Fülöp Miklós rendszermérnök Microsoft Magyarország Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország
TechNet események 2004 őszén 2004. szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága 2004. október 13. Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága 2004. október 27. Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága 2004. november 10. Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben 2004. november 24. A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
Többszintű vírusvédelem Vezessünk be vírusvédelmi megoldásokat a hálózat minden elemi szintjén! Munkaállomások Otthoni internetelérés Floppy / CD / USB eszközök Saját levelezés Fájlkiszolgálók Levelezési szolgáltatások Vállalati levelezés SPAM-szűrés Tűzfal Internetes letöltés Vírusok terjedésének megakadályozása
ISA Server 2004 Message Screener SMTP forgalom alapszintű ellenőrzése vírusírtó nélkül SMTP parancsok ellenőrzése (SMTP Filter) Engedélyezés / tiltás, max. paraméterhossz Message Screener telepítése nem szükséges Levelek törlése / fenntartása / továbbítása Kulcsszavak alapján Feladó címe alapján Csatolt fájl alapján A levélkezeléshez a Message Screenert telepíteni kell Lokálisan vagy más gépre
ISA Antivirus és egyéb bővítmények Nyílt interface a külső gyártók számára Web Filters (webes forgalom) Application Filters (minden adatforgalom) Partnermegoldások az ISA Server-hez Vírusírtók Behatolásérzékelés Tartalomszűrés Protokoll-szűrők és átalakítók Felügyelet és riportok
Exchange vírusvédelem VS API: Nyílt interface a vírusírtók számára Többszintű ellenőrzés On Access Scanning Amikor az ügyfél hozzáférést kér a levélhez Proactive Scanning Beérkező / postázott üzenetek Background Scanning Az Exchange adatbázis vírusellenőrzése Elsődleges felhasználási területe az üzenetek újraellenőrzése a vírusdefiníciós adatbázis frissítése esetén Dedikált „antivirus” kiszolgáló (gateway)
Exchange - AntiVirus teljesítményszámlálók
The Spam Problem And, here is our own internal experience (MS IT) with Exchange 2003 · IMF - Of the approximately ten million e-mail messages Microsoft receives per day, we are blocking or deleting 85-90% of our inbound volumes as spam (IMF rejects about 9.5 M messages per day)
Anti-Spam kérdések és az Exchange 2003 megoldásai 1. Honnan jött az üzenet? Connection Filtering (IP alapú) 2. Kitől jött az üzenet? Sender Filtering 3. Kinek szólt az üzenet? Recipient Filtering 4. Miről szól az üzenet? Outlook 2003 Exchange 2003 AntiSpam Infrastructure Intelligent Message Filter
1. Honnan jött az üzenet? Connection Filtering - Kapcsolatszűrés Globálisan engedélyezett és tiltott SMTP kiszolgáló IP címek Csatlakozás 3rd party RBL (Realtime Block List) szolgáltatásokhoz On-line DNS lekérdezés Kombinált szabályrendszer Engedélyezett címek Tiltott címek RBL Manuálisan engedélyezni kell a virtuális SMTP kiszolgálón!
1. Honnan jött az üzenet? RBL nslookup DNS lekérdezés: <„fordított” IP cím>.<spamDB> Nincs válasz: a cím nem található az adatbázisban nem spam Válasz: 127.0.0.x: a cím megtalálható az adatbázisban SPAM!
