Üzemeltetői Konferencia V.

1. Üzemeltetői Konferencia V. Harmath Zoltán Konzulens zoltanh@microsoft.com

2. Kérdezz-felelek • Ki tudja mi az a VPN? • Kik használnak a cégnél VPN-t? • Kik használnak nem Microsoft alapú VPN kiszolgálót? • Kik használnak Microsoft Windows Server 2003 alapú VPN kiszolgálót?

3. VPN cső VPN kapcsolat Internet Gyors áttekintés • A VPN kliens kap egy belső IP címet, amivel eléri a belső erőforrásokat • Elég ismernem egy felhasználói nevet, jelszót, tartományt és VPN szerver nevet és betudok tárcsázni bármely szervezethez • A VPN csőben átmenő adatok esetében fontos az adatintegrítás, és a privacy • Biztonságos módon kell tudnom azonosítani a felhasználót a VPN kiszolgálón • A VPN kliens a belső, védett hálózat részeként kommunikál, így akár megfertőzheti a védett gépeket - Forgalom szűrése a VPN csőben - Megbízható azonosítás ? - Titkosítás kényszerítése Internet kapcsolat VPN kliens VPN kiszolgáló - RADIUS alkalmazása Helyi hálózat - Biztonsági BaseLine kényszerítése a VPN kliensre

4. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

5. Megbízható azonosítás I. • Cél - a kockázat csökkentése • Tapasztalat • A kockázat nem csökkenthető le nullára, erre ne is törekedjünk • Mindenkinek más és más jelenti a kockázatot • Kockázat elemzés során el kell dönteni, hogy mi a vállalható kockázat (MOF) • Gyakori megoldások • Forrás IP cím alapján történő szűrés • Kötelező IPSec használata • Smart-card alapú hitelesítés • Biometrikus hitelesítések • A fentiek tetszőleges kombinációja

6. Megbízható azonosítás II. • Azonosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben • Smart-Card esetén • EAP • Nem SC esetén • MS-CHAP v2 • Eltérés esetén a kapcsolat nem épül fel

7. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

8. Titkosítás kényszerítése • MPPE – Microsoft Point-to-Point Encryption • Titkosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben • Figyelnünk kell a kliensek támogatottságára • Ha nem azonos a kliens beállításokkal a kapcsolat nem épül fel Javasolt a 128 bit alkalmazása

9. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

10. Forgalom szűrése a „VPN csőben” • Ha a VPN csőbe belátnék, akkor nem lenne biztonságos • Nem tudunk a csőben szűrni • Csak a végpontokon • RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom szűrésére • Input Filter • Output Filter

11. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

12. RADIUS alkalmazása I. • A felhasználót célszerű a tartományunkból azonosítani (SSO) • Milyen azonosítást támogat az RRAS? • Windows Authentication és Accounting • Workgroup esetén helyi csoportok és felhasználók • Tartomány esetén helyi és tartományi csoportok és felhasználók • RADIUS Authentication és Accounting • Külön névtérként kell kezelni és a beállításunknak megfelelően egy vagy több tartományból azonosíthatjuk a felhasználóinkat

13. RADIUS alkalmazása II. • Szótár • RADIUS kliens • Aki kezdeményezi a RADIUS azonosítást • Microsoft környezetben ez az VPN kiszolgáló • RADIUS szerver • Aki fogadja a RADIUS autentikációs kérést • Microsoft környezetben ez az IAS kiszolgáló • Régi újdonságunk • RADIUS Proxy

14. 5 2 VPN Kliens 3 6 1 4 RADIUS alkalmazása III. RADIUS kiszolgáló Tartományvezérlő • VPN kapcsolat kezdeményezése • Bejelentkezési információk továbbítása a RADIUS kiszolgálónak • Bejelentkezési információk ellenőrzése • Tartományvezérlő válasza • Radius kiszolgáló válasza • Válasz a felhasználói munkaállomásnak

15. RADIUS alkalmazása IV. • Megfontolások • „Erős” shared secret • Egyedi RADIUS port alkalmazása • Man in the middle Attack elleni védelem • Védett hálózati szakasz a RADIUS kliens és az IAS között • IPSec – teljes mértékben támogatott és javasolt de nem shared key alapon

