ISA Server alapok Gál Tamás

Slides:



Advertisements
Hasonló előadás
Partner Connections 2012 Az egységesített veszélykezelés (UTM) Balogh Viktor, műszaki igazgató.
Advertisements

A számítógépes hálózatok és az Internet
Biztonság A-tól Z-ig Forefront TMG - változások
A virtuális munka-környezet
Dolgozni már bárhonnan lehet…
Hitelesítés és tanúsítványkezelés
Készítette: Nagy Márton
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Module 10: Supporting Remote Users távoli felhasználó támogatása.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Hálózatok.
Client Access Server. Autodiscovery service Availability service (EWS) Offline Address Book (OAB) service Activesync service Outlook Web Access Public.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Microsoft Forefront biztonsági megoldások
- Virtualizációt az asztalra!
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
Áttekintés Egyszerű architektúrák Nagyvállalati architektúrák Tervezési útmutató.
Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, Bodnár Gábor,
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Essential Business Server 2008 Szentgyörgyi Tibor NetAcademia oktatóközpont A nagytestvér.
Távoli elérés és munkavégzés Üzemeltetői szemmel
A felügyelet kihívásai A Windows Intune WIKlasszikus Központi frissítés kezelés Malware védelem Hardver, szoftver és licensz leltár Remote Assistance.
Az Internet elemei és hozzáférési technológiái Az Internet architektúrája.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
Network Access Protection
Erős bástya – biztonsági újdonságok
Az ISA Server 2006 újdonságai Van új a Nap alatt Gál Tamás ISA Server MVP.
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Megoldás Felhő szolgáltatások és Windows 7.
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
Hibrid felhő Privát-, publikus és hoster felhők összekapcsolása
Secure Web Gateway Malware szűrés, HTTP/S szűrés, URL szűrés Firewall Multi-layer inspection, NIS, ISP-R, E-NAT, SIP Remote Access Gateway VPN (PPTP,
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
„Hagyományos” VPN protokollok PPTP Windows NT és „kortársai” Windows 2000 Windows XP, Windows Server 2003 Windows Vista, Windows Server 2008 L2TP Windows.
Hálózatkezelési újdonságok Windows 7 / R2
Windows Server 2012 Kiadások, licencelés, lehetőségek
RDS komplett átvilágítás VDI okosságok RemoteApp for Hyper-V.
Windows Server 2012 R2 Gál Tamás
Exchange Server 2007 Client Access Role
Ők kerestek meg minket Tentálen – Könyvelő iroda, 15 felhasználó SBS 2003, Outlook levelezés Nincs saját fix ip cím, exchange POP3-al töltötte le a leveleket,
Központosított rendszerfelügyelet System Center Essentials 2007 Micskei Zoltán.
Nagy teherbírású rendszerüzemeltetés a felhőben. Miről lesz szó? Cloud áttekintő Terheléstípusok és kezelésük CDN Loadbalancing Nézzük a gyakorlatban.
{ PKI } Active Directory Certificate Services
*Generic Application-level Protocol Analyzer A lyuk azonosítása Lyuk kutatás Szignatúra fejlesztés Szignatúra tesztelés A szignatúra kiadása 4 óra.
Windows Server 2008 Távoli elérés – I.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
- RDP RDS szerepkörök - VDI Word.rdp Excel.rdp Virtual Desktop.rdp RD Web Access.
Hálózat menedzsment Óravázlat Készítette: Toldi Miklós.
A teljes infrastruktúra egységesített felügyelete és védelme.
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
Network Access Protection
Óravázlat Készítette: Toldi Miklós
Levelezés a Jedlikben Borbély Balázs rendszergazda-helyettes Jedlik Ányos Gimnázium.
- S2S VPN - Server Core - DFS-R - BranchCache.
Ingyenes,Multi funkcionális tűzfal szoftver
Számítógép hálózatok.
Nagyvállalati tűzfalmegoldások ISA Server 2004 segítségével Harmath Zoltán Konzulens Microsoft Magyarország
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
Desktop virtualizáció Microsoft VDI használatával Háló Gyula.
FelhasználásNapi küldött/fogadott mail Adatbázis cache felhasználónként Light5 küldött/20 fogadott2 MB Average10 köldött/40 fogadott4.
Tűzfal (firewall).
DR+HA+B/R+Azure Gál Tamás Datacenter Technical Specialist
Ingyenes, online technikai kurzusok Microsoft Virtual Academy.
Kiss Tibor System Administrator (MCP) ISA Server 2006.
Nagyvállalati szintű felhős szolgáltatások Eszközök - Szolgáltatások.
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
Domain: isp.hu IB Rt. Domain: ir.hu /24 R2 R3 R1 R4
Előadás másolata:

