Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaTeréz Deákné Megváltozta több, mint 9 éve
1
Nagyvállalati tűzfalmegoldások ISA Server 2004 segítségével Harmath Zoltán Konzulens Microsoft Magyarország zoltanh@microsoft.com
2
TechNet események 2004 tavaszán 2004. március 31. Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével Kiszolgálók felügyelete a Microsoft Operations Manager 2000 SP1 segítségével 2004. április 14. A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) A Windows Tartalomvédelmi szolgáltatása (Rights Management Services, RMS) 2004. április 28. Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével Nagyvállalati tűzfal megoldások az ISA Server 2004 segítségével 2004. május 12. Üzemeltetői konferencia Üzemeltetői konferencia 2004. március 17. Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével Nagyvállalati ügyfélmenedzsment a Systems Management Server 2003 segítségével
3
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
4
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
5
ISA Server 2004 áttekintése Standard Edition Enterprise Edition Standard Edition Enterprise Edition*
6
ISA Server 2004 áttekintése Standard Edition újdonságai Továbbfejlesztett kezelőfelület Új szabály rendszer Új hálózatkezelési rendszer Integrált VPN Továbbfejlesztett Application Layer Filter: HTTP, SMTP Megoldáscentrikus, egyszerű kezelést lehetővé tevő kialakítás
7
ISA Server 2004 áttekintése Egyszerű használat Egyszerű telepítés és konfigurálás Hálózati szolgáltatások Továbbfejlesztett kezelés Hibakereső eszközök Feladatközpontú kialakítás Integrált biztonság „Secure by default” „Single sign-on” Alkalmazás publikáció VPN integráció Forward Proxy Caching Chaining
8
ISA Server 2004 áttekintése Egyszerű használat „Multiple-network” támogatás az új topológiák számára Egyszerű konfiguráció a hálózati sablonok segítségével Feladatközpontú kezelőfelület Új Policy megjelenítés
9
ISA Server 2004 áttekintése Integrált biztonság Lockdown eszközök* ICSA, CC minősítések megszerzése* Több faktorú azonosítás Iparági szabvány authentikáció támogatása –Radius
10
ISA Server 2004 áttekintése VPN integráció Kliens és Site-to-Site kapcsolatok integrációja Jogosultságkezelés Külön hálózat VPN kliensek megjelenítése VPN kliensek kezelése (kapcsolat megszakítás) VPN Quarantine
11
ISA Server 2004 áttekintése Alkalmazás publikáció Kiszolgálók Exchange IIS A legjobb védelem az Exchange-hez SMTP, OWA, OMA, RPC, RPC over HTTP IIS/HTTP védelem HTTP szabályok segítségével
12
ISA Server 2004 áttekintése Összefoglalás Következő generációs tűzfal, a biztonság fontos –Alkalmazás szintű védelem kell az eszközökbe –Integrált megoldásra van szükség –Egyszerű és biztonságos kezelhetőség –Sokféle eset támogatására képes eszközre van szükség Legfontosabb szolgáltatásaink –Több rétegű védelem –Üzleti alkalmazások biztonságos elérhetőségének megteremtése –Egyszerű és biztonságos kezelhetőség –Több hálózatú topológiák támogatása
13
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
14
Továbbfejlesztett kezelőfelület “The most common cause of firewall security breaches is misconfiguration of the firewall system. Various references on penetration testing show that well over half of the firewall systems regularly tested are not properly configured. According to ICSA, seventy percent of sites with certified commercial firewalls are still vulnerable to attacks due to misconfiguration or improper deployment” CERT, http://www.cert.org/security- improvement/practices/p056.html http://www.cert.org/security- improvement/practices/p056.htmlhttp://www.cert.org/security- improvement/practices/p056.html “A vast majority (nearly an estimated 99 percent) of security breaches that can be tracked to a fault in the firewall are caused by misconfigurations, not flaws in the firewall” Gartner, Two Firewalls Are Not Better Than One, 9/9/2002
