TechNet Szeminárium előadások 2002 tavasz

TechNet Szeminárium előadások 2002 tavasz

Biztonságos Windows Szalontay Zoltánvezető rendszermérnök Microsoft Magyarország

Napirend • A Microsoft Solutions Offering (MSO) áttekintése • A Microsoft Solution Architecture Internet Datacenter (MSA IDC) nevű megoldás áttekintése • Az MSA IDC biztonsági kérdései • A biztonsági CD-kről

Mi az MSO? • Microsoft termékek és technológiák integrációja az ügyfelek problémáinak megoldására • A Microsoft Consulting Services (MCS) tervezi és az MCS, valamint minősített partnerei valósíthatják meg • A megoldás egy keretrendszer, amelyet a Prescriptive Architecture Guide (PAG) definiál • Mitől más ez, mintha dobozokból raknánk össze? • hardver is szerepel a csomagban • integrált tesztelés, dokumentáció, felügyelet, szolgáltatás és támogatás

Business Intelligence Data Warehousing Development HIPAA Internet Business Intranet Management MS Systems Architecture Mobile Communication Office productivity Platform Project collaboration Supplier enablement Milyen megoldások készülnek? HIPAA: Health Insurance Portability and Accountability Act

A partnerek szepere, avagy a Solution Ecosystem • A Microsoft partnereinek szerepét definiálja egy megoldás megvalósítása során • Egy partner például kiindulhat az MSA-ból, de egy konkrét (vertikális) megoldásból is • Az ecosystem definiálja a Microsoft technológiákra épülő megoldás-fejlesztés életciklusát is

Mi az MSA? • Solution Architecture • Miből áll? • hardver • dobozos szoftver • „plumbing” avagy integrációs kód • dokumentumok • Egy konkrét megvalósítás a standard megoldáson alapul, de az ügyfél igényei szerint testre szabják

MSA IDC dokumentumok • Reference Architecture Guide • az MSA IDC arhitektúráját és tervezési szompontjait írja le • Prescriptive Architecture Guide • egy MSA IDC-nek megfelelő megoldás kiépítésének útmutatója • Operations Guide • az MSA IDC üzemeltetési útmutatója • Services Guide • a megoldás teljes életciklusát (tervezés, implementáció, üzemeltetés) felölelő üzemeltetési és támogatási útmutató • Support Guide • a megoldás támogatási ajánlata

Egyéb gyártók Partnerek Microsoft Systems Architecture Kapcsolódóügyfelek Integrálódóüzeleti partnerek Hatékony munkatársak E-BusinessInfrastruktúra Üzleti Intelligencia Internet Biz Internet Biz Keresk. Céges portál RendszerArhitektúra Beszállítók HIPAA Feljesztés Felügyleet Fejlesztő eszközök Extranet/ Internet Felügyelet Mobilitás Címtár Biztonság E-Business Infrastruktúra Szolgáltatások Támogatás Rendszer arhitektúra Microsoft Systems Architecture Hálózat Szoftver Kiszolgálók Tárolók

MSA IDC tervezési célok

Az MSA 4 megoldást tartalmaz Hosted Data Center • Kulcs partnerek termékei az alkotóelemek • Compaq, Unisys / Nortel, Cisco / EMC / ComVault, Veritas / NetIQ, XTremesoft InternetData Center EnterpriseData Center DepartmentData Center Windows 2000Serverek HálózatÚtválasztók, Switchek, Tűzfalak… Tárolók,NAS, SAN, Switching Gear… SzoftverMenedzsment, Biztonság,Címtár…

Departmental Data Center • Egy osztály alap IT infrastruktúrája • Osztályok közötti együttműködést tesz lehetővé • Más nagyvállalati adatközpontok szolgáltatásaira épülhet • Példák: emberi erőforrás osztály, tervezés, könyvelés DepartmentalData Center Munkaállomás Munkaállomás Munkaállomás Munkaállomás Intranetkiszolgáló

Enterprise Data Center • A nagyvállalatok és osztályaik átfogó számítástechnikai rendszere • Hálózat, címtár, biztonság, adatmentés és más infrastrukturális alapszolgáltatások • Belső kommunikáció és adatcsere • Több, egymással összekapcsolt telephely • Önellátó funkciók, mint pl. HR, ERP, CRM, belső vásárlás Enterprise Intranet kiszolgálók Enterprise Data Center

Internet Data Center • Széleskörű e-business funkciókat támogató web alapú infrastruktúra a külvilággal történő kapcsolódáshoz • Teljeskörű, skálázható, web alapú IT infrastruktúra • A három legfontosabb szempont: biztonság, rendelkezésre állás és megbízhatóság • Példák: online boltok, céges- vagy ügyfélkapcsolati webhelyek, fórumok, stb. Enterprise Intranet kiszolgálók Internet Data Center Külső gyűrű Céges tűzfal Web szolgáltatások Internet Data Center

