Üzemeltetői konferencia v
Post on 18-Mar-2016
36 Views
Preview:
DESCRIPTION
TRANSCRIPT
Üzemeltetői Konferencia V.Üzemeltetői Konferencia V.
Harmath ZoltánHarmath Zoltán KonzulensKonzulens
zoltanh@microsoft.comzoltanh@microsoft.com
Kérdezz-felelekKérdezz-felelek Ki tudja mi az a VPN?Ki tudja mi az a VPN? Kik használnak a cégnél VPN-t?Kik használnak a cégnél VPN-t? Kik használnak nem Microsoft alapú Kik használnak nem Microsoft alapú
VPN kiszolgálót?VPN kiszolgálót? Kik használnak Microsoft Windows Kik használnak Microsoft Windows
Server 2003 alapú VPN kiszolgálót?Server 2003 alapú VPN kiszolgálót?
Gyors áttekintésGyors áttekintés
Internet
VPN kliens VPN kiszolgáló
Helyi hálózat
Internet kapcsolat
VPN cső VPN kapcsolat
?
•A VPN kliens kap egy belső IP címet, amivel eléri a belső erőforrásokat•Elég ismernem egy felhasználói nevet, jelszót, tartományt és VPN szerver nevet és betudok tárcsázni bármely szervezethez•A VPN csőben átmenő adatok esetében fontos az adatintegrítás, és a privacy•Biztonságos módon kell tudnom azonosítani a felhasználót a VPN kiszolgálón•A VPN kliens a belső, védett hálózat részeként kommunikál, így akár megfertőzheti a védett gépeket
- Forgalom szűrése a VPN csőben
- Megbízható azonosítás
- Titkosítás kényszerítése
- RADIUS alkalmazása
- Biztonsági BaseLine kényszerítése a VPN kliensre
Megbízható azonosításMegbízható azonosításTitkosítás kényszerítéseTitkosítás kényszerítéseForgalom szűréseForgalom szűréseRADIUS alkalmazásaRADIUS alkalmazásaBiztonsági BaseLine kényszerítéseBiztonsági BaseLine kényszerítése
Megbízható azonosítás I.Megbízható azonosítás I. Cél - a kockázat csökkentéseCél - a kockázat csökkentése TapasztalatTapasztalat
A kockázat nem csökkenthető le nullára, erre ne is A kockázat nem csökkenthető le nullára, erre ne is törekedjünktörekedjünk
Mindenkinek más és más jelenti a kockázatotMindenkinek más és más jelenti a kockázatot Kockázat elemzés során el kell dönteni, hogy mi a Kockázat elemzés során el kell dönteni, hogy mi a
vállalható kockázat (MOF)vállalható kockázat (MOF) Gyakori megoldásokGyakori megoldások
Forrás IP cím alapján történő szűrésForrás IP cím alapján történő szűrés Kötelező IPSec használataKötelező IPSec használata Smart-card alapú hitelesítésSmart-card alapú hitelesítés Biometrikus hitelesítésekBiometrikus hitelesítések A fentiek tetszőleges kombinációjaA fentiek tetszőleges kombinációja
Megbízható azonosítás II.Megbízható azonosítás II.