1. Honnan jött az üzenet? Connection Filtering beállítások
2. Kitől jött az üzenet? 3. Kinek szól az üzenet?
4. Mit tartalmaz az üzenet? Exchange AntiSpam Infrastructure Nyílt (SMTP Sink) interface 3rd party / saját eszközök ellenőrizhetik és minősíthetik a leveleket Spam Confidence Level (SCL) - levélparaméter -1: belső levél (fenntartva, nem spam) 0: nem spam 1..9: a levél valószínűleg spam Határértékek (Thresholds) Gateway Threshold Store Threshold Akciók Archiválás Törlés Visszautasítás
4. Mit tartalmaz az üzenet? Outlook 2003 / OWA 2003 funkciók A felhasználó által definiált biztonságos / tiltott feladók listája Megbízható feladók, Biztonságos címzettek, Letiltott feladók Igény szerint tartalmazhatja a címjegyzéket is „Csak megbízható feladók” üzemmód A lista a kiszolgálón tárolódik Azonos funkcionalitás az OWA 2003-ban is A levélszemétbe kerülés paraméterei: A felhasználó listái Az üzenet SCL szintje Ügyféloldali SmartScreen technológia Külső webes tartalom blokkolása a levelekben
Intelligent Message Filter Exchange Server 2003 bővítmény Ingyenesen letölthető MS Research „SmartScreen” technológia Bayesian-jellegű mesterséges intelligencia Hotmail felhasználók segítségével hangolva Együttműködik az Exchange AntiSpam infrastruktúrával az Outlook 2003 kliensfunkcióival
Intelligent Message Filter Exchange 2003 Gateway Server Exchange 2003 Back-End A felhasználó postafiókja Spam? Kapcsolatszűrés Igen Nem Címzett szűrés Intelligent Message Filter (Store Threshold) Megbízható feladó? Letiltott feladó? Feladó szűrés Igen Nem Igen Nem Intelligent Message Filter (Gateway Threshold) Inbox Levél- szemét Inbox
Intelligent Message Filter
Exchange - IMF teljesítményszámlálók
MOM 2005 – IMF Management Pack
IMF Archive Manager http://workspaces.gotdotnet.com/imfarchive Funkciók: Archivált üzenetek (fa)nézete Dekódolt fejlécinformációk és nyers adatnézet Üzenet újraküldése (a PickUp könyvtárba) Üzenetek törlése Üzenet továbbítása csatolt fájlként külső címre (riport)
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
Egy ajánlott logikai felépítés Internetes szolgáltatások izolált hálózaton demilitarizált zóna Exchange Server 2003 Front-End Tanúsítványkiadó webfelülete
A jelenlegi demokörnyezet Internetes szolgáltatások a vállalati hálózaton Exchange Server 2003 Windows Server 2003 tanúsítványkiadó
A jelenlegi demokörnyezet Internet CLIENT.INTERNET 199.199.199.100 ISA.MSDEMOS.HU 10.10.10.254 CA.MSDEMOS.HU MAIL.MSDEMOS.HU 199.199.199.254 DCEX.MSDEMOS.HU 10.10.10.1 ISA: ISA Server 2004 DCEX: DC, CA, IIS, Exchange 2003 Intranet
A vállalati tanúsítványkiadó Előnyei Vállalaton belül explicit megbízott (Group Policy) Tanúsítványok és CRL az Active Directory-ban és az intraneten közzétéve Olcsó Hátrányai Külső felhasználók nem bíznak benne A CA tanúsítványának letöltése és importálása szükséges A közzétett tanúsítványok és CRL nem érhető el Publikálni kell a CA webes felületét
Kiegészítő mezők a tanúsítványokban AIA – Authority Information Access A tanúsítványt kiadó CA tanúsítványának elérési útja CDP – Certificate Revocation List A tanúsítványkiadó által visszavont tanúsítványok listája Tegyünk interneten keresztül is elérhetővé! Állítsuk be az internetről is elérhető útvonalakat az AIA és CRL mezőkben Még a tanúsítványok kiadása előtt! Nem titkosított (http://) kapcsolat Különben az ellenőrzés végtelen ciklusba kerülhet
Kiegészítő mezők a tanúsítványokban
A kiegészítő mezők módosítása
demó A tanúsítványok kiegészítő mezőinek módosítása A tanúsítványkiadó webes felületének közzététele demó
Tanúsítványok A szükséges tanúsítványok: Külső: mail.msdemos.hu DCEX ISA mail.msdemos.hu 10.10.10.1 Intranet A szükséges tanúsítványok: Külső: mail.msdemos.hu Hozzuk létre a belső kiszolgálón, majd vigyük át a tűzfalra Tanúsítvány + privát kulcs (= .pfx) export / import Belső: 10.10.10.1
OWA publikálás Az Exchange webkiszolgáló közzététele HTTPS /exchweb/* /public/* HTTPS Authentikációs beállítások Basic csak HTTPS-en! Integrált Windows Form-Based ISA 2004 Mail Server Publishing Wizard
ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció Kimenő és bejövő forgalom is ellenőrizhető SSL Bridging esetén a HTTPS forgalom is Tűzfalszabályonként beállítható korlátozások Szűrés különféle paraméterek alapján Kérés fejléc és teljes mérete URL hossza, karakterkészlet Futtatható tartalom blokkolása HTTP parancsok (Methods) Fájlkiterjesztés HTTP fejlécek típusa
ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció Mintakeresés a kérés URL-ben a kérés fejlécei között a kérés tartalmában a válasz fejlécei között a válasz tartalmában* *: a keresés erőforrás- igényes, adjuk meg a keresés korlátait!
