szintje Ügyféloldali SmartScreen technológia Külső webes tartalom blokkolása a levelekben

Intelligent Message Filter Exchange Server 2003 bővítmény Ingyenesen letölthető MS Research „SmartScreen” technológia Bayesian-jellegű mesterséges intelligencia Hotmail felhasználók segítségével hangolva Együttműködik az Exchange AntiSpam infrastruktúrával az Outlook 2003 kliensfunkcióival

Intelligent Message Filter Exchange 2003 Gateway Server Exchange 2003 Back-End A felhasználó postafiókja Spam? Kapcsolatszűrés Igen Nem Címzett szűrés Intelligent Message Filter (Store Threshold) Megbízható feladó? Letiltott feladó? Feladó szűrés Igen Nem Igen Nem Intelligent Message Filter (Gateway Threshold) Inbox Levél- szemét Inbox

Intelligent Message Filter

Exchange - IMF teljesítményszámlálók

MOM 2005 – IMF Management Pack

IMF Archive Manager http://workspaces.gotdotnet.com/imfarchive Funkciók: Archivált üzenetek (fa)nézete Dekódolt fejlécinformációk és nyers adatnézet Üzenet újraküldése (a PickUp könyvtárba) Üzenetek törlése Üzenet továbbítása csatolt fájlként külső címre (riport)

Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

Egy ajánlott logikai felépítés Internetes szolgáltatások izolált hálózaton  demilitarizált zóna Exchange Server 2003 Front-End Tanúsítványkiadó webfelülete

A jelenlegi demokörnyezet Internetes szolgáltatások a vállalati hálózaton Exchange Server 2003 Windows Server 2003 tanúsítványkiadó

A jelenlegi demokörnyezet Internet CLIENT.INTERNET 199.199.199.100 ISA.MSDEMOS.HU 10.10.10.254 CA.MSDEMOS.HU MAIL.MSDEMOS.HU 199.199.199.254 DCEX.MSDEMOS.HU 10.10.10.1 ISA: ISA Server 2004 DCEX: DC, CA, IIS, Exchange 2003 Intranet

A vállalati tanúsítványkiadó Előnyei Vállalaton belül explicit megbízott (Group Policy) Tanúsítványok és CRL az Active Directory-ban és az intraneten közzétéve Olcsó Hátrányai Külső felhasználók nem bíznak benne A CA tanúsítványának letöltése és importálása szükséges A közzétett tanúsítványok és CRL nem érhető el Publikálni kell a CA webes felületét

Kiegészítő mezők a tanúsítványokban AIA – Authority Information Access A tanúsítványt kiadó CA tanúsítványának elérési útja CDP – Certificate Revocation List A tanúsítványkiadó által visszavont tanúsítványok listája Tegyünk interneten keresztül is elérhetővé! Állítsuk be az internetről is elérhető útvonalakat az AIA és CRL mezőkben Még a tanúsítványok kiadása előtt! Nem titkosított (http://) kapcsolat Különben az ellenőrzés végtelen ciklusba kerülhet

Kiegészítő mezők a tanúsítványokban

A kiegészítő mezők módosítása

demó A tanúsítványok kiegészítő mezőinek módosítása A tanúsítványkiadó webes felületének közzététele demó

Tanúsítványok A szükséges tanúsítványok: Külső: mail.msdemos.hu DCEX ISA mail.msdemos.hu 10.10.10.1 Intranet A szükséges tanúsítványok: Külső: mail.msdemos.hu Hozzuk létre a belső kiszolgálón, majd vigyük át a tűzfalra Tanúsítvány + privát kulcs (= .pfx) export / import Belső: 10.10.10.1

OWA publikálás Az Exchange webkiszolgáló közzététele HTTPS /exchweb/* /public/* HTTPS Authentikációs beállítások Basic csak HTTPS-en! Integrált Windows Form-Based ISA 2004 Mail Server Publishing Wizard

ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció Kimenő és bejövő forgalom is ellenőrizhető SSL Bridging esetén a HTTPS forgalom is Tűzfalszabályonként beállítható korlátozások Szűrés különféle paraméterek alapján Kérés fejléc és teljes mérete URL hossza, karakterkészlet Futtatható tartalom blokkolása HTTP parancsok (Methods) Fájlkiterjesztés HTTP fejlécek típusa

ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció Mintakeresés a kérés URL-ben a kérés fejlécei között a kérés tartalmában a válasz fejlécei között a válasz tartalmában* *: a keresés erőforrás- igényes, adjuk meg a keresés korlátait!

