590 likes | 775 Views
Netzwerksicherheit mit dem Windows Server 2003. Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH kw@itacs.de . Tech Level: 300. Agenda. Die Sicherheit von Windows 2000 vs. 2003 Grundsätzliche Verbesserungen im Detail
E N D
Netzwerksicherheit mit dem Windows Server 2003 Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH kw@itacs.de Tech Level: 300
Agenda • Die Sicherheit von Windows 2000 vs. 2003 • Grundsätzliche Verbesserungen im Detail • Die integrierten Sicherheitsdienste • Zertifikatsdienste und deren Einsatzgebiete • IP Security und Virtual Private Networks • Sichere Wireless LAN Umgebungen • Internet Information Services 6.0 • Microsoft Ressourcen im Internet
Sicherheit in Windows 2000Ist Windows 2000 sicher? • Ja! Man kann Windows 2000 sicher machen • Siehe Common Criteria Zertifizierung nach EAL4+ • …, aber man sollte dabei folgendes beachten! • Windows 2000 Server Baseline Security Checklist • Absichern der Win2000 default Konfiguration • IIS 5.0 Baseline Security und Secure Checklist • Absichern der IIS 5.0 default Konfiguration • Und viele Sicherheits- Hinweise in KB Artikeln
Sicherheit in Windows 2003Was hat sich beim Server 2003 verbessert? • Sicherheit im „default“-Zustand • Sicherheit bei der Konfiguration • Sicherheit im laufenden Betrieb
Sicherheit in Windows 2003Sicherheit im “default” Zustand • Die Angriffsfläche des Servers wurde verringert • 20 Dienste sind standardmäßig nicht aktiviert • Entscheidungskriterium: mindestens 10% Bedarf • Eingeschränkte Service Accounts für viele Dienste • NetworkService und LocalService als neue Konten • Schärfere Systemrichtlinien Einstellungen und ACLs • Verschärfte ACLs im %Systemroot% und bei Freigaben • Verschärfte System Sicherheitsrichtlinien • Beseitigung von “blank password” Angriffen
Sicherheit in Windows 2003Sicherheit bei der Konfiguration • Leichte Administration gegen Konfigurationsfehler • „Serververwaltung“ für die übersichtliche Administration • Verbesserte Windows Hilfe gegen Konfigurationsfehler • Zahlreiche Assistenten mit „Best Practice“ Ergebnissen • Windows Server 2003 Security Guide schon erhältlich • Zusätzliche Administrationstools in Vorbereitung • GPMC Snap-In zum Planen von Gruppenrichtlinien • SSR Wizard zur Absichern von speziellen Serverrollen • Smartcards für alle administrativen Aufgaben • RunAs, Net.exe, Terminal Dienste, DCPromo
Sicherheit in Windows 2003Sicherheit im laufenden Betrieb • Zusätzliche Gruppenrichtlinien und Benutzerrechte • Gruppenrichtlinie: Softwareeinschränkung (nicht DRM!) • Gruppenrichtlinie: Zentrale Wireless Lan Konfiguration • Sicherheitsoption: Verbot der SID/Name Übersetzung • Sicherheitsoption: Administratorkonto sperren • Sicherheitsoption: Registry Remote Zugriffe • Benutzerrecht: Anmeldung über Terminal Service • Berechtigung: Darf über Vertrauenstellung anmelden • Sichere Kommunikation in TCP/IP Netzwerken • Unterstützung von EAP Anmeldung für Netzwerke • NETBIOS freie Netzwerke jetzt noch einfacher • Internet Verbindungs-Firewall für Server
Agenda • Die Sicherheit von Windows 2000 vs. 2003 • Grundsätzliche Verbesserungen im Detail • Die integrierten Sicherheitsdienste • Zertifikatsdienste und deren Einsatzgebiete • IP Security und Virtual Private Networks • Sichere Wireless LAN Umgebungen • Internet Information Services 6.0 • Microsoft Ressourcen im Internet