Exchange 2003 Form Authentication Felhasználóazonosítás HTTP form és cookie segítségével Nincs szükség a különféle HTTP azonosítási módokra (Basic, Integrated, stb.) HTTPS használata kötelező!
ISA Server 2004 OWA Form Authentication Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető Előnye Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés Az azonosítás az ISA-n keresztül történik a legkülső rétegben (a kérés közvetlenül nem éri el az Exchange kiszolgálót!)
Csatolt fájlok blokkolása Exchange Server 2003 Csatolt fájlok blokkolása Csatolt fájlok engedélyezése (fájltípus alapján) Csatolt fájlok csak back-end kiszolgálón HKLM \ System \ CurrentControlSet \ Services \ MSExchangeWeb \ OWA \ DisableAttachments (DWORD) 0: csatolt fájlok engedélyezve (fájltípus alapján) 1: csatolt fájlok letiltva 2: csatolt fájlok csak back-en kiszolgálókról ISA Form Authentikáció Csatolt fájlok blokkolása privát gépeken Csatolt fájlok blokkolása publikus gépeken
demó Webtanúsítványok Exchange OWA publikálás (HTTPS) ISA 2004 (Exchange) Form Authentication demó
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
Outlook (MAPI) RPC over HTTP Online kapcsolat az Internet felett MAPI protokoll HTTPS forgalomba ágyazva Nincs szükség RAS/VPN-re A protokoll fordítást egy Exchange 2003 Front-End végzi Biztonságos a MAPI forgalom SSL (128 bit) felett megy Rendszerkövetelemények Exchange 2003 RPC proxy (Front-End Server) - ajánlott Külön Exchange Back-End Server - ajánlott Legalább egy Windows Server 2003 DC a tartományban Outlook 2003 + Windows XP SP1 + hotfix #331320 vagy Windows XP SP2
Az ajánlott felépítés Intranet Exch. közzététel Dedikált SSL listener SSL bridging Web Publishing URLScan Exch. közzététel Intranet Exchange 2003 RPC proxy Outlook 2003 Cached Mode SSL 128-bit SSL 128-bit Port 443 Port 443 Exchange 2003 Backend ISA Server 2004 Windows Server 2003 Domain Contr.
