550 likes | 698 Views
Microsoft Exchange Server 2000. GET secure, STAY secure!. Verwendung von Microsoft Security Tools. Mario Bono. Agenda. Get secure Stay secure. Sicherheitskonzept. MSBSA Hotfixes Tools Patch Management MSUS. Checklisten Dienste MS WUPD. Microsoft Security Tool Kit.
E N D
Microsoft Exchange Server 2000 GET secure, STAY secure! Verwendung von Microsoft Security Tools Mario Bono
Agenda • Get secure • Stay secure Sicherheitskonzept • MSBSA • Hotfixes • Tools • Patch Management • MSUS • Checklisten • Dienste • MS WUPD Microsoft Security Tool Kit Security Operations Guides (W2K/E2K) • Server Security (Firewalls/DMZ) • Netzwerk Traffic • Client Zugriff Securing E2K & OWA Q & A
Sicherheitskonzept Programm – integriert Microsoft Produkte, Support und Dienstleistungen (Microsoft Security Tool Kit) Phase 1: GET secure • Unterstützung für Windows NT 4.0 und Windows 2000 • Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist Phase 2: STAY secure • Tools, Updates • Patches, Consulting
Microsoft Security Tool Kit http://www.microsoft.com/technet/ treeview/default.asp?url=/ technet/security/tools/Default.asp
Microsoft Security Tool Kit Arbeitsstationen und Server • Security Checklisten • Security Vorlagen Hot Fixes • Windows Update • Microsoft Base Security Analyzer • HFNetCheck • QChain • Critical Update Notification IIS Dienste • IIS Checklisten • IIS Lockdown Tool • URLScan
Checklisten / Vorlagen Vorhanden für: • Windows NT 4.0 • Windows NT 4.0 Terminal Server • Windows 2000 • Windows XP
IIS Dienste Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und Internet Explorer • IE (für alle Versionen) • IIS 5.0 • IIS 4.0
IIS TOOLS IIS Lockdown Wizard • Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server URLScan • Windows 2000 SP1 oder später • Analysiert vom IIS empfangene HTTP Anfragen
Hotfixes - MS Windows Update Update bei Publikation der Sicherheits Bulletins Voraussetzungen: • Internet Explorer muss Cookies und • ActiveX Controls erlauben • Lokale Administrator Berechtigungen
MS Baseline Security Analyzer Unterstützte Plattformen: • Windows 2000 Professional/Server • Windows XP Home Edition/Professional Voraussetzungen: • Lokale Administrator Berechtigungen • Mehr Sicherheits-Checks als Microsoft Windows Update • Unterstützung Remoter Workstations und Server
MS Baseline Security Analyzer Überprüfung folgender Produkte/Services: • Windows NT 4.0 Workstation/Server • Windows 2000 Professional/Server • Windows XP Home Edition/Professional • IIS 4.0/5.0 • SQL 7.0/2000 • Erkennt SQL Server Instanzen • IE 5.01+
MS Baseline Security Analyzer Überprüfung folgender Produkte/Services Fortsetzung: • Exchange und Windows Media Player • Office 97, 2000, XP • Support für Software Update Services (SUS) http://www.microsoft.com/technet/ security/tools/Tools/mbsahome.asp
The Hotfix Network Checker Anwendung für Server und Client Workstations • Remote Unterstützung • Mehr Security-Checks als Windows Update • Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later • Download verfügbarer Updates und Fixes als .XML Zusätzliche Funktionalität in der Pro und LT Version • Download der LT Version • http://www.shavlik.com
Hotfix Allgemeine Überlegungen • Viele Neustarts • Reihenfolge Hotfix Installationbeachten Lösung • Windows Critical Update Notification • Security Tool Kit: QChain Tool
QChain verwenden In Betriebssystem Integriert Seit SP3 integriert QChain verwenden QChain Entscheidungs Baum BetriebssystemWindows NT 4.0? Betriebssystem Windows XP? BetriebssystemWindows 2000 SP3 oder später
Hotfix B Hotfix A Hotfix B Hotfix A X.dll (v3) X.dll (v1) X.dll (v3) X.dll (v1) QChain Tool QChain Tool X.dll (v3) Server Hotfix C Hotfix C X.dll (v2) X.dll (v2) X.dll (v2) QChain Tool - Funktionsweise Richtige Version Falsche Version
QChain Tool für Windows NT 4.0 Switch – Z unterdrückt den Neustart @echo offsetlocalset PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m%PATHTOFIXES%\Q123321i.exe -z -m%PATHTOFIXES%\Q123789i.exe -z -m%PATHTOFIXES%\qchain.exe Switch – M Unattended Mode
QChain Tool für Windows 2000 @echo offsetlocalset PATHTOFIXES=E:\hotfix%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\qchain.exe HotfixWindows 2000
Critical Update Notification Service Informiert über neue Updates Drei Optionen: • Automatischer Download und Benachrichtigung über Installation • Benachrichtigung bei Download und Installation • Manuell
