Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging

Ähnliche Präsentationen


Präsentation zum Thema: "Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging"—  Präsentation transkript:

1 Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging

2 Themen dieser Sitzung  Windows-Sicherheit zum Zuweisen der Objektverwaltung  Konfigurationen für dezentralen Outlook Web Access  Sichern und Konfigurieren dezentraler Exchange-Dienste  Schutz vor Denial of Service- und Virenangriffen  Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung

3 Agenda  Windows-Sicherheit zum Zuweisen der Objektverwaltung  Konfigurationen für dezentralen Outlook Web Access  Sichern und Konfigurieren von dezentralen Exchange-Diensten  Schutz vor Denial of Service- und Virenangriffen  Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung

4 Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells  Sicherheitsprincipals  Benutzer, Gruppen und Computer  Eindeutige Sicherheits-ID (SID)  Berechtigungen für andere Objekte zulassen oder verweigern Users Computers GroupsBenutzer Computer Gruppen

5 Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells  Sicherheits- beschreibung  Enthält eine freigegebene Zugriffssteuerungsliste (DACL) und eine Sicherheits-Zugriffs- steuerungsliste (SACL)  DACL für Berechtigungen  SACL für Überprüfungen

6 Windows-Sicherheit zum Zuweisen der Objektverwaltung Definieren des Windows-Sicherheitsmodells  Freigegebene Zugriffssteuerungsliste  Liste der zugelassenen und verweigerten Berechtigungen  Jede Berechtigung ist ein ACE (Access Control Entry)  ACEs bestehen aus einer SID, Berechtigung, Statusangabe zugelassen/verweigert und Vererbungsflag

7 Windows-Sicherheit zum Zuweisen der Objektverwaltung Was bedeutet Zuweisen der Objektverwaltung? Das Zuweisen der Objektverwaltung bedeutet den Erhalt von Berechtigungen, so dass unterschiedliche Administratorgruppen unterschiedliche Objektgruppen steuern.

8 Windows-Sicherheit zum Zuweisen der Objektverwaltung Zuweisen der Objektverwaltung  Verwaltungsgruppen  Gruppen von Exchange Konfigurationsobjekten  Server, Öffentliche Ordner, Routinggruppen usw.  Unternehmenseinheiten (OUs)  Gruppen von Exchange 2000-Empfängerobjekten  Jedes Objekt mit -Adresse ist Empfänger  Benutzer, Gruppen, Kontakte und Öffentliche Ordner

9 Windows-Sicherheit zum Zuweisen der Objektverwaltung Manuelle Berechtigungen oder Assistenten – Vor- und Nachteile  Manuelle Berechtigungen  Vorteile – genau, flexibel, effizienter  Nachteile – komplex, riskant, nicht protokolliert  Verwenden der Assistenten (Exchange und AD)  Vorteile – einfach, vordefinierte Rollen/Aufgaben, Nachverfolgen von Änderungen beim Entfernen (nur Exchange), Risikominimierung (kein „Senden als“, „Empfangen als“)  Nachteile – unflexibel, möglicherweise ineffizient, nicht protokolliert (nur AD)

10 Demo 1 Windows-Sicherheit zum Zuweisen der Objektverwaltung Verwenden des Exchange Assistenten zum Zuweisen der Objektverwaltung Verwenden des Active Directory- Assistenten zum Zuweisen der Objektverwaltung

11 Agenda  Windows-Sicherheit zum Zuweisen der Objektverwaltung  Konfigurationen für dezentralen Outlook Web Access  Sichern und Konfigurieren von dezentralen Exchange-Diensten  Schutz vor Denial of Service- und Virenangriffen  Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung

12 Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server  Front-End-/ Back-End-Server  Front-End – stellt Clients Protokollzugriff zur Verfügung  Back-End – stellt Clients Datenzugriff zur Verfügung Back- End- Server Front- End- Server Client