RPC over HTTP beállítási lépései Windows 2003 RPC over HTTP Proxy komponens telepítése Exchange Server Back-End / Front-End beállítások RPC Proxy beállítása (kézzel, ha 1 Exchange Server van) IIS authentikáció Registry (RPC portok) ISA Server /rpc/* útvonal engedélyezése az Exchange webkiszolgáló felé Outlook 2003 Exchange Over the Internet dialógusablak engedélyezése (Office Resource Kit) Custom Installation Tools Custom Maintenance Tools E-mail profil létrehozása / módosítása
Exchange over the Internet Az Outlook postafiók beállításai
Outlook MAPI over HTTP demó
kávé- szünet
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
A PKI alkalmazási területei Bejelentkezés intelligens kártyával Smartcard logon Távoli hálózati bejelentkezés RAS, VPN Office dokumentumok digitális aláírása Programok, kódok, makrók digitális aláírása Authenticode Titkosított hálózati forgalom IPSec – titkosított és / vagy aláírt forgalom Biztonságos webszolgáltatás (https://) Felhasználók azonosítása is E-mail biztonság (digitális aláírás, titkosítás) S/MIME Titkosított fájlok Encrypting File System (EFS)
Windows VPN protokollok PPTP (RFC 2637) A Windows első VPN protokollja MPPE titkosítás Kliensek Windows 9x-től Különösebb konfigurációt nem igényel L2TP (RFC 2661) over IPSec A Microsoft és a Cisco (L2F) közös fejlesztése A Windows L2TP saját titkosítást nem tartalmaz a titkosítást az IPSec végzi Kliensek beépítve Windows 2000-től W9x-hez, NT4-hez letölthető Az IPSec miatt további konfiguráció szükséges
IPSec over NAT A probléma: A megoldás: IPSec NAT-Traversal (NAT-T) a NAT módosítja a csomagfejléceket, így elrontva az ESP/AH csomagok digitális aláírását A megoldás: Készítsük fel az ISAKMP protokollt a NAT felismerésére Csomagoljuk be az IPSec forgalmat UDP csomagokba IPSec NAT-Traversal (NAT-T) ISAKMP2 protokoll: UDP 4500 Windows XP SP2 / Windows Server 2003 / ISA 2004 A NAT-T frissítés Windows XP SP1-hez és Windows 2000-hez letölthető További konfigurációt nem igényel
Windows VPN / RAS felhasználóazonosítási protokollok MS-CHAPv2 Felhasználónév / jelszó EAP PKI tanúsítvány Smart Card ... Egyéb protokollok MS-CHAP CHAP SPAP (Shiva) PAP (nyílt)
ISA Server 2004 VPN Külön alhálózat a VPN kliensek számára A valódi alhálózatokkal egyenrangú Saját tűzfalszabályokkal rendelkezik VPN karantén alhálózat
ISA Server 2004 VPN A Windows RRAS kiszolgálóját használja Protokollok Integrált konfiguráció és felügyelet Protokollok PPTP és L2TP over IPSec IPSec Tunnel Mode Felhasználóazonosítás forrása Active Directory / Windows címtár RADIUS RSA SecurID
ISA VPN kiszolgáló beállítása VPN hozzáférés engedélyezése = Windows RRAS szolgáltatás engedélyezése Az ISA Server újraindítása szükséges VPN konfiguráció Csatlakozó kliensek max. száma Csatlakozásra jogosult csoportok VPN protokollok User Mapping Hozzáférés alhálózatokból IP-cím kiosztás / DHCP, DNS, WINS konfiguráció Felhasználóazonosítási protokollok RADIUS
Az EAP felhasználóazonosítás feltételei az ISA 2004-ben Az ISA Server-nek tartományban kell lennie, vagy RADIUS-t kell használnunk Engedélyezzük a User Mapping funkcionalitást Nem kötelező, de ajánlott (felhasználónév-alapú szabályok)
demó ISA 2004 VPN kiszolgáló beállítása (PPTP) VPN kapcsolat létrehozása Felhasználóazonosítás tanúsítvánnyal demó
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
IPSec azonosítási módok Az IPSec házirendben háromféle azonosítási mód közül választhatunk: Szöveges („Előmegosztott kulcs”) csak tesztcélra! Kerberos: csak ha a DC elérhető Tanúsítvány-alapú: a csatorna felépítéséhez mindkét félnek közös CA-tól származó, érvényes tanúsítvánnyal kell rendelkeznie.
IPSec tanúsítványalapú azonosítás A házirend csak a tanúsítványt kiadó CA-t definiálja Mindkét félnek ugyanazt a CA-t kell megjelölnie A sikeres működés feltételei: A tanúsítvány a számítógép tanúsítványtárában van A számítógép rendelkezik a privát kulccsal A tanúsítvány érvényességi ideje nem járt le A tanúsítvány Root CA-ja (ami a szabályban is megtalálható) a számítógép Megbízható legfelső szintű hitelesítésszolgáltatók listájában van A tanúsítványlánc hiba nélkül felépíthető Az IPSec NEM igényli az IPSec típusú tanúsítványt!