Azonosítás módszert Azonosítás módszert az igényeink alapján az igényeink alapján konfigurálhatjuk az konfigurálhatjuk az RRAS házirendbenRRAS házirendben
Smart-Card eseténSmart-Card esetén EAPEAP
Nem SC eseténNem SC esetén MS-CHAP v2MS-CHAP v2
Eltérés esetén a Eltérés esetén a kapcsolat nem épül felkapcsolat nem épül fel
Megbízható azonosításMegbízható azonosításTitkosítás kényszerítéseTitkosítás kényszerítéseForgalom szűréseForgalom szűréseRADIUS alkalmazásaRADIUS alkalmazásaBiztonsági BaseLine kényszerítéseBiztonsági BaseLine kényszerítése
Titkosítás kényszerítéseTitkosítás kényszerítése MPPE – MPPE – Microsoft Point-to-Point Microsoft Point-to-Point
EncryptionEncryption
Javasolt a 128 bit alkalmazása
• Titkosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben• Figyelnünk kell a kliensek támogatottságára• Ha nem azonos a kliens beállításokkal a kapcsolat nem épül fel
Megbízható azonosításMegbízható azonosításTitkosítás kényszerítéseTitkosítás kényszerítéseForgalom szűréseForgalom szűréseRADIUS alkalmazásaRADIUS alkalmazásaBiztonsági BaseLine kényszerítéseBiztonsági BaseLine kényszerítése
Forgalom szűrése a „VPN Forgalom szűrése a „VPN csőben”csőben” Ha a VPN csőbe belátnék, akkor Ha a VPN csőbe belátnék, akkor
nem lenne biztonságosnem lenne biztonságos Nem tudunk a csőben szűrniNem tudunk a csőben szűrni Csak a végpontokonCsak a végpontokon
RRAS alapú VPN kiszolgáló esetén RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom kiválóan alkalmazható a forgalom szűréséreszűrésére Input FilterInput Filter Output FilterOutput Filter
Megbízható azonosításMegbízható azonosításTitkosítás kényszerítéseTitkosítás kényszerítéseForgalom szűréseForgalom szűréseRADIUS alkalmazásaRADIUS alkalmazásaBiztonsági BaseLine kényszerítéseBiztonsági BaseLine kényszerítése
RADIUS alkalmazása I.RADIUS alkalmazása I. A felhasználót célszerű a A felhasználót célszerű a
tartományunkból azonosítani (SSO)tartományunkból azonosítani (SSO) Milyen azonosítást támogat az RRAS?Milyen azonosítást támogat az RRAS?
Windows Authentication és AccountingWindows Authentication és Accounting Workgroup esetén helyi csoportok és felhasználókWorkgroup esetén helyi csoportok és felhasználók Tartomány esetén helyi és tartományi csoportok Tartomány esetén helyi és tartományi csoportok
és felhasználókés felhasználók RADIUS Authentication és AccountingRADIUS Authentication és Accounting
Külön névtérként kell kezelni és a beállításunknak Külön névtérként kell kezelni és a beállításunknak megfelelően egy vagy több tartományból megfelelően egy vagy több tartományból azonosíthatjuk a felhasználóinkatazonosíthatjuk a felhasználóinkat
RADIUS alkalmazása II.RADIUS alkalmazása II. SzótárSzótár
RADIUS kliensRADIUS kliens Aki kezdeményezi a RADIUS azonosítástAki kezdeményezi a RADIUS azonosítást Microsoft környezetben ez az VPN Microsoft környezetben ez az VPN
kiszolgálókiszolgáló RADIUS szerverRADIUS szerver
Aki fogadja a RADIUS autentikációs Aki fogadja a RADIUS autentikációs kéréstkérést
Microsoft környezetben ez az IAS Microsoft környezetben ez az IAS kiszolgálókiszolgáló
Régi újdonságunkRégi újdonságunk RADIUS ProxyRADIUS Proxy
RADIUS alkalmazása III.RADIUS alkalmazása III.