16. Demo • Azonosítási beállítások • Titkosítási beállítások • Forgalom szűrési beállítások • RADIUS beállítások

17. Internet Biztonsági BaseLine kiterjesztése a VPN kliensekre Miért szükséges?

18. BaseLine kiterjesztése a VPN kliensekre • Előfeltételek • Windows Server 2003 alapú VPN kiszolgáló • Windows Server 2003 alapú IAS kiszolgáló • Active Directory • RADIUS azonosítás alkalmazása • Connection Manager alapú VPN kapcsolat • Programozási tudás • A fentiek ellenére nem lehetetlen 

19. 5 4 3 1 2 BaseLine kiterjesztése a VPN kliensekre VPN Kliens VPN Kiszolgáló Tartomány A • VPN kapcsolat felépítés CM profilból • RADIUS azonosítás • RADIUS válasz, benne a Quarantine információval • Válasz a felhasználónak • After Connection script futtatása a kliens oldalon majd visszajelzés a VPN kiszolgálónak • Quarantine információ eltávolítása / kapcsolat bontása

20. BaseLine kiterjesztése a VPN kliensekre • Elérhető quarantine opciók • MS-Quarantine-IPFilter (4165) • MS-Quarantine-Session-Timeout (4166) • IAS házirendenként definiálható

21. BaseLine kiterjesztése a VPN kliensekre • MS-Quarantine-IPFilter • Segítségével a kliensre IP szűrőket definiálhatunk From Client és To Client megközelítésben • Lényege: segítségével beállítható, hogy a BaseLine-nak nem megfelelő kliens mit láthat a hálózaton (pl.: telepítőkészleteket tartalmazó megosztásokat) • MS-Quarantine-Session-Timeout • Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk • Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat • A kettő kombinálható egymással

22. BaseLine kiterjesztése a VPN kliensekre • MS-Quarantine-Session-Timeout • Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk • Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat

23. Internet BaseLine kiterjesztése a VPN kliensekre Quarantine hálózat

24. BaseLine kiterjesztése a VPN kliensekre • Technikai háttér • rqc.exe alkalmazást kell meghívni kliens oldalon, ami egy stringet elküld az RRAS kiszolgálón futó rqs.exe modulnak • rqs.exe alkalmazás az RRAS kiszolgálón várja a stringet, ha megérkezik akkor a kliens megfelelt a BasLine-nak és leszedhető róla a Quarantine

25. BaseLine kiterjesztése a VPN kliensekre • Miért biztonságos ez? • Mert a kliens oldalon nem jelenik meg a string, kiolvasható formában • Mert a kliens oldalon az rqc.exe –t futtatva még ha ismernénk a string-et sem tudnánk leszedni a Quarantine-t, mivel az rqc.exe csak a CM-től fogadja el a paramétert • Még ha van egy SC-m és tudom a PIN kódját, akkor is rendelkeznek kell a megfelelő CM profillal

26. BaseLine kiterjesztése a VPN kliensekre • Mi az árnyoldala? • A PSS jelenleg nem ad terméktámogatást az eszközhöz, csak Best Effort jelleggel lévén, hogy Resource Kit utility-ről van szó • A kliens oldalon lefutó script-et nekünk kell megírnunk, tehát fejlesztők előnyben • Ha egyszerű VB Script-et írunk, a felhasználók kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” az ellenőrzést • Nem VB Script esetén is kifigyelhető az ellenőrzés egy debuger, vagy a klasszikus monitorozó programok segítségével • Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését is

27. BaseLine kiterjesztése a VPN kliensekre • Néhány tipp, hogy mit érdemes ellenőrizni • Internet Connection Firewall állapotát • Internet Connection Sharing • Operációs rendszer verzióját • Javítócsomag szintjét • Hotfix állapotot • Telepített víruskeresőt • Frissített víruskereső adatbázist • Fájlrendszer típusát

28. Néhány gondolat • Határozd meg, hogy mi jelenti számodra a kockázatot • Milyen kockázatokat rejt a rendszered? • Ezek közül mi az ami vállalható kockázat? • Egy port szám önmagában még nem jelent semmit • Egy támadás forgalma általában úgy néz ki, mint egy általános forgalom