Egyebek A tanúsítvány csak a kulcsgeneráláshoz szükséges, az egyéb titkosítási beállítások az IPSec házirendből származnak Az IPSec nem képes használni a "Strong Private Key Protection" opcióval mentett tanúsítványokat Az IPSec nem ellenőrzi a tanúsítvány CRL-jét A CRL-ellenőrzés bekapcsolása: HKLM\System\CurrentControlSet\Services\PolicyAgent\ Oakley\StrongCrlCheck (REG_DWORD): 1: elutasítva, ha a CRL elérhető és a tanúsítvány visszavont státuszú 2. elutasítva, ha a CRL nem érhető el, vagy a tanúsítvány visszavont státuszú
L2TP over IPSec VPN beállítása ISA Server: L2TP over IPSec engedélyezése, majd ISA Server újraindítása vagy RRAS-ban kézzel bekapcsolni az L2TP portokat Ügyfélszámítógép beállítása „Rendszergazda” típusú tanúsítvány a számítógép tanúsítványtárába A tanúsítványkiadó tanúsítványának importálása a számítógép tanúsítványtárába Ha nincs tanúsítvány, a megosztott szöveges azonosítás is használható (tesztcélra!) ISA: VPN tulajdonságai / Authentication / Allow custom IPSec Policy for L2TP connection Kliens: VPN tulajdonságok / Biztonság / IPSec beállításai
demó ISA 2004 VPN kiszolgáló beállítása (L2TP over IPSec) Kliensoldali géptanúsítvány igénylése demó
VPN kiszolgáló tűzfal mögött Kommunikációs csatornák PPTP TCP 1723 IP 47 (GRE) (L2TP over) IPSec UDP 500 (ISAKMP) IP 50 (ESP) IP 51 (AH) (L2TP over) IPSec over NAT UDP 4500 (ISAKMP2)
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
Hálózati (VPN) karantén A bejelentkező VPN ügyfelet az ISA először egy karanténhálózatba helyezi A többivel egyenrangú alhálózat (Quarantined VPN Clients) Korlátozott hozzáférés a karantén során szükséges erőforrásokhoz A kliensen egy script lefut, és ellenőrzi a hálózatra való csatlakozás feltételeit, pl. Vírusírtó állapota Biztonsági javítások állapota stb. Az ellenőrzés eredményét a script visszajelzi az ISA Server-nek Siker esetén a kliens a VPN Clients alhálózatba került Hiba vagy időtúllépés esetén a klienskapcsolat megszakad
Connection Manager Administration Kit Eszköz előrecsomagolt VPN kliensbeállítások és kiegészítő eszközök disztributálására Windows összetevők / Kezelési és figyelési eszközök / „Csatlakozáskezelő felügyeleti csomag” A CMAK eredménye egy .exe fájl, amit a kliens lefuttat A kliensen létrejön egy testreszabott VPN kapcsolat A karantén során használt funkciók Post-Connect Action: script futtatása csatlakozás után Egyéni fájlok: ellenőrző script, karanténfeloldó komponens (rqc.exe) Remote Access Quarantine Tools for ISA Server
Karantén beállítása ISA 2004-en Ellenőrző script létrehozása Egyéni értesítő / kiszolgáló komponens létrehozása Előregyártott komponensek: rqc.exe (kliens), rqs.exe (szerver) rqs.exe használata esetén a ConfigureRQSForISA.vbs script futtatása Adjuk meg a „titkos kulcsot” a karantén feloldásához (AllowedSet) Rendszerszolgáltatásként telepíti az rqs.exe-t Tűzfalszabályt hoz létre a karantén-visszajelzéshez (TCP 7250) Elvégzi a szükséges registry-módosításokat és elindítja az RQS rendszerszolgáltatást CMAK profil létrehozása Benne a script és az értesítő komponens
Karantén beállítása ISA 2004-en Karanténbeállítások: RADIUS / ISA házirend alapján Időtúllépés Kivételek a karantén alól Karanténerőforrások elérésének engedélyezése pl. DC, DNS, fájlkiszolgáló
A karantén feloldása Visszatérési értékek: 0 – karantén feloldva 1, 2 – hibás hely / válasz – karantén fenntartva
Karantén-script létrehozása A script ellenőrzi a kliens gép „egészségi állapotát” pl. vírusírtó bekapcsolva? (XP SP2) szükséges javítások telepítve? Az ellenőrzés után futtatja az rqc.exe komponenst Ellenőrzi a visszatérési értéket és értesíti a felhasználót Kész példascript letölthető! http://www.microsoft.com/downloads/details.aspx? FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462