Exchange 2003 Form Authentication Felhasználóazonosítás HTTP form és cookie segítségével Nincs szükség a különféle HTTP azonosítási módokra (Basic, Integrated, stb.) HTTPS használata kötelező!

ISA Server 2004 OWA Form Authentication Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető Előnye Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés Az azonosítás az ISA-n keresztül történik a legkülső rétegben (a kérés közvetlenül nem éri el az Exchange kiszolgálót!)

Csatolt fájlok blokkolása Exchange Server 2003 Csatolt fájlok blokkolása Csatolt fájlok engedélyezése (fájltípus alapján) Csatolt fájlok csak back-end kiszolgálón HKLM \ System \ CurrentControlSet \ Services \ MSExchangeWeb \ OWA \ DisableAttachments (DWORD) 0: csatolt fájlok engedélyezve (fájltípus alapján) 1: csatolt fájlok letiltva 2: csatolt fájlok csak back-en kiszolgálókról ISA Form Authentikáció Csatolt fájlok blokkolása privát gépeken Csatolt fájlok blokkolása publikus gépeken

demó Webtanúsítványok Exchange OWA publikálás (HTTPS) ISA 2004 (Exchange) Form Authentication demó

Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

Outlook (MAPI) RPC over HTTP Online kapcsolat az Internet felett MAPI protokoll HTTPS forgalomba ágyazva Nincs szükség RAS/VPN-re A protokoll fordítást egy Exchange 2003 Front-End végzi Biztonságos a MAPI forgalom SSL (128 bit) felett megy Rendszerkövetelemények Exchange 2003 RPC proxy (Front-End Server) - ajánlott Külön Exchange Back-End Server - ajánlott Legalább egy Windows Server 2003 DC a tartományban Outlook 2003 + Windows XP SP1 + hotfix #331320 vagy Windows XP SP2

Az ajánlott felépítés Intranet Exch. közzététel Dedikált SSL listener SSL bridging Web Publishing URLScan Exch. közzététel Intranet Exchange 2003 RPC proxy Outlook 2003 Cached Mode SSL 128-bit SSL 128-bit Port 443 Port 443 Exchange 2003 Backend ISA Server 2004 Windows Server 2003 Domain Contr.

RPC over HTTP beállítási lépései Windows 2003 RPC over HTTP Proxy komponens telepítése Exchange Server Back-End / Front-End beállítások RPC Proxy beállítása (kézzel, ha 1 Exchange Server van) IIS authentikáció Registry (RPC portok) ISA Server /rpc/* útvonal engedélyezése az Exchange webkiszolgáló felé Outlook 2003 Exchange Over the Internet dialógusablak engedélyezése (Office Resource Kit) Custom Installation Tools Custom Maintenance Tools E-mail profil létrehozása / módosítása

Exchange over the Internet Az Outlook postafiók beállításai

Outlook MAPI over HTTP demó

kávé- szünet

Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

A PKI alkalmazási területei Bejelentkezés intelligens kártyával Smartcard logon Távoli hálózati bejelentkezés RAS, VPN Office dokumentumok digitális aláírása Programok, kódok, makrók digitális aláírása Authenticode Titkosított hálózati forgalom IPSec – titkosított és / vagy aláírt forgalom Biztonságos webszolgáltatás (https://) Felhasználók azonosítása is E-mail biztonság (digitális aláírás, titkosítás) S/MIME Titkosított fájlok Encrypting File System (EFS)