Unternehmensweites Patch Management Windows Update Site – Permission Denied Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien Lösung: • Microsoft Software Update Services (SUS)
SUS Komponenten MSUS Server • Wird im Intranet zur Verfügung gestellt • Synchronisation mit Windows Update Site • Kontrolle über Update und Hotfix Verteilung Auto Update Client • Beruht auf Windows XP Auto Update • Check Intranet und öffentliche Windows Update Site • Zentralisierte Konfiguration • Auto-Download und Installation
Microsoft Software Update Services A Administrator definiert Updates MSUS Server Konfiguration und Verteilung Per Group Policy Internet B Server A Download GEPRÜFTER Updates C C Microsoft Windows Update Server B Workstations
MSUS Überlegungen Kann verwendet werden für: • Rollout von Hotfixes und • Security Updates Keine Unterstützung für: • Service Packs • Verteilung über Group Policies
Security Operations Guide For Windows 2000 Server Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000 Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/
Tool EventComb • Zentralisierte Auswertung der Event Logs • multi-threaded • Speicherung und Weiterverarbeitung per CSV Text File
Security Operations Guide For Exchange 2000 Server Chapter 1 – Introduction Chapter 2 – Securing your Exchange 2000 Environment Chapter 3 – Securing Exchange 2000 Servers based on Role Chapter 4 – Securing Exchange Communications http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.asp
Sicherheit: E2K & OWA Zuerst – Sicherheit beim Zugriff auf Server! • Firewalls/DMZ • Virus Protection Netzwerkzugriffe zwischen Servern • Protokolle • Ports • Spoofing usw. Clientzugriffe sichern • MAPI – OUTLOOK • OWA
Serverzugriffe Hardening Windows 2000 - siehe Sicherheitsvorlagen Unnötige Dienste deaktivieren Firewalls • Deaktivieren nicht benötigter Ports • ISA server versus Hardwarelösungen • Spezial HW bietet weniger Angriffspunkte • Teurer in der Anschaffung • ISA server • Integration mit Microsoft Server & Backoffice Familie • Günstigere Anschaffung
Einfache Firewall HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server Internet Exchange 2000 Server Exchange 2000 Front-EndServer Firewall Offene Ports: 443, 993, 995 Exchange 2000 Server
Typische DMZ Konfiguration HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server DMZ Internet Exchange 2000 Server Exchange 2000 Front-EndServers Firewall Offene Ports:443, 993, 995 Firewall OffenePorts: 80143, 110, LDAP, … Exchange 2000 Server
Firewalls und Client Zugriffe Zugriff auf “Internen” (Firewall) Exchange Server vom Internet • Inbound RPC Zugriff auf Firewall • Typisches Szenario für Roaming Users Zugriff auf Exchange Server (DMZ) von Intern • Untypisches Szenario • Outbound RPC Zugriff erlauben Best Practice: VPN´s = keine Probleme mehr
(HTTP, IMAP, POP) DMZ Überlegungen • FE und BE müssen dem gleichen Forest angehören • FE benötigt Zugriff auf DNS Server • FE benötigt RPC beim Zugriff auf AD • nur wenn Authentisierung eingeschalten ist
RPCs in der DMZ • IIS verwendet RPCs für Authentisierung • Vor SP2, RPCs zum Auffinden von DCs • RPC nicht erforderlich; Einschränkungen: • Explizites Logon erforderlich http://server/exchange/user • Kein Load Balancing für Öffentliche Ordner
Port Filtering in der DMZBenötigte Ports • Client Mail Zugriff • 443 TCP vom Internet (HTTPS) • 80 TCP zum Intranet (HTTP) • LDAP • 389 TCP und UDP • 3268 TCP (Globaler Catalog) • Kerberos • 88 TCP und UDP • DNS (oder DNS Server in DMZ) • 53 TCP und UDP
Port Filtering in der DMZBenötigte Ports … • IPsec (optional) • Kerberos Ports • Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3 • 500 UDP: Internet Key Exchange (IKE) • ESP (Encapsulating Security Payload ): Port 50 • AH (Authentication Header): Port 51 • RPCs (optional) • 135 und 1024 oder.. • 135 und Single Port (Konfiguration, Q224196)
Überlegungen zu SPAM Relaying • Was ist SPAM Relaying? O MAIL FROM: <info@bono.to> RCPT TO: <billi@MS.com> 550 5.7.1 Unable to relay for <billi@MS.com> “Evil Spammer” Bono.to
Überlegungen zu SMTP • Definition SPAM Relaying? Bono.to MAIL FROM: <info@bono.to> RCPT TO: <virus@bono.to> • Falsch “Von:” • Richtig “An:” • Nachricht • Filter greifen nicht? “EVIL Spammer”
SMTP Server Einstellungen • Relay Einstellungen • Best Practice: • Default!