Windows Server 2003 PKIWas ist überhaupt PKI? • PKI ist ... • … keine Lösung • … keine Anwendung • … kein Verfahren um Hacker abzuhalten • PKI ist eher … • … eine Infrastruktur, um mit speziellen Anwendungen Sicherheitslösungen aufzubauen • … eine Grundlage für sichere Verschlüsselung und Authentifizierung in Netzwerken
Windows Server 2003 PKINetzwerksicherheit auf Basis von PKI Risiko Szenario Sicherheitslösung • Encrypted File System (EFS) • Smartcard Anmeldung • IPSEC u. L2TP VPN Tunnel • Verlust/Diebstahl des Laptops • Unerlaubte Remote Einwahl • Man in the Middle Angriffe Mobile Benutzer • Unerlaubte Remote Einwahl • Man in the Middle Angriffe • Smartcard Anmeldung • L2TP u. IPSEC VPN Tunnel Home / Remote Office • Smartcard Anmeldung • SSL/TLS Verschlüsselung • Identitäts Vortäuschung • Man in the Middel Angriffe E-commerce • Identitäts Vortäuschung • Man in the Middel Angriffe • Zertifikats Anmeldung, SSL • SSL, S/MIME, L2TP u. IPSec Extranets • EAP Anmeldung über Zertifikate • Kerberos, Smartcard Anmeldung • IPSec, SSL/TLS, S/MIME • Encrypted File System (EFS) • Unerlaubter Netzwerk Zugriff • Identitäts Vortäuschung • Man in the Middel Angriffe • Datensicherheit auf Fileservern Lokales Netzwerk
Windows Server 2003 PKINeue PKI Featuresvon Windows 2003 • Rollenbasierte Administration von CAs • CA Administrator, Zertifikats Manager und Auditor • Support für neue CSPs und Smartcard Reader • Höhere Schlüsselstärken (FIPS 140-1 kompatibel) • Advanced Encryption Standard (Rijndael) • Unterstützung von Qualifizierten Subordinated CAs • Verwendungszwecke, Name constrained, Cross-CAs • Delta CRLs für schnellere Sperrlisten Abfragen • Geringere Latenzzeiten bei Zertifikatssperrung möglich • Geringer Verbrauch von Netzwerk Bandbreite
Windows Server 2003 PKINeue PKI Featuresvon Windows 2003 • Support für frei editierbare Zertifikatsvorlagen • Alle Eigenschaften der Zertifikate sind anpassbar • CSPs, Verwendungszwecke, Ausstellungspolicy, uvm. • Auto enrollment und renewal übers Active Directory • Steuerung erfolgt über „Auto enrollment“ Berechtigung • Für jegliche Benutzerzertifikate (auch bei Smartcards) • Für jegliche Computerzertifikate • Private Key Archivierung und Wiederherstellung • Private Keys werden verschlüsselt in der CA abgelegt • Key Recovery Agents können Keys wiederherstellen
Agenda • Die Sicherheit von Windows 2000 vs. 2003 • Grundsätzliche Verbesserungen im Detail • Die integrierten Sicherheitsdienste • Zertifikatsdienste und deren Einsatzgebiete • IP Security und Virtual Private Networks • Sichere Wireless LAN Umgebungen • Internet Information Services 6.0 • Microsoft Ressourcen im Internet
IP Security und VPNsSchwachstellen im IPv4 Protokoll • TCP/IP ist ein hervorragendes Protokoll ... • Plattform-unabhängige Implementierung • Skalierbar durch zuverlässiges Routing • Verhältnismäßig geringer Overhead • ... aber es beinhaltet keinerlei Sicherheit! • Keine Authentifizierung der Kommunikationspartner! • Keine Verschlüsselung bei der Datenübertragung! • Keine Integrität bei der Datenübertragung!