Windows VPN protokollok PPTP (RFC 2637) A Windows első VPN protokollja MPPE titkosítás Kliensek Windows 9x-től Különösebb konfigurációt nem igényel L2TP (RFC 2661) over IPSec A Microsoft és a Cisco (L2F) közös fejlesztése A Windows L2TP saját titkosítást nem tartalmaz  a titkosítást az IPSec végzi Kliensek beépítve Windows 2000-től W9x-hez, NT4-hez letölthető Az IPSec miatt további konfiguráció szükséges

IPSec over NAT A probléma: A megoldás: IPSec NAT-Traversal (NAT-T) a NAT módosítja a csomagfejléceket, így elrontva az ESP/AH csomagok digitális aláírását A megoldás: Készítsük fel az ISAKMP protokollt a NAT felismerésére Csomagoljuk be az IPSec forgalmat UDP csomagokba IPSec NAT-Traversal (NAT-T) ISAKMP2 protokoll: UDP 4500 Windows XP SP2 / Windows Server 2003 / ISA 2004 A NAT-T frissítés Windows XP SP1-hez és Windows 2000-hez letölthető További konfigurációt nem igényel

Windows VPN / RAS felhasználóazonosítási protokollok MS-CHAPv2 Felhasználónév / jelszó EAP PKI tanúsítvány Smart Card ... Egyéb protokollok MS-CHAP CHAP SPAP (Shiva) PAP (nyílt)

ISA Server 2004 VPN Külön alhálózat a VPN kliensek számára A valódi alhálózatokkal egyenrangú Saját tűzfalszabályokkal rendelkezik VPN karantén alhálózat

ISA Server 2004 VPN A Windows RRAS kiszolgálóját használja Protokollok Integrált konfiguráció és felügyelet Protokollok PPTP és L2TP over IPSec IPSec Tunnel Mode Felhasználóazonosítás forrása Active Directory / Windows címtár RADIUS RSA SecurID

ISA VPN kiszolgáló beállítása VPN hozzáférés engedélyezése = Windows RRAS szolgáltatás engedélyezése Az ISA Server újraindítása szükséges VPN konfiguráció Csatlakozó kliensek max. száma Csatlakozásra jogosult csoportok VPN protokollok User Mapping Hozzáférés alhálózatokból IP-cím kiosztás / DHCP, DNS, WINS konfiguráció Felhasználóazonosítási protokollok RADIUS

Az EAP felhasználóazonosítás feltételei az ISA 2004-ben Az ISA Server-nek tartományban kell lennie, vagy RADIUS-t kell használnunk Engedélyezzük a User Mapping funkcionalitást Nem kötelező, de ajánlott (felhasználónév-alapú szabályok)

demó ISA 2004 VPN kiszolgáló beállítása (PPTP) VPN kapcsolat létrehozása Felhasználóazonosítás tanúsítvánnyal demó

Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

IPSec azonosítási módok Az IPSec házirendben háromféle azonosítási mód közül választhatunk: Szöveges („Előmegosztott kulcs”) csak tesztcélra! Kerberos: csak ha a DC elérhető Tanúsítvány-alapú: a csatorna felépítéséhez mindkét félnek közös CA-tól származó, érvényes tanúsítvánnyal kell rendelkeznie.

IPSec tanúsítványalapú azonosítás A házirend csak a tanúsítványt kiadó CA-t definiálja Mindkét félnek ugyanazt a CA-t kell megjelölnie A sikeres működés feltételei: A tanúsítvány a számítógép tanúsítványtárában van A számítógép rendelkezik a privát kulccsal A tanúsítvány érvényességi ideje nem járt le A tanúsítvány Root CA-ja (ami a szabályban is megtalálható) a számítógép Megbízható legfelső szintű hitelesítésszolgáltatók listájában van A tanúsítványlánc hiba nélkül felépíthető Az IPSec NEM igényli az IPSec típusú tanúsítványt!

