1 / 29

Üzemeltetői Konferencia V.

Üzemeltetői Konferencia V. Harmath Zoltán Konzulens zoltanh@microsoft.com. Kérdezz-felelek. Ki tudja mi az a VPN? Kik használnak a cégnél VPN-t? Kik használnak nem Microsoft alapú VPN kiszolgálót? Kik használnak Microsoft Windows Server 2003 alapú VPN kiszolgálót?. VPN cső. VPN kapcsolat.

feo
Download Presentation

Üzemeltetői Konferencia V.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Üzemeltetői Konferencia V. Harmath Zoltán Konzulens zoltanh@microsoft.com

  2. Kérdezz-felelek • Ki tudja mi az a VPN? • Kik használnak a cégnél VPN-t? • Kik használnak nem Microsoft alapú VPN kiszolgálót? • Kik használnak Microsoft Windows Server 2003 alapú VPN kiszolgálót?

  3. VPN cső VPN kapcsolat Internet Gyors áttekintés • A VPN kliens kap egy belső IP címet, amivel eléri a belső erőforrásokat • Elég ismernem egy felhasználói nevet, jelszót, tartományt és VPN szerver nevet és betudok tárcsázni bármely szervezethez • A VPN csőben átmenő adatok esetében fontos az adatintegrítás, és a privacy • Biztonságos módon kell tudnom azonosítani a felhasználót a VPN kiszolgálón • A VPN kliens a belső, védett hálózat részeként kommunikál, így akár megfertőzheti a védett gépeket - Forgalom szűrése a VPN csőben - Megbízható azonosítás ? - Titkosítás kényszerítése Internet kapcsolat VPN kliens VPN kiszolgáló - RADIUS alkalmazása Helyi hálózat - Biztonsági BaseLine kényszerítése a VPN kliensre

  4. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

  5. Megbízható azonosítás I. • Cél - a kockázat csökkentése • Tapasztalat • A kockázat nem csökkenthető le nullára, erre ne is törekedjünk • Mindenkinek más és más jelenti a kockázatot • Kockázat elemzés során el kell dönteni, hogy mi a vállalható kockázat (MOF) • Gyakori megoldások • Forrás IP cím alapján történő szűrés • Kötelező IPSec használata • Smart-card alapú hitelesítés • Biometrikus hitelesítések • A fentiek tetszőleges kombinációja

  6. Megbízható azonosítás II. • Azonosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben • Smart-Card esetén • EAP • Nem SC esetén • MS-CHAP v2 • Eltérés esetén a kapcsolat nem épül fel

  7. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

  8. Titkosítás kényszerítése • MPPE – Microsoft Point-to-Point Encryption • Titkosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben • Figyelnünk kell a kliensek támogatottságára • Ha nem azonos a kliens beállításokkal a kapcsolat nem épül fel Javasolt a 128 bit alkalmazása

  9. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

  10. Forgalom szűrése a „VPN csőben” • Ha a VPN csőbe belátnék, akkor nem lenne biztonságos • Nem tudunk a csőben szűrni • Csak a végpontokon • RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom szűrésére • Input Filter • Output Filter

  11. Megbízható azonosítás Titkosítás kényszerítése Forgalom szűrése RADIUS alkalmazása Biztonsági BaseLine kényszerítése

  12. RADIUS alkalmazása I. • A felhasználót célszerű a tartományunkból azonosítani (SSO) • Milyen azonosítást támogat az RRAS? • Windows Authentication és Accounting • Workgroup esetén helyi csoportok és felhasználók • Tartomány esetén helyi és tartományi csoportok és felhasználók • RADIUS Authentication és Accounting • Külön névtérként kell kezelni és a beállításunknak megfelelően egy vagy több tartományból azonosíthatjuk a felhasználóinkat

  13. RADIUS alkalmazása II. • Szótár • RADIUS kliens • Aki kezdeményezi a RADIUS azonosítást • Microsoft környezetben ez az VPN kiszolgáló • RADIUS szerver • Aki fogadja a RADIUS autentikációs kérést • Microsoft környezetben ez az IAS kiszolgáló • Régi újdonságunk • RADIUS Proxy

  14. 5 2 VPN Kliens 3 6 1 4 RADIUS alkalmazása III. RADIUS kiszolgáló Tartományvezérlő • VPN kapcsolat kezdeményezése • Bejelentkezési információk továbbítása a RADIUS kiszolgálónak • Bejelentkezési információk ellenőrzése • Tartományvezérlő válasza • Radius kiszolgáló válasza • Válasz a felhasználói munkaállomásnak