Anti-Spoofing: ResolveP2 • Problem: irgend jemand übermittelt eine Nachricht • Von: Info@Bono.to • Beim Öffnen dieser erscheint: • Von: Mario Bono • Betreff: DU BIST GEFEUERT • Eigenschaften des Senders anzeigen • Name wird aufgelöst
ResolveP2 • Was ist “P2”? • X.400 Name für “Body” der Nachricht • Envelope (Umschlag) ist P1 • Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 • Anzeige der Clients immer in Form vonVon: und An: oder P2 • Was bedeutet “resolve”? • Werden Informationen die bei Zustellung einer Nachricht zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen? • Ja, wenn Übereinstimmungen gefunden werden sieht die E-Mail wie von “Intern” aus.
ResolveP2 History • Exchange 5.0 • Default: “resolve everything” • Regkey zum Deaktivieren • Exchange 5.5: • Default: “resolve nothing” • Regkey zum Aktivieren • Exchange 2000 • Default: “resolve everything”, keine Kontrolle bei E2K RTM • Exchange 2000 SP1: ResolveP2 Regkey
Exchange 2000 SP1+ ResolveP2 • Registry Key für ResolveP2 • Siehe KB-Artikel Q288635 • Outlook XP Erweiterungen • Vorschaufenster unterscheidet zwischen unaufgelösten Adressen ohne die Nachricht zu öffnen • Bei Antworten; nicht aufgelöste Adressen werden als <xxxx@yyyy.com>Name dargestellt
Allgemeine Überlegungen zu SMTP • Internet Mail ist nicht sicher! • Ausnahme Verschlüsselung • Jeder kann E-Mails an jeden senden • “Evil People” • Können immer mit Ihrer Adresse als Absender auftreten! • Aber nicht über Ihren Server, wenn Relaying ausgeschalten ist!
Authentisierung zwischen Servern im Netzwerk • Automatische Server zu Server Authentisierung mit X-EXPS • Kerberos/NTLM • Default SMTP Protokoll Erweiterungen in Exchange 2000 SMTP AUTH (RFC 2554) • Verbindung zu externen Systemen,wird am SMTP Connector eingestellt
Verschlüsselung zwischen Servern im Netzwerk • IPSec • Einfache Konfiguration • Über Group Policy Einstellung: “erfordert Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servern http://www.microsoft.com/windows2000/techinfo/ planning/security/ipsecsteps.asp • Einsatz von IPSec Accelerator Ethernet Cards
Client Zugriff • Outlook (MAPI) Clients • Outlook Web Access (HTTP) Clients
Netzwerk Sicherheit mit Outlook Clients • Verschlüsselung • in Mail Einstellungen ändern • MAPI RPC • Am FE keine Mailboxen • Verwendet UDP vom Server zum Client für Benachrichtigung über neue E-Mail
OWA Verschlüsselung zwischen Servern • Traffic von FE zu BE • Isolierte Netzwerke • IPSec? (RFCs 1825, 1826, 1827) • Internet Key Exchange (IKE): RFC 2409 • Encapsulating Security Payload (ESP) oder Authentication Header (AH) • Client (respond only) policy • ISA can inspect IPSec’d traffic
OWA Authentisierung am Server • (Optional) FE Authentisierung aktiviert • Erfordert RPC • Deaktivieren anonymer Anfragen auf BE • SMTP Domain auf virtuellem Server • Benutzer benötigt E-Mail Adresse der Domain um sich anzumelden