1 / 36

Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben

Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben. Előadó: Keleti Arthur Szendeffy Szilárd. Miről lesz szó?. Milyen pontokon és mi ellen kell védekeznünk? A hatékony védelem rétegei és eszközei a Microsoft tárházából : ISA 2004 EE bejelentés,

sidone
Download Presentation

Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Az informatikai biztonság eszközei a Microsoftnál Exchange és ISA 2004 környezetben Előadó: Keleti Arthur Szendeffy Szilárd

  2. Miről lesz szó? • Milyen pontokon és mi ellen kell védekeznünk? • A hatékony védelem rétegei és eszközei a Microsoft tárházából: • ISA 2004 EE bejelentés, • Exchange szolgáltatások védelme és publikációja ISA Server segítségével (OWA, OMA, RPC over HTTPS), • Titkosított VPN csatorna azonosítása és használata a vállalati távmunkához, • Microsoft CA, hitelesség és azonosítás a vállalat erőforrásainak védelmére.

  3. Mi ellen is védekezzünk? Vírus Illetéktelen belső hozzáférés Laptop/mobil lopás Illetéktelen információ szerzés Rendszer feltörés Denial of Service

  4. Mi ellen is védekezzünk? Szabotázs Rendszerbetörés Web site átírása Web site feltörése Telekomm. csalás Illegális hozzáférés Laptop/mobil lopás Pénzügyi csalás Rádiós hálózat törése Illegális belső hozzáf. Információlopás Denial of Service Vírus

  5. Jogszabályok, rendeletek, direktívák,ellenőrző hatóságok Ismeretlen fenyegetettségek amikre nehéz felkészülni Munkatársak, akik nem tartják be az előírásokat és a tevékenységük ellenőrzése is problémás Aggasztóan nagy ütemben fejlődő vírusok és fertőzések amiket nehéz felszámolni Pénz, ami hol van, hol nincs, de általában nem elegendő és félő, hogy rossz dolgokra költjük el Belső utasítások, a vezetés akarata, a cég stratégiája Milyen Problémákkal küzd a Biztonsági Vezető?

  6. Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Döntések Oktatás Hibaelhárítás Hogyan épül fel az IT Biztonság? Informatikai biztonság

  7. Biztonsági rendszerek Auditok, Dokumentációk Felügyelet Döntések Oktatás Hibaelhárítás Hogyan épül fel az IT Biztonság? McAfee ISS MSZ ISO/IEC 17799 BASEL2 Checkpoint SOX BS 7799-1 Microsoft BS 7799-2 Balabit Symantec MSZE 17799-2 Entrust COBIT Cisco Trend Micro MSZ ISO/IEC 15408:2002 Common Criteria SurfControl MSZ ISO/IEC TR 13335:2004 RSA Informatikai biztonság Szerződések Kiszervezés ICON Counterpane Technológiai döntések Symantec Bérlet Invesztálás ISS Munkaerő OneSecure Támogatás, HD Biztonsági menedzser Ügyelet GISO Hibakezelés CISM GISEC CISA CISSP Incidenskezelés Gyártói tanfolyamok Garanciák Gyártói vizsgák

  8. Biztonsági eszközök, technológiák Biometria PKI (elektronikus aláírás) Smart card és jelszó token File titkosítás Behatolásvédelmi rendszer (IPS) Többször használatos jelszó Adatfolyam titkosítás (pl. VPN) Behatolásjelző rendszer (IDS) Szerver hozzáférési listák (ACL) Tűzfalak Vírusvédelem

  9. Emelt szintűvédelem Alkalmazásszinten megvalósított védelem a Microsoft technológiákszámára már készen, könnyen bővíthető módon Könnyű használhatóság Hatékony telepítés, illesztés,könnyű üzemeltetés Gyors, biztonságos hozzáférés Költségkímélő módon teszi lehetővé, az intranet szolgáltatásainak eljuttatását a mobil felhasználók számára ISA Server 2004 Csomag és alkalmazásszintű Tűzfal, VPN megoldás és Web Cache alkalmazás.

  10. ISA Server 2004 verziói • ISA Server 2004 Standard Edition • 2004 júliustól • ISA Server 2004 Enterprise Edition • RTM 2005 január, 2005 március • Nagy rendelkezésre állás (HA), központi felügyelet és array caching (CARP) • ISA Server alapú eszközök: Celestix, HP, RimApp, Network Engines • Más gyártók kiegészítései (filtering add-on): • Exchange Anti-Spam: IMF (Microsoft), Symantec (Brightmail) • Exchange Anti-Virus: Trend Micro, McAfee, Symantec, CA, Sophus, Sybari, GFI, Panda, others • ISA Server Antivirus McAfee, GFI, Panda • Intrusion Detection ISS, GFI

  11. Az Enterprise Edition újdonságai • Házirend alapú konfigurációkezelés • Központi felügyelet (ADAM) • NLB • CARP (Cache Array Routing Protocol) • Skálázhatóság (NLB, SMP)