13 Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server  Vorteile von FE/BE-Servern  Skalierbarkeit – NLB oder DNS-Round Robin  Verfügbarkeit – Cluster  Einheitlicher Namespace – DNS  Leistung – SSL-Verschlüsselung  Sicherheit – isoliertes Back-End

14 Konfigurationen für dezentralen Outlook Web Access Front-End- und Back-End-Server  FE/BE-Serverimplementierung  Virtuelle IIS-Server stellen Clients Protokollschnittstelle zur Verfügung  Informationsspeicher wird auf Front-End-Server nicht verwendet  Virtueller Front-End-Server kommuniziert mit virtuellem Back-End-Server Back-End- Server Outlook Web Access-Client HTTPS: // HTTP :// HTTP Virtueller Server 1 HTTP Virtueller Server 1 HTTP Virtueller Server 2 HTTP Virtueller Server 2 Informations- speicher 1 Informations- speicher 1 Informations- speicher 2 Informations- speicher 2 Front-End- Server

15 Demo 2 (Teil 1) Konfigurationen für dezentralen Outlook Web Access Konfigurieren eines Front-End-Servers

16 Konfigurationen für dezentralen Outlook Web Access SSL für Outlook Web Access  Secure Sockets Layer (SSL)  Verschlüsselt HTTP-Datenverkehr  Zertifikat erforderlich  Internetdienste-Manager zum Konfigurieren von SSL erforderlich  Verwendung für FE-BE-Kommunikation nicht möglich  Bei Bedarf IPSec verwenden

17 Demo 2 (Teil 2) Konfigurationen für dezentralen Outlook Web Access Konfigurieren eines Front-End-Servers zur Verwendung von SSL

18 Konfigurationen für dezentralen Outlook Web Access Sichern von FE-/BE-Server-Netzwerken Back-End- Exchange-Server Front-End- Exchange-Server Outlook Web Access-Client globaler Katalog- server Firewall 1 Firewall 2 DMZ HTTPS zulassen HTTP, DNS, Netlogon, RPC, Kerberos und LDAP zulassen

19 Konfigurationen für dezentralen Outlook Web Access FE/BE-Intranetports Mailprotokolle Portnummer/ÜbertragungProtokoll 80/TCPHTTP 143/TCPIMAP 110/TCPPOP 25/TCPSMTP Active Directory-Kommunikation Portnummer/ÜbertragungProtokoll 389/TCP LDAP zu AD 389/UDP 3268/TCPLDAP zum globalen Katalog 88/TCP Kerberos-Authentifi- zierung 88/UDP DNS Portnummer/ÜbertragungProtokoll 53/TCP DNS-Suche 53/UDP RPCs: Diensterkennung und Authentifizierung Portnummer/ÜbertragungProtokoll 135/TCPRPC-Endportzuordnung 1024+/TCPRPC-Dienstports 445/TCPNetlogon IPSec Portnummer/ÜbertragungProtokoll IP-Protokoll 51Authentication Header (AH) IP-Protokoll 50Encap. Security Payload (ESP) 500/UDPInternet Key Exchange (IKE) 88/TCP Kerberos 88/UDP  Mit SP2 keine RPCs mehr in DSAccess

20 Agenda  Windows-Sicherheit zum Zuweisen der Objektverwaltung  Konfigurationen für dezentralen Outlook Web Access  Sichern und Konfigurieren von dezentralen Exchange-Diensten  Schutz vor Denial of Service- und Virenangriffen  Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung

21 Sichern und Konfigurieren von dezentralen Exchange-Diensten Deaktivieren nicht benötigter Dienste  Deaktivieren aller nicht benötigten Exchange-Dienste  Je nach Funktion des Servers können zahlreiche Dienste deaktiviert werden  POP3, IMAP4, Informationsspeicher usw.  Erhöhen der Gesamtsicherheit durch Einschränken der Netzwerkinteraktion  Routingdienst nicht deaktivieren