IP Security und VPNs TCP/IP Absicherung mit IPSec • IPSec bietet eine sichere TCP/IP Kommunikation • Gegenseitige Authentifizierung zwischen Computern • Sender und Empfänger kennen sich untereinander • Authentifizierung mit Kerberos, PKI oder Pre-Shared • Datenverschlüsselung mit Hilfe von ESP IPSec Paketen • DES Verschlüsselung des IP Traffics nach Regelsätzen • Nur Sender und Empfänger kennen den Daten Inhalt • Datenintegrität mit Hilfe von AH IPSec Paketen • SHA Signierung des IP Traffics nach Regelsätzen • Manipulierte IP Pakete werden erkannt und verworfen
IP Security und VPNs TCP/IP Absicherung mit IPSec (con‘t) • IPSec arbeitet unterhalb der Anwendung • Keine Anpassungen der Netzwerk Anwendungen • Keine Anpassungen der Netzwerk Infrastruktur • IPSec wird ab Windows 2000 nativ unterstützt • Zentrale Administration über Gruppenrichtlinien • L2TP/IPSec Client für NT4 und Win98 nachrüstbar • Mögliche IPSec Filterungseinstellungen sind • Filterung nach IP Adressen und Protokoll/Portnummern • „Zulassen“, „Blocken“, „Sicherheit aushandeln“
IP Security und VPNs Funktionsweise von IPSec 1 1 Active Directory IPSec-Richtlinie IPSec-Richtlinie ISAKMP Internet Security Association and Key Management Protocol TCP-Schicht TCP-Schicht 2 IPSec-Treiber IPSec-Treiber Verschlüsselte IP-Pakete 3
IP Security und VPNsNeue IPSec Features unter Windows 2003 • IP Security NAT Traversal (NAT-T) Unterstützung • Windows 2003 IPSec durch NAT Router senden • Firewalls benötigen Regeln für UDP Ports 500 u. 4500 • Win 9x, NT, 2000 und XP Clients benötigen ein Update • IPSec Monitor für verbesserte Fehlersuche • Neue IPSec Sicherheitseinstellungen (via NETSH) • Jetzt mit 2048bit Masterschlüssel (FIPS 140-1) • Wegfall der „Default Exemptions“ als Standard • „Stateful Paketfiltering“ beim Bootvorgang • Fail Save Konfigurationsmöglichkeiten
IP Security und VPNs Neue IPSec Features unter Windows 2003 • Mehr Performance bei der Verschlüsselung • Schnellere Schlüsselaushandlung (Main u. Quick Mode) • Loadbalancing (NLB) Unterstützung für IPSec Pakete • Unterstützung für Hardwarebeschleunigung • Unterstützt einen von der IETF definierten Standard • Gemeinsamer Standard mit Cisco (RFC 3193) • Kompatibel zu Cisco IOS® ab Release 12.2(4)T • Abwärtskompatibel mit Windows 2000 IP Security
IP Security und VPNs Die VPN Technologie im Überblick • Virtual Private Networks sind ... • Eine kostengünstige Alternative zu Standleitungen • Virtuelle Verbindungen über bestehende Netzwerke • Verschlüsselte Datenkanäle für sensible Daten • Mögliche Einsatzszenarien für VPN • Anbindung von Home- oder Remotearbeitsplätzen • Netzwerkkopplungen zwischen Standorten
IP Security und VPNs Die VPN Technologie im Überblick RRAS Unternehmens- netzwerk Home- oder Remotearbeitsplatz RRAS
IP Security und VPNs Von Microsoft unterstützte VPN Protokolle • Aufbau von VPN Tunneln mittels nativen IPSec • Kopplung zwischen zwei IPSec fähigen Routern • Ein Phasen Authentifizierung nur über ISAKMP • Aufbau von VPN Tunneln mittels Wählverbindungen • RRAS Server ist der Einwahlpunkt für VPN Kanäle • Layer Two Tunneling Protokoll (L2TP) + IPSec • Point to Point Tunnel Protokoll (PPTP) • Bietet zusätzliche Sicherheit durch Benutzerkennung • Maximal drei Phasen Authentifizierung bei L2TP/IPSec
IP Security und VPNs Neue VPN Features unter Windows 2003 • Variable IPSec Einstellungen für L2TP Tunnel • Die L2TP Authentifizierung auch ohne Zertifikate • Frei definierbare IPSec Richtlinien für L2TP Tunnel • Einfaches Route Management für Split-Tunnel VPNs • Neue DHCP Optionen zum setzen von IP Routen am Client • Verwaltung von VPN und DFÜ Clients mit CMAK 1.3 • Zentrale Voreinstellung der VPN und DFÜ Verbindungen • Unterstützung für Clientseitige Scripts bei der Einwahl