15
Továbbfejlesztett kezelőfelület Tervezési célok Egyszerű használat mindenki számára Egyszerű konfigurálhatóság a biztonság konfiguráció eléréséhez Egyszerűen felismerhető legyen a jelenlegi állapota a tűzfalnak Egyszerűen felismerhetők és kezelhetők legyenek a leggyakoribb problémák Egyszerűen ellenőrizhető legyen a tűzfal konfiguráció Rugalmas, segítségével az összetett üzletileg érzékeny feladatok is elvégezhetőek Információ-gazdag felület, nem lebutított változat Információ-gazdag állapot kijelzés lekérdezési lehetőséggel kibővítve Problémák kezelésének hatékony megvalósíthatósága a konzol segítségével
16
Továbbfejlesztett kezelőfelület Célok és fókusz Leggyakoribb problémák Nehéz biztonságosan beállítani egy tűzfalat Egy tűfal konfiguráció auditálása nehéz feladat A tűzfal konfiguráció hibakeresése nehéz feladat ISA Server 2004 Sablonok a hálózati topológiákhoz és alapértelmezésben biztonságos Policy sablon betöltése Egyszerűsített policy model kiegészítve egy új gazdagabb funkcionalítású policy szerkesztővel Varázslók a gyakori feladatok ellátásához Dashboard, online log viewer és jelentés varázsló XML konfiguráció export/import
17
Továbbfejlesztett kezelőfelület MMC konzol amit mindannyian ismerünk és szeretünk … Fa nézet a hatékony navigációhoz Listák, menük, eszközmenük, dialógus ablakok, varázslók… Dashboard Policy Editor Toolbox Network Templates Task Bars
18
Továbbfejlesztett kezelőfelület Monitoring Célok Szerver állapota – Kritikus szolgáltatások Hibakeresés – Gyors és egyszerű Vizsgálat – Támadások, hibák Jövő tervezése – hálózati teljesítmény optimalizálása
19
Továbbfejlesztett kezelőfelület Monitoring eszközök Dashboard – központi nézet Alerts – Minden probléma egy helyen Sessions – Aktív kapcsolatok nézete Services – ISA szolgáltatások státusza Connectivity – Kapcsolatok ellenőrzése Logging – ISA Log „nézőke” Reports – Top users, Top sites, Cache hits…
20
Továbbfejlesztett kezelőfelület Dashboard Cél Központosított állapot nézet Szolgáltatások Real time Összesített nézet Egyszerűen felismerhető a probléma Cél Központosított állapot nézet Szolgáltatások Real time Összesített nézet Egyszerűen felismerhető a probléma
21
Továbbfejlesztett kezelőfelület Alerts Cél Minden probléma egy helyen Szolgáltatások Riasztási history Riasztások kezelése Kategorizálás Cél Minden probléma egy helyen Szolgáltatások Riasztási history Riasztások kezelése Kategorizálás
22
Továbbfejlesztett kezelőfelület Sessions Cél Aktív kapcsolatok monitorozása Szolgáltatások Szűrési lehetőség VPN kapcsolatok kezelése Kapcsolatok bontása Cél Aktív kapcsolatok monitorozása Szolgáltatások Szűrési lehetőség VPN kapcsolatok kezelése Kapcsolatok bontása
23
Továbbfejlesztett kezelőfelület Services Cél ISA és kapcsolódó szolgáltatások monitorozása Szolgáltatások Start & stop Cél ISA és kapcsolódó szolgáltatások monitorozása Szolgáltatások Start & stop
24
Továbbfejlesztett kezelőfelület Connectivity Cél A kritikus hálózati szolgáltatásokhoz ellenőrző eszköz Szolgáltatások Kérés típusok Válaszidő és küszöbérték Csoportosítható Cél A kritikus hálózati szolgáltatásokhoz ellenőrző eszköz Szolgáltatások Kérés típusok Válaszidő és küszöbérték Csoportosítható