Windows XP SP2 – a vírusírtó integrációja A Windows XP SP2 felismer(het)i a telepített vírusírtókat a Microsoft-tal előre egyeztetett registry-adatok segítségével, vagy a WMI segítségével A Security Center WMI providere root\SecurityCenter névtér, AntivirusProduct osztály onAccessScanningEnabled productUptoDate
A vírusírtó állapotának lekérdezése Egy rövid WMI lekérdezés: Figyelem! a Windows XP SP2 nem minden vírusírtót ismer fel a Windows XP SP2 nem minden vírusírtót a WMI segítségével ismer fel Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM AntiVirusProduct") bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next
A telepített javítások listájának lekérdezése Az összes javítás: Példa egy adott javítás ellenőrzésére: Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering") Wscript.Echo oOb.HotfixID Next Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering WHERE HotfixID = 'KB885884'") bQFEFound = True Next
Connection Manager Administration Kit VPN karantén demó
Network Access Protection Karanténszolgáltatások MA: VPN karantén Izolált hálózat, amíg a kliensoldali ellenőrzés vissza nem jelez A scriptet kézzel kell létrehozni Nem biztonsági eszköz! (kikerülhető) Platform: Windows Server 2003 Resource Kit / SP1 ISA Server 2004 (Windows 2000 / 2003)
Network Access Protection Karanténszolgáltatások a jövőben: LAN / WLAN karantén DHCP IPSec Cisco integráció Funkciók: Network Access Point RADIUS Server Policy Server Központi feltételdefiníciók Policy Management Framework: antivirus, IDS, tűzfal, patch, stb. Update Server Javítások, frissítések Karanténból is elérhető
Hálózati karantén architektúra Vállalati hálózat DHCP Servers Helyi számítógépek RADIUS Server Távoli számítógépek VPN/Dial-up Servers Policy Servers (Anti-virus; Patch/System Management, etc.) Update Servers (Anti-virus; Patch/System Management, etc.) Izolációs hálózat
Hálózati karantén architektúra = Hálózati karantén szoftver = Házirend szoftver Házirend? Policy Server Policy Server Policy Server Policy Server Házirend kliens Házirend kiszolgáló Aktuális házirend Riportok Frissítések State of Health Mi a Health Status-om? Rendben Rendben? Házirend ellenőrzése Minden OK API API Karantén koordináció Karantén koordináció Management Reporting Segíts! Health State frissítve! ? Hozzáférés? Karantén kliens: pl. VPN SoH RADIUS/VPN Nincs SoH-em... Jóváhagyva ? SoH-et kérek! X Karantén! Hálózati elérési pont (Network Access Point)
RSA SecurID
További információk Exchange Anti-Spam Infrastructure http://msdn.microsoft.com/library/en-us/e2k3/e2k3/ast_anti_spam.asp Microsoft Exchange Intelligent Message Filter http://www.microsoft.com/exchange/imf/ Intelligent Message Filter Overview & Deployment Guide http://www.microsoft.com/exchange/downloads/2003/ imf/imf_wp.asp http://www.microsoft.com/technet/prodtechnol/exchange/guides/ IMFDeploy/b1d0b6aa-203d-4224-87a1-347521d99203.mspx IMF Archive Manager http://workspaces.gotdotnet.com/imfarchive How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003 http://support.microsoft.com/default.aspx?scid=kb;en-us;823866
További információk RBL szolgáltatások SPEWS: http://www.spews.org MAPS: http://mail-abuse.org ORDB: http://www.ordb.org OpenRBL: http://www.openrbl.org Dorkslayers: http://www.dorkslayers.com Spamhaus: http://www.spamhaus.org CAUBE.au: http://www.caube.org.au Combat Spam: http://combat.uxn.com Spam Cop: http://spamcop.net Osirusoft: http://relays.osirusoft.com
További információk Configuring Outlook 2003 for RPC over HTTP http://www.microsoft.com/office/ork/2003/three/ch8/outc07.htm http://www.microsoft.com/technet/prodtechnol/exchange/guides/ E2k3RPCHTTPDep/9abaf7ee-1ea5-46ad-a68b-551e5dda459d.mspx