Egyebek A tanúsítvány csak a kulcsgeneráláshoz szükséges, az egyéb titkosítási beállítások az IPSec házirendből származnak Az IPSec nem képes használni a "Strong Private Key Protection" opcióval mentett tanúsítványokat Az IPSec nem ellenőrzi a tanúsítvány CRL-jét A CRL-ellenőrzés bekapcsolása: HKLM\System\CurrentControlSet\Services\PolicyAgent\ Oakley\StrongCrlCheck (REG_DWORD): 1: elutasítva, ha a CRL elérhető és a tanúsítvány visszavont státuszú 2. elutasítva, ha a CRL nem érhető el, vagy a tanúsítvány visszavont státuszú

L2TP over IPSec VPN beállítása ISA Server: L2TP over IPSec engedélyezése, majd ISA Server újraindítása vagy RRAS-ban kézzel bekapcsolni az L2TP portokat Ügyfélszámítógép beállítása „Rendszergazda” típusú tanúsítvány a számítógép tanúsítványtárába A tanúsítványkiadó tanúsítványának importálása a számítógép tanúsítványtárába Ha nincs tanúsítvány, a megosztott szöveges azonosítás is használható (tesztcélra!) ISA: VPN tulajdonságai / Authentication / Allow custom IPSec Policy for L2TP connection Kliens: VPN tulajdonságok / Biztonság / IPSec beállításai

demó ISA 2004 VPN kiszolgáló beállítása (L2TP over IPSec) Kliensoldali géptanúsítvány igénylése demó

VPN kiszolgáló tűzfal mögött Kommunikációs csatornák PPTP TCP 1723 IP 47 (GRE) (L2TP over) IPSec UDP 500 (ISAKMP) IP 50 (ESP) IP 51 (AH) (L2TP over) IPSec over NAT UDP 4500 (ISAKMP2)

Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén

Hálózati (VPN) karantén A bejelentkező VPN ügyfelet az ISA először egy karanténhálózatba helyezi A többivel egyenrangú alhálózat (Quarantined VPN Clients) Korlátozott hozzáférés a karantén során szükséges erőforrásokhoz A kliensen egy script lefut, és ellenőrzi a hálózatra való csatlakozás feltételeit, pl. Vírusírtó állapota Biztonsági javítások állapota stb. Az ellenőrzés eredményét a script visszajelzi az ISA Server-nek Siker esetén a kliens a VPN Clients alhálózatba került Hiba vagy időtúllépés esetén a klienskapcsolat megszakad

Connection Manager Administration Kit Eszköz előrecsomagolt VPN kliensbeállítások és kiegészítő eszközök disztributálására Windows összetevők / Kezelési és figyelési eszközök / „Csatlakozáskezelő felügyeleti csomag” A CMAK eredménye egy .exe fájl, amit a kliens lefuttat A kliensen létrejön egy testreszabott VPN kapcsolat A karantén során használt funkciók Post-Connect Action: script futtatása csatlakozás után Egyéni fájlok: ellenőrző script, karanténfeloldó komponens (rqc.exe) Remote Access Quarantine Tools for ISA Server

Karantén beállítása ISA 2004-en Ellenőrző script létrehozása Egyéni értesítő / kiszolgáló komponens létrehozása Előregyártott komponensek: rqc.exe (kliens), rqs.exe (szerver) rqs.exe használata esetén a ConfigureRQSForISA.vbs script futtatása Adjuk meg a „titkos kulcsot” a karantén feloldásához (AllowedSet) Rendszerszolgáltatásként telepíti az rqs.exe-t Tűzfalszabályt hoz létre a karantén-visszajelzéshez (TCP 7250) Elvégzi a szükséges registry-módosításokat és elindítja az RQS rendszerszolgáltatást CMAK profil létrehozása Benne a script és az értesítő komponens

Karantén beállítása ISA 2004-en Karanténbeállítások: RADIUS / ISA házirend alapján Időtúllépés Kivételek a karantén alól Karanténerőforrások elérésének engedélyezése pl. DC, DNS, fájlkiszolgáló

A karantén feloldása Visszatérési értékek: 0 – karantén feloldva 1, 2 – hibás hely / válasz – karantén fenntartva