22 Demo 3 (Teil 1) Sichern und Konfigurieren von dezentralen Exchange- Diensten Deaktivieren nicht benötigter Exchange 2000-Dienste

23 Sichern und Konfigurieren von dezentralen Exchange-Diensten IIS Lockdowntool  IIS Lockdowntool  Wird für die IIS-Sicherheit verwendet, kann jedoch Exchange-Dienste unterbrechen  ngID=10&LangDIR=DE  Version 2.1 stellt Vorlagen für Exchange-Server zur Verfügung  Q und Q enthalten weitere Überlegungen bezüglich Exchange

24 Demo 3 (Teil 2) Sichern und Konfigurieren von dezentralen Exchange- Diensten Verwenden des IIS Lockdowntools mit Exchange 2000

25 Sichern und Konfigurieren von dezentralen Exchange-Diensten Umgang mit Spam  Filtern  Geben Sie eine Domäne an, deren Nachrichten gefiltert werden sollen   Optionales Archivieren gefilterter Nachrichten  Speicherung in Exchsrvr\mailroot\vs 1\filter  Filter auf virtuelle Server anwenden Filtern Exchange- Unternehmen

26 Sichern und Konfigurieren von dezentralen Exchange-Diensten Sichern des SMTP-Relays  SMTP-Relay – Anforderung an einen SMTP- Server, eine Nachricht an Empfänger außerhalb des Unternehmens zu senden  Spammer verwenden diese Einstellung zum Verber- gen ihrer Ursprungsadresse und nutzen einen kostenlosen SMTP-Server  Standardmäßig für alle nicht authentifizierten Verbin- dungen deaktiviert  Bei Bedarf Aktivierung für eine bestimmte Domäne durch Erstellen eines SMTP-Connectors (Fortsetzung)

27 Sichern und Konfigurieren von dezentralen Exchange-Diensten Aktivieren des Relays für ausgehenden SMTP-Verkehr contoso.msft Org Nur ausgehend an Internet Nur ausgehend an Internet nwtraders.msft Org An contoso.msft Relay zugelassen An contoso.msft Relay zugelassen Ein- und ausgehender Internetverkehr Ein- und ausgehender Internetverkehr An nwtraders.msft

28 Demo 3 (Teil 3) Sichern und Konfigurieren von dezentralen Exchange- Diensten Anwenden von Nachrichtenfiltern und Überprüfen der Standardeinstellungen des SMTP- Relays

29 Sichern und Konfigurieren von dezentralen Exchange-Diensten Ändern des SMTP-Standardbanners  SMTP zeigt standardmäßig Versionsinformationen an  Mögliche Sicherheitslücke  IIS-Konfigurationsinformationen sind in Metabasis gespeichert  Ändern des SMTP-Standardbanners mithilfe von MetaEdit  Weitere Informationen in Q  Q zu IMAP4 und POP3

30 Demo 3 (Teil 4) Sichern und Konfigurieren von dezentralen Exchange- Diensten Deaktivieren des Standardbanners des virtuellen SMTP-Servers

31 Agenda  Windows-Sicherheit zum Zuweisen der Objektverwaltung  Konfigurationen für dezentralen Outlook Web Access  Sichern und Konfigurieren von dezentralen Exchange-Diensten  Schutz vor Denial of Service- und Virenangriffen  Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung

32 Schutz vor Denial of Service- und Virenangriffen Denial of Service-Angriffe (DoS)  Denial of Service-Angriffe  Nachrichtenflut (Spam)  Scriptviren, die sich an alle Einträge im Adressbuch senden  Senden vieler, sehr langer Anlagen  Viele SMTP-Sitzungen

