Nagyvállalati tűzfalmegoldások ISA Server 2004 segítségével Harmath Zoltán Konzulens Microsoft Magyarország

TechNet események 2004 tavaszán március 31. Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével április 14. A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) április 28. Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével május 12. Üzemeltetői konferencia Üzemeltetői konferencia március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

ISA Server 2004 áttekintése  Standard Edition  Enterprise Edition  Standard Edition  Enterprise Edition*

ISA Server 2004 áttekintése  Standard Edition újdonságai  Továbbfejlesztett kezelőfelület  Új szabály rendszer  Új hálózatkezelési rendszer  Integrált VPN  Továbbfejlesztett Application Layer Filter: HTTP, SMTP  Megoldáscentrikus, egyszerű kezelést lehetővé tevő kialakítás

ISA Server 2004 áttekintése  Egyszerű használat  Egyszerű telepítés és konfigurálás  Hálózati szolgáltatások  Továbbfejlesztett kezelés  Hibakereső eszközök  Feladatközpontú kialakítás  Integrált biztonság  „Secure by default”  „Single sign-on”  Alkalmazás publikáció  VPN integráció  Forward Proxy  Caching  Chaining

ISA Server 2004 áttekintése  Egyszerű használat  „Multiple-network” támogatás az új topológiák számára  Egyszerű konfiguráció a hálózati sablonok segítségével  Feladatközpontú kezelőfelület  Új Policy megjelenítés

ISA Server 2004 áttekintése  Integrált biztonság  Lockdown eszközök*  ICSA, CC minősítések megszerzése*  Több faktorú azonosítás  Iparági szabvány authentikáció támogatása –Radius

ISA Server 2004 áttekintése  VPN integráció  Kliens és Site-to-Site kapcsolatok integrációja  Jogosultságkezelés  Külön hálózat  VPN kliensek megjelenítése  VPN kliensek kezelése (kapcsolat megszakítás)  VPN Quarantine

ISA Server 2004 áttekintése  Alkalmazás publikáció  Kiszolgálók  Exchange  IIS  A legjobb védelem az Exchange-hez  SMTP, OWA, OMA, RPC, RPC over HTTP  IIS/HTTP védelem  HTTP szabályok segítségével

ISA Server 2004 áttekintése  Összefoglalás  Következő generációs tűzfal, a biztonság fontos –Alkalmazás szintű védelem kell az eszközökbe –Integrált megoldásra van szükség –Egyszerű és biztonságos kezelhetőség –Sokféle eset támogatására képes eszközre van szükség  Legfontosabb szolgáltatásaink –Több rétegű védelem –Üzleti alkalmazások biztonságos elérhetőségének megteremtése –Egyszerű és biztonságos kezelhetőség –Több hálózatú topológiák támogatása

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

Továbbfejlesztett kezelőfelület  “The most common cause of firewall security breaches is misconfiguration of the firewall system. Various references on penetration testing show that well over half of the firewall systems regularly tested are not properly configured. According to ICSA, seventy percent of sites with certified commercial firewalls are still vulnerable to attacks due to misconfiguration or improper deployment” CERT, improvement/practices/p056.html improvement/practices/p056.htmlhttp:// improvement/practices/p056.html  “A vast majority (nearly an estimated 99 percent) of security breaches that can be tracked to a fault in the firewall are caused by misconfigurations, not flaws in the firewall” Gartner, Two Firewalls Are Not Better Than One, 9/9/2002

Továbbfejlesztett kezelőfelület Tervezési célok  Egyszerű használat mindenki számára  Egyszerű konfigurálhatóság a biztonság konfiguráció eléréséhez  Egyszerűen felismerhető legyen a jelenlegi állapota a tűzfalnak  Egyszerűen felismerhetők és kezelhetők legyenek a leggyakoribb problémák  Egyszerűen ellenőrizhető legyen a tűzfal konfiguráció  Rugalmas, segítségével az összetett üzletileg érzékeny feladatok is elvégezhetőek  Információ-gazdag felület, nem lebutított változat  Információ-gazdag állapot kijelzés lekérdezési lehetőséggel kibővítve  Problémák kezelésének hatékony megvalósíthatósága a konzol segítségével

