thorsten rood principal architect, mcitp, mcse-m/-s, ccia net.workers ag (controlware gruppe)
TRANSCRIPT
Mobile Anwendungen und starke Authentifizierung{ Terminalservices, sicher! }Thorsten Rood
Principal Architect, MCITP, MCSE-M/-S, CCIA
net.workers AG (Controlware Gruppe)
Sichere mobile AnwendungenAgenda
Fallstudie
• Situationsbeschreibung• Die neue Ära des Central Computing
Komponenten
• Zweifaktoren-Authentifizierung• Windows Server 2008 Terminaldienste• ISA Server 2006
Systemlösung
• Architektur• Demo
Sichere mobile AnwendungenEine typische Konstellation
Hr. Barnes, Leiter der NetzwerkabteilungWeb 2.0 Verfechter/Enthusiast,Keine VPN-Anbindung für unbekannte Endgeräte
Hr. Schneider, Vertriebsleiter DirektkundengeschäftDie Aufgabe: Zugriff auf neues CRM-Modul für Vertriebsaußen-dienst und freie Makler binnen einer 1 Woche (#350 Benutzer)
Fr. Piepenbrink, Leiterin Benutzerservice und IT-LogistikKeine Strategie für Softwarebereitstellung an Heimarbeitsplätzen, Versorgung der Firmen-Laptops benötigt Vorlauf und ZeitHr. Scott, Sicherheitsbeauftragter im KonzernstabDas ist mehr als nur OWA: keine Replikation vertraulicher Kundendaten auf entfernte Systeme, starke Authentifizierung für den Zugriff auf Konzerneigentum
Sichere mobile AnwendungenDer InteressenkonfliktKurze Reaktionszeiten, hohe Erwartungshaltung (SOA)
Häufige Anwendungsaktualisierungen (Updates)Systemvoraussetzungen (Rüstkosten)Netzlastige Client-/Serverprotokolle (Bandbreite)Funktional begrenzte Web-BenutzerschnittstellenReplizierte vertrauliche Daten (Diebstahl, Komplexität)Schwache Benutzerkennwörter und RichtlinienFreie Gerätewahl (Laptops, Heimarbeitsplätze, Kooperationsrechner, öffentliche Terminals)Branchenspezifische formale Anforderungen
Hr. Klein, Anwendungs- und InfrastrukturexperteTerminalservices sind erwachsen geworden: Mit WS08 können wir alle Grundfunktionen in wenigen Tagen realisieren – mit Bordmitteln!
Sichere mobile AnwendungenGrobarchitektur: Der Weg zum Ziel
Sichere mobile Anwendungen
ISA2006
WS2008
2F/OTP
Funktionalität
Schutz
Authentizität
Integrität
Mobilität
ad-hoc Bereitstellung
{ Zweifaktoren-Authentifizierung }
Schritt 1
Zweifaktoren-AuthentifizierungEinführung
Starke eindeutige IdentifikationKombination aus Besitz und WissenBeide Faktoren nur zusammen nutzbarErlaubt schwache Windows-Anmeldeinformationen, wenn als Primärschutz eingesetzt
BeispieleBankkarten (Magnetstreifen & PIN)Smartcard (Chip & PIN)USB-Token („Smartcard über USB“ & PIN)Schlüsselanhänger, PDA-Software(Eigenständige HW & PIN)
Keine Voraussetzungen für das Endgerät!