33 Schutz vor Denial of Service- und Virenangriffen Schutz vor Denial-of-Service-Angriffen  Globale Einstellungen – Standards für Nachrichten  Größenbeschränkung für ein- und ausgehende Nachrichten  Beschränken der Empfängeranzahl  Diese Einstellungen setzen Beschränkungen für Postfächer außer Kraft  Einstellungen des virtuellen SMTP-Servers  Angeben legitimer SMTP-Partner über die Register- karte „Zugriff“  Beschränken der Größe von Nachrichten und Sitzungen, der Anzahl von Empfängern und Verbindungen über die Registerkarte „Nachricht“

34 Demo 4 (Teil 1) Schutz vor Denial of Service- und Virenangriffen Globale Einstellungen zum Verhindern von Nachrichtenfluten

35 Schutz vor Denial of Service- und Virenangriffen Virenschutzoptionen  Client  Outlook bietet dasBlockieren unsicherer Anlagen - siehe das Office XP Resource Kit für Einzelheiten zur Anpassung  Verwenden Sie auf Clients immer ein Virenschutz- programm  Server  -Firewalls – SMTP-Server von Drittan- bietern, die nach Viren suchen  Exchange 2000 stellt eine Virenschutz-API für Drittanbieter zur Verfügung

36 Demo 4 (Teil 2) Schutz vor Denial of Service- und Virenangriffen Sicherheit für unsichere Anlagen in Outlook 2002

37 Agenda  Windows-Sicherheit zum Zuweisen der Objektverwaltung  Konfigurationen für dezentralen Outlook Web Access  Sichern und Konfigurieren von dezentralen Exchange-Diensten  Schutz vor Denial of Service- und Virenangriffen  Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung

38 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Unverschlüsselte Nachrichtenübermittlung  Unverschlüsselte Nachrichten  Outlook verschlüsselt Nachrichten jedoch als Winmail.dat  Winmail.dat-Verschlüsselung mithilfe von MIME (Multipurpose Internet Mail Extensions)  Andere Clienttypen senden Nachrichten als unformatierten Text

39 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Netzwerkebene  IP-Sicherheit  Integriertes Windows 2000-Feature  Verschlüsseln des gesamten Netzwerkverkehrs an ein bestimmtes Ziel  Verwendet flexible Richtlinien zum Definieren des Verschlüsselungsverhaltens  Gruppenrichtlinie zum Definieren von IPSec- Richtlinien für die Domäne

40 Demo 5 (Teil 1) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung IPSec für das Verschlüsseln von Netzwerkverkehr

41 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Sitzungsebene  TLS (Transport Layer Security)  IETF-Standard  Stellt verschlüsselten Kanal zwischen SMTP-Servern her  Verwendet ESMTP-Befehl StartTLS  Zertifikatinstallation auf SMTP-Servern erforderlich  Aktivieren von ein- und ausgehendem TLS auf allen beteiligten Servern

42 Demo 5 (Teil 2) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Konfigurieren von TLS für SMTP- Verschlüsselung

43 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Nachrichtenebene  Nachrichtenverschlüsselung  Installation des Schlüsselverwaltungservers erforderlich  Outlook-Clients können Nachrichten verschlüsseln und digital signieren  Stellt End-to-End-Verschlüsselung bereit  Lernkurve des Clients  Zusätzliche Serverkonfiguration

44 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsselung auf Nachrichtenebene  Konfiguration des Schlüsselverwaltungsservers  Zertifizierungsstelle für Organisationen erforderlich  Zertifizierungsstelle für das Ausstellen zusätzlicher Zertifikate konfigurieren  Einschreibungs-Agent (Computer)  Nur Exchange-Signatur  Exchange-Benutzer  Schlüsselverwaltungsserver nach der Installation Computerkonto-Verwaltungsrechte für Zertifizierungsstelle erteilen  Weitere Verwaltungsgruppen für die Verwendung eines Schlüsselverwaltungsservers konfigurieren