IP Security und VPNs Neue VPN Features unter Windows 2003 • Verbesserter Internet Authentification Service (IAS) • Verwendet RADIUS als Industriestandard für AAA Dienste • Übernimmt Authentifizierung, Accounting und Autorisierung • Geeignet für RAS, VPN, Switche, WLANs und weitere Dienste • RADIUS Proxy Funktionalität im neuen IAS Server • Forwarding von AAA Anfragen auf externe RADIUS Server • Ermöglicht dabei eine Manipulation von Benutzernamen • Erweiterte und neue Authentifizierungs- Möglichkeiten • Computer, Zertifikatsbasierte und EAP Authentifizierung • Unterstützung für Quarantäne Netzwerke bei VPN
IP Security und VPNsFunktionsweise derQuarantäne Policy IAS RRAS Internet Client Corp Netz Quarantäne Netzwerk Connect Authenticate Authorize + Set Quarantäne + Normal Filter Quarantine Access X Policy Check Set Normal Filter Full Access
Agenda • Die Sicherheit von Windows 2000 vs. 2003 • Grundsätzliche Verbesserungen im Detail • Die integrierten Sicherheitsdienste • Zertifikatsdienste und deren Einsatzgebiete • IP Security und Virtual Private Networks • Sichere Wireless LAN Umgebungen • Internet Information Services 6.0 • Microsoft Ressourcen im Internet
Sichere Wireless NetzwerkeDie Sicherheitsprobleme in IEEE 802.11 • Sicherheit durch Shared Keys? (WEP Protokoll) • Alle Clients benutzen den selben Verschlüsselungs- Key • Ändern des Keys ist zu aufwändig bzw. geschieht niemals • WEP Keys sind zu schwach und fehlerhaft • 16,7 Mio. verschiedene Schlüssel möglich (40 u. 104 bit) • Hiervon sind 1280 Schlüssel sehr schwach (Angriffsziel!) • 2-20 Gbyte an gesnifften Daten reichen zum Cracken • Viele bekannte Angriffsmöglichkeiten gegen WEP • Airsnort, WEPCrack und Man-in-the-Middel Angriffe
Sichere Wireless NetzwerkeMehr Sicherheit durch IEEE 802.1X • Authentifizierung an einem Verzeichnisdienst • Mittels einer Smartcard oder mit Client-Zertifikaten • Mittels eines Benutzernamens und Passwort • AAA Zugriffssteuerung über RADIUS Server • RADIUS bietet Authentification, Accounting, Authorisation • Zugriff auf bestehende Benutzerdatenbanken (AD) möglich • Dynamische WEP Keys beseitigen Shared-Key Probleme • Benutzer erhalten vom RADIUS Server eigene WEP Keys • EAP-TLS und PEAP als IEEE 802.1X Standards
Sichere Wireless NetzwerkeIEEE 802.1X Szenario mit EAP-TLS • EAP-TLS als Lösung für Netzwerke mit PKI • Am Client Compter ist ein X509v3 Zertifikat erforderlich • Computer- oder Benutzerzertifikat werden benötigt • Am RADIUS Server ist ein Computer Zertifikat erforderlich • EAP Anmeldung am Active Directory über RADIUS • Minimal: Windows 2000 Server IAS + EAP Updates • Optimal: Windows Server 2003 IAS • Die Accesspoints müssen EAP-TLS unterstützen • EAP Wireless Client ist ein Windows 2000/XP • Verwaltung beim 2003er Active Directory über GPOs
Sichere Wireless NetzwerkeIEEE 802.1X Szenario mit PEAP • PEAP ist eine Erweiterung vom EAP Protokoll • Authentifizierung geschieht über das MS-CHAPv2 Protokoll • Anmeldung mit Benutzername/Passwort oder Smartcard • Keine Computer Zertifikate am WLAN Client erforderlich • PEAP Anmeldung am Active Directory über RADIUS • Ein Windows Server 2003 IAS ist erforderlich • Die Accesspoints müssen EAP-TLS unterstützen • PEAP Wireless Client ist Windows 2000/XP • Verwaltung beim 2003er Active Directory über GPOs
AP AP Sichere Wireless NetzwerkeDeployment Szenarien für EAP-TLS & PEAP Wireless Access Point Wireless Client (WinXP) RADIUS Server (MS IAS) Directory Service (AD) WLANs mit PEAP FirmeninterneZertifizierungs Stelle 3rd Party Zertifizierungs Stelle WLANs mit EAP-TLS RADIUS Server (MS IAS) Directory Service (AD) Wireless Access Point Wireless Client (WinXP)
Agenda • Die Sicherheit von Windows 2000 vs. 2003 • Grundsätzliche Verbesserungen im Detail • Die integrierten Sicherheitsdienste • Zertifikatsdienste und deren Einsatzgebiete • IP Security und Virtual Private Networks • Sichere Wireless LAN Umgebungen • Internet Information Services 6.0 • Microsoft Ressourcen im Internet
Internet Information Services 6.0 Richard Karl Technologie Berater Microsoft Deutschland GmbH richardk@microsoft.com Tech Level: 300