Továbbfejlesztett kezelőfelület Célok és fókusz Leggyakoribb problémák  Nehéz biztonságosan beállítani egy tűzfalat  Egy tűfal konfiguráció auditálása nehéz feladat  A tűzfal konfiguráció hibakeresése nehéz feladat ISA Server 2004  Sablonok a hálózati topológiákhoz és alapértelmezésben biztonságos Policy sablon betöltése  Egyszerűsített policy model kiegészítve egy új gazdagabb funkcionalítású policy szerkesztővel  Varázslók a gyakori feladatok ellátásához  Dashboard, online log viewer és jelentés varázsló  XML konfiguráció export/import

Továbbfejlesztett kezelőfelület  MMC konzol amit mindannyian ismerünk és szeretünk …  Fa nézet a hatékony navigációhoz  Listák, menük, eszközmenük, dialógus ablakok, varázslók… Dashboard Policy Editor Toolbox Network Templates Task Bars

Továbbfejlesztett kezelőfelület Monitoring  Célok  Szerver állapota – Kritikus szolgáltatások  Hibakeresés – Gyors és egyszerű  Vizsgálat – Támadások, hibák  Jövő tervezése – hálózati teljesítmény optimalizálása

Továbbfejlesztett kezelőfelület Monitoring eszközök  Dashboard – központi nézet  Alerts – Minden probléma egy helyen  Sessions – Aktív kapcsolatok nézete  Services – ISA szolgáltatások státusza  Connectivity – Kapcsolatok ellenőrzése  Logging – ISA Log „nézőke”  Reports – Top users, Top sites, Cache hits…

Továbbfejlesztett kezelőfelület Dashboard Cél Központosított állapot nézet Szolgáltatások Real time Összesített nézet Egyszerűen felismerhető a probléma Cél Központosított állapot nézet Szolgáltatások Real time Összesített nézet Egyszerűen felismerhető a probléma

Továbbfejlesztett kezelőfelület Alerts Cél Minden probléma egy helyen Szolgáltatások Riasztási history Riasztások kezelése Kategorizálás Cél Minden probléma egy helyen Szolgáltatások Riasztási history Riasztások kezelése Kategorizálás

Továbbfejlesztett kezelőfelület Sessions Cél Aktív kapcsolatok monitorozása Szolgáltatások Szűrési lehetőség VPN kapcsolatok kezelése Kapcsolatok bontása Cél Aktív kapcsolatok monitorozása Szolgáltatások Szűrési lehetőség VPN kapcsolatok kezelése Kapcsolatok bontása

Továbbfejlesztett kezelőfelület Services Cél ISA és kapcsolódó szolgáltatások monitorozása Szolgáltatások Start & stop Cél ISA és kapcsolódó szolgáltatások monitorozása Szolgáltatások Start & stop

Továbbfejlesztett kezelőfelület Connectivity Cél A kritikus hálózati szolgáltatásokhoz ellenőrző eszköz Szolgáltatások Kérés típusok Válaszidő és küszöbérték Csoportosítható Cél A kritikus hálózati szolgáltatásokhoz ellenőrző eszköz Szolgáltatások Kérés típusok Válaszidő és küszöbérték Csoportosítható

Továbbfejlesztett kezelőfelület Logging Cél ISA forgalom ellenőrzése Szolgáltatások Real-time mód Időrendi nézet Kitünő Lekérdezési lehetőség Cél ISA forgalom ellenőrzése Szolgáltatások Real-time mód Időrendi nézet Kitünő Lekérdezési lehetőség