Hybride Produktlösungen
Zweifaktoren-AuthentifizierungEinmalpassworte (Einführung)
Wählbare Geräte-PIN in BenutzerbesitzGerätespezifische Tokencode-SequenzEinmalpasswort (OTP): Verkettung vonPIN und Tokencode2741 + 467132 = 2741467132
Jedes OTP verfällt nach AuthentifizierungJeder Tokencode verfällt bei Anmeldeversuch
Zentraler Serverdienst entscheidetüber Benutzer, Token(code)s und PINs
Zweifaktoren-AuthentifizierungEinmalpassworte (Implementierung)
Verschiedene Patentgrundlagen
IntegrationsvoraussetzungenRADIUS-Schnittstelle (100% aller Hersteller)RSA SecurID „New PIN“ und „Next Token“ erfordert API-Konformität
Strategie Ereignissynchrone Produkte
Zeitsynchrone Produkte
Tokencode-ablauf
Bei Benutzung („inkrementell")
Definiertes Zeitfenster
Schutz gegen Brute-force
Kurzfristige Zurückweisung
Prüfung auf nächsten Token
{ Windows Server 2008 Terminaldienste }
Schritt 2
WS08 TerminaldiensteErweiterte Funktionen der Plattform
≤WS03R2
Alle bekannt
en TS Plattfor
m-funktion
en
Lastver-teilung
Integrierte
Farmlogik
Sitzungs-
verzeichnis
(TSSD)
Remote App
Kein Desktop-design
TSEasy Print
TS Web Access (TSWA)
Web-browser-oberfläc
he
An-wendun
gs-portal
TS Gateway
(TSG)
Sicherer externer Zugriff
Richtlinien
WS08 TerminaldiensteErweiterte Funktionen der Plattform
IE &RDP 6.x
TSSD
DC
Last-verteile
r
TSG
TSWA
TS-Farm
PerimeterInternet Backbone
https
LDAP
TLS RDP
WMI
WS08 TerminaldiensteLastverteilung
FarmlogikKernbestandteil der TerminalservicesIntegrierte WartungsfunktionKeine Enterprise Serverlizenzen erforderlichKein NLB erforderlichHardware-Unterstützung optional
Sitzungsverzeichnis speichert nun Serverlasten und getrennte Verbindungen
WS08 TerminaldiensteRemote App
Umgebender Desktop entfälltIntuitive Benutzerführung bei „Rich Client“
Größendynamische, verschiebbare FensterInfobereichTS Easy Print (treiberloses Drucken,alle clientseitigen Sonderfunktionen)Desktop Composition Support (Areo) für Vista
Anwendungsliste für MSI und TSWA
WS08 TerminaldiensteRemote App
Terminal-server
Gestern Heute
RDP≤5.2
RDP6.1
WS08 TerminaldiensteTS Web Access (TSWA)
IIS7: dynamische Anwendungsliste(ASP.NET Webpart)Grundsicherheit
Standard https VerschlüsselungWindows AuthentifizierungKein Download von .rdp Dateien(Instanziierung durch JavaScript)Signierter .rdp Inhalt (vertrauenswürdige, unmodifizierte Parametrisierung)
Startet direkt die RemotedesktopverbindungDesktop-Zugriffsszenario frei anpassbar
WS08 TerminaldiensteTS Web Access (TSWA)
WS08 TerminaldiensteTS Gateway (TSG)
IIS7 PlugIn: TLS-Verschlüsselung für Remotedesktopverbindung
RDP-über-httpsWeiterentwicklung der „Outlook Anywhere“- ArchitekturStandardprotokoll und PortKeine statische öffentliche IP erforderlich
Verbindungs- und RessourcenrichtlinienNAP-Prüfung optionalErlaubt Zugang zu mehreren Terminalservern,-farmen und PC-Desktops über eine einzigeIP-Adresse
WS08 TerminaldiensteTS Gateway (TSG)
TSG Resource Authoritzation Policy Benutzerausschlüsse Serverausschlüsse Ports
Terminal-server
RpcProxy.dll
ConnectionAuthorization Policy SoH (NAP) Authentifizierungstyp Geräteumleitung Benutzerausschlüsse ClientausschlüsseIIS7
Bei öffentlichen Clients SoH
ggf. sparsam einsetzen!