További információk Cikkek, publikációk (Megjelentek a TechNet magazinban) VPN - virtuális magánhálózatok, I. rész http://inetcom.hu/mick/publikaciok/vpn1.htm VPN - virtuális magánhálózatok, II. rész – az L2TP protokoll http://inetcom.hu/mick/publikaciok/vpn2.htm IPSec NAT-Traversal: IPSec hálózati címfordításon keresztül http://inetcom.hu/mick/publikaciok/ipsecnat.htm
További információk Windows Server 2003 Resource Kit Tools http://www.microsoft.com/downloads/details.aspx? familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd Remote Access Quarantine Tool for ISA Server 2004 http://www.microsoft.com/downloads/details.aspx? FamilyID=3396c852-717f-4b2e-ab4d-1c44356ce37a Remote Access Quarantine Agent (RQS.exe) http://www.microsoft.com/downloads/details.aspx? FamilyID=d4ec94b2-1c9d-4e98-ba02-b18ab07fed4e VPN Quarantine Sample Scripts for Verifying Client Health Configurations http://www.microsoft.com/downloads/details.aspx? FamilyID=a290f2ee-0b55-491e-bc4c-8161671b2462
További információk ISA Server 2004 dokumentáció http://www.microsoft.com/isaserver/downloads/2004.asp ISA Server partnerbővítmények: http://www.microsoft.com/isaserver/partners/ RSA SecurID for Microsoft Windows http://www.rsasecurity.com/node.asp?id=1173
A demoban használt karantén script On Error Resume Next bAVFound = False bAVEnabled = False bAVUpToDate = False bQFEFound = False sDialRasEntry = WScript.Arguments(0) sTunnelRasEntry = WScript.Arguments(1) sDomain = WScript.Arguments(2) sUserName = WScript.Arguments(3) Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery("SELECT * FROM " & _ "AntiVirusProduct") bAVFound = True bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next 1. oldal (folyt. köv.)
A demoban használt karantén script Err.Clear Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery ("SELECT * FROM Win32_QuickFixEngineering WHERE HotfixID = 'Q828026'") bQFEFound = True Next If Not bQFEFound Then DisableAccess "Kötelező javítás nem található" WScript.Quit Else WScript.Echo "Kötelező javítás rendben." If bAVFound Then WScript.Echo "Virusirtó felismerve..." If Not bAVEnabled Then DisableAccess "A virusirtó nincs engedélyezve" End If 2. oldal (folyt. köv.)
A demoban használt karantén script If Not bAVUpToDate Then DisableAccess "A virusirtó adatbázisa elavult" WScript.Quit End If Else WScript.Echo "Virusirtó nem ismerhető fel..." EnableAccess '======================================================= Function GetRQCPath() '%DialRasEntry% és %Domain% VPN és EAP miatt nem használt! GetRQCPath = """" & Replace( WScript.ScriptFullName, _ WScript.ScriptName, "rqc.exe") & """ """" """ & _ sTunnelRASEntry & """ 7250 """" """ & sUserName & """ " End Function 3. oldal (folyt. köv.)
A demoban használt karantén script Sub EnableAccess On Error Resume Next WScript.Echo "VPN hozzáférés engedélyezve." sRun = GetRQCPath & "TITOK" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & sRun Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If If nRetVal = 0 Then WScript.Echo "Karantén feloldva." Else WScript.Echo "Karantén feloldása sikertelen, hiba:" & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 4. oldal (folyt. köv.)
A demoban használt karantén script Sub DisableAccess( sCause ) On Error Resume Next WScript.Echo "VPN hozzáférés megtagadva: " & sCause sRun = GetRQCPath() & " ""/log " & sCause & """" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & GetRQCPath() Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If WScript.Echo "Karantén feloldása sikertelen, hiba: " & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 5. oldal