25
Továbbfejlesztett kezelőfelület Logging Cél ISA forgalom ellenőrzése Szolgáltatások Real-time mód Időrendi nézet Kitünő Lekérdezési lehetőség Cél ISA forgalom ellenőrzése Szolgáltatások Real-time mód Időrendi nézet Kitünő Lekérdezési lehetőség
26
Továbbfejlesztett kezelőfelület Reports Cél Kiszolgáló működéséhez tartozó jelentések megjelenítése Features Automatizált jelentés Jelentés kategóriák E-mail értesítés Jelentés publikáció Cél Kiszolgáló működéséhez tartozó jelentések megjelenítése Features Automatizált jelentés Jelentés kategóriák E-mail értesítés Jelentés publikáció
27
Továbbfejlesztett kezelőfelület ISA Server 2000 ISA Server 2004 Site&Content Rules Access Rules Packet Filters Access Policy Web Publishing Rules Server Publishing Rules Access Policy Policy Elements Toolbox (Policy Editor - ban) Bandwidth Rules * * * * LAT, LDT Network Properties, Network Template Cache Configuration Configuration/Cache Extensions Configuration/Add-ins, Policy Editor! Log Files Log Viewer (+files) Monitoring Monitoring Configuration Reports Dashboard Task Pads Task Bars
28
Továbbfejlesztett kezelőfelület Network Templates Dashboard Getting started Task pane Policy pending Drag & Drop Connectivity demó
29
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
30
ISA 2004 architektúra Hálózati architektúra Hálózati topológia továbbfejlesztése Címfordítási szolgáltatások továbbfejlesztése Szűrési architektúra Több rétegű tűzfal architektúra Teljesítmény Tűzfalszabályok architektúrája Firewall Policy Szabályok kiértékelésének menete
31
ISA 2004 architektúra - hálózat Multi-network támogatás Támogatja a több hálózatú kialakítást A leggyakoribb topológiákhoz sablonok tartoznak VPN hálózat integrálása A tűzfal kiszolgáló elkülönítése Címfordítás Címfordítási szabályokat határozhatunk meg: NAT vagy Route
32
ISA 2000 architektúra - hálózat Belső Hálózat Internet DMZ 1 Kifele menő házirend kezelés Statikus csomagszűrés Statikus csomagszűrés a DMZ és Internet között “Bent” (LAT) és “kint” (Internet, DMZ) - ISA 2000 Packet filter csak a külső interfészen
33
ISA 2004 architektúra - hálózat Network A Internet DMZ 1 DMZ 2 Network B VPN Network Tetszőleges számú hálózat Routing kapcsolat szabadon szabályozható Dinamikus hálózati tagság kezelés Hálózatonként eltérő szabályok A VPN külön hálózatként jelenik meg ISA 2004 Packet filter az összes interfészen
34
ISA 2004 architektúra - hálózat ISA 2000 1 db belső hálózat* 1 db házirend Stateful inspection csak a LAT-ból és a LAT-ba menő csomagok esetén Mindig NAT-ol a LAT-ból Tűzfaltól és tűzfalhoz a forgalmat csak static PF-el szabályozhatjuk Nincs külön VPN hálózat ISA Server 2004 Több hálózat Hálózat szintű szabálykezelés NAT vagy Route kapcsolat a hálózatok között Tűzfaltól és tűzfalhoz érkező forgalmat a Firewall Policy kezeli VPN natív támogatása a VPN hálózaton keresztül
35
ISA 2004 architektúra – belső felépítés NDIS Policy Engine Firewall EngineIP Stack Firewall service Application Filter API Application filter Web proxy filter Web Filter API Application filter Application filter Application filter Web filter Web filter
36
ISA 2004 architektúra – tűzfal típusok Proxy architektúra Stateful inspection Hybrid architektúra Firewall App. Proxy Client Stateful Engine App. Proxy Stateful Engine
37
ISA 2004 architektúra – szűrések TCP/IP Firewall Engine Firewall Service Application Filters Web Proxy Filter Policy & Rules Engine Local Policy Store Enterprise Policy Store (EE) Web Filters Packet layer szűres 1 Protocol layer szűrés 2 Application layer szűrés 3 Kernel mode data pump: Teljesítmény optimalizáció 4 ISA Server 2004