Karantén-script létrehozása A script ellenőrzi a kliens gép „egészségi állapotát” pl. vírusírtó bekapcsolva? (XP SP2) szükséges javítások telepítve? Az ellenőrzés után futtatja az rqc.exe komponenst Ellenőrzi a visszatérési értéket és értesíti a felhasználót Kész példascript letölthető! http://www.microsoft.com/downloads/details.aspx? FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462

Windows XP SP2 – a vírusírtó integrációja A Windows XP SP2 felismer(het)i a telepített vírusírtókat a Microsoft-tal előre egyeztetett registry-adatok segítségével, vagy a WMI segítségével A Security Center WMI providere root\SecurityCenter névtér, AntivirusProduct osztály onAccessScanningEnabled productUptoDate

A vírusírtó állapotának lekérdezése Egy rövid WMI lekérdezés: Figyelem! a Windows XP SP2 nem minden vírusírtót ismer fel a Windows XP SP2 nem minden vírusírtót a WMI segítségével ismer fel Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM AntiVirusProduct") bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next

A telepített javítások listájának lekérdezése Az összes javítás: Példa egy adott javítás ellenőrzésére: Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering") Wscript.Echo oOb.HotfixID Next Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering  WHERE HotfixID = 'KB885884'") bQFEFound = True Next

Connection Manager Administration Kit VPN karantén demó

Network Access Protection Karanténszolgáltatások MA: VPN karantén Izolált hálózat, amíg a kliensoldali ellenőrzés vissza nem jelez A scriptet kézzel kell létrehozni Nem biztonsági eszköz! (kikerülhető) Platform: Windows Server 2003 Resource Kit / SP1 ISA Server 2004 (Windows 2000 / 2003)

Network Access Protection Karanténszolgáltatások a jövőben: LAN / WLAN karantén DHCP IPSec Cisco integráció Funkciók: Network Access Point RADIUS Server Policy Server Központi feltételdefiníciók Policy Management Framework: antivirus, IDS, tűzfal, patch, stb. Update Server Javítások, frissítések Karanténból is elérhető

Hálózati karantén architektúra Vállalati hálózat DHCP Servers Helyi számítógépek RADIUS Server Távoli számítógépek VPN/Dial-up Servers Policy Servers (Anti-virus; Patch/System Management, etc.) Update Servers (Anti-virus; Patch/System Management, etc.) Izolációs hálózat

Hálózati karantén architektúra = Hálózati karantén szoftver = Házirend szoftver Házirend? Policy Server Policy Server Policy Server Policy Server Házirend kliens Házirend kiszolgáló Aktuális házirend Riportok Frissítések State of Health Mi a Health Status-om? Rendben Rendben? Házirend ellenőrzése Minden OK API API Karantén koordináció Karantén koordináció Management Reporting Segíts! Health State frissítve! ? Hozzáférés? Karantén kliens: pl. VPN SoH RADIUS/VPN Nincs SoH-em...  Jóváhagyva ? SoH-et kérek! X Karantén! Hálózati elérési pont (Network Access Point)

RSA SecurID

További információk Exchange Anti-Spam Infrastructure http://msdn.microsoft.com/library/en-us/e2k3/e2k3/ast_anti_spam.asp Microsoft Exchange Intelligent Message Filter http://www.microsoft.com/exchange/imf/ Intelligent Message Filter Overview & Deployment Guide http://www.microsoft.com/exchange/downloads/2003/ imf/imf_wp.asp http://www.microsoft.com/technet/prodtechnol/exchange/guides/ IMFDeploy/b1d0b6aa-203d-4224-87a1-347521d99203.mspx IMF Archive Manager http://workspaces.gotdotnet.com/imfarchive How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003 http://support.microsoft.com/default.aspx?scid=kb;en-us;823866

További információk RBL szolgáltatások SPEWS: http://www.spews.org MAPS: http://mail-abuse.org ORDB: http://www.ordb.org OpenRBL: http://www.openrbl.org Dorkslayers: http://www.dorkslayers.com Spamhaus: http://www.spamhaus.org CAUBE.au: http://www.caube.org.au Combat Spam: http://combat.uxn.com Spam Cop: http://spamcop.net Osirusoft: http://relays.osirusoft.com

