Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH Tech Level: 300.

Ähnliche Präsentationen


Präsentation zum Thema: "Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH Tech Level: 300."—  Präsentation transkript:

1 Netzwerksicherheit mit dem Windows Server 2003

2 Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH Tech Level: 300

3 Agenda Die Sicherheit von Windows 2000 vs Die Sicherheit von Windows 2000 vs Grundsätzliche Verbesserungen im Detail Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Internet Information Services 6.0 Microsoft Ressourcen im Internet Microsoft Ressourcen im Internet

4 Sicherheit in Windows 2000 Ist Windows 2000 sicher? Ja! Man kann Windows 2000 sicher machen Ja! Man kann Windows 2000 sicher machen Siehe Common Criteria Zertifizierung nach EAL4+ Siehe Common Criteria Zertifizierung nach EAL4+ …, aber man sollte dabei folgendes beachten! …, aber man sollte dabei folgendes beachten! Windows 2000 Server Baseline Security Checklist Windows 2000 Server Baseline Security Checklist Absichern der Win2000 default Konfiguration Absichern der Win2000 default Konfiguration IIS 5.0 Baseline Security und Secure Checklist IIS 5.0 Baseline Security und Secure Checklist Absichern der IIS 5.0 default Konfiguration Absichern der IIS 5.0 default Konfiguration Und viele Sicherheits- Hinweise in KB Artikeln Und viele Sicherheits- Hinweise in KB Artikeln

5 Sicherheit im default-Zustand Sicherheit im default-Zustand Sicherheit in Windows 2003 Was hat sich beim Server 2003 verbessert? Sicherheit bei der Konfiguration Sicherheit bei der Konfiguration Sicherheit im laufenden Betrieb Sicherheit im laufenden Betrieb

6 Vergleich der default Sicherheit von Windows 2000 vs. 2003

7 Die Angriffsfläche des Servers wurde verringert Die Angriffsfläche des Servers wurde verringert 20 Dienste sind standardmäßig nicht aktiviert 20 Dienste sind standardmäßig nicht aktiviert Entscheidungskriterium: mindestens 10% Bedarf Entscheidungskriterium: mindestens 10% Bedarf Eingeschränkte Service Accounts für viele Dienste Eingeschränkte Service Accounts für viele Dienste NetworkService und LocalService als neue Konten NetworkService und LocalService als neue Konten Schärfere Systemrichtlinien Einstellungen und ACLs Schärfere Systemrichtlinien Einstellungen und ACLs Verschärfte ACLs im %Systemroot% und bei Freigaben Verschärfte ACLs im %Systemroot% und bei Freigaben Verschärfte System Sicherheitsrichtlinien Verschärfte System Sicherheitsrichtlinien Beseitigung von blank password Angriffen Beseitigung von blank password Angriffen Sicherheit in Windows 2003 Sicherheit im default Zustand

8 Sicherheit in Windows 2003 Sicherheit bei der Konfiguration Leichte Administration gegen Konfigurationsfehler Leichte Administration gegen Konfigurationsfehler Serververwaltung für die übersichtliche Administration Serververwaltung für die übersichtliche Administration Verbesserte Windows Hilfe gegen Konfigurationsfehler Verbesserte Windows Hilfe gegen Konfigurationsfehler Zahlreiche Assistenten mit Best Practice Ergebnissen Zahlreiche Assistenten mit Best Practice Ergebnissen Windows Server 2003 Security Guide schon erhältlich Windows Server 2003 Security Guide schon erhältlich Zusätzliche Administrationstools in Vorbereitung Zusätzliche Administrationstools in Vorbereitung GPMC Snap-In zum Planen von Gruppenrichtlinien GPMC Snap-In zum Planen von Gruppenrichtlinien SSR Wizard zur Absichern von speziellen Serverrollen SSR Wizard zur Absichern von speziellen Serverrollen Smartcards für alle administrativen Aufgaben Smartcards für alle administrativen Aufgaben RunAs, Net.exe, Terminal Dienste, DCPromo RunAs, Net.exe, Terminal Dienste, DCPromo