  12. Corporate Network Csomagszűrő tűzfalak • Csak a fejléc ellenőrizve IP fejléc: Source Address,Dest. Address,TTL, Checksum TCP fejléc: Sequence Number Source Port, Destination Port, Checksum Alkalmazási réteg forgalma: ??????????????????????????????? ??????????????????????????????? ??????????????????????????????? • Port száma alapján: mehet – nem mehet • Azonos portot használ a szabályszerű forgalom, mint az alkalmazási rétegben jövő támadások Várt HTTP forgalom Nem várt HTTP forgalom Internet Támadás Nem-HTTP forgalom

  13. Biztonságban van? HTTP-Tunnel !

  14. Corporate Network Alkalmazás szinten működő tűzfalak • A fejléc és a tartalom is ellenőrizve IP fejléc: Source Address,Dest. Address,TTL, Checksum TCP fejléc: Sequence Number Source Port, Destination Port, Checksum Alkalmazási réteg tartalma: <html><head><META http-equiv="Content-Type" content="text/html; charset=windows-1250"><title>BOX.sk</title><script type="text/javascript"><!--// <![CDATA[ • Az engedélyezés a tartalom alapján történik • Csak az engedélyezett forgalom kerül feldolgozásra Engedélyezett HTTP forgalom Tiltott HTTP forgalom Internet Támadás Nem-HTTP forgalom

  15. ISA Server 2004 felhasználás • Biztonságos e-mail hozzáférés szolgáltatása • Biztonságos Intranet hozzáférés • Belső hálózat elérése (RAS) • Belső hálózat elérése partnerek számára • Telephelyek összekapcsolása • Káros, vagy nem kívánt tartalom szűrése • Internet elérés gyorsítása • …

  16. Biztonságos e-mail hozzáférés

  17. SMTP protokoll szűrése • Exchange Server 2003 SMTP anti-spam • DNS blokklisták (RBL) • Allow/Deny lista • Biztonságos feladók (Safe Sender Lists) • Címzettek blokkolása • Ismert junk küldők (Domain/User) • ISA Server 2004 • Kikényszeríti az SMTP szabványnak való megfelelést • Letiltható akármelyik SMTP parancs

  18. E-mail hozzáférés módjai Allow: Port 25 (SMTP) • A tűzfalon ki kell nyitogatni portokat a be és kimenő forgalomnak: • E-mail kiszolgáló felé: SMTP, POP3, OWA (using SSL, RPC) • E-mail kiszolgáló felől: SMTP • Korlát: • Nincs kontrol arra nézve, hogy mi megy a csatornában Allow: Port 110 (POP3) Internet Allow: Port 443 (SSL) Allow: Port 25 Allow: Port 135 (RPC) Exchange Server

  19. 1 Táblázat: UUID – Port 2 A kliens a kiszolgáló 135-ös portjához kapcsolódik és kéri az UUID-nak megfelelő portot 3 Válaszol a kiszolgáló 4 A kliens a kiszolgáló kapott portjához kapcsolódik RPC hagyományos tűzfalon át RPC Server (Exchange 2000) Port 4402: Data Server: Port 4402 Hagyományos tűzfal nem képes biztonságosan RPC kapcsolatot kialakítani TCP 135:Port for {0E4A…} Internet RPC Client (Outlook)

  20. RPC ISA 2004 kiszolgálóval • Kezdeti kapcsolat: • Csak érvényes RPC, Exchangeforgalom engedélyezett • Másodlagos kapcsolat • Csak a másodlagos kapcsolatotengedi • Titkosítástbiztosítja Port 4402: Data Server: Port 4402 TCP 135:Port for {0E4A… ? RPC Server (Exchange 2000) Internet Outlook

  21. SSL SSL SSL or HTTP Internet Ügyfél OWA Hagyományos tűzfal ISA Server2004 ISA Server 2004 és OWA Az ISA Server képes kibontani és megvizsgálni az SSL forgalmat Az OWA kiszolgáló azonosítást kér - bárkitől, aki eléri ezt a címet Az ISA Server azonosítja a felhasználót, csak valós forgalmat enged át ISA Server ALF …ami átengedi a vírusokat, férgeket… Delegált basic authentication Az SSL átmegy a hagyományos tűzfalon, mivel titkosítva van… …és megfertőzi a belső kiszolgálót… A megvizsgált kérés továbbküldhető a belső kiszolgálóhoz, újra titkosítottan vagy nem

  22. Hogyan működik az RPC over HTTP? • RPC over HTTP becsomagolja az RPC forgalmat HTTP-be • Egy belső Web szerver (RPC proxy) kicsomagolja azt. • A legtöbb tűzfal átengedi a HTTP forgalmat • Probléma: RPC proxy támadható (hagyományos web alapú támadások) RPC forgalom HTTP forgalom Internet Exchange Client Access Services Web Server Attacks