További információk Configuring Outlook 2003 for RPC over HTTP http://www.microsoft.com/office/ork/2003/three/ch8/outc07.htm http://www.microsoft.com/technet/prodtechnol/exchange/guides/ E2k3RPCHTTPDep/9abaf7ee-1ea5-46ad-a68b-551e5dda459d.mspx

További információk Cikkek, publikációk (Megjelentek a TechNet magazinban) VPN - virtuális magánhálózatok, I. rész http://inetcom.hu/mick/publikaciok/vpn1.htm VPN - virtuális magánhálózatok, II. rész – az L2TP protokoll http://inetcom.hu/mick/publikaciok/vpn2.htm IPSec NAT-Traversal: IPSec hálózati címfordításon keresztül http://inetcom.hu/mick/publikaciok/ipsecnat.htm

További információk Windows Server 2003 Resource Kit Tools http://www.microsoft.com/downloads/details.aspx? familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx? FamilyID=3396c852-717f-4b2e-ab4d-1c44356ce37a Remote Access Quarantine Agent (RQS.exe) http://www.microsoft.com/downloads/details.aspx? FamilyID=d4ec94b2-1c9d-4e98-ba02-b18ab07fed4e VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx? FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462

További információk ISA Server 2004 dokumentáció http://www.microsoft.com/isaserver/downloads/2004.asp ISA Server partnerbővítmények: http://www.microsoft.com/isaserver/partners/ RSA SecurID for Microsoft Windows http://www.rsasecurity.com/node.asp?id=1173

A demoban használt karantén script On Error Resume Next bAVFound = False bAVEnabled = False bAVUpToDate = False bQFEFound = False sDialRasEntry = WScript.Arguments(0) sTunnelRasEntry = WScript.Arguments(1) sDomain = WScript.Arguments(2) sUserName = WScript.Arguments(3) Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery("SELECT * FROM " & _ "AntiVirusProduct") bAVFound = True bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next 1. oldal (folyt. köv.)

A demoban használt karantén script Err.Clear Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery ("SELECT * FROM Win32_QuickFixEngineering WHERE HotfixID = 'Q828026'") bQFEFound = True Next If Not bQFEFound Then DisableAccess "Kötelező javítás nem található" WScript.Quit Else WScript.Echo "Kötelező javítás rendben." If bAVFound Then WScript.Echo "Virusirtó felismerve..." If Not bAVEnabled Then DisableAccess "A virusirtó nincs engedélyezve" End If 2. oldal (folyt. köv.)

A demoban használt karantén script If Not bAVUpToDate Then DisableAccess "A virusirtó adatbázisa elavult" WScript.Quit End If Else WScript.Echo "Virusirtó nem ismerhető fel..." EnableAccess '======================================================= Function GetRQCPath() '%DialRasEntry% és %Domain% VPN és EAP miatt nem használt! GetRQCPath = """" & Replace( WScript.ScriptFullName, _ WScript.ScriptName, "rqc.exe") & """ """" """ & _ sTunnelRASEntry & """ 7250 """" """ & sUserName & """ " End Function 3. oldal (folyt. köv.)

A demoban használt karantén script Sub EnableAccess On Error Resume Next WScript.Echo "VPN hozzáférés engedélyezve." sRun = GetRQCPath & "TITOK" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & sRun Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If If nRetVal = 0 Then WScript.Echo "Karantén feloldva." Else WScript.Echo "Karantén feloldása sikertelen, hiba:" & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 4. oldal (folyt. köv.)

A demoban használt karantén script Sub DisableAccess( sCause ) On Error Resume Next WScript.Echo "VPN hozzáférés megtagadva: " & sCause sRun = GetRQCPath() & " ""/log " & sCause & """" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & GetRQCPath() Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If WScript.Echo "Karantén feloldása sikertelen, hiba: " & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 5. oldal