Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaJúlia Jónásné Megváltozta több, mint 10 éve
1
Fülöp Miklós rendszermérnök Microsoft Magyarország
Biztonságos Windows (III. rész): Windows alapú internetes szolgáltatások biztonsága Fülöp Miklós rendszermérnök Microsoft Magyarország
2
TechNet események 2004 őszén
2004. szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága 2004. október 13. Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága 2004. október 27. Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága 2004. november 10. Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben 2004. november 24. A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004
3
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
4
Többszintű vírusvédelem
Vezessünk be vírusvédelmi megoldásokat a hálózat minden elemi szintjén! Munkaállomások Otthoni internetelérés Floppy / CD / USB eszközök Saját levelezés Fájlkiszolgálók Levelezési szolgáltatások Vállalati levelezés SPAM-szűrés Tűzfal Internetes letöltés Vírusok terjedésének megakadályozása
5
ISA Server 2004 Message Screener
SMTP forgalom alapszintű ellenőrzése vírusírtó nélkül SMTP parancsok ellenőrzése (SMTP Filter) Engedélyezés / tiltás, max. paraméterhossz Message Screener telepítése nem szükséges Levelek törlése / fenntartása / továbbítása Kulcsszavak alapján Feladó címe alapján Csatolt fájl alapján A levélkezeléshez a Message Screenert telepíteni kell Lokálisan vagy más gépre
6
ISA Antivirus és egyéb bővítmények
Nyílt interface a külső gyártók számára Web Filters (webes forgalom) Application Filters (minden adatforgalom) Partnermegoldások az ISA Server-hez Vírusírtók Behatolásérzékelés Tartalomszűrés Protokoll-szűrők és átalakítók Felügyelet és riportok
7
Exchange vírusvédelem
VS API: Nyílt interface a vírusírtók számára Többszintű ellenőrzés On Access Scanning Amikor az ügyfél hozzáférést kér a levélhez Proactive Scanning Beérkező / postázott üzenetek Background Scanning Az Exchange adatbázis vírusellenőrzése Elsődleges felhasználási területe az üzenetek újraellenőrzése a vírusdefiníciós adatbázis frissítése esetén Dedikált „antivirus” kiszolgáló (gateway)
8
Exchange - AntiVirus teljesítményszámlálók
9
The Spam Problem And, here is our own internal experience (MS IT) with Exchange 2003 · IMF - Of the approximately ten million messages Microsoft receives per day, we are blocking or deleting 85-90% of our inbound volumes as spam (IMF rejects about 9.5 M messages per day)
10
Anti-Spam kérdések és az Exchange 2003 megoldásai
1. Honnan jött az üzenet? Connection Filtering (IP alapú) 2. Kitől jött az üzenet? Sender Filtering 3. Kinek szólt az üzenet? Recipient Filtering 4. Miről szól az üzenet? Outlook 2003 Exchange 2003 AntiSpam Infrastructure Intelligent Message Filter
11
1. Honnan jött az üzenet? Connection Filtering - Kapcsolatszűrés
Globálisan engedélyezett és tiltott SMTP kiszolgáló IP címek Csatlakozás 3rd party RBL (Realtime Block List) szolgáltatásokhoz On-line DNS lekérdezés Kombinált szabályrendszer Engedélyezett címek Tiltott címek RBL Manuálisan engedélyezni kell a virtuális SMTP kiszolgálón!
12
1. Honnan jött az üzenet? RBL nslookup
DNS lekérdezés: <„fordított” IP cím>.<spamDB> Nincs válasz: a cím nem található az adatbázisban nem spam Válasz: x: a cím megtalálható az adatbázisban SPAM!