ISA Server alapok Gál Tamás v-tagal@microsoft.com Microsoft Magyarország

Tartalom Bevezetés Mit csinál a... Felhasználási területek Az ISA kliensei Az Enterprise változat Forefront TMG

Bevezetés Internet Security and Acceleration Server 2006 Tűzfal feladatok Proxy kiszolgáló Szerver publikálás VPN kiszolgáló Gyorsítótár Standard / Enterprise

Bevezetés Kezelés. felügyelet ISA MMC, Remote Desktop Alapértelmezésben mindkettő letiltva Ellenőrzés: dashboard, riasztások, kapcsolatok, szervizek, CV Jelentések, időzítés, statisztika, … Naplózás Szöveg, MSDE, SQL Online napló, Change Tracking Egyedi Performance Monitor, BPA, Traffic Simulator

Bevezetés Halmozott integráció Kezelés és monitorozás egy helyen Címtárral vagy nélküle Hitelesítés többféle névtérből Windows (helyi + AD), RSA SecurID, OTP, RADIUS, tanúsítványok A kliensek felé teljesen transzparens Publikálás: széleskörű MS támogatás > Exchange, SQL, Sharepoint, stb. Külső szoftverekkel, bővítményekkel, filterekkel, VPN eszközökkel, stb.

Bevezetés Hálózatkezelés Tetszőleges számú hálózatot kreálhatunk Előre definiált hálózatok Local Host Internal, External VPN Clients, Quarantined VPN Clients Mindegyik hálózatra érvényes Testreszabható szabályok Hálózatok közötti kapcsolat típusa (route / NAT) Web proxy / firewall kliensek tulajdonságai Web browser, domains, addresses opciók

Bevezetés Tűzfalszabályok Kliens / gép hozzáférés, bentről, kintről Alapesetben tiltás mindenre Sorrend és System Policy Destination Network Destination IP Destination Site action on traffic from user from source to destination with conditions Allow Deny User Protocol IP Port/Type Source network Source IP Schedule Content Type

Bevezetés Bővítmények, filterek Integrált > ISA 2006 SP1 Kiemelkedő Alkalmazás filterek (12) Web filterek (10) Kiemelkedő SMTP, FTP, Compression FBA, HTTP 3rd party filterek

ISA Server MMC Szerkezet és kezelés

Mit csinál a tűzfal? Háromszintű szűrés Csomag Forrás, cél, protokoll, irány, port Ingress, egress filterek, stb. Stateful – minden forgalomban, pl. VPN is 3-way handshake Alkalmazás rétegbeli – ritka és hasznos pl. HTTP filter Intrusion detection, IP Protection Flood mitigation

HTTP filter

Mit csinál a web proxy? Hozzáférés és biztonság Teljesítmény Felhasználók hitelesítése Felhasználói kérések szűrése Tartalom-vizsgálat Felhasználói hozzáférés naplózása Belső hálózat elrejtése Teljesítmény Hozzáférés a gyorsítótárhoz Forward és reverse proxy

Mit csinál a VPN kiszolgáló? Részben az RRAS-ra támaszkodik De az ISA MMC-ből intézünk mindent Szimpla VPN Hitelesítés különböző névterekből Külön hálózat, külön tűzfalszabályok VPN karantén Site-to-Site VPN IPSec alapon is, hardverrel is Egyszerűsített konfigurációs „varázslás”

Mit csinál a gyorsítótár? Teljesítmény növelés, sávszélesség megtakarítás Tárolás a memóriában / háttértárakon Forward / reverse caching Cache rules Milyet? Honnan? Mit ne? HTTP fejlécek figyelése, de felülbírálása is Content Download Jobs Web proxy chaining

Mit csinál a szerver publikálás? Lásd: következő előadás

Hogyan működik az… ISA???

Felhasználási területek Edge Firewall Mindent blokkol, amit nem engedünk Belső szerverek publikálása VPN szerver funkció Web proxy és gyorsítótár funkció Webszerver LAN ISA Server Webszerver VPN Internet Belső szerver Exchange kiszolgáló Belső user Távoli user

Felhasználási területek Back-end firewall Biztonságosabb Exchange publikálás Biztonságosabb web szerver publikálás Web proxy és gyorsítótár funkció Webszerver Webszerver Távoli user Internet Belső user Exchange Server Belső szerver LAN Firewall ISA Server Webszerver

Felhasználási területek Integrált működés Proxy és gyorsítótár szolgáltatás Dial-up/VPN szerver funkció Minden befelé érkező forgalom blokkolása Belső user LAN Belső szerver ISA Server Internet ISP szerver Webszerver

Felhasználási területek Egy hálózati kártyás működés Nincs tűzfal, VPN szerver, szerver publikálás, csomagszűrés funkció Csak gyorsítótár és web proxy Belső user LAN Belső szerver ISA Server Internet Webszerver Firewall

Felhasználási területek Branch office firewall IPSec v. PPTP/L2TP VPN tunnel (S2S) A telephelyi forgalom figyelése és szűrése Biztonságos internet hozzáférés a telephelyi gépek számára - a központi ISA szerveren át Központ LAN ISA Server* LAN ISA Server VPN Tunnel Belső szerver Internet Fiók Központi user * vagy más VPN gateway

Konfigurálás és telepítés nélkül, több platformra Az ISA kliensei SecureNAT kliens Konfigurálás és telepítés nélkül, több platformra Internet ISA Server Web Proxy kliens Firewall kliens Hitelesítéssel is, HTTP / HTTPS / FTP, több platformra, telepítés nélkül Legmélyebb kapcsolat, telepítéssel, teljeskörű hitelesítéssel, titkosítva is

Az ISA kliensei Mit szeretnénk? Melyik passzol? Kliens telepítés nélkül SecureNAT clients Csak gyorsítótár használat SecureNAT / Web Proxy kliens Kizárólag hitelesítéssel Firewall / Web Proxy kliens Kiszolgáló publikálás (csak) SecureNAT kliens Böngészők használata nem Windows platformon

Ujjgyakorlatok Mivel kezdjük?

Az Enterprise változat Mivel tud többet? Egyszerűbb kezelés több ISA esetén Lényegesen skálázhatóbb Lényegesen hibatűrőbb Milyen helyzetekben? Több ISA telepítése, ugyanazzal a konfigurációval Több ISA telepítése, megosztott felügyelettel Különálló, címtár nélküli ISA kiszolgálók ISA1 ISA2

Az Enterprise változat A konfiguráció tárolása ISA Standard > registry ISA Enterprise > Configuration Storage Server (ADAM) ADAM? Mini címtár, DNS, domain, DC-k nélkül Multimaster replikáció Automatikusan települ CSS telepítés közben Az ISA Server MMC-ből kezeljük ISA1 ISA2

Az Enterprise változat Tömbök (Arrays) ISA szerverek szinte teljesen egyforma konfigurációval rendelkező csoportja Egy adott cél érdekében csoportosítjuk Tömb házirend (Array policy) Csak az adott csoportra érvényes szabályzás Tömb specifikus házirend objektumok és szabályok Tömb hálózatok ISA1 ISA2

Az Enterprise változat Enterprise „hálózat” Kizárólag IP alapon, szervezet szinten Rugalmasan bővíthető a címtartomány Vállalati szintű házirendekhez Enterprise házirend Szabályok, házirend elemek az egész hálózatban Egyformán teljesülhet az összes tömbre A tömb házirendek előtt ill. után is érvényesülhet ISA1 ISA2

Az Enterprise változat NLB Az ISA MMC-ből irányítjuk Szemben a Windows Server 2003-mal NLB-ben lehetséges működtetni: VPN (S2S is), web / web proxy szervert CARP A gyorsítótár többszörözése nélkül Az ISA kiszolgálók közötti hálózati forgalom megnövelése nélkül Egyszerűen bővíthető, szűkíthető a kiszolgálók száma a CARP tömbben ISA1 ISA2

Forefront TMG Nem túl távoli jövő Csak Windows 2008 / x64 FTMG Medium Business Edition > EBS Csak Windows 2008 / x64 Sok változás, néhány példa: Intrusion Prevention System SMTP Protection ISP Redundancy URL filtering, Malware inspection, AV Minden rész frissíthető (definiciós fájlok)

Forefront TMG