Továbbfejlesztett kezelőfelület Reports Cél Kiszolgáló működéséhez tartozó jelentések megjelenítése Features Automatizált jelentés Jelentés kategóriák értesítés Jelentés publikáció Cél Kiszolgáló működéséhez tartozó jelentések megjelenítése Features Automatizált jelentés Jelentés kategóriák értesítés Jelentés publikáció

Továbbfejlesztett kezelőfelület ISA Server 2000 ISA Server 2004  Site&Content Rules  Access Rules  Packet Filters  Access Policy  Web Publishing Rules  Server Publishing Rules  Access Policy  Policy Elements  Toolbox (Policy Editor - ban)  Bandwidth Rules  * * * *  LAT, LDT  Network Properties, Network Template  Cache Configuration  Configuration/Cache  Extensions  Configuration/Add-ins, Policy Editor!  Log Files  Log Viewer (+files)  Monitoring  Monitoring Configuration  Reports  Dashboard  Task Pads  Task Bars

Továbbfejlesztett kezelőfelület  Network Templates  Dashboard  Getting started  Task pane  Policy pending  Drag & Drop  Connectivity demó

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

ISA 2004 architektúra  Hálózati architektúra  Hálózati topológia továbbfejlesztése  Címfordítási szolgáltatások továbbfejlesztése  Szűrési architektúra  Több rétegű tűzfal architektúra  Teljesítmény  Tűzfalszabályok architektúrája  Firewall Policy  Szabályok kiértékelésének menete

ISA 2004 architektúra - hálózat  Multi-network támogatás  Támogatja a több hálózatú kialakítást  A leggyakoribb topológiákhoz sablonok tartoznak  VPN hálózat integrálása  A tűzfal kiszolgáló elkülönítése  Címfordítás  Címfordítási szabályokat határozhatunk meg: NAT vagy Route

ISA 2000 architektúra - hálózat Belső Hálózat Internet DMZ 1 Kifele menő házirend kezelés Statikus csomagszűrés Statikus csomagszűrés a DMZ és Internet között “Bent” (LAT) és “kint” (Internet, DMZ) -  ISA 2000 Packet filter csak a külső interfészen

ISA 2004 architektúra - hálózat Network A Internet DMZ 1 DMZ 2 Network B VPN Network Tetszőleges számú hálózat Routing kapcsolat szabadon szabályozható Dinamikus hálózati tagság kezelés Hálózatonként eltérő szabályok A VPN külön hálózatként jelenik meg ISA 2004 Packet filter az összes interfészen

ISA 2004 architektúra - hálózat  ISA 2000  1 db belső hálózat*  1 db házirend  Stateful inspection csak a LAT-ból és a LAT-ba menő csomagok esetén  Mindig NAT-ol a LAT-ból  Tűzfaltól és tűzfalhoz a forgalmat csak static PF-el szabályozhatjuk  Nincs külön VPN hálózat  ISA Server 2004  Több hálózat  Hálózat szintű szabálykezelés  NAT vagy Route kapcsolat a hálózatok között  Tűzfaltól és tűzfalhoz érkező forgalmat a Firewall Policy kezeli  VPN natív támogatása a VPN hálózaton keresztül

ISA 2004 architektúra – belső felépítés NDIS Policy Engine Firewall EngineIP Stack Firewall service Application Filter API Application filter Web proxy filter Web Filter API Application filter Application filter Application filter Web filter Web filter

ISA 2004 architektúra – tűzfal típusok  Proxy architektúra  Stateful inspection  Hybrid architektúra Firewall App. Proxy Client Stateful Engine App. Proxy Stateful Engine

ISA 2004 architektúra – szűrések TCP/IP Firewall Engine Firewall Service Application Filters Web Proxy Filter Policy & Rules Engine Local Policy Store Enterprise Policy Store (EE) Web Filters Packet layer szűres 1 Protocol layer szűrés 2 Application layer szűrés 3 Kernel mode data pump: Teljesítmény optimalizáció 4 ISA Server 2004