13
1. Honnan jött az üzenet? Connection Filtering beállítások
14
2. Kitől jött az üzenet? 3. Kinek szól az üzenet?
15
4. Mit tartalmaz az üzenet? Exchange AntiSpam Infrastructure
Nyílt (SMTP Sink) interface 3rd party / saját eszközök ellenőrizhetik és minősíthetik a leveleket Spam Confidence Level (SCL) - levélparaméter -1: belső levél (fenntartva, nem spam) 0: nem spam 1..9: a levél valószínűleg spam Határértékek (Thresholds) Gateway Threshold Store Threshold Akciók Archiválás Törlés Visszautasítás
16
4. Mit tartalmaz az üzenet? Outlook 2003 / OWA 2003 funkciók
A felhasználó által definiált biztonságos / tiltott feladók listája Megbízható feladók, Biztonságos címzettek, Letiltott feladók Igény szerint tartalmazhatja a címjegyzéket is „Csak megbízható feladók” üzemmód A lista a kiszolgálón tárolódik Azonos funkcionalitás az OWA 2003-ban is A levélszemétbe kerülés paraméterei: A felhasználó listái Az üzenet SCL szintje Ügyféloldali SmartScreen technológia Külső webes tartalom blokkolása a levelekben
17
Intelligent Message Filter
Exchange Server 2003 bővítmény Ingyenesen letölthető MS Research „SmartScreen” technológia Bayesian-jellegű mesterséges intelligencia Hotmail felhasználók segítségével hangolva Együttműködik az Exchange AntiSpam infrastruktúrával az Outlook 2003 kliensfunkcióival
18
Intelligent Message Filter
Exchange 2003 Gateway Server Exchange 2003 Back-End A felhasználó postafiókja Spam? Kapcsolatszűrés Igen Nem Címzett szűrés Intelligent Message Filter (Store Threshold) Megbízható feladó? Letiltott feladó? Feladó szűrés Igen Nem Igen Nem Intelligent Message Filter (Gateway Threshold) Inbox Levél- szemét Inbox
19
Intelligent Message Filter
20
Exchange - IMF teljesítményszámlálók
21
MOM 2005 – IMF Management Pack
22
IMF Archive Manager http://workspaces.gotdotnet.com/imfarchive
Funkciók: Archivált üzenetek (fa)nézete Dekódolt fejlécinformációk és nyers adatnézet Üzenet újraküldése (a PickUp könyvtárba) Üzenetek törlése Üzenet továbbítása csatolt fájlként külső címre (riport)
23
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
24
Egy ajánlott logikai felépítés
Internetes szolgáltatások izolált hálózaton demilitarizált zóna Exchange Server 2003 Front-End Tanúsítványkiadó webfelülete
25
A jelenlegi demokörnyezet
Internetes szolgáltatások a vállalati hálózaton Exchange Server 2003 Windows Server 2003 tanúsítványkiadó
26
A jelenlegi demokörnyezet
Internet CLIENT.INTERNET ISA.MSDEMOS.HU CA.MSDEMOS.HU MAIL.MSDEMOS.HU DCEX.MSDEMOS.HU ISA: ISA Server 2004 DCEX: DC, CA, IIS, Exchange 2003 Intranet
27
A vállalati tanúsítványkiadó
Előnyei Vállalaton belül explicit megbízott (Group Policy) Tanúsítványok és CRL az Active Directory-ban és az intraneten közzétéve Olcsó Hátrányai Külső felhasználók nem bíznak benne A CA tanúsítványának letöltése és importálása szükséges A közzétett tanúsítványok és CRL nem érhető el Publikálni kell a CA webes felületét
28
Kiegészítő mezők a tanúsítványokban
AIA – Authority Information Access A tanúsítványt kiadó CA tanúsítványának elérési útja CDP – Certificate Revocation List A tanúsítványkiadó által visszavont tanúsítványok listája Tegyünk interneten keresztül is elérhetővé! Állítsuk be az internetről is elérhető útvonalakat az AIA és CRL mezőkben Még a tanúsítványok kiadása előtt! Nem titkosított ( kapcsolat Különben az ellenőrzés végtelen ciklusba kerülhet
29
Kiegészítő mezők a tanúsítványokban
30
A kiegészítő mezők módosítása
31
demó A tanúsítványok kiegészítő mezőinek módosítása
A tanúsítványkiadó webes felületének közzététele demó
32
Tanúsítványok A szükséges tanúsítványok: Külső: mail.msdemos.hu
DCEX ISA mail.msdemos.hu Intranet A szükséges tanúsítványok: Külső: mail.msdemos.hu Hozzuk létre a belső kiszolgálón, majd vigyük át a tűzfalra Tanúsítvány + privát kulcs (= .pfx) export / import Belső:
33
OWA publikálás Az Exchange webkiszolgáló közzététele HTTPS
/exchweb/* /public/* HTTPS Authentikációs beállítások Basic csak HTTPS-en! Integrált Windows Form-Based ISA 2004 Mail Server Publishing Wizard
34
ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció
Kimenő és bejövő forgalom is ellenőrizhető SSL Bridging esetén a HTTPS forgalom is Tűzfalszabályonként beállítható korlátozások Szűrés különféle paraméterek alapján Kérés fejléc és teljes mérete URL hossza, karakterkészlet Futtatható tartalom blokkolása HTTP parancsok (Methods) Fájlkiterjesztés HTTP fejlécek típusa
35
ISA Server 2004 HTTP Filter Biztonságos HTTP(S) kommunikáció
Mintakeresés a kérés URL-ben a kérés fejlécei között a kérés tartalmában a válasz fejlécei között a válasz tartalmában* *: a keresés erőforrás- igényes, adjuk meg a keresés korlátait!
