Az ISA Server 2006 újdonságai Van új a Nap alatt Gál Tamás ISA Server MVP
Tartalom Összefoglalás 12 percben Tengernyi hitelesítés újdonság Tanúsítvány-kezelés Az ezerarcú publikálás Flood Mitigation Kiegészítő szkriptek és alkalmazások
Poll2
Exchange Intranet Web Server SharePoint Active Directory External Web Server Administrator User ISA 2006 Appliance DMZ Internal Network Internet Erős szerver védelem Teljesen testreszabható űrlapos hitelesítés, mobil kliensek, nem böngésző alk. számára is RADIUS OTP, Smart card támogatás, LDAP névtér használata Hitelesítés delegálás minden hitelesítési metódusnál SSO, automatikus Link Translation az ún. globáls „links table” opcióval Cookie / IP alapú NLB támogatás a Standard verzióban is, fail-over is Exchange, SharePoint publikálás varázslók, sokkal „finomabb” tanúsítvány kezelés Idle vagy session-based időtúllépés az alkalmazásoknál is Alaposabb identitás-kezelés Egyszerűbb elérés Nagyobb teljesítmény Könnyebb kezelhetőség Összefoglalás 12 percben
External Web Site Administrator Attacker ISA 2006 Appliance DMZ Internal Network Internet Extranet Web Server Külső támadások ellen Belső támadások ellen Részletesebb információ Korrekt felügyelet Részletesen hangolható, rugalmas és elágazó bejövő kapcsolat ellenőrzés Részletesen hangolható, rugalmas kimenő kapcsolat ellenőrzés (worm resiliency) 90 darab új, beépített riasztási sablon MOM 2005 integráció (System Policy!) Összefoglalás 12 percben
Branch Office Connectivity Wizard, S2S VPN válaszfájlok BITS cachelés külön gyorsítótár szabállyal* Rugalmasan konfigurálható HTTP tömörítés* DiffServ támogatás, prioritás szabályzás* Exchange Intranet Web Server SharePoint Active Directory External Web Server Administrator User ISA 2006 Appliance Array DMZ Internal Network Internet S2S VPN BRANCH OFFICE HEAD QUARTERS User CSS Kényelmesebb kivitelezés WU/MU forgalom megsegítése Gyorsabb HTTP forgalom Sávszélesség optimalizás Összefoglalás 12 percben * Már az ISA Server 2004 SP2-ben is megjelent
Tartalom Összefoglalás 12 percben Tengernyi hitelesítés újdonság Tanúsítvány-kezelés Az ezerarcú publikálás Flood Mitigation Kiegészítő szkriptek és alkalmazások
Hitelesítési újdonságok Single Sign On Scenario—Two Published Web Sites requiring Authentication Without SSO-User accesses Exchange User Prompted for Authentication User Clicks Link to SharePoint User Prompted for Authentication ▪ Scenario—Two Published Web Sites requiring Authentication ▪ With SSO-User accesses Exchange ▪ User Prompted for Authentication ▪ User Clicks Link to SharePoint ▪ User NOT Prompted for Authentication
Poll1
Valamit tudunk és valamit birtoklunk Támogatott szkenáriók, azaz a felhasználónak van egy Felhasználói tanúsítványa, Vagy egy SecurID tokenja, amivel egy ún. „passcode”-t generál Vagy egy egyszeri jelszót (OTP) generáló eszköze, amivel szintén egy „passcode”-t generál Hitelesítési újdonságok Multifaktoros hitelesítés
1. A kliens hitelesítési adatainak elfogadása 2. és 3.: Kommunikáció a spéci hitelesítést engedélyező géppel / alkalmazással 4. Hitelesítés delegálás, azaz az ISA „dolgozik” helyettünk Hitelesítési újdonságok Multifaktoros hitelesítés 5. Az OWA válaszol az ISA-nak 6. Az ISA válaszol a kliensnek
Hitelesítési újdonságok A kliens hitelesítés variációi
Immár három típus választható: Jelszó űrlap, Passcode űrlap, Passcode/Jelszó űrlap Ha nem sikerül jöhet a Basic metódus Külön űrlap a mobil klinseknek Jelszó változtatás az űrlapon keresztül Elemi szinten testreszabható 26 nyelven (kierőszakolható módon is) Szövegek, grafikák > bármi megváltoztatható Hitelesítési újdonságok Az űrlap alapú hitelesítés (FBA)
Az általunk készített egyedi űrlapra átirányítható a listenerben A publikáló szabály felülírhatja Hitelesítési újdonságok Az űrlap alapú hitelesítés (FBA)
Cookies Állandó (csak óvatosan!) SessionTimeout Idle time Session duration Logoff Egyéni logoff URL megadása a publikáló szabályban Hitelesítési újdonságok Az űrlap alapú hitelesítés – Session management
Basic Clear text ergo csak SSL vagy VPN esetén Digest / WDigest Hash-elt, nem visszaállítható Csak az utóbbi ajánlott > a címtár jelszó tárolás miatt WDigest: csak Windows Server 2003 és minimum ISA Server 2004 Integrated NTLM, Kerberos és Negotiate (Domain\Username) Hitelesítési újdonságok HTTP hitelesítés
Hitelesítési metódusok - összegzés
Hitelesítési újdonságok Az extra hitelesítő szerverek
Hitelesítési újdonságok Haladó opciók
No delegation, and client cannot authenticate directly No delegation, but client may authenticate directly Basic NTLM NTLM/Kerberos (Negotiate) Kerberos constrained delegation Hitelesítési újdonságok Delegálás és típusai