38
ISA 2004 architektúra – Firewall client Firewall Server Opcionális – további előnyökért: Általános alkalmazás proxy funkcionalítást biztosít Egyszeri bejelentkezés és erős azonosítás (Kerberos) Megoldja az alapértelmezett átjáró problémáját Firewall Service Policy & Rules Engine Local Policy Store Filtering Engine Kapcsolódási kérés 1 2 Forgalom szűrés Engedélyezés Biztonsági házirendek alk. 3 4 Ügyfél azonosítás Firewall Client Cél kiszolgáló
39
ISA 2004 architektúra – teljesítmény Raw throughput performance [Mbps]: ISA Server 2000 RTM 270 1000 = 1Gbps ISA Server 2004* * Preview Beta Hogyan? Tervezési fejlesztések IP Stack fejlesztése Hardware fejlesztesék Network computing magazine app. level firewalls review (3/03) full inspection performance [Mbps]: Symantec FW 7.0 67 122 127 170 Sidewinder Checkpoint NG FP3 ISA 2000 FP1 Teljesítmény optimalizáció A valós helyzetekre optimalizáltuk a terméket Felfele skálázható további CPU-k hozzáadásával Nagyon jól skálázható oldalra a termék
40
ISA 2004 architektúra – szabályok Egy szabály, sorrend alapú szabálykezelés Lényegesen logikusabb és átláthatóbb Egyszerűbben auditálható és értelmezhető Minden korábbi ISA szabály egy szabályba került elhelyezésre Szabály tipusok: –Access rule –Server publishing rules –Web publishing rules Alkalmazás szűrők is a szabály részét képezik
41
ISA 2004 architektúra – szabályok Alap ISA 2000 szabályok: Protocol rules Site and Content rules Static packet filters Publishing rules Web publishing rules Filtering configuration Egyéb ISA 2000 szabályok: Address translation rules Web routing rules Cache rules Firewall policy Configuration policy
42
ISA 2004 architektúra – szabályok Allow Block Source network Source IP Originating user Destination network Destination IP Destination site Protocol IP Port / Type Published server Published web site Schedule Filtering properties action on traffic from user from source to destination with conditions User
43
ISA 2004 architektúra Firewall Policy bemutatása demó
44
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
45
ISA 2004 telepítése - követelmények Hardware CPU - 550 MHz (max. 4 CPU) Memory - 256 MB HDD – 150 MB (NTFS) Software ISA Server 2004 –Windows Server 2003 –Windows 2000 (SP4) –Workgroup or Domain tag –ISA server + SP1 (In-Place upgrade) Firewall Client –Windows 98-től (Windows 95-re nem telepíthető) Remote Management –Windows 2000-től –Fontos: ISA 2000 és ISA 2004 management eszköz nem lehet azonos gépen!!
46
ISA 2004 telepítése – telepítés utáni állapot Minden bezárva Alapértelmezett system policy Outbound –Active Directory (Csak ha tartományi tag a tűzfal!) –DNS –DHCP Inbound –Remote management ( Ha távolról telepítettünk!!!) –Inbound Firewall Client Share ( Ha feltelepítettük) Proxy cache alapértelmezésben tiltva van
47
ISA 2004 telepítése – Firewall Client Firewall client share: A tűzfalon Fájl szerveren – javasolt Firewall client setup: Az ISA 2004 kompatibilis az ISA 2000 Firewall Client-el A telepítés után nem kell újraindítás (Kivétel Win98 & NT4). Támogatott a felügyelet nélküli telepítése Telepítéséhez Rendszergazdai jogosultság szükséges
48
ISA 2004 telepítése – Upgrade Frissítés menete Telepítés indítása Konfiguráció exportálása Frissítés elvégzése –Konfiguráció importálása Restart Állományok %Windir%\Temp\....log %Windir%\temp\isa2k_upgrade\isa2k_config.xml %Windir%\temp\isa2k_upgrade\isa2k_config.log
49