36
Exchange 2003 Form Authentication
Felhasználóazonosítás HTTP form és cookie segítségével Nincs szükség a különféle HTTP azonosítási módokra (Basic, Integrated, stb.) HTTPS használata kötelező!
37
ISA Server 2004 OWA Form Authentication
Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető Előnye Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés Az azonosítás az ISA-n keresztül történik a legkülső rétegben (a kérés közvetlenül nem éri el az Exchange kiszolgálót!)
38
Csatolt fájlok blokkolása
Exchange Server 2003 Csatolt fájlok blokkolása Csatolt fájlok engedélyezése (fájltípus alapján) Csatolt fájlok csak back-end kiszolgálón HKLM \ System \ CurrentControlSet \ Services \ MSExchangeWeb \ OWA \ DisableAttachments (DWORD) 0: csatolt fájlok engedélyezve (fájltípus alapján) 1: csatolt fájlok letiltva 2: csatolt fájlok csak back-en kiszolgálókról ISA Form Authentikáció Csatolt fájlok blokkolása privát gépeken Csatolt fájlok blokkolása publikus gépeken
39
demó Webtanúsítványok Exchange OWA publikálás (HTTPS)
ISA 2004 (Exchange) Form Authentication demó
40
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
41
Outlook (MAPI) RPC over HTTP
Online kapcsolat az Internet felett MAPI protokoll HTTPS forgalomba ágyazva Nincs szükség RAS/VPN-re A protokoll fordítást egy Exchange 2003 Front-End végzi Biztonságos a MAPI forgalom SSL (128 bit) felett megy Rendszerkövetelemények Exchange 2003 RPC proxy (Front-End Server) - ajánlott Külön Exchange Back-End Server - ajánlott Legalább egy Windows Server 2003 DC a tartományban Outlook Windows XP SP1 + hotfix #331320 vagy Windows XP SP2
42
Az ajánlott felépítés Intranet Exch. közzététel Dedikált SSL listener
SSL bridging Web Publishing URLScan Exch. közzététel Intranet Exchange 2003 RPC proxy Outlook 2003 Cached Mode SSL 128-bit SSL 128-bit Port 443 Port 443 Exchange 2003 Backend ISA Server 2004 Windows Server 2003 Domain Contr.