{ ISA Server 2006 (Forefront Edge) }
Schritt 3
ISA Server 2006Webveröffentlichung
Vollständige http(s) Behandlung auf Layer 7Geht weit über NAT/PAT hinaus: „Reverse Proxying“Komplexe Protokollprüfung auf Ebene von URL, Methode und InhaltAutomatische Hyperlink-Anpassung: einzelne externe Hostadresse für den Zugriff auf verteilte interne Webdienste im Backend
SSL-Terminierung und/oder -Überbrückung, Kostenreduktion bei öffentlichen ZertifikatenErlaubt den Umzug von Domänenmitgliedern aus dem Perimeter (TSWA und TSG) in das Backbone
ISA Server 2006Webveröffentlichung
Perimeter/BackboneInternet
ISA
MSX
TSWA/TSG
WSS/SPS/ts/*/rpc/*
/*
/owa/*/public/*/exchange/*/exchweb/*
www.meinefirma.de
Filter: http(s) Überbrückung
, Inhalt, Methode, Pfad, …
Client
ISA Server 2006Authentifizierung (Forms)
Identitätsprüfung vor InhaltszugriffDrittanbieteroptionen: LDAP, RADIUS, OTP-RADIUSund nativ RSA SecurIDIndividuelle Anpassung des Anmelde-Layout möglichNur eine einzige anonyme URL: CookieAuth.dll
Alle relevanten Anfragen werden vom ISA geprüftIdentitätserzwingung am Backend ermöglicht SSO („Credential delegation“)Verifikation des Benutzerstatus über temporären CookieISA Hotfix 933869 erlaubt skriptbasierten Zugriff auf Cookie („RDP ActiveX in bridged scenarios“)cscript DisableHttpOnlyAuthCookies.vbs /WebListener:NameofWebListener /Value:False
ISA Server 2006Authentifizierung (Forms)
ISA TSWAClient
DCRADIUS/RSA
CookieAuth.dll
Perimeter/BackboneInternet
Anfrage
Cookie-Prüfung, Identitäts-erzwingung
1 2 4
3
{ Wie allesineinander greift… }
Systemlösung
Sichere mobile AnwendungenArchitektur
DC & IAS
TSWA/TSGTSSD
TS-FarmISA
Internet Backbone
Client
WMI/RDP
RPC
https/RPC-over-https
LDAP
LDAP
RADIUS/LDAP
https/TLS
Auch WS03 möglich
Sichere mobile AnwendungenLeistungsmerkmale der Systemlösung
HärtungStrenge Begrenzung der zulässigen http(s) AnfragenKein direkter Zugriff mehr auf TSWA und insbesondere TSG (unterstützt keine 3rd-Party Authentifizierung)
SicherheitZugang nur mit OTP und DomänenanmeldungKeine zusätzlichen Domänenmitgliedsserver im Perimeter-BereichNebeneffekt: ein Perimeternetzwerk ist nicht mehr zwingend erforderlich
Ergonomie und FunktionInline-Login im TSWA-Stil, keine AnmeldedialogboxenAnwendungszugriff von Systemen mit RDP 6.1 Client ohne VorbereitungenNebeneffekt: auch OWA nun OTP-befähigt
{ Wie allesineinander greift… }
Thorsten RoodPrincipal Architectnet.workers AG
Demo
Sichere mobile AnwendungenMaterialienWhitepaper: Einmalpasswortschutz für WS08-TSWA
http://www.lonewolf-productions.de/specials/TSWA-OTP.pdf ISA Server 2006 form: Inline Anmeldung für WS08-TSWA http://www.lonewolf-productions.de/specials/TSWA-OTP.zip WS08: TS Session Broker Lastverteilung http://technet2.microsoft.com/windowsserver2008/en/library/f9fe9c74-77f5-4bba-a6b9-433d823bbfbd1033.mspxWS08: TS Remote App…/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspxWS08: TS Einrichtung von NLB…/library/6e3fc3a6-ef42-41cf-afed-602a60f562001033.mspxISA2K6: skriptbasierter Zugriff auf Cookies http://support.microsoft.com/kb/933718http://support.microsoft.com/kb/933869http://msdn2.microsoft.com/en-us/library/ms533046.aspxhttp://msdn2.microsoft.com/en-us/library/aa384710.aspx Kontaktmailto:[email protected] / mailto:[email protected]
{ Was nochnicht gesagt wurde… }
Thorsten RoodPrincipal Architectnet.workers AG
Fragen? Bitte!
Thorsten RoodPrincipal Architectnet.workers AG
Danke!
Windows Server 2008weitere Ressourcen
Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx
Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx
Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx
Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.