Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Nagyvállalati tűzfalmegoldások ISA Server 2004 segítségével Harmath Zoltán Konzulens Microsoft Magyarország

Hasonló előadás


Az előadások a következő témára: "Nagyvállalati tűzfalmegoldások ISA Server 2004 segítségével Harmath Zoltán Konzulens Microsoft Magyarország"— Előadás másolata:

1 Nagyvállalati tűzfalmegoldások ISA Server 2004 segítségével Harmath Zoltán Konzulens Microsoft Magyarország zoltanh@microsoft.com

2 TechNet események 2004 tavaszán 2004. március 31. Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével 2004. április 14. A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) 2004. április 28. Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével 2004. május 12. Üzemeltetői konferencia Üzemeltetői konferencia 2004. március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével

3 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

4 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

5 ISA Server 2004 áttekintése  Standard Edition  Enterprise Edition  Standard Edition  Enterprise Edition*

6 ISA Server 2004 áttekintése  Standard Edition újdonságai  Továbbfejlesztett kezelőfelület  Új szabály rendszer  Új hálózatkezelési rendszer  Integrált VPN  Továbbfejlesztett Application Layer Filter: HTTP, SMTP  Megoldáscentrikus, egyszerű kezelést lehetővé tevő kialakítás

7 ISA Server 2004 áttekintése  Egyszerű használat  Egyszerű telepítés és konfigurálás  Hálózati szolgáltatások  Továbbfejlesztett kezelés  Hibakereső eszközök  Feladatközpontú kialakítás  Integrált biztonság  „Secure by default”  „Single sign-on”  Alkalmazás publikáció  VPN integráció  Forward Proxy  Caching  Chaining

8 ISA Server 2004 áttekintése  Egyszerű használat  „Multiple-network” támogatás az új topológiák számára  Egyszerű konfiguráció a hálózati sablonok segítségével  Feladatközpontú kezelőfelület  Új Policy megjelenítés

9 ISA Server 2004 áttekintése  Integrált biztonság  Lockdown eszközök*  ICSA, CC minősítések megszerzése*  Több faktorú azonosítás  Iparági szabvány authentikáció támogatása –Radius

10 ISA Server 2004 áttekintése  VPN integráció  Kliens és Site-to-Site kapcsolatok integrációja  Jogosultságkezelés  Külön hálózat  VPN kliensek megjelenítése  VPN kliensek kezelése (kapcsolat megszakítás)  VPN Quarantine

11 ISA Server 2004 áttekintése  Alkalmazás publikáció  Kiszolgálók  Exchange  IIS  A legjobb védelem az Exchange-hez  SMTP, OWA, OMA, RPC, RPC over HTTP  IIS/HTTP védelem  HTTP szabályok segítségével

12 ISA Server 2004 áttekintése  Összefoglalás  Következő generációs tűzfal, a biztonság fontos –Alkalmazás szintű védelem kell az eszközökbe –Integrált megoldásra van szükség –Egyszerű és biztonságos kezelhetőség –Sokféle eset támogatására képes eszközre van szükség  Legfontosabb szolgáltatásaink –Több rétegű védelem –Üzleti alkalmazások biztonságos elérhetőségének megteremtése –Egyszerű és biztonságos kezelhetőség –Több hálózatú topológiák támogatása

13 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

14 Továbbfejlesztett kezelőfelület  “The most common cause of firewall security breaches is misconfiguration of the firewall system. Various references on penetration testing show that well over half of the firewall systems regularly tested are not properly configured. According to ICSA, seventy percent of sites with certified commercial firewalls are still vulnerable to attacks due to misconfiguration or improper deployment” CERT, http://www.cert.org/security- improvement/practices/p056.html http://www.cert.org/security- improvement/practices/p056.htmlhttp://www.cert.org/security- improvement/practices/p056.html  “A vast majority (nearly an estimated 99 percent) of security breaches that can be tracked to a fault in the firewall are caused by misconfigurations, not flaws in the firewall” Gartner, Two Firewalls Are Not Better Than One, 9/9/2002

15 Továbbfejlesztett kezelőfelület Tervezési célok  Egyszerű használat mindenki számára  Egyszerű konfigurálhatóság a biztonság konfiguráció eléréséhez  Egyszerűen felismerhető legyen a jelenlegi állapota a tűzfalnak  Egyszerűen felismerhetők és kezelhetők legyenek a leggyakoribb problémák  Egyszerűen ellenőrizhető legyen a tűzfal konfiguráció  Rugalmas, segítségével az összetett üzletileg érzékeny feladatok is elvégezhetőek  Információ-gazdag felület, nem lebutított változat  Információ-gazdag állapot kijelzés lekérdezési lehetőséggel kibővítve  Problémák kezelésének hatékony megvalósíthatósága a konzol segítségével

16 Továbbfejlesztett kezelőfelület Célok és fókusz Leggyakoribb problémák  Nehéz biztonságosan beállítani egy tűzfalat  Egy tűfal konfiguráció auditálása nehéz feladat  A tűzfal konfiguráció hibakeresése nehéz feladat ISA Server 2004  Sablonok a hálózati topológiákhoz és alapértelmezésben biztonságos Policy sablon betöltése  Egyszerűsített policy model kiegészítve egy új gazdagabb funkcionalítású policy szerkesztővel  Varázslók a gyakori feladatok ellátásához  Dashboard, online log viewer és jelentés varázsló  XML konfiguráció export/import

17 Továbbfejlesztett kezelőfelület  MMC konzol amit mindannyian ismerünk és szeretünk …  Fa nézet a hatékony navigációhoz  Listák, menük, eszközmenük, dialógus ablakok, varázslók… Dashboard Policy Editor Toolbox Network Templates Task Bars

18 Továbbfejlesztett kezelőfelület Monitoring  Célok  Szerver állapota – Kritikus szolgáltatások  Hibakeresés – Gyors és egyszerű  Vizsgálat – Támadások, hibák  Jövő tervezése – hálózati teljesítmény optimalizálása

19 Továbbfejlesztett kezelőfelület Monitoring eszközök  Dashboard – központi nézet  Alerts – Minden probléma egy helyen  Sessions – Aktív kapcsolatok nézete  Services – ISA szolgáltatások státusza  Connectivity – Kapcsolatok ellenőrzése  Logging – ISA Log „nézőke”  Reports – Top users, Top sites, Cache hits…

20 Továbbfejlesztett kezelőfelület Dashboard Cél Központosított állapot nézet Szolgáltatások Real time Összesített nézet Egyszerűen felismerhető a probléma Cél Központosított állapot nézet Szolgáltatások Real time Összesített nézet Egyszerűen felismerhető a probléma

21 Továbbfejlesztett kezelőfelület Alerts Cél Minden probléma egy helyen Szolgáltatások Riasztási history Riasztások kezelése Kategorizálás Cél Minden probléma egy helyen Szolgáltatások Riasztási history Riasztások kezelése Kategorizálás

22 Továbbfejlesztett kezelőfelület Sessions Cél Aktív kapcsolatok monitorozása Szolgáltatások Szűrési lehetőség VPN kapcsolatok kezelése Kapcsolatok bontása Cél Aktív kapcsolatok monitorozása Szolgáltatások Szűrési lehetőség VPN kapcsolatok kezelése Kapcsolatok bontása

23 Továbbfejlesztett kezelőfelület Services Cél ISA és kapcsolódó szolgáltatások monitorozása Szolgáltatások Start & stop Cél ISA és kapcsolódó szolgáltatások monitorozása Szolgáltatások Start & stop

24 Továbbfejlesztett kezelőfelület Connectivity Cél A kritikus hálózati szolgáltatásokhoz ellenőrző eszköz Szolgáltatások Kérés típusok Válaszidő és küszöbérték Csoportosítható Cél A kritikus hálózati szolgáltatásokhoz ellenőrző eszköz Szolgáltatások Kérés típusok Válaszidő és küszöbérték Csoportosítható

25 Továbbfejlesztett kezelőfelület Logging Cél ISA forgalom ellenőrzése Szolgáltatások Real-time mód Időrendi nézet Kitünő Lekérdezési lehetőség Cél ISA forgalom ellenőrzése Szolgáltatások Real-time mód Időrendi nézet Kitünő Lekérdezési lehetőség

26 Továbbfejlesztett kezelőfelület Reports Cél Kiszolgáló működéséhez tartozó jelentések megjelenítése Features Automatizált jelentés Jelentés kategóriák E-mail értesítés Jelentés publikáció Cél Kiszolgáló működéséhez tartozó jelentések megjelenítése Features Automatizált jelentés Jelentés kategóriák E-mail értesítés Jelentés publikáció

27 Továbbfejlesztett kezelőfelület ISA Server 2000 ISA Server 2004  Site&Content Rules  Access Rules  Packet Filters  Access Policy  Web Publishing Rules  Server Publishing Rules  Access Policy  Policy Elements  Toolbox (Policy Editor - ban)  Bandwidth Rules  * * * *  LAT, LDT  Network Properties, Network Template  Cache Configuration  Configuration/Cache  Extensions  Configuration/Add-ins, Policy Editor!  Log Files  Log Viewer (+files)  Monitoring  Monitoring Configuration  Reports  Dashboard  Task Pads  Task Bars

28 Továbbfejlesztett kezelőfelület  Network Templates  Dashboard  Getting started  Task pane  Policy pending  Drag & Drop  Connectivity demó

29 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

30 ISA 2004 architektúra  Hálózati architektúra  Hálózati topológia továbbfejlesztése  Címfordítási szolgáltatások továbbfejlesztése  Szűrési architektúra  Több rétegű tűzfal architektúra  Teljesítmény  Tűzfalszabályok architektúrája  Firewall Policy  Szabályok kiértékelésének menete

31 ISA 2004 architektúra - hálózat  Multi-network támogatás  Támogatja a több hálózatú kialakítást  A leggyakoribb topológiákhoz sablonok tartoznak  VPN hálózat integrálása  A tűzfal kiszolgáló elkülönítése  Címfordítás  Címfordítási szabályokat határozhatunk meg: NAT vagy Route

32 ISA 2000 architektúra - hálózat Belső Hálózat Internet DMZ 1 Kifele menő házirend kezelés Statikus csomagszűrés Statikus csomagszűrés a DMZ és Internet között “Bent” (LAT) és “kint” (Internet, DMZ) -  ISA 2000 Packet filter csak a külső interfészen

33 ISA 2004 architektúra - hálózat Network A Internet DMZ 1 DMZ 2 Network B VPN Network Tetszőleges számú hálózat Routing kapcsolat szabadon szabályozható Dinamikus hálózati tagság kezelés Hálózatonként eltérő szabályok A VPN külön hálózatként jelenik meg ISA 2004 Packet filter az összes interfészen

34 ISA 2004 architektúra - hálózat  ISA 2000  1 db belső hálózat*  1 db házirend  Stateful inspection csak a LAT-ból és a LAT-ba menő csomagok esetén  Mindig NAT-ol a LAT-ból  Tűzfaltól és tűzfalhoz a forgalmat csak static PF-el szabályozhatjuk  Nincs külön VPN hálózat  ISA Server 2004  Több hálózat  Hálózat szintű szabálykezelés  NAT vagy Route kapcsolat a hálózatok között  Tűzfaltól és tűzfalhoz érkező forgalmat a Firewall Policy kezeli  VPN natív támogatása a VPN hálózaton keresztül

35 ISA 2004 architektúra – belső felépítés NDIS Policy Engine Firewall EngineIP Stack Firewall service Application Filter API Application filter Web proxy filter Web Filter API Application filter Application filter Application filter Web filter Web filter

36 ISA 2004 architektúra – tűzfal típusok  Proxy architektúra  Stateful inspection  Hybrid architektúra Firewall App. Proxy Client Stateful Engine App. Proxy Stateful Engine

37 ISA 2004 architektúra – szűrések TCP/IP Firewall Engine Firewall Service Application Filters Web Proxy Filter Policy & Rules Engine Local Policy Store Enterprise Policy Store (EE) Web Filters Packet layer szűres 1 Protocol layer szűrés 2 Application layer szűrés 3 Kernel mode data pump: Teljesítmény optimalizáció 4 ISA Server 2004

38 ISA 2004 architektúra – Firewall client Firewall Server  Opcionális – további előnyökért:  Általános alkalmazás proxy funkcionalítást biztosít  Egyszeri bejelentkezés és erős azonosítás (Kerberos)  Megoldja az alapértelmezett átjáró problémáját Firewall Service Policy & Rules Engine Local Policy Store Filtering Engine Kapcsolódási kérés 1 2 Forgalom szűrés Engedélyezés Biztonsági házirendek alk. 3 4 Ügyfél azonosítás Firewall Client Cél kiszolgáló

39 ISA 2004 architektúra – teljesítmény Raw throughput performance [Mbps]: ISA Server 2000 RTM 270 1000 = 1Gbps ISA Server 2004* * Preview Beta Hogyan? Tervezési fejlesztések IP Stack fejlesztése Hardware fejlesztesék Network computing magazine app. level firewalls review (3/03) full inspection performance [Mbps]: Symantec FW 7.0 67 122 127 170 Sidewinder Checkpoint NG FP3 ISA 2000 FP1  Teljesítmény optimalizáció  A valós helyzetekre optimalizáltuk a terméket  Felfele skálázható további CPU-k hozzáadásával  Nagyon jól skálázható oldalra a termék

40 ISA 2004 architektúra – szabályok  Egy szabály, sorrend alapú szabálykezelés  Lényegesen logikusabb és átláthatóbb  Egyszerűbben auditálható és értelmezhető  Minden korábbi ISA szabály egy szabályba került elhelyezésre  Szabály tipusok: –Access rule –Server publishing rules –Web publishing rules  Alkalmazás szűrők is a szabály részét képezik

41 ISA 2004 architektúra – szabályok  Alap ISA 2000 szabályok:  Protocol rules  Site and Content rules  Static packet filters  Publishing rules  Web publishing rules  Filtering configuration  Egyéb ISA 2000 szabályok:  Address translation rules  Web routing rules  Cache rules Firewall policy Configuration policy

42 ISA 2004 architektúra – szabályok   Allow   Block   Source network   Source IP   Originating user   Destination network   Destination IP   Destination site   Protocol   IP Port / Type Published server Published web site Schedule Filtering properties action on traffic from user from source to destination with conditions   User

43 ISA 2004 architektúra  Firewall Policy bemutatása demó

44 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

45 ISA 2004 telepítése - követelmények  Hardware  CPU - 550 MHz (max. 4 CPU)  Memory - 256 MB  HDD – 150 MB (NTFS)  Software  ISA Server 2004 –Windows Server 2003 –Windows 2000 (SP4) –Workgroup or Domain tag –ISA server + SP1 (In-Place upgrade)  Firewall Client –Windows 98-től (Windows 95-re nem telepíthető)  Remote Management –Windows 2000-től –Fontos: ISA 2000 és ISA 2004 management eszköz nem lehet azonos gépen!!

46 ISA 2004 telepítése – telepítés utáni állapot  Minden bezárva  Alapértelmezett system policy  Outbound –Active Directory (Csak ha tartományi tag a tűzfal!) –DNS –DHCP  Inbound –Remote management ( Ha távolról telepítettünk!!!) –Inbound Firewall Client Share ( Ha feltelepítettük)  Proxy cache alapértelmezésben tiltva van

47 ISA 2004 telepítése – Firewall Client  Firewall client share:  A tűzfalon  Fájl szerveren – javasolt  Firewall client setup:  Az ISA 2004 kompatibilis az ISA 2000 Firewall Client-el  A telepítés után nem kell újraindítás (Kivétel Win98 & NT4).  Támogatott a felügyelet nélküli telepítése  Telepítéséhez Rendszergazdai jogosultság szükséges

48 ISA 2004 telepítése – Upgrade  Frissítés menete  Telepítés indítása  Konfiguráció exportálása  Frissítés elvégzése –Konfiguráció importálása  Restart  Állományok  %Windir%\Temp\....log  %Windir%\temp\isa2k_upgrade\isa2k_config.xml  %Windir%\temp\isa2k_upgrade\isa2k_config.log

49 ISA 2004 telepítése – Upgrade matrix ISA Server 2000 1. Protocol Rules 2. IP Packet Filter 3. Site and Content rules 4. Web publishing 5. Server publishing 6. Destination Set 7. Client Set 8. LAT 9. URLScan 10. RRAS (VPN) 11. Report jobs ISA Server 2004 1. Access rules 2. Computer 3. URL 4. Domain Groups 5. Address Ranges 6. Internal Network 7. HTTP Filter (within the access rule) Új konfigurációs elemek: 1. VPN 2. Networks – External, Local host, Quarantine, VPN Clients 3. Monitoring – Connectivity 4. SMTP Log

50 ISA 2004 telepítése – a színfalak mögött  Telepített komponensek:  MSDE – Advanced Logging esetén  Office Web Component – Jelentéskészítéshez  Opcionális OS komponensek:  SMTP – Message Screener-hez  RRAS – a VPN szolgáltatáshoz  Setup technológia  MSI 2.0

51 ISA 2004 telepítése – tömeges telepítés  Felügyelet nélküli telepítési módok  Paraméterezhető telepítőkészlet  Válaszfájlok használata  Távoli telepítés vagy / és frissítés  Kihívás – újrakapcsolódást biztosítani kell

52 ISA 2004 telepítése  ISA 2000 Upgrade folyamat bemutatása  Terminal Serveren keresztül távolról egy tiszta telepítés bemutatása demó

53 Kérdések?

54 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

55 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

56 Management – Export, Import  Mi ez?  Bármilyen objektum, vagy objektumok exportálhatóak XML konfigurációs fájlba  Ezek az XML fájlok importálhatók a gépre, vagy másik tűzfal gépre  Az érzékeny adatok védelme –Jelszóval védhető az XML állomány  Előnyei  A teljes konfiguráció mentése és helyreállítása megoldható segítségével  Többszörözhetjük, replikálhatjuk a tűzfalunk konfigurációját másik tűzfalakra  Szabályok, vagy szabály objektumok megoszthatóak egymással egyszerűen e-mail-ben  Egyszerűsített kommunikáció a PSS-el, ha kell a teljes konfiguráció könnyen elküldhető  Akár off-line is elvégezhető egy konfigurációs XML elkészítése

57 Management feladatok  Export  Import  Backup  Restore demó

58 Biztonságos Web Publikáció ISA Server 2004 Web server (www.example.com) www.example.com clientclient Internet Firewall Service Web Proxy HTTP Security App Filter App Filter

59 Biztonságos Web Publikáció  Újdonságok  Proxy request to published server –Original Client –ISA Server Computer  HTTP Filter –Maximum header –Payload length –URL length –Query length –Block high bit, executable –Method (HTTP verb) –Extension filtering –Header filtering –Signature filtering  Path Publishing  Listener configuration –Több hálózathoz is rendelhető 1 listener –Listenerenként állítható az authentikáció –RADIUS Authentikáció

60 Biztonságos Web Publikáció  Proxy request to published server  Probléma: „A web szerver logjában a tűzfal IP címe látszik és nem tudjuk elkészíteni a forgalmi statisztikákat.”  Megoldás: Web Publishing szabályonként külön definiálhatjuk, hogy mi legyen a forrás IP címe a csomagnak ami a publikált kiszolgálóhoz eljut.

61 Biztonságos Web Publikáció  HTTP Filter  Probléma: „Szeretnék két web szervert publikálni a hálózatomról. Az egyikhez el kell hogy jusson a WebDav forgalom, a másik kiszolgálóhoz nem. Ezt nem tudom megoldani.”  Megoldás: ISA 2004-ben Web Publishing szabályonként definiálhatom a HTTP Filter beállításait, amivel szabályozhatom az engedélyezett / tiltott verbeket is többek között.

62 Biztonságos Web Publikáció  Path Publishing  Probléma: „Szeretném publikálni a Web szerverem Alfa nevű könyvtárát úgy, hogy az Beta nevű könyvtárként látszódjon az Internetről és ezt nem tudom megoldani.”  Megoldás: ISA 2004 Path publishing segítségével ez megvalósítható.

63 Biztonságos Web Publikáció  OWA Forms-based azonosítás  Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer  ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető  Előnye –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés –Az azonosítás az ISA-n keresztül történik a legkülső rétegben

64 Biztonságos Web Publikáció  OWA Forms-based azonosítás  Feltételei –SSL engedélyezése a Web-listener-en –OWA Forms-based azonosítás engedélyezése –Nem kombinálható más azonosítási módszerrel (Basic, Integrated stb.) –Az Exchange kiszolgálón a basic authentikációt kell engedélyezni  Hátránya –Nem készült el és nem készül el a lokalizált verziója –Nem tekinthető Exchange Front-end szervernek, tehát a Front- end kiszolgálóra továbbra is szükség van

65 Biztonságos Web Publikáció  OWA Forms-based azonosítás

66 Biztonságos Web Publikáció – DEMO I.  Publikáljunk egy web szervert az alábbi tulajdonságokkal  Legyen elérhető bárhonnan  Küldjük el az eredeti Host Header értéket a web szervernek  A Web szerver logjában a kliens eredeti IP címe látszódjón  Csak a GET Verb-t engedélyezzük a kliensnek  Csak a htm kiterjesztést engedélyezzük  Tiltsuk a futtatható állományokat  Cseréljük ki a szerver headert  Alfa könyvtárat publikáljuk ki Beta néven

67 Biztonságos Web Publikáció – DEMO I.

68 Biztonságos Web Publikáció – DEMO II.  Authentikáljuk a bejövő kérést, RADIUS névtérből 1. Web Listener RADIUS azonosítás konfigurációja 2. RADIUS konfiguráció az ISA konfigurációban 3. IAS komponens telepítése a tartományvezérlőre 4. IAS Policy létrehozása az IAS konfigurációban 5. RADIUS Client felvétele az IAS konzolban  Tekintsük át az elérhető Authentikációk listáját  Digest  Basic  Integratred  SSL Certificate  OWA Forms-based  RADIUS  SecureID

69 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

70 VPN integráció  VPN felhasználási területe  Távoli hozzáférés  Site to site (Telephelyek összekapcsolása)  Extranet  Távoli adminisztráció

71 VPN integráció - alapok 1. Biztonságos kommunikációs csatorna  PPTP, IPSEC-L2TP … 2. Azonosított  Felhasználónév+Jelszó, Smart cards …  RADIUS alkalmazható az azonosításnál (pl.: Microsoft IAS …) 3. A VPN kliensek egy helyi belső IP címet kapnak a hálózatból  Szabályozott hozzáférést jelent

72 VPN integráció - topológiák  VPN kliens a tűzfal mögött  VPN szerver a tűzfal mőgött  A tűzfal egyben VPN szerver is

73 VPN integráció – mi a cél?  Firewall szabályok alkalmazása a VPN kliensekre  A szabályok akár felhasználónként is változhatnak  Biztonságos VPN publikáció  A támadások blokkolása  A VPN kapcsolat felépíthetősége szűrhető a tűzfallal  Egyszerűsített adminisztráció

74 VPN integráció - előnyök  Szabály alkalmazása a VPN forgalmon  Egyszerűsített kezelőfelület a VPN és a tűzfal számára  Monitorozás  Naplózás  Jelentéskészítés

75 VPN integráció - megvalósítás  VPN hálózat  Minden távoli telephely önálló hálózatot jelent  A tűzfal szabályok a VPN hálózatokra és alkalmazhatóak  Naplózás / Monitorozás / Jelentéskészítés  NAT-T

76 Tartalom  ISA Server 2004 áttekintése  Továbbfejlesztett kezelőfelület  ISA 2004 architektúra áttekintése  ISA 2004 telepítése  Szünet  Biztonságos Web Publikáció  VPN integráció  Naplózás és jelentéskészítés

77 Naplózás és jelentéskészítés  Naplófájl típusok  Firewall –A Packet Filter Log bekerült a tűzfal logba –Néhány új mezővel bővült a log (Src & Dst Netw.) –Session ID  Web Proxy  SMTP Message Screener*  A naplóink lehetnek  Text alapú fájlok  MSDE adatbázisok – alapértelmezett és javasolt  SQL adatbázisok (standard ODBC)

78 Naplózás és jelentéskészítés

79  Text alapú naplózás  Csak az online log-viewer funkció működik  Múltbeli eseményt csak közvetlen fájl eléréssel tudunk megnézni –FTP –File Share  Nehéz kezelni a nagyméretű naplóállományokat (megnyitás, keresés)  Cserébe nagyon jól tömöríthető  Nem az alapértelmezett és javasolt naplózási módszer

80 Naplózás és jelentéskészítés  MSDE alapú naplózás  A Log-viewer összes funkciója működik  Múltbeli eseményeket lekérdezhetünk –Firewall Reporting API segítségével –Közvetlen SQL lekérdezésekkel –Log-viewer segítségével –Adatbázis másolása után bármilyen SQL szerveren felcsatlakoztatható  MSDE esetén a maximális adatbázis méret 2GB, ha megtelik a 2GB, akkor automatikusan új adatbázis kezd  A távoli SQL lekérdezésekhez engedélyezni kell a távoli SQL elérést (alapértelmezésben ez tiltva van – Slammer)  Javasolt a Firewall API használata, vagy az adatbázis egy központi helyre történő másolása  Az alapértelmezett és javasolt naplózási módszer az MSDE

81 Naplózás és jelentéskészítés  Finomhangolás  Log Folder  A naplóállományok össz. mérete  Szabad diszk terület megtartása  Maintain policy  Automatikus log fájl törlés

82 Naplózás és jelentéskészítés

83  Továbbfejlesztett management  A jelentések publikálhatóak a fájlrendszerbe  Egyszerűbben terjeszthető a jelentés, mivel minden egy könyvtárba készül el  Van lehetőség e-mail alapú értesítés küldésére ha a jelentés elkészült  Új jelentéskészítő API  Segítségével automatizáltan az ISA Management eszköz nélkül is készíthetünk egyedi jelentéseket

84 Naplózás és jelentéskészítés Jelentések az ISA konzolban Értesítési beállítások Publikációs beállítások Jelentésekhez tartozó feladatok az ISA konzolban

85 Naplózás és jelentéskészítés  Készítsünk egy jelentést az április 18-ról  Nézzük meg a korábban publikált Web Serverre beérkező forgalmat a Log Viewer segítségével demó

86 Kérdések?

87 Amire nem jutott (elég) idő de tudni érdemes  Administration Delegation Wizard (Role:Basic Monitoring, Extended Monitoring, Full Administrator)  Certificate Validation funkció – segítségével a CRL ellenőriztethető a publikációk és az azonosítás során  Connection Limits – segítségével a worm-ok túlterhelése védhető ki, alapértelmezésben 160 session / connection  Read-only FTP filter – segítségével beállítástól függetlenül Read-only módon publikálható FTP Server  Továbbfejlesztett H323 Filter  OWA Forms-based authentication – segítségével Exchange 2000 vagy Exchange 5.5 környezetben Forms- based azonosítás vezethető be

88 Amire nem jutott (elég) idő de tudni érdemes  User Mapping funkció – segítségével a nem Windows névtérből érkező VPN felhasználók a Windows névtérben levő felhasználókhoz rendelhetőek  Enforce RPC compliance – segítségével az RPC forgalmat szabályozhatjuk per policy szinten  Fejlett HTTP Policy szűrési lehetőség – csak egy részét mutattam be, érdemes átnézni a teljes lehetőséget

89 Néhány záró gondolat  „Határozd meg, hogy mi jelenti számodra a kockázatot  Milyen kockázatokat rejt a rendszered?  Ezek közül mi az ami vállalható kockázat?”  „Egy port szám önmagában még nem jelent semmit, az még bármilyen forgalom lehet”  „Egy támadás forgalma általában úgy néz ki, mint egy átlagos forgalom”

90 Fontosabb web oldalak  http://www.microsoft.com/isaserver  http://www.microsoft.com/security  http://www.microsoft.com/technet  http://support.microsoft.com  http://www.isaserver.org  http://www.isatools.org

91


Letölteni ppt "Nagyvállalati tűzfalmegoldások ISA Server 2004 segítségével Harmath Zoltán Konzulens Microsoft Magyarország"

Hasonló előadás


Google Hirdetések