Hosted Data Center • A legmagasabb szintű rendelkezésre állásra tervezett (geo-fürtözés) • Provizionálás és elosztott rendszerek felügyelete • Cégek ezreit, felhasználók millióit tudja kiszolgálni egy ilyen rendszer • Példák: nagy kiterjedésű cégek központi felügyelettel, szolgáltató cégek HostedData Center HDC

Az MSA IDC felépítése

Az MSA biztonságaÁttekintés • Hacker technikák és eszközök • Active Directory és Group Policy Objektumok tervezése • A Windows 2000 Server megerősítése • Az IIS megerősítése • Alkalmazások biztonsága (ajánlások) • ISA Server tűzfal tervezés

Hacker technikák és eszközök • Szkennerek (FScan, Superscan, nmap) • Ping Sweep (az alhálózat aktív eszközeihez) • TCP / UDP Port szkennerek (az alkalmazásokhoz) • Banner Grabbing (az OS-t azonosítja) • Denial of Service (DoS) támadások • Smurf (ICMP támadás) • elosztott Denial of Service – Tribe Flood Network • Kiskaput kihasználó támadások (Back Orifice) • Trójai falovak (I Love You) • Webes támadások (URL String támadások, puffer túlcsordulások, pl. Netmeeting) • Session eltérítés (Hunt/Kra, Achilles) • Jelszó próbálgatás (L0phtCrack/lc3)

Tipikus támadási pontok • Elfogadott és meghirdetett biztonsági házirend hiánya • Gyenge, könnyen kitalálható vagy közkézen forgó jelszavak • Rosszul konfigurált tűzfalak, útválasztók és egyéb eszközök • Rosszul kiadott fájl- és könyvtár jogosultságok • Az Administrator fiók fölösleges használata • Teszt fiókok fölöslegesen magas privilégiumai • A belső hálózatra csatlakoztatott “Auto-answer” üzemmódú modemek • A hálózat auditálásának és monitorozásának hiánya • Hibajavítások alkalmazása nem rendszeres

Active Directory tervezés

Organizational Unit tervezés

Windows 2000 megerősítéseHálózati és helyi erőforrások • A legfrissebb szervizcsomagok és frissítések alkalmazása • csak alapos tesztelés után! • TCP/IP beállításoka DMZ kiszolgálóin • biztonsági sablonban vannak • IP csomagszűrők alkalmazása (IPSec) • NetBIOS letiltása a DMZ kiszolgálóin • A fájlrendszer levédése • NTFS, XCACLS, alapértelmezett ($) megosztások letiltása

Windows 2000 megerősítéseHelyi és tartományi felhasználók • Ne ugyanazt a helyi fiókot használjuk mindenhol • Nevezzük át az „Administrator”-t • A nevekben ne használjuk az „admin”-t vagy a cég nevét • Erős jelszavakat használjunk

Windows 2000 megerősítéseHázirendekkel érjük el a biztonságot • Default Domain Policy • jelszóval kapcsolatos beállítások (nem lehet felülbírálni) • fiókok zárolása (kísérletek száma és a zárolás időtartama) • auditálási házirendés napló mérete (10MB, wrap) • Default Domain Controller Policy • a Default Domain Policy nem módosítja az auditálási beállításokat • módosítsuk a biztonsági beállításokat és tiltsuk le a fölösleges szervizeket!

Windows 2000 megerősítéseKiszolgáló specifikus házirendek • Felhasználói jogok • Logon locally - Administrators • Access from the network – Authenticated Users • Biztonsági beállítások registry értékei • „Restrict Access to Anonymous Account” • „NTLMv2 – Cluster Servers (Q272129) • Szervizek letiltása • Alerter Messenger • Browser Print Spooler • Clipbook Task Scheduler • DHCP Client Telnet

Alapértelmezés szerintibiztonsági sablonok • %SystemRoot%\Security\Templates\*.inf • Alap sablonok • Basicwk – Windows 2000 Pro • Basicsv – Windows 2000 Server • Basicdc – Windows 2000 Domain Controller • Járulékos sablonok (az alapra telepítendő) • Securews – Windows 2000 Workstation vagy Server • Securedc – Windows 2000 Domain Controller • Hisecwks – Windows 2000 Workstation vagy Server • Hissecdc – Windows 2000 Domain Controller • Hisecwks • Windows 2000 Serverre • minden kiszolgáló Windows 2000 kell, hogy legyen • lebutítja a Power users csoportot