VPN KliensRADIUS kiszolgáló
Tartományvezérlő
1 2
5
3
6
4
1. VPN kapcsolat kezdeményezése2. Bejelentkezési információk továbbítása a RADIUS
kiszolgálónak3. Bejelentkezési információk ellenőrzése4. Tartományvezérlő válasza5. Radius kiszolgáló válasza6. Válasz a felhasználói munkaállomásnak
RADIUS alkalmazása IV.RADIUS alkalmazása IV. MegfontolásokMegfontolások
„„Erős” shared secretErős” shared secret Egyedi RADIUS port alkalmazásaEgyedi RADIUS port alkalmazása Man in the middle Attack elleni Man in the middle Attack elleni
védelemvédelem Védett hálózati szakasz a RADIUS kliens Védett hálózati szakasz a RADIUS kliens
és az IAS közöttés az IAS között IPSec – teljes mértékben támogatott és IPSec – teljes mértékben támogatott és
javasoltjavasolt de nem shared key alapon de nem shared key alapon
DemoDemo Azonosítási beállításokAzonosítási beállítások Titkosítási beállításokTitkosítási beállítások Forgalom szűrési beállításokForgalom szűrési beállítások RADIUS beállításokRADIUS beállítások
Biztonsági BaseLine Biztonsági BaseLine kiterjesztése a VPN kliensekrekiterjesztése a VPN kliensekre
Internet
Miért szükséges?
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre ElőfeltételekElőfeltételek
Windows Server 2003 alapú VPN Windows Server 2003 alapú VPN kiszolgálókiszolgáló
Windows Server 2003 alapú IAS Windows Server 2003 alapú IAS kiszolgálókiszolgáló
Active DirectoryActive Directory RADIUS azonosítás alkalmazásaRADIUS azonosítás alkalmazása Connection Manager alapú VPN Connection Manager alapú VPN
kapcsolatkapcsolat Programozási tudásProgramozási tudás
A fentiek ellenére nem lehetetlen A fentiek ellenére nem lehetetlen
VPN Kliens VPN Kiszolgáló Tartomány A
1 2
34
5
1. VPN kapcsolat felépítés CM profilból2. RADIUS azonosítás3. RADIUS válasz, benne a Quarantine információval4. Válasz a felhasználónak5. After Connection script futtatása a kliens oldalon majd
visszajelzés a VPN kiszolgálónak6. Quarantine információ eltávolítása / kapcsolat bontása
BaseLine kiterjesztése a BaseLine kiterjesztése a VPN kliensekreVPN kliensekre
Elérhető quarantine opciókElérhető quarantine opciók MS-Quarantine-IPFilterMS-Quarantine-IPFilter (4165) (4165) MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout
(4166)(4166) IAS házirendenként definiálhatóIAS házirendenként definiálható
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre
MS-Quarantine-IPFilterMS-Quarantine-IPFilter Segítségével a kliensre IP szűrőket definiálhatunk Segítségével a kliensre IP szűrőket definiálhatunk From From
ClientClient és és To ClientTo Client megközelítésben megközelítésben Lényege: segítségével beállítható, hogy a BaseLine-nak nem Lényege: segítségével beállítható, hogy a BaseLine-nak nem
megfelelő kliens mit láthat a hálózaton (pl.: megfelelő kliens mit láthat a hálózaton (pl.: telepítőkészleteket tartalmazó megosztásokat)telepítőkészleteket tartalmazó megosztásokat)
MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout Segítségével a Policy-ban meghatározott idő eltelte után a Segítségével a Policy-ban meghatározott idő eltelte után a
bejövő VPN kérést szerver oldalon (!!!) lebontjukbejövő VPN kérést szerver oldalon (!!!) lebontjuk Lényege: a telepítőkészletek lemásolásához szükséges időt Lényege: a telepítőkészletek lemásolásához szükséges időt
töltheti el a felhasználó a VPN sessionben, vagy akár azonnal töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolatis lebontható a kapcsolat
A kettő kombinálható egymássalA kettő kombinálható egymással
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre
MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout Segítségével a Policy-ban Segítségével a Policy-ban
meghatározott idő eltelte után a meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) bejövő VPN kérést szerver oldalon (!!!) lebontjuklebontjuk