43
RPC over HTTP beállítási lépései
Windows 2003 RPC over HTTP Proxy komponens telepítése Exchange Server Back-End / Front-End beállítások RPC Proxy beállítása (kézzel, ha 1 Exchange Server van) IIS authentikáció Registry (RPC portok) ISA Server /rpc/* útvonal engedélyezése az Exchange webkiszolgáló felé Outlook 2003 Exchange Over the Internet dialógusablak engedélyezése (Office Resource Kit) Custom Installation Tools Custom Maintenance Tools profil létrehozása / módosítása
44
Exchange over the Internet Az Outlook postafiók beállításai
45
Outlook MAPI over HTTP demó
46
kávé- szünet
47
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
48
A PKI alkalmazási területei
Bejelentkezés intelligens kártyával Smartcard logon Távoli hálózati bejelentkezés RAS, VPN Office dokumentumok digitális aláírása Programok, kódok, makrók digitális aláírása Authenticode Titkosított hálózati forgalom IPSec – titkosított és / vagy aláírt forgalom Biztonságos webszolgáltatás ( Felhasználók azonosítása is biztonság (digitális aláírás, titkosítás) S/MIME Titkosított fájlok Encrypting File System (EFS)
49
Windows VPN protokollok
PPTP (RFC 2637) A Windows első VPN protokollja MPPE titkosítás Kliensek Windows 9x-től Különösebb konfigurációt nem igényel L2TP (RFC 2661) over IPSec A Microsoft és a Cisco (L2F) közös fejlesztése A Windows L2TP saját titkosítást nem tartalmaz a titkosítást az IPSec végzi Kliensek beépítve Windows 2000-től W9x-hez, NT4-hez letölthető Az IPSec miatt további konfiguráció szükséges
50
IPSec over NAT A probléma: A megoldás: IPSec NAT-Traversal (NAT-T)
a NAT módosítja a csomagfejléceket, így elrontva az ESP/AH csomagok digitális aláírását A megoldás: Készítsük fel az ISAKMP protokollt a NAT felismerésére Csomagoljuk be az IPSec forgalmat UDP csomagokba IPSec NAT-Traversal (NAT-T) ISAKMP2 protokoll: UDP 4500 Windows XP SP2 / Windows Server 2003 / ISA 2004 A NAT-T frissítés Windows XP SP1-hez és Windows 2000-hez letölthető További konfigurációt nem igényel
51
Windows VPN / RAS felhasználóazonosítási protokollok
MS-CHAPv2 Felhasználónév / jelszó EAP PKI tanúsítvány Smart Card ... Egyéb protokollok MS-CHAP CHAP SPAP (Shiva) PAP (nyílt)
52
ISA Server 2004 VPN Külön alhálózat a VPN kliensek számára
A valódi alhálózatokkal egyenrangú Saját tűzfalszabályokkal rendelkezik VPN karantén alhálózat
53
ISA Server 2004 VPN A Windows RRAS kiszolgálóját használja Protokollok
Integrált konfiguráció és felügyelet Protokollok PPTP és L2TP over IPSec IPSec Tunnel Mode Felhasználóazonosítás forrása Active Directory / Windows címtár RADIUS RSA SecurID
54
ISA VPN kiszolgáló beállítása
VPN hozzáférés engedélyezése = Windows RRAS szolgáltatás engedélyezése Az ISA Server újraindítása szükséges VPN konfiguráció Csatlakozó kliensek max. száma Csatlakozásra jogosult csoportok VPN protokollok User Mapping Hozzáférés alhálózatokból IP-cím kiosztás / DHCP, DNS, WINS konfiguráció Felhasználóazonosítási protokollok RADIUS
55
Az EAP felhasználóazonosítás feltételei az ISA 2004-ben
Az ISA Server-nek tartományban kell lennie, vagy RADIUS-t kell használnunk Engedélyezzük a User Mapping funkcionalitást Nem kötelező, de ajánlott (felhasználónév-alapú szabályok)
56
demó ISA 2004 VPN kiszolgáló beállítása (PPTP)
VPN kapcsolat létrehozása Felhasználóazonosítás tanúsítvánnyal demó
57
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
58
IPSec azonosítási módok
Az IPSec házirendben háromféle azonosítási mód közül választhatunk: Szöveges („Előmegosztott kulcs”) csak tesztcélra! Kerberos: csak ha a DC elérhető Tanúsítvány-alapú: a csatorna felépítéséhez mindkét félnek közös CA-tól származó, érvényes tanúsítvánnyal kell rendelkeznie.
59
IPSec tanúsítványalapú azonosítás
A házirend csak a tanúsítványt kiadó CA-t definiálja Mindkét félnek ugyanazt a CA-t kell megjelölnie A sikeres működés feltételei: A tanúsítvány a számítógép tanúsítványtárában van A számítógép rendelkezik a privát kulccsal A tanúsítvány érvényességi ideje nem járt le A tanúsítvány Root CA-ja (ami a szabályban is megtalálható) a számítógép Megbízható legfelső szintű hitelesítésszolgáltatók listájában van A tanúsítványlánc hiba nélkül felépíthető Az IPSec NEM igényli az IPSec típusú tanúsítványt!
60
Egyebek A tanúsítvány csak a kulcsgeneráláshoz szükséges, az egyéb titkosítási beállítások az IPSec házirendből származnak Az IPSec nem képes használni a "Strong Private Key Protection" opcióval mentett tanúsítványokat Az IPSec nem ellenőrzi a tanúsítvány CRL-jét A CRL-ellenőrzés bekapcsolása: HKLM\System\CurrentControlSet\Services\PolicyAgent\ Oakley\StrongCrlCheck (REG_DWORD): 1: elutasítva, ha a CRL elérhető és a tanúsítvány visszavont státuszú 2. elutasítva, ha a CRL nem érhető el, vagy a tanúsítvány visszavont státuszú
61
L2TP over IPSec VPN beállítása
ISA Server: L2TP over IPSec engedélyezése, majd ISA Server újraindítása vagy RRAS-ban kézzel bekapcsolni az L2TP portokat Ügyfélszámítógép beállítása „Rendszergazda” típusú tanúsítvány a számítógép tanúsítványtárába A tanúsítványkiadó tanúsítványának importálása a számítógép tanúsítványtárába Ha nincs tanúsítvány, a megosztott szöveges azonosítás is használható (tesztcélra!) ISA: VPN tulajdonságai / Authentication / Allow custom IPSec Policy for L2TP connection Kliens: VPN tulajdonságok / Biztonság / IPSec beállításai
62
demó ISA 2004 VPN kiszolgáló beállítása (L2TP over IPSec)
Kliensoldali géptanúsítvány igénylése demó
63
VPN kiszolgáló tűzfal mögött Kommunikációs csatornák
PPTP TCP 1723 IP 47 (GRE) (L2TP over) IPSec UDP 500 (ISAKMP) IP 50 (ESP) IP 51 (AH) (L2TP over) IPSec over NAT UDP 4500 (ISAKMP2)
64
Napirend Vírusvédelem és spam-szűrés Biztonságos webközzététel
Exchange Outlook Web Access Az Exchange biztonságos távoli elérése Outlook 2003 (MAPI) RPC over HTTP Virtuális magánhálózatok PPTP L2TP over IPSec Hálózati karantén
65
Hálózati (VPN) karantén
A bejelentkező VPN ügyfelet az ISA először egy karanténhálózatba helyezi A többivel egyenrangú alhálózat (Quarantined VPN Clients) Korlátozott hozzáférés a karantén során szükséges erőforrásokhoz A kliensen egy script lefut, és ellenőrzi a hálózatra való csatlakozás feltételeit, pl. Vírusírtó állapota Biztonsági javítások állapota stb. Az ellenőrzés eredményét a script visszajelzi az ISA Server-nek Siker esetén a kliens a VPN Clients alhálózatba került Hiba vagy időtúllépés esetén a klienskapcsolat megszakad
66
Connection Manager Administration Kit
Eszköz előrecsomagolt VPN kliensbeállítások és kiegészítő eszközök disztributálására Windows összetevők / Kezelési és figyelési eszközök / „Csatlakozáskezelő felügyeleti csomag” A CMAK eredménye egy .exe fájl, amit a kliens lefuttat A kliensen létrejön egy testreszabott VPN kapcsolat A karantén során használt funkciók Post-Connect Action: script futtatása csatlakozás után Egyéni fájlok: ellenőrző script, karanténfeloldó komponens (rqc.exe) Remote Access Quarantine Tools for ISA Server
67
Karantén beállítása ISA 2004-en
Ellenőrző script létrehozása Egyéni értesítő / kiszolgáló komponens létrehozása Előregyártott komponensek: rqc.exe (kliens), rqs.exe (szerver) rqs.exe használata esetén a ConfigureRQSForISA.vbs script futtatása Adjuk meg a „titkos kulcsot” a karantén feloldásához (AllowedSet) Rendszerszolgáltatásként telepíti az rqs.exe-t Tűzfalszabályt hoz létre a karantén-visszajelzéshez (TCP 7250) Elvégzi a szükséges registry-módosításokat és elindítja az RQS rendszerszolgáltatást CMAK profil létrehozása Benne a script és az értesítő komponens
68
Karantén beállítása ISA 2004-en
Karanténbeállítások: RADIUS / ISA házirend alapján Időtúllépés Kivételek a karantén alól Karanténerőforrások elérésének engedélyezése pl. DC, DNS, fájlkiszolgáló
69
A karantén feloldása Visszatérési értékek: 0 – karantén feloldva
1, 2 – hibás hely / válasz – karantén fenntartva
70
Karantén-script létrehozása
A script ellenőrzi a kliens gép „egészségi állapotát” pl. vírusírtó bekapcsolva? (XP SP2) szükséges javítások telepítve? Az ellenőrzés után futtatja az rqc.exe komponenst Ellenőrzi a visszatérési értéket és értesíti a felhasználót Kész példascript letölthető! FamilyID=a290f2ee-0b55-491e-bc4c b2462
71
Windows XP SP2 – a vírusírtó integrációja
A Windows XP SP2 felismer(het)i a telepített vírusírtókat a Microsoft-tal előre egyeztetett registry-adatok segítségével, vagy a WMI segítségével A Security Center WMI providere root\SecurityCenter névtér, AntivirusProduct osztály onAccessScanningEnabled productUptoDate
73
A vírusírtó állapotának lekérdezése
Egy rövid WMI lekérdezés: Figyelem! a Windows XP SP2 nem minden vírusírtót ismer fel a Windows XP SP2 nem minden vírusírtót a WMI segítségével ismer fel Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM AntiVirusProduct") bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next
74
A telepített javítások listájának lekérdezése
Az összes javítás: Példa egy adott javítás ellenőrzésére: Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering") Wscript.Echo oOb.HotfixID Next Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery _ ("SELECT * FROM Win32_QuickFixEngineering WHERE HotfixID = 'KB885884'") bQFEFound = True Next
75
Connection Manager Administration Kit
VPN karantén demó
76
Network Access Protection
Karanténszolgáltatások MA: VPN karantén Izolált hálózat, amíg a kliensoldali ellenőrzés vissza nem jelez A scriptet kézzel kell létrehozni Nem biztonsági eszköz! (kikerülhető) Platform: Windows Server 2003 Resource Kit / SP1 ISA Server 2004 (Windows 2000 / 2003)
77
Network Access Protection
Karanténszolgáltatások a jövőben: LAN / WLAN karantén DHCP IPSec Cisco integráció Funkciók: Network Access Point RADIUS Server Policy Server Központi feltételdefiníciók Policy Management Framework: antivirus, IDS, tűzfal, patch, stb. Update Server Javítások, frissítések Karanténból is elérhető
78
Hálózati karantén architektúra
Vállalati hálózat DHCP Servers Helyi számítógépek RADIUS Server Távoli számítógépek VPN/Dial-up Servers Policy Servers (Anti-virus; Patch/System Management, etc.) Update Servers (Anti-virus; Patch/System Management, etc.) Izolációs hálózat
79
Hálózati karantén architektúra
= Hálózati karantén szoftver = Házirend szoftver Házirend? Policy Server Policy Server Policy Server Policy Server Házirend kliens Házirend kiszolgáló Aktuális házirend Riportok Frissítések State of Health Mi a Health Status-om? Rendben Rendben? Házirend ellenőrzése Minden OK API API Karantén koordináció Karantén koordináció Management Reporting Segíts! Health State frissítve! ? Hozzáférés? Karantén kliens: pl. VPN SoH RADIUS/VPN Nincs SoH-em... Jóváhagyva ? SoH-et kérek! X Karantén! Hálózati elérési pont (Network Access Point)
80
RSA SecurID
82
További információk Exchange Anti-Spam Infrastructure
Microsoft Exchange Intelligent Message Filter Intelligent Message Filter Overview & Deployment Guide imf/imf_wp.asp IMFDeploy/b1d0b6aa-203d a d99203.mspx IMF Archive Manager How to configure connection filtering to use Realtime Block Lists (RBLs) and how to configure recipient filtering in Exchange 2003
83
További információk RBL szolgáltatások SPEWS: http://www.spews.org
MAPS: ORDB: OpenRBL: Dorkslayers: Spamhaus: CAUBE.au: Combat Spam: Spam Cop: Osirusoft:
84
További információk Configuring Outlook 2003 for RPC over HTTP
E2k3RPCHTTPDep/9abaf7ee-1ea5-46ad-a68b-551e5dda459d.mspx
85
További információk Cikkek, publikációk (Megjelentek a TechNet magazinban) VPN - virtuális magánhálózatok, I. rész VPN - virtuális magánhálózatok, II. rész – az L2TP protokoll IPSec NAT-Traversal: IPSec hálózati címfordításon keresztül
86
További információk Windows Server 2003 Resource Kit Tools
familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd Remote Access Quarantine Tool for ISA Server 2004 FamilyID=3396c f-4b2e-ab4d-1c44356ce37a Remote Access Quarantine Agent (RQS.exe) FamilyID=d4ec94b2-1c9d-4e98-ba02-b18ab07fed4e VPN Quarantine Sample Scripts for Verifying Client Health Configurations FamilyID=a290f2ee-0b55-491e-bc4c b2462
87
További információk ISA Server 2004 dokumentáció
ISA Server partnerbővítmények: RSA SecurID for Microsoft Windows
88
A demoban használt karantén script
On Error Resume Next bAVFound = False bAVEnabled = False bAVUpToDate = False bQFEFound = False sDialRasEntry = WScript.Arguments(0) sTunnelRasEntry = WScript.Arguments(1) sDomain = WScript.Arguments(2) sUserName = WScript.Arguments(3) Set oWMI = GetObject("winmgmts://./root/SecurityCenter") For Each oOb In oWMI.ExecQuery("SELECT * FROM " & _ "AntiVirusProduct") bAVFound = True bAVEnabled = oOb.onAccessScanningEnabled bAVUpToDate = oOb.productUptoDate Next 1. oldal (folyt. köv.)
89
A demoban használt karantén script
Err.Clear Set oWMI = GetObject("winmgmts://./root/cimv2") For Each oOb In oWMI.ExecQuery ("SELECT * FROM Win32_QuickFixEngineering WHERE HotfixID = 'Q828026'") bQFEFound = True Next If Not bQFEFound Then DisableAccess "Kötelező javítás nem található" WScript.Quit Else WScript.Echo "Kötelező javítás rendben." If bAVFound Then WScript.Echo "Virusirtó felismerve..." If Not bAVEnabled Then DisableAccess "A virusirtó nincs engedélyezve" End If 2. oldal (folyt. köv.)
90
A demoban használt karantén script
If Not bAVUpToDate Then DisableAccess "A virusirtó adatbázisa elavult" WScript.Quit End If Else WScript.Echo "Virusirtó nem ismerhető fel..." EnableAccess '======================================================= Function GetRQCPath() '%DialRasEntry% és %Domain% VPN és EAP miatt nem használt! GetRQCPath = """" & Replace( WScript.ScriptFullName, _ WScript.ScriptName, "rqc.exe") & """ """" """ & _ sTunnelRASEntry & """ 7250 """" """ & sUserName & """ " End Function 3. oldal (folyt. köv.)
91
A demoban használt karantén script
Sub EnableAccess On Error Resume Next WScript.Echo "VPN hozzáférés engedélyezve." sRun = GetRQCPath & "TITOK" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & sRun Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If If nRetVal = 0 Then WScript.Echo "Karantén feloldva." Else WScript.Echo "Karantén feloldása sikertelen, hiba:" & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 4. oldal (folyt. köv.)
92
A demoban használt karantén script
Sub DisableAccess( sCause ) On Error Resume Next WScript.Echo "VPN hozzáférés megtagadva: " & sCause sRun = GetRQCPath() & " ""/log " & sCause & """" MsgBox "DEMO: Kattints az rqc.exe futtatásához!" & _ vbCRLF & GetRQCPath() Set oSH = WScript.CreateObject("WScript.Shell") nRetVal = oSH.Run(sRun, 0, True) If Err.Number <> 0 Then WScript.Echo "Belsö hiba: " & Err.Description End If WScript.Echo "Karantén feloldása sikertelen, hiba: " & _ nRetVal MsgBox "DEMO: Kattints a kilépéshez!" End Sub 5. oldal
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.