  15. RADIUS alkalmazása IV. • Megfontolások • „Erős” shared secret • Egyedi RADIUS port alkalmazása • Man in the middle Attack elleni védelem • Védett hálózati szakasz a RADIUS kliens és az IAS között • IPSec – teljes mértékben támogatott és javasolt de nem shared key alapon

  16. Demo • Azonosítási beállítások • Titkosítási beállítások • Forgalom szűrési beállítások • RADIUS beállítások

  17. Internet Biztonsági BaseLine kiterjesztése a VPN kliensekre Miért szükséges?

  18. BaseLine kiterjesztése a VPN kliensekre • Előfeltételek • Windows Server 2003 alapú VPN kiszolgáló • Windows Server 2003 alapú IAS kiszolgáló • Active Directory • RADIUS azonosítás alkalmazása • Connection Manager alapú VPN kapcsolat • Programozási tudás • A fentiek ellenére nem lehetetlen 

  19. 5 4 3 1 2 BaseLine kiterjesztése a VPN kliensekre VPN Kliens VPN Kiszolgáló Tartomány A • VPN kapcsolat felépítés CM profilból • RADIUS azonosítás • RADIUS válasz, benne a Quarantine információval • Válasz a felhasználónak • After Connection script futtatása a kliens oldalon majd visszajelzés a VPN kiszolgálónak • Quarantine információ eltávolítása / kapcsolat bontása

  20. BaseLine kiterjesztése a VPN kliensekre • Elérhető quarantine opciók • MS-Quarantine-IPFilter (4165) • MS-Quarantine-Session-Timeout (4166) • IAS házirendenként definiálható

  21. BaseLine kiterjesztése a VPN kliensekre • MS-Quarantine-IPFilter • Segítségével a kliensre IP szűrőket definiálhatunk From Client és To Client megközelítésben • Lényege: segítségével beállítható, hogy a BaseLine-nak nem megfelelő kliens mit láthat a hálózaton (pl.: telepítőkészleteket tartalmazó megosztásokat) • MS-Quarantine-Session-Timeout • Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk • Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat • A kettő kombinálható egymással

  22. BaseLine kiterjesztése a VPN kliensekre • MS-Quarantine-Session-Timeout • Segítségével a Policy-ban meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) lebontjuk • Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolat

  23. Internet BaseLine kiterjesztése a VPN kliensekre Quarantine hálózat

  24. BaseLine kiterjesztése a VPN kliensekre • Technikai háttér • rqc.exe alkalmazást kell meghívni kliens oldalon, ami egy stringet elküld az RRAS kiszolgálón futó rqs.exe modulnak • rqs.exe alkalmazás az RRAS kiszolgálón várja a stringet, ha megérkezik akkor a kliens megfelelt a BasLine-nak és leszedhető róla a Quarantine

  25. BaseLine kiterjesztése a VPN kliensekre • Miért biztonságos ez? • Mert a kliens oldalon nem jelenik meg a string, kiolvasható formában • Mert a kliens oldalon az rqc.exe –t futtatva még ha ismernénk a string-et sem tudnánk leszedni a Quarantine-t, mivel az rqc.exe csak a CM-től fogadja el a paramétert • Még ha van egy SC-m és tudom a PIN kódját, akkor is rendelkeznek kell a megfelelő CM profillal

  26. BaseLine kiterjesztése a VPN kliensekre • Mi az árnyoldala? • A PSS jelenleg nem ad terméktámogatást az eszközhöz, csak Best Effort jelleggel lévén, hogy Resource Kit utility-ről van szó • A kliens oldalon lefutó script-et nekünk kell megírnunk, tehát fejlesztők előnyben • Ha egyszerű VB Script-et írunk, a felhasználók kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” az ellenőrzést • Nem VB Script esetén is kifigyelhető az ellenőrzés egy debuger, vagy a klasszikus monitorozó programok segítségével • Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését is

  27. BaseLine kiterjesztése a VPN kliensekre • Néhány tipp, hogy mit érdemes ellenőrizni • Internet Connection Firewall állapotát • Internet Connection Sharing • Operációs rendszer verzióját • Javítócsomag szintjét • Hotfix állapotot • Telepített víruskeresőt • Frissített víruskereső adatbázist • Fájlrendszer típusát

  28. Néhány gondolat • Határozd meg, hogy mi jelenti számodra a kockázatot • Milyen kockázatokat rejt a rendszered? • Ezek közül mi az ami vállalható kockázat? • Egy port szám önmagában még nem jelent semmit • Egy támadás forgalma általában úgy néz ki, mint egy általános forgalom

More Related