45 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Einschreibung für erweiterte Sicherheit Schlüsselverwaltungsserver Zertifizierungsstelle für Organisationen Benutzer ist aktiviert Client erhält Token Zertifizierungsstelle stellt Zertifikate aus Client fordert mithilfe des Tokens eine digitale ID an Schlüsselverwaltungsserver fordert Zertifikate an 66 Schlüselverwal- tungsserver sendet verschlüs- selte Zertifikate 77 Client entschlüsselt Nachricht und importiert Zertifikat

46 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Kryptografie öffentlicher/ privater Schlüssel  Öffentliche und private Schlüssel  Mathematisch verwandte Werte  Unidirektionale Verschlüsselung  Öffentliche Schlüssel werden in Zertifikaten gespeichert  Zertifikate werden von vertrauenswürdiger Stelle digital signiert  Zertifikate können in Active Directory veröffentlicht werden  Private Schlüssel werden sicher im Benutzerprofil gespeichert

47 Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Verschlüsseln einer Nachricht Active Directory- Domänencontroller Client 1 Client 2 Virtueller SMTP-Server 1 Virtueller SMTP-Server Neue Nachricht Suchen des öffentlichen Schlüssels von Client 2 Mit öffentlichem Schlüssel verschlüsselte Nachricht Mit S/MIME gesendete Nachricht Verwenden des privaten Schlüssels von Client 2 zum Ent- schlüsseln der Nachricht Nachricht wird verschlüsselt empfangen

48 Demo 5 (Teil 3) Sichern der Nachrichtenübermittlung mithilfe von Verschlüsselung Erweiterte Sicherheit in Exchange zum Verschlüsseln von Nachrichten

49 Sitzungszusammenfassung  Exchange 2000-Sicherheit umfasst  Sicherheit der Verwaltung  Outlook Web Access-Sicherheit  Sicherheit von Diensten  Relaysicherheit  Schutz vor Denial-of-Service-Angriffen  Server- und Client-Antivirensoftware  Verschlüsselung zum Schutz von Daten

50 Weitere Informationen  TechNet-Website  Exchange-Website

51 Infos über TechNet  TechNet Online  TechNet NewsFlash abonnieren  TechNet IT Community  TechNet Abonnement  Achten Sie auf weitere TechNet Veranstaltungen

52 Exchange 2000 Server  Exchange 2000 Server  verbindet Mitarbeiter und Wissen  Exchange 2000 Enterprise Server  unlimitierter Datenspeicher, Clustering  Exchange 2000 Conferencing Server  Data Conferencing, Audio/Video-Konferenzen  Die Exchange 2000 CAL berechtigt zum Zugriff auf alle Ausgaben vonExchange 2000 Server. Server + CALs

53 Zugriff auf Exchange 2000 Server Server + CALs  Exchange 2000 Server ist vollständig in das Active Directory von Windows 2000 Server integriert.  Jeder authentifizierte Zugriff auf Exchange 2000 Server erfordert  eine Windows 2000 CAL und zusätzlich  eine Exchange 2000 CAL  Authentifiziert = jedes Gerät, das  den Anmeldedienst von Win 2000 Server verwendet oder  eine Authenifizierung vom Active Directory erhält.  Anonymer Zugriff auf Exchange 2000 Server erfordert keine CAL.

54 Exchange 2000 CAL  Exchange 2000 CALs werden ausschließlich pro Arbeitsplatz = pro Gerät lizenziert.  Beschränkter Zugriff von anderen Geräten ist möglich.  Die Exchange CAL ist erforderlich unabhängig von der verwendeten Client-Software (Outlook, Web- Browser, POP3-Client, IMAP4...).  Microsoft Outlook ist als Client-Software im Exchange Server enthalten.  Die Client-Software darf auf jedem Gerät installiert werden, für das der Lizenznehmer eine Exchange CAL erworben hat. Server + CALs

55


Herunterladen ppt "Sicheres Messaging mit Exchange Gernot Kühn Systems Engineer Messaging"

Ähnliche Präsentationen


Google-Anzeigen