ISA 2004 architektúra – Firewall client Firewall Server  Opcionális – további előnyökért:  Általános alkalmazás proxy funkcionalítást biztosít  Egyszeri bejelentkezés és erős azonosítás (Kerberos)  Megoldja az alapértelmezett átjáró problémáját Firewall Service Policy & Rules Engine Local Policy Store Filtering Engine Kapcsolódási kérés 1 2 Forgalom szűrés Engedélyezés Biztonsági házirendek alk. 3 4 Ügyfél azonosítás Firewall Client Cél kiszolgáló

ISA 2004 architektúra – teljesítmény Raw throughput performance [Mbps]: ISA Server 2000 RTM = 1Gbps ISA Server 2004* * Preview Beta Hogyan? Tervezési fejlesztések IP Stack fejlesztése Hardware fejlesztesék Network computing magazine app. level firewalls review (3/03) full inspection performance [Mbps]: Symantec FW Sidewinder Checkpoint NG FP3 ISA 2000 FP1  Teljesítmény optimalizáció  A valós helyzetekre optimalizáltuk a terméket  Felfele skálázható további CPU-k hozzáadásával  Nagyon jól skálázható oldalra a termék

ISA 2004 architektúra – szabályok  Egy szabály, sorrend alapú szabálykezelés  Lényegesen logikusabb és átláthatóbb  Egyszerűbben auditálható és értelmezhető  Minden korábbi ISA szabály egy szabályba került elhelyezésre  Szabály tipusok: –Access rule –Server publishing rules –Web publishing rules  Alkalmazás szűrők is a szabály részét képezik

ISA 2004 architektúra – szabályok  Alap ISA 2000 szabályok:  Protocol rules  Site and Content rules  Static packet filters  Publishing rules  Web publishing rules  Filtering configuration  Egyéb ISA 2000 szabályok:  Address translation rules  Web routing rules  Cache rules Firewall policy Configuration policy

ISA 2004 architektúra – szabályok   Allow   Block   Source network   Source IP   Originating user   Destination network   Destination IP   Destination site   Protocol   IP Port / Type Published server Published web site Schedule Filtering properties action on traffic from user from source to destination with conditions   User

ISA 2004 architektúra  Firewall Policy bemutatása demó

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

ISA 2004 telepítése - követelmények  Hardware  CPU MHz (max. 4 CPU)  Memory MB  HDD – 150 MB (NTFS)  Software  ISA Server 2004 –Windows Server 2003 –Windows 2000 (SP4) –Workgroup or Domain tag –ISA server + SP1 (In-Place upgrade)  Firewall Client –Windows 98-től (Windows 95-re nem telepíthető)  Remote Management –Windows 2000-től –Fontos: ISA 2000 és ISA 2004 management eszköz nem lehet azonos gépen!!

ISA 2004 telepítése – telepítés utáni állapot  Minden bezárva  Alapértelmezett system policy  Outbound –Active Directory (Csak ha tartományi tag a tűzfal!) –DNS –DHCP  Inbound –Remote management ( Ha távolról telepítettünk!!!) –Inbound Firewall Client Share ( Ha feltelepítettük)  Proxy cache alapértelmezésben tiltva van

ISA 2004 telepítése – Firewall Client  Firewall client share:  A tűzfalon  Fájl szerveren – javasolt  Firewall client setup:  Az ISA 2004 kompatibilis az ISA 2000 Firewall Client-el  A telepítés után nem kell újraindítás (Kivétel Win98 & NT4).  Támogatott a felügyelet nélküli telepítése  Telepítéséhez Rendszergazdai jogosultság szükséges

ISA 2004 telepítése – Upgrade  Frissítés menete  Telepítés indítása  Konfiguráció exportálása  Frissítés elvégzése –Konfiguráció importálása  Restart  Állományok  %Windir%\Temp\....log  %Windir%\temp\isa2k_upgrade\isa2k_config.xml  %Windir%\temp\isa2k_upgrade\isa2k_config.log