Lényege: a telepítőkészletek Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a vagy akár azonnal is lebontható a kapcsolatkapcsolat
BaseLine kiterjesztése a BaseLine kiterjesztése a VPN kliensekreVPN kliensekre
Internet
Quarantine hálózat
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre
Technikai háttérTechnikai háttér rqc.exe alkalmazást kell meghívni rqc.exe alkalmazást kell meghívni
kliens oldalon, ami egy kliens oldalon, ami egy stringetstringet elküld elküld az RRAS kiszolgálón futó rqs.exe az RRAS kiszolgálón futó rqs.exe modulnakmodulnak
rqs.exe alkalmazás az RRAS rqs.exe alkalmazás az RRAS kiszolgálón várja a kiszolgálón várja a stringet, stringet, ha ha megérkezik akkor a kliens megfelelt a megérkezik akkor a kliens megfelelt a BasLine-nak és leszedhető róla a BasLine-nak és leszedhető róla a QuarantineQuarantine
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre
Miért biztonságos ez?Miért biztonságos ez? Mert a kliens oldalon nem jelenik meg Mert a kliens oldalon nem jelenik meg
a string, kiolvasható formábana string, kiolvasható formában Mert a kliens oldalon az rqc.exe –t Mert a kliens oldalon az rqc.exe –t
futtatva még ha ismernénk a string-et futtatva még ha ismernénk a string-et sem tudnánk leszedni a Quarantine-t, sem tudnánk leszedni a Quarantine-t, mivel az rqc.exe csak a CM-től fogadja mivel az rqc.exe csak a CM-től fogadja el a paramétertel a paramétert
Még ha van egy SC-m és tudom a PIN Még ha van egy SC-m és tudom a PIN kódját, akkor is rendelkeznek kell a kódját, akkor is rendelkeznek kell a megfelelő CM profillalmegfelelő CM profillal
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre
Mi az árnyoldala?Mi az árnyoldala? A PSS jelenleg nem ad terméktámogatást az A PSS jelenleg nem ad terméktámogatást az
eszközhöz, csak eszközhöz, csak Best EffortBest Effort jelleggel lévén, hogy jelleggel lévén, hogy Resource Kit utility-ről van szóResource Kit utility-ről van szó
A kliens oldalon lefutó script-et nekünk kell A kliens oldalon lefutó script-et nekünk kell megírnunk, tehát fejlesztők előnybenmegírnunk, tehát fejlesztők előnyben
Ha egyszerű VB Script-et írunk, a felhasználók Ha egyszerű VB Script-et írunk, a felhasználók kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” az ellenőrzéstaz ellenőrzést
Nem VB Script esetén is kifigyelhető az ellenőrzés egy Nem VB Script esetén is kifigyelhető az ellenőrzés egy debuger, vagy a klasszikus monitorozó programok debuger, vagy a klasszikus monitorozó programok segítségévelsegítségével
Kellően körültekintő fejlesztéssel azonban Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését isa környezetünket és a VPN elérését is
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre
Néhány tipp, hogy mit érdemes Néhány tipp, hogy mit érdemes ellenőrizniellenőrizni Internet Connection Firewall állapotátInternet Connection Firewall állapotát Internet Connection SharingInternet Connection Sharing Operációs rendszer verziójátOperációs rendszer verzióját Javítócsomag szintjétJavítócsomag szintjét Hotfix állapototHotfix állapotot Telepített víruskeresőtTelepített víruskeresőt Frissített víruskereső adatbázistFrissített víruskereső adatbázist Fájlrendszer típusátFájlrendszer típusát
BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre
Néhány gondolatNéhány gondolat Határozd meg, hogy mi jelenti Határozd meg, hogy mi jelenti
számodra a kockázatotszámodra a kockázatot Milyen kockázatokat rejt a rendszered?Milyen kockázatokat rejt a rendszered? Ezek közül mi az ami vállalható Ezek közül mi az ami vállalható
kockázat?kockázat? Egy port szám önmagában még nem Egy port szám önmagában még nem
jelent semmitjelent semmit Egy támadás forgalma általában úgy Egy támadás forgalma általában úgy
néz ki, mint egy általános forgalomnéz ki, mint egy általános forgalom
top related