Tartalom Összefoglalás 12 percben Tengernyi hitelesítés újdonság Tanúsítvány-kezelés Az ezerarcú publikálás Flood Mitigation Kiegészítő szkriptek és alkalmazások
Tanúsítvány-kezelés
Több tanúsítvány listenerenként Több alkalmazás publikálása > több IP > több tanúsítvány Ergo nem szükséges a „wildcard” tanúsítvány Tanúsítvány-kezelés
A tanúsítvány problémák admin riasztásként jelennek meg Tanúsítvány-kezelés
Tartalom Összefoglalás 12 percben Tengernyi hitelesítés újdonság Tanúsítvány-kezelés Az ezerarcú publikálás Flood Mitigation Kiegészítő szkriptek és alkalmazások
Az ezerarcú publikálás SPS
Az ezerarcú publikálás Exchange Servers
Automatikus engedélyezés Speciális karakterkészletekre is alkalmazható Az ezerarcú publikálás Link Translation
Hálózati objektumként vehetjük fel Ergo bármilyen publikáló szabályban használható Az ezerarcú publikálás Server Farms
Az ezerarcú publikálás Publikálás NLB-vel
Connectivity Verification HTTP/S „GET” Ping TCP kapcsolat az adott portra Az ezerarcú publikálás Publikálás NLB-vel
A web/SPS, stb. szerveren nem kell NLB 2 típus Cookie (OWA) Source IP (RPC / HTTP) Az ezerarcú publikálás Publikálás NLB-vel
Tartalom Összefoglalás 12 percben Tengernyi hitelesítés újdonság Tanúsítvány-kezelés Az ezerarcú publikálás Flood Mitigation Kiegészítő szkriptek és alkalmazások
Flood Mitigation
ISA Server Appliances The Celestix MSA Security Appliance The HP ProLiant DL320 Security Server NS Series Security Appliances OSST SecureGuard Appliances
További információ Magyar TechNet Portál Microsoft ISA site (trial, vhd, stb.) Minden ami ISA ISA Server Product Team blog Thomas Shinder blogja
Függelék Kiegészítő szkriptek és alkalmazások
MSDEToText.exe MSDEToText.exe Az MSDE formátumú logokat konvertálja szövegfile-ba, vagy a képernyőre. MSDEToText.exe RQSUtils.exe RQSUtils.exe Az ISA Server VPN karanténjához szükséges RQS listener komponens, azaz a karantén szerver oldalának frissítése. RQSUtils.exe DNSToolsPack.exe DNSToolsPack.exe A DNS gyorsítótár megjelenítése, illetve a bejegyzések törlése a feladata. DNSToolsPack.exe fwengmonpack.exe fwengmonpack.exe A Firewall Kernel Mode Tool legújabb változata, amely egy kernel módu driver (fweng.sys) segítségével elemzi részletesen tűzfal kapcsolatokat. fwengmonpack.exe ISACertToolPack.exe ISACertToolPack.exe Az ISA MMC-ben is jelentősen fejlődött a tanúsítványok kezelése, ez az eszköz ráadásképpen még abban is segít, hogy az ISA tömb tagjai és a konfigurációt tároló Configuration Storage Server (csak EE verzió) közötti hitelesítési forgalom zökkenőmentes legyen. ISACertToolPack.exe Kiegészítő szkriptek és alkalmazások
NLBClear.exe NLBClear.exe Szintén csak az EE verzónál érdekes, konkrétan az ISA tömbök tagjainál az NLB beállítások törlésére használhatjuk, beleértve az ISA NLB egyik spéci jellemzőjének a "bidirectional affinity"-nak azaz a tömb adott tagja és a (mindkét oldali, akár külső/belső) kliens közötti kiépült maradandóságra hajazó kapcsolat jellemzőinek likvidálását is. NLBClear.exe WpadForSBSPack.exe WpadForSBSPack.exe Az IIS és az ISA egy gépen történő alkalmazása esetén az automatikus proxy detektálás információjának szétszórásával vannak problémák. Ezzel az alkalmazással remélhetőleg rendet rakhatunk, majd pl. egy SBS-en is. WpadForSBSPack.exe SCW Update for ISA Server 2006 SCW Update for ISA Server 2006 Az ISA Security Configuration Wizard frissítéssel mindkét verziót passzíthatjuk a Windows Server 2003 SCW varázslójához. SCW Update for ISA Server 2006 CacheDirPack.exe CacheDirPack.exe Régi és kellemes eszköz, melynek a frissítése a gyorsítótár tartalmának machinálását teszi lehetővé. CacheDirPack.exe Kiegészítő szkriptek és alkalmazások
ISAServer2006ReportingServicesSample.exe ISAServer2006ReportingServicesSample.exe Az SQL Server Reporting Services és e csomag segítségével egy SQL adatbázis használata esetén jelentéseket generálhatunk. ISAServer2006ReportingServicesSample.exe AdamSitesPack.exe AdamSitesPack.exe Egy parancsssori eszköz, amellyel az EE verzió "címtárát", más néven a Configuration Storage Server-t (ami gyakorlatilag egy spéci ADAM) konfigurálhatunk. AdamSitesPack.exe SdTestPack.exe SdTestPack.exe Azaz: RSA Test Authentication Utility, amellyel az RSA Authentication Manager komponenst futtató gép (azaz a SecurID névtér kiszolgálója) és az ISA közötti hitelesítés ellenőrzése oldható meg. SdTestPack.exe+ ISA Server 2006 Software Development Kit (SDK) ISA Server 2006 Software Development Kit (SDK) Kiegészítő szkriptek és alkalmazások