ISA 2004 telepítése – Upgrade matrix ISA Server Protocol Rules 2. IP Packet Filter 3. Site and Content rules 4. Web publishing 5. Server publishing 6. Destination Set 7. Client Set 8. LAT 9. URLScan 10. RRAS (VPN) 11. Report jobs ISA Server Access rules 2. Computer 3. URL 4. Domain Groups 5. Address Ranges 6. Internal Network 7. HTTP Filter (within the access rule) Új konfigurációs elemek: 1. VPN 2. Networks – External, Local host, Quarantine, VPN Clients 3. Monitoring – Connectivity 4. SMTP Log

ISA 2004 telepítése – a színfalak mögött  Telepített komponensek:  MSDE – Advanced Logging esetén  Office Web Component – Jelentéskészítéshez  Opcionális OS komponensek:  SMTP – Message Screener-hez  RRAS – a VPN szolgáltatáshoz  Setup technológia  MSI 2.0

ISA 2004 telepítése – tömeges telepítés  Felügyelet nélküli telepítési módok  Paraméterezhető telepítőkészlet  Válaszfájlok használata  Távoli telepítés vagy / és frissítés  Kihívás – újrakapcsolódást biztosítani kell

ISA 2004 telepítése  ISA 2000 Upgrade folyamat bemutatása  Terminal Serveren keresztül távolról egy tiszta telepítés bemutatása demó

Kérdések?

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

Management – Export, Import  Mi ez?  Bármilyen objektum, vagy objektumok exportálhatóak XML konfigurációs fájlba  Ezek az XML fájlok importálhatók a gépre, vagy másik tűzfal gépre  Az érzékeny adatok védelme –Jelszóval védhető az XML állomány  Előnyei  A teljes konfiguráció mentése és helyreállítása megoldható segítségével  Többszörözhetjük, replikálhatjuk a tűzfalunk konfigurációját másik tűzfalakra  Szabályok, vagy szabály objektumok megoszthatóak egymással egyszerűen -ben  Egyszerűsített kommunikáció a PSS-el, ha kell a teljes konfiguráció könnyen elküldhető  Akár off-line is elvégezhető egy konfigurációs XML elkészítése

Management feladatok  Export  Import  Backup  Restore demó

Biztonságos Web Publikáció ISA Server 2004 Web server ( clientclient Internet Firewall Service Web Proxy HTTP Security App Filter App Filter

Biztonságos Web Publikáció  Újdonságok  Proxy request to published server –Original Client –ISA Server Computer  HTTP Filter –Maximum header –Payload length –URL length –Query length –Block high bit, executable –Method (HTTP verb) –Extension filtering –Header filtering –Signature filtering  Path Publishing  Listener configuration –Több hálózathoz is rendelhető 1 listener –Listenerenként állítható az authentikáció –RADIUS Authentikáció

Biztonságos Web Publikáció  Proxy request to published server  Probléma: „A web szerver logjában a tűzfal IP címe látszik és nem tudjuk elkészíteni a forgalmi statisztikákat.”  Megoldás: Web Publishing szabályonként külön definiálhatjuk, hogy mi legyen a forrás IP címe a csomagnak ami a publikált kiszolgálóhoz eljut.

Biztonságos Web Publikáció  HTTP Filter  Probléma: „Szeretnék két web szervert publikálni a hálózatomról. Az egyikhez el kell hogy jusson a WebDav forgalom, a másik kiszolgálóhoz nem. Ezt nem tudom megoldani.”  Megoldás: ISA 2004-ben Web Publishing szabályonként definiálhatom a HTTP Filter beállításait, amivel szabályozhatom az engedélyezett / tiltott verbeket is többek között.