  23. Az RPC over HTTP ISA kiszolgálóval • ISA Server terminálja az SSL csatornát • Átnézi, ellenőrzi a HTTP forgalmat • Blokkol minden forgalmat, kivéve a„http://.../rcp/...” • Nincs az RPC proxy felé direkt kapcsolat • Alkalmazás szinten szűrés RPC forgalom Internet Exchange Client Access Services Web Server Attacks

  24. Hagyományos VPN kialakítás • A VPN gateway és a tűzfal különböző eszközök • A VPN kliens teljes hozzáférést kap, mikor bejön a belső hálózatra • A tűzfal egy külön lábára jön be, esetleg opcionálisan másik tűzfalon át Internet VPN Gateway Internal Network Firewall

  25. ISA Server VPN kialakítás • Tartalmazza a VPN gateway-tés a tűzfal funkciót is • A VPN kliensek szabályozottan érhetik el a belső hálózatot Internet Internal Network ISA Server

  26. Biztonság • Széles protokoll támogatás • PPTP és L2TP/IPSec • IPSec NAT traversal (NAT-T) • Azonosítás • Active Directory: a Windows account-ot használja, támogatja a PKI infrastruktúrát Smart card (így a két faktorú azonosítást – pl. RSA SecurID, ICON HYDRA) • RADIUS: szabványos régóta használt, nem-alapú fiókadatbázis használata • SecurID: Erős kétfaktorú azonosítást nyújt, tokenek és RSA kiszolgálók használatával.

  27. Cél: Gyengén védett kliensek ne érhessék el a belső hálózatot. Hálózati karantén • Kliens oldali script ellenőrzi, hogy az adott ügyfél (pc, account) megfelel-e a vállalati biztonsági szabványoknak: • AntiSpyware telepítve? • Engedélyezett a személyes tűzfal? • Vírusdefiníciós fájl friss? • Biztonsági javítások? • Ha az ellenőrzés sikeres, akkor megkapja a hozzáférést, ha nem akkor szétkapcsol (timeout)

  28. ISA 2004 VPN használata • Távoli hozzáférés biztosítása felhasználóknak • Belső hálózat korlátozott elérésepartnereknek • Telephelyek összekapcsolása

  29. Microsoft CA, hitelesség és azonosítás Microsoft 2003 Active Directory Intelligens kártya Microsoft 2003 Certificate Authortiy Microsoft Office Microsoft Windows XP Microsoft Internet Explorer

  30. A PKI rendszer ‘magjának’ alkotóelemei .... • - Certificate Authority (CA) • a tanúsítványok kiállításáért felelős • - Címtár szolgáltatás • a kulcsok, tanúsítványok és a visszavont tanúsítványok jegyzékét (CRL) tartalmazza • - Menedzsment konzol • a kulcsok kezelését és szétosztását végzi ...... és a kiegészítő alkotóelemek • - Registration Authority (RA) • a felhasználók regisztrációját és tanúsítvány kérelmeik • feldolgozását végzi (általában a CA-ba integrált) • - Kulcs visszaállítási szolgáltatás • adatok, vagy üzenetek visszaállítására, ha egy privát • kulcs esetlegesen megsérül, vagy elvész

  31. Hogyan is épül fel egy tanúsítvány? a publikus kulcs a tanusítvány birtokosának neve a kiadó CA egyedi neve a tanusítvány verziószáma a tanusítvány szériaszáma aláírás algoritmus azonosító a kiadó CA neve érvényesség bővítések a tanusítvány hitelesítő CA titkos kulcsaszokták root CA tanusítványnak is hívni a CA aláírása

  32. PKI szerverekkelműködő alkalmazások PKI szerverek Digitális tanúsítványt kibocsátó szerver Certificate Server Biztonságos Email kliens VPN Router Digitális tanúsítványok tár szolgáltatása Certificate Repository Távoli hozzáférés Kulcs visszaállító Key Recovery Web szerver Menedzsment konzol

  33. Microsoft 2003 Certificate Authortiy Microsoft 2003 Active Directory Intelligens kártya (pl. ICON HYDRA)

  34. Néhány példa a PKI képességekből Certificate autoenrollment Folder titkosítási lehetőségek

  35. Vékony kártyatest minden kártyaolvasóhoz • Arckép és személyi adatok lézergravírozására alkalmas biztonsági bevonat • Hologram és további biztonsági elemekre előkészítve + V2.0PKIJAVAAccess • Beépített közelítő chip az ajtónyitáshoz • Chip a PKI (pl. elektronikus aláírás) funkciókhoz • Eurocard-MasterCard-Visa kompatibilitás • JAVA kompatíbilitás az egyedi alkalmazásokhoz (pl. munkaügyi kártya, forgalmi igazolvány stb.) Intelligens kártya

  36. Köszönjük a figyelmüket!

More Related