Internet Information Services 6Generelle Vorteile des IIS Webserver • Voreinstellung: Nicht installiert • Am Anfang nur statische HTML Seiten • Durchgereichte Authentifizierung • Worker Prozess ID wählbar Sicher • Neues Prozessmodell • Anwendungsgruppen • Prozess Wiederverwertung • Verfügbarkeits Erkennung Zuverlässig Skalierbar • Web Gardens • Mehr Sites pro Server • Verbesserte NAS Unterstützung • Kernel Cache für HTML & ASPX Seiten • XML Metabase • WMI Provider • Kommando Zeilen Werkzeuge • Versions und Konfigurationskontrolle Verwaltbar
Hoher Resourceverbrauch Gute Performanz, aber unstabile Webseiten können den gesamten Webserver beinflussen MonolithischeBlack Box Schlechtere Performance Gefährlicher Systemkontext Unstabile Webseiten können den Webserver nicht beinflussen SuboptimalePerformance Das alte IIS 5.0 Prozessmodell INETINFO DLLHOST.EXE DLLHOST.EXE WAM DLLHOST.EXE metabase W3Csvc WAM ISAPI Extensions W3Csvc ISAPI Extensions ISAPI Extensions ISAPI Extensions ISAPI Filters User Mode KernelMode Winsock TCP/IP
INETINFO.exe W3SVC App Pool App Pool App Pool App Pool App Pool Hohe Performance durch Wegfall von Out-Process Anwendungen metabase W3WP.exe W3WP.exe W3WP.exe W3WP.exe Integrierter IIS Lockdown Wizard W3WP.exe Configuration Manager Single App Single App Single App Single App Multiple Apps Application Pool Manager ftp, smtp, nntp ISAPI Ext ISAPI Ext ISAPI Ext ISAPI Ext ISAPI Ext DoS Schutz durch limitierte und einstellbare Warteschlangen und CPU Begrenzung pro Workerprozess ISAPI Filters ISAPI Filters ISAPI Filters ISAPI Filters ISAPI Filters Zentrale Steuerung und Healthmonitoring der Workerprozesse Unstabile Webseiten können nicht andere oder den Webserver beeinträchtigen Unabhängige Workerprozesse mit definierbaren Dienstkonten (Systemkontext nicht erforderlich) Hohe Performance durch zwischengespeicherte Webseiten Das neue IIS 6.0 Prozessmodel Administration Monitoring Web Publishing User mode Kernel mode HTTP.SYS Response Cache Listener Sender TCP/IP
startup ready Old Worker Process New Worker Process WAS Web Proc. Core DLL Web Proc. Core DLL ISAPI Exts & Filters ISAPI Exts & Filters HTTP.SYS Request Request Prozess Wiederverwertung Shut down Ready for Recycle user kernel
Anwendungsgruppen Wiederverwertung Erneuern nach: • X Minuten Aktivität • Nach X Anforderungen • Zu definierten Zeiten Erneuern nach Überschreiten eines definierten Speicherverbrauchs
AnwendungsgruppenPerformanz Untätige Gruppen werden gestoppt um Resourcen zu sparen Bewahrt den Server vor Überlast CPU Verbrauchs-überwachung Anzahl der Prozesse für bessere Skalierung
AnwendungsgruppenVerfügbarkeit Einschalten und Setzen des Zeitintervalls Einschalten von RFP und Setzen der Parameter Anlaufzeit begrenzen Abschlußzeit begrenzen
Anwendungsgruppen Identität • Vordefinierte Identititäten • - Network Service • - Local Service • - Local System Oder selbstdefinierte Benutzerkonten, die zur IIS_WPG Group gehören müssen
IIS 6.0 Isolation Modes • Worker Process Isolations Modus • Voreinstellung für IIS 6.0 • IIS 5.0 Isolations Modus • Rückwärts Kompatibel zu IIS 5.0 • Jede Anfrage muss durch Inetinfo.exe • Es gibt keine Anwendungsgruppen und keine Prozesswiederverwertung
Anwender Isolierung unter FTP • Beschränkt Anwender auf ihre eigenen Verzeichnisse • Verhindert die Aufwärts Navigation im Verzeichnis Baum • Erleichtert das Zuweisen von Rechten • FTP Benutzer Isolation • Kompatibel / keine Isolation • Einfache Anwendungen / Lokale Isolation • Komplexe Anwendungen durch Active Directory Integration
Metabase • XML – ohne spezielle Werkzeuge lesbar • Während der Laufzeit editierbar • Bei jeder Änderung wird eine Sicherheitkopie in das Verlaufsverzeichnis kopiert und unter einem eindeutigen Namen gespeichert • Einfach zurück zu sichern • Server Objekt -> Alle Aufgaben -> Backup/Restore Konfiguration