9 Sicherheit in Windows 2003 Sicherheit im laufenden Betrieb Zusätzliche Gruppenrichtlinien und Benutzerrechte Zusätzliche Gruppenrichtlinien und Benutzerrechte Gruppenrichtlinie: Softwareeinschränkung (nicht DRM!) Gruppenrichtlinie: Softwareeinschränkung (nicht DRM!) Gruppenrichtlinie: Zentrale Wireless Lan Konfiguration Gruppenrichtlinie: Zentrale Wireless Lan Konfiguration Sicherheitsoption: Verbot der SID/Name Übersetzung Sicherheitsoption: Verbot der SID/Name Übersetzung Sicherheitsoption: Administratorkonto sperren Sicherheitsoption: Administratorkonto sperren Sicherheitsoption: Registry Remote Zugriffe Sicherheitsoption: Registry Remote Zugriffe Benutzerrecht: Anmeldung über Terminal Service Benutzerrecht: Anmeldung über Terminal Service Berechtigung: Darf über Vertrauenstellung anmelden Berechtigung: Darf über Vertrauenstellung anmelden Sichere Kommunikation in TCP/IP Netzwerken Sichere Kommunikation in TCP/IP Netzwerken Unterstützung von EAP Anmeldung für Netzwerke Unterstützung von EAP Anmeldung für Netzwerke NETBIOS freie Netzwerke jetzt noch einfacher NETBIOS freie Netzwerke jetzt noch einfacher Internet Verbindungs-Firewall für Server Internet Verbindungs-Firewall für Server

10 Agenda Die Sicherheit von Windows 2000 vs Die Sicherheit von Windows 2000 vs Grundsätzliche Verbesserungen im Detail Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Internet Information Services 6.0 Microsoft Ressourcen im Internet Microsoft Ressourcen im Internet

11 Windows Server 2003 PKI Was ist überhaupt PKI? PKI ist... PKI ist... … keine Lösung … keine Lösung … keine Anwendung … keine Anwendung … kein Verfahren um Hacker abzuhalten … kein Verfahren um Hacker abzuhalten PKI ist eher … PKI ist eher … … eine Infrastruktur, um mit speziellen Anwendungen Sicherheitslösungen aufzubauen … eine Infrastruktur, um mit speziellen Anwendungen Sicherheitslösungen aufzubauen … eine Grundlage für sichere Verschlüsselung und Authentifizierung in Netzwerken … eine Grundlage für sichere Verschlüsselung und Authentifizierung in Netzwerken

12 Windows Server 2003 PKI Netzwerksicherheit auf Basis von PKI Szenario Risiko Sicherheitslösung Mobile Benutzer Encrypted File System (EFS) Encrypted File System (EFS) Smartcard Anmeldung Smartcard Anmeldung IPSEC u. L2TP VPN Tunnel IPSEC u. L2TP VPN Tunnel Verlust/Diebstahl des LaptopsVerlust/Diebstahl des Laptops Unerlaubte Remote EinwahlUnerlaubte Remote Einwahl Man in the Middle AngriffeMan in the Middle Angriffe E-commerce Identitäts VortäuschungIdentitäts Vortäuschung Man in the Middel AngriffeMan in the Middel Angriffe Smartcard Anmeldung Smartcard Anmeldung SSL/TLS Verschlüsselung SSL/TLS Verschlüsselung Home / Remote Office Smartcard Anmeldung Smartcard Anmeldung L2TP u. IPSEC VPN Tunnel L2TP u. IPSEC VPN Tunnel Unerlaubte Remote EinwahlUnerlaubte Remote Einwahl Man in the Middle AngriffeMan in the Middle Angriffe Lokales Netzwerk Unerlaubter Netzwerk ZugriffUnerlaubter Netzwerk Zugriff Identitäts VortäuschungIdentitäts Vortäuschung Man in the Middel AngriffeMan in the Middel Angriffe Datensicherheit auf FileservernDatensicherheit auf Fileservern EAP Anmeldung über Zertifikate EAP Anmeldung über Zertifikate Kerberos, Smartcard Anmeldung Kerberos, Smartcard Anmeldung IPSec, SSL/TLS, S/MIME IPSec, SSL/TLS, S/MIME Encrypted File System (EFS) Encrypted File System (EFS) Zertifikats Anmeldung, SSLZertifikats Anmeldung, SSL SSL, S/MIME, L2TP u. IPSecSSL, S/MIME, L2TP u. IPSec Extranets Identitäts VortäuschungIdentitäts Vortäuschung Man in the Middel AngriffeMan in the Middel Angriffe

13 Windows Server 2003 PKI Neue PKI Features von Windows 2003 Rollenbasierte Administration von CAs Rollenbasierte Administration von CAs CA Administrator, Zertifikats Manager und Auditor CA Administrator, Zertifikats Manager und Auditor Support für neue CSPs und Smartcard Reader Support für neue CSPs und Smartcard Reader Höhere Schlüsselstärken (FIPS kompatibel) Höhere Schlüsselstärken