Az IIS megerősítése • Alkalmazzuk a legfrissebb IIS javításokat • Hot Fix Checking Tool • Tiltsuk le a könyvtárak tallózását • Ellenőrizzük a virtuális könyvtárak jogosultságait • Védjük le az IIS naplóit és auditáljunk • Tiltsuk le vagy töröljük a minta alkalmazásokat • Töröljük ki a nem használt szkript megfeleltetéseket (script mapping) • Szedjük le a szülő könyvtárat („..”) a pathról

Néhány perc szünet…

Alkalmazások biztonságaHasznos tanácsok (1/2) • Használjunk adat titkosítást • Erős jelszavakat írjunk elő • Tiltsuk le a cookiekat • Az SSL-es oldalaknak legyen élettartamuk • A HTML és ASP oldalak ne tartalmazzanak bizalmas információt • Az állapotot SQL Serverben tároljuk • Ellenőrizzük a bevitt adatokat

Alkalmazások biztonságaHasznos tanácsok (2/2) • Az üzleti logikai funckiókat tegyük COM komponensekbe • A fejlesztők ne írhassanak az éles rendszerbe • Használjunk „source control” eszközöket • Ne használjunk ftp-t és telnetet

Külső ISA Server konfiguráció • Hálózati konfiguráció • több hálókártyás • statikus útvonalak minden belső VLAN-hoz • Telepítési opciók • standalone mód (nem címtár integrált) • integrált mód – tűzfal és gyorsítótár egyben • LAT konfiguráció • szervizcsomagok és egyéb javítások (ISAHF63) • ISA tűzfal konfiguráció • nincs statikus szűrő (pl. webcat miatt) • Web Publishing • 2 db IIS NLBS farmot publikálnak a hosts fájljaik alapján • Server Publishing

Szűrés állapot alapján SecureNAT esetén

Web publikálás SSL híd nélkül • Egy ISA NLBS farm mögött van két IIS NLBS farm • IIS NLBS „Single affinity” esetén • a NAT miatt a source IP minden esetben az ISA belső címe • minden SSL csomag az egyik farmhoz megy • IIS NLBS „No affinity” esetén • minden SSL csomag más IIS Serverhez megy • mindig újra kell építeni az SSL kapcsolatot (session key) – óriási terhelés

Web publikálás SSL híddal • Levenni az IIS-ről az SSL okozta terhelést • A tanusítványt minden ISA Serverre fel kell tenni • Az átmenő adatokat az ISA így már ellenőrizheti • SSL harveres gyorsítókártya javasolt • nCipher, Rainbow, Atalla

Belső tűzfal • A belső kiszolgálók védelméhez egy újabbréteget ad • Cisco PIX, ISA Server • NetBIOS-t le kell tiltani(netbios.sys), hogy az AD-hoz szükséges SMB portot (445) átengedhesse • Hardveres terhelés elosztás szükséges a belülről kifelé menő forgalom egyenletes elosztásához • BigIP, Local Director • default gateway csak egy lehet • az NLBS egyszerre csak egy adapterhez köthető • a .NET Serverben már többhöz is lehet • Szűrés állapot alapján • Még magasabb szinten naplózhatunk

Belső tűzfal tervezésAz alkalmazások által használt portok

Belső tűzfal tervezésA címtáráltal használt portok

Belső tűzfal tervezésA felügyelet által használt portok

Split-split DNS konfiguráció

Az előzmények • 2001. nyarának elején a Microsoft Magyarország elérkezettnek látta az időt egy rendszeresen megjelenő biztonsági CD kiadványra • Biztonsági eszközlészlet CD • Ezzel egyidőben a Microsoft Corporation is meghirdetett egy programot (STPP), melynek szintén része egy biztonsági CD • Security Toolkit CD • A két CD nem pont ugyanazt a feladatot tölti be

Strategic Technology Protection Program (STPP) • Get secure • vírusfertőzésekkel kapcsolatos támogatás • 1-866-PC SAFETY (1-866-727-2338) • ingyenesen rendelhető biztonsági CD • Security Toolkit CD • a W2K SP3 elsődleges célja a biztonság fokozása • Stay secure • a Security Toolkit CD rendszeresen megjelenik • Windows 2000 kumulatív javítások kéthavonta • IT rendszerek biztonságával foglalkozó események • menedzselhető biztonság • nagyvállalati eszközök, automatikus frissítés, stb. • http://www.microsoft.com/presspass/features/2001/oct01/10-03securityqa.asp

Security Toolkit CD • Angol és magyar változat • Milyen operációs rendszerhez jó? • Windows NT 4.0 • Windows 2000 • munkaállomásokhoz és kiszolgálókhoz egyaránt • Felteszi az összes ismert javítást • később leszedhetők • Speciális eszközök • IIS lockdown tool • URLScan • hfnetchk.exe • qchain.exe

TechNet Szeminárium előadások 2002 tavasz