Biztonságos Web Publikáció  Path Publishing  Probléma: „Szeretném publikálni a Web szerverem Alfa nevű könyvtárát úgy, hogy az Beta nevű könyvtárként látszódjon az Internetről és ezt nem tudom megoldani.”  Megoldás: ISA 2004 Path publishing segítségével ez megvalósítható.

Biztonságos Web Publikáció  OWA Forms-based azonosítás  Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer  ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető  Előnye –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés –Az azonosítás az ISA-n keresztül történik a legkülső rétegben

Biztonságos Web Publikáció  OWA Forms-based azonosítás  Feltételei –SSL engedélyezése a Web-listener-en –OWA Forms-based azonosítás engedélyezése –Nem kombinálható más azonosítási módszerrel (Basic, Integrated stb.) –Az Exchange kiszolgálón a basic authentikációt kell engedélyezni  Hátránya –Nem készült el és nem készül el a lokalizált verziója –Nem tekinthető Exchange Front-end szervernek, tehát a Front- end kiszolgálóra továbbra is szükség van

Biztonságos Web Publikáció  OWA Forms-based azonosítás

Biztonságos Web Publikáció – DEMO I.  Publikáljunk egy web szervert az alábbi tulajdonságokkal  Legyen elérhető bárhonnan  Küldjük el az eredeti Host Header értéket a web szervernek  A Web szerver logjában a kliens eredeti IP címe látszódjón  Csak a GET Verb-t engedélyezzük a kliensnek  Csak a htm kiterjesztést engedélyezzük  Tiltsuk a futtatható állományokat  Cseréljük ki a szerver headert  Alfa könyvtárat publikáljuk ki Beta néven

Biztonságos Web Publikáció – DEMO I.

Biztonságos Web Publikáció – DEMO II.  Authentikáljuk a bejövő kérést, RADIUS névtérből 1. Web Listener RADIUS azonosítás konfigurációja 2. RADIUS konfiguráció az ISA konfigurációban 3. IAS komponens telepítése a tartományvezérlőre 4. IAS Policy létrehozása az IAS konfigurációban 5. RADIUS Client felvétele az IAS konzolban  Tekintsük át az elérhető Authentikációk listáját  Digest  Basic  Integratred  SSL Certificate  OWA Forms-based  RADIUS  SecureID

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

VPN integráció  VPN felhasználási területe  Távoli hozzáférés  Site to site (Telephelyek összekapcsolása)  Extranet  Távoli adminisztráció

VPN integráció - alapok 1. Biztonságos kommunikációs csatorna  PPTP, IPSEC-L2TP … 2. Azonosított  Felhasználónév+Jelszó, Smart cards …  RADIUS alkalmazható az azonosításnál (pl.: Microsoft IAS …) 3. A VPN kliensek egy helyi belső IP címet kapnak a hálózatból  Szabályozott hozzáférést jelent

VPN integráció - topológiák  VPN kliens a tűzfal mögött  VPN szerver a tűzfal mőgött  A tűzfal egyben VPN szerver is

VPN integráció – mi a cél?  Firewall szabályok alkalmazása a VPN kliensekre  A szabályok akár felhasználónként is változhatnak  Biztonságos VPN publikáció  A támadások blokkolása  A VPN kapcsolat felépíthetősége szűrhető a tűzfallal  Egyszerűsített adminisztráció

VPN integráció - előnyök  Szabály alkalmazása a VPN forgalmon  Egyszerűsített kezelőfelület a VPN és a tűzfal számára  Monitorozás  Naplózás  Jelentéskészítés

VPN integráció - megvalósítás  VPN hálózat  Minden távoli telephely önálló hálózatot jelent  A tűzfal szabályok a VPN hálózatokra és alkalmazhatóak  Naplózás / Monitorozás / Jelentéskészítés  NAT-T

Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

Naplózás és jelentéskészítés  Naplófájl típusok  Firewall –A Packet Filter Log bekerült a tűzfal logba –Néhány új mezővel bővült a log (Src & Dst Netw.) –Session ID  Web Proxy  SMTP Message Screener*  A naplóink lehetnek  Text alapú fájlok  MSDE adatbázisok – alapértelmezett és javasolt  SQL adatbázisok (standard ODBC)

Naplózás és jelentéskészítés

 Text alapú naplózás  Csak az online log-viewer funkció működik  Múltbeli eseményt csak közvetlen fájl eléréssel tudunk megnézni –FTP –File Share  Nehéz kezelni a nagyméretű naplóállományokat (megnyitás, keresés)  Cserébe nagyon jól tömöríthető  Nem az alapértelmezett és javasolt naplózási módszer

Naplózás és jelentéskészítés  MSDE alapú naplózás  A Log-viewer összes funkciója működik  Múltbeli eseményeket lekérdezhetünk –Firewall Reporting API segítségével –Közvetlen SQL lekérdezésekkel –Log-viewer segítségével –Adatbázis másolása után bármilyen SQL szerveren felcsatlakoztatható  MSDE esetén a maximális adatbázis méret 2GB, ha megtelik a 2GB, akkor automatikusan új adatbázis kezd  A távoli SQL lekérdezésekhez engedélyezni kell a távoli SQL elérést (alapértelmezésben ez tiltva van – Slammer)  Javasolt a Firewall API használata, vagy az adatbázis egy központi helyre történő másolása  Az alapértelmezett és javasolt naplózási módszer az MSDE

Naplózás és jelentéskészítés  Finomhangolás  Log Folder  A naplóállományok össz. mérete  Szabad diszk terület megtartása  Maintain policy  Automatikus log fájl törlés

Naplózás és jelentéskészítés

 Továbbfejlesztett management  A jelentések publikálhatóak a fájlrendszerbe  Egyszerűbben terjeszthető a jelentés, mivel minden egy könyvtárba készül el  Van lehetőség alapú értesítés küldésére ha a jelentés elkészült  Új jelentéskészítő API  Segítségével automatizáltan az ISA Management eszköz nélkül is készíthetünk egyedi jelentéseket

Naplózás és jelentéskészítés Jelentések az ISA konzolban Értesítési beállítások Publikációs beállítások Jelentésekhez tartozó feladatok az ISA konzolban

Naplózás és jelentéskészítés  Készítsünk egy jelentést az április 18-ról  Nézzük meg a korábban publikált Web Serverre beérkező forgalmat a Log Viewer segítségével demó

Kérdések?

Amire nem jutott (elég) idő de tudni érdemes  Administration Delegation Wizard (Role:Basic Monitoring, Extended Monitoring, Full Administrator)  Certificate Validation funkció – segítségével a CRL ellenőriztethető a publikációk és az azonosítás során  Connection Limits – segítségével a worm-ok túlterhelése védhető ki, alapértelmezésben 160 session / connection  Read-only FTP filter – segítségével beállítástól függetlenül Read-only módon publikálható FTP Server  Továbbfejlesztett H323 Filter  OWA Forms-based authentication – segítségével Exchange 2000 vagy Exchange 5.5 környezetben Forms- based azonosítás vezethető be

Amire nem jutott (elég) idő de tudni érdemes  User Mapping funkció – segítségével a nem Windows névtérből érkező VPN felhasználók a Windows névtérben levő felhasználókhoz rendelhetőek  Enforce RPC compliance – segítségével az RPC forgalmat szabályozhatjuk per policy szinten  Fejlett HTTP Policy szűrési lehetőség – csak egy részét mutattam be, érdemes átnézni a teljes lehetőséget

Néhány záró gondolat  „Határozd meg, hogy mi jelenti számodra a kockázatot  Milyen kockázatokat rejt a rendszered?  Ezek közül mi az ami vállalható kockázat?”  „Egy port szám önmagában még nem jelent semmit, az még bármilyen forgalom lehet”  „Egy támadás forgalma általában úgy néz ki, mint egy átlagos forgalom”

Fontosabb web oldalak      