ISA 2004 telepítése – Upgrade matrix ISA Server 2000 1. Protocol Rules 2. IP Packet Filter 3. Site and Content rules 4. Web publishing 5. Server publishing 6. Destination Set 7. Client Set 8. LAT 9. URLScan 10. RRAS (VPN) 11. Report jobs ISA Server 2004 1. Access rules 2. Computer 3. URL 4. Domain Groups 5. Address Ranges 6. Internal Network 7. HTTP Filter (within the access rule) Új konfigurációs elemek: 1. VPN 2. Networks – External, Local host, Quarantine, VPN Clients 3. Monitoring – Connectivity 4. SMTP Log
50
ISA 2004 telepítése – a színfalak mögött Telepített komponensek: MSDE – Advanced Logging esetén Office Web Component – Jelentéskészítéshez Opcionális OS komponensek: SMTP – Message Screener-hez RRAS – a VPN szolgáltatáshoz Setup technológia MSI 2.0
51
ISA 2004 telepítése – tömeges telepítés Felügyelet nélküli telepítési módok Paraméterezhető telepítőkészlet Válaszfájlok használata Távoli telepítés vagy / és frissítés Kihívás – újrakapcsolódást biztosítani kell
52
ISA 2004 telepítése ISA 2000 Upgrade folyamat bemutatása Terminal Serveren keresztül távolról egy tiszta telepítés bemutatása demó
53
Kérdések?
54
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
55
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
56
Management – Export, Import Mi ez? Bármilyen objektum, vagy objektumok exportálhatóak XML konfigurációs fájlba Ezek az XML fájlok importálhatók a gépre, vagy másik tűzfal gépre Az érzékeny adatok védelme –Jelszóval védhető az XML állomány Előnyei A teljes konfiguráció mentése és helyreállítása megoldható segítségével Többszörözhetjük, replikálhatjuk a tűzfalunk konfigurációját másik tűzfalakra Szabályok, vagy szabály objektumok megoszthatóak egymással egyszerűen e-mail-ben Egyszerűsített kommunikáció a PSS-el, ha kell a teljes konfiguráció könnyen elküldhető Akár off-line is elvégezhető egy konfigurációs XML elkészítése
57
Management feladatok Export Import Backup Restore demó
58
Biztonságos Web Publikáció ISA Server 2004 Web server (www.example.com) www.example.com clientclient Internet Firewall Service Web Proxy HTTP Security App Filter App Filter
59
Biztonságos Web Publikáció Újdonságok Proxy request to published server –Original Client –ISA Server Computer HTTP Filter –Maximum header –Payload length –URL length –Query length –Block high bit, executable –Method (HTTP verb) –Extension filtering –Header filtering –Signature filtering Path Publishing Listener configuration –Több hálózathoz is rendelhető 1 listener –Listenerenként állítható az authentikáció –RADIUS Authentikáció
60
Biztonságos Web Publikáció Proxy request to published server Probléma: „A web szerver logjában a tűzfal IP címe látszik és nem tudjuk elkészíteni a forgalmi statisztikákat.” Megoldás: Web Publishing szabályonként külön definiálhatjuk, hogy mi legyen a forrás IP címe a csomagnak ami a publikált kiszolgálóhoz eljut.
61
Biztonságos Web Publikáció HTTP Filter Probléma: „Szeretnék két web szervert publikálni a hálózatomról. Az egyikhez el kell hogy jusson a WebDav forgalom, a másik kiszolgálóhoz nem. Ezt nem tudom megoldani.” Megoldás: ISA 2004-ben Web Publishing szabályonként definiálhatom a HTTP Filter beállításait, amivel szabályozhatom az engedélyezett / tiltott verbeket is többek között.
62
Biztonságos Web Publikáció Path Publishing Probléma: „Szeretném publikálni a Web szerverem Alfa nevű könyvtárát úgy, hogy az Beta nevű könyvtárként látszódjon az Internetről és ezt nem tudom megoldani.” Megoldás: ISA 2004 Path publishing segítségével ez megvalósítható.
63
Biztonságos Web Publikáció OWA Forms-based azonosítás Az Exchange Server 2003-ban megszokott cookie alapú azonosítási módszer ISA2004 segítségével ez a fejlett azonosítási módszer Exchange 2000-es vagy akár Exchange 5.5-s környezetben is bevezethető Előnye –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó time-out érték –Az ISA-n szabályozható az egyes biztonsági szinthez tartozó attachment kezelés –Az azonosítás az ISA-n keresztül történik a legkülső rétegben
64
Biztonságos Web Publikáció OWA Forms-based azonosítás Feltételei –SSL engedélyezése a Web-listener-en –OWA Forms-based azonosítás engedélyezése –Nem kombinálható más azonosítási módszerrel (Basic, Integrated stb.) –Az Exchange kiszolgálón a basic authentikációt kell engedélyezni Hátránya –Nem készült el és nem készül el a lokalizált verziója –Nem tekinthető Exchange Front-end szervernek, tehát a Front- end kiszolgálóra továbbra is szükség van
65
Biztonságos Web Publikáció OWA Forms-based azonosítás
66
Biztonságos Web Publikáció – DEMO I. Publikáljunk egy web szervert az alábbi tulajdonságokkal Legyen elérhető bárhonnan Küldjük el az eredeti Host Header értéket a web szervernek A Web szerver logjában a kliens eredeti IP címe látszódjón Csak a GET Verb-t engedélyezzük a kliensnek Csak a htm kiterjesztést engedélyezzük Tiltsuk a futtatható állományokat Cseréljük ki a szerver headert Alfa könyvtárat publikáljuk ki Beta néven
67
Biztonságos Web Publikáció – DEMO I.
68
Biztonságos Web Publikáció – DEMO II. Authentikáljuk a bejövő kérést, RADIUS névtérből 1. Web Listener RADIUS azonosítás konfigurációja 2. RADIUS konfiguráció az ISA konfigurációban 3. IAS komponens telepítése a tartományvezérlőre 4. IAS Policy létrehozása az IAS konfigurációban 5. RADIUS Client felvétele az IAS konzolban Tekintsük át az elérhető Authentikációk listáját Digest Basic Integratred SSL Certificate OWA Forms-based RADIUS SecureID
69
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
70
VPN integráció VPN felhasználási területe Távoli hozzáférés Site to site (Telephelyek összekapcsolása) Extranet Távoli adminisztráció
71
VPN integráció - alapok 1. Biztonságos kommunikációs csatorna PPTP, IPSEC-L2TP … 2. Azonosított Felhasználónév+Jelszó, Smart cards … RADIUS alkalmazható az azonosításnál (pl.: Microsoft IAS …) 3. A VPN kliensek egy helyi belső IP címet kapnak a hálózatból Szabályozott hozzáférést jelent
72
VPN integráció - topológiák VPN kliens a tűzfal mögött VPN szerver a tűzfal mőgött A tűzfal egyben VPN szerver is
73
VPN integráció – mi a cél? Firewall szabályok alkalmazása a VPN kliensekre A szabályok akár felhasználónként is változhatnak Biztonságos VPN publikáció A támadások blokkolása A VPN kapcsolat felépíthetősége szűrhető a tűzfallal Egyszerűsített adminisztráció
74
VPN integráció - előnyök Szabály alkalmazása a VPN forgalmon Egyszerűsített kezelőfelület a VPN és a tűzfal számára Monitorozás Naplózás Jelentéskészítés
75
VPN integráció - megvalósítás VPN hálózat Minden távoli telephely önálló hálózatot jelent A tűzfal szabályok a VPN hálózatokra és alkalmazhatóak Naplózás / Monitorozás / Jelentéskészítés NAT-T
76
Tartalom ISA Server 2004 áttekintése Továbbfejlesztett kezelőfelület ISA 2004 architektúra áttekintése ISA 2004 telepítése Szünet Biztonságos Web Publikáció VPN integráció Naplózás és jelentéskészítés
77
Naplózás és jelentéskészítés Naplófájl típusok Firewall –A Packet Filter Log bekerült a tűzfal logba –Néhány új mezővel bővült a log (Src & Dst Netw.) –Session ID Web Proxy SMTP Message Screener* A naplóink lehetnek Text alapú fájlok MSDE adatbázisok – alapértelmezett és javasolt SQL adatbázisok (standard ODBC)
78
Naplózás és jelentéskészítés
79
Text alapú naplózás Csak az online log-viewer funkció működik Múltbeli eseményt csak közvetlen fájl eléréssel tudunk megnézni –FTP –File Share Nehéz kezelni a nagyméretű naplóállományokat (megnyitás, keresés) Cserébe nagyon jól tömöríthető Nem az alapértelmezett és javasolt naplózási módszer
80
Naplózás és jelentéskészítés MSDE alapú naplózás A Log-viewer összes funkciója működik Múltbeli eseményeket lekérdezhetünk –Firewall Reporting API segítségével –Közvetlen SQL lekérdezésekkel –Log-viewer segítségével –Adatbázis másolása után bármilyen SQL szerveren felcsatlakoztatható MSDE esetén a maximális adatbázis méret 2GB, ha megtelik a 2GB, akkor automatikusan új adatbázis kezd A távoli SQL lekérdezésekhez engedélyezni kell a távoli SQL elérést (alapértelmezésben ez tiltva van – Slammer) Javasolt a Firewall API használata, vagy az adatbázis egy központi helyre történő másolása Az alapértelmezett és javasolt naplózási módszer az MSDE
81
Naplózás és jelentéskészítés Finomhangolás Log Folder A naplóállományok össz. mérete Szabad diszk terület megtartása Maintain policy Automatikus log fájl törlés
82
Naplózás és jelentéskészítés
83
Továbbfejlesztett management A jelentések publikálhatóak a fájlrendszerbe Egyszerűbben terjeszthető a jelentés, mivel minden egy könyvtárba készül el Van lehetőség e-mail alapú értesítés küldésére ha a jelentés elkészült Új jelentéskészítő API Segítségével automatizáltan az ISA Management eszköz nélkül is készíthetünk egyedi jelentéseket
84
Naplózás és jelentéskészítés Jelentések az ISA konzolban Értesítési beállítások Publikációs beállítások Jelentésekhez tartozó feladatok az ISA konzolban
85
Naplózás és jelentéskészítés Készítsünk egy jelentést az április 18-ról Nézzük meg a korábban publikált Web Serverre beérkező forgalmat a Log Viewer segítségével demó
86
Kérdések?
87
Amire nem jutott (elég) idő de tudni érdemes Administration Delegation Wizard (Role:Basic Monitoring, Extended Monitoring, Full Administrator) Certificate Validation funkció – segítségével a CRL ellenőriztethető a publikációk és az azonosítás során Connection Limits – segítségével a worm-ok túlterhelése védhető ki, alapértelmezésben 160 session / connection Read-only FTP filter – segítségével beállítástól függetlenül Read-only módon publikálható FTP Server Továbbfejlesztett H323 Filter OWA Forms-based authentication – segítségével Exchange 2000 vagy Exchange 5.5 környezetben Forms- based azonosítás vezethető be
88
Amire nem jutott (elég) idő de tudni érdemes User Mapping funkció – segítségével a nem Windows névtérből érkező VPN felhasználók a Windows névtérben levő felhasználókhoz rendelhetőek Enforce RPC compliance – segítségével az RPC forgalmat szabályozhatjuk per policy szinten Fejlett HTTP Policy szűrési lehetőség – csak egy részét mutattam be, érdemes átnézni a teljes lehetőséget
89
Néhány záró gondolat „Határozd meg, hogy mi jelenti számodra a kockázatot Milyen kockázatokat rejt a rendszered? Ezek közül mi az ami vállalható kockázat?” „Egy port szám önmagában még nem jelent semmit, az még bármilyen forgalom lehet” „Egy támadás forgalma általában úgy néz ki, mint egy átlagos forgalom”
90
Fontosabb web oldalak http://www.microsoft.com/isaserver http://www.microsoft.com/security http://www.microsoft.com/technet http://support.microsoft.com http://www.isaserver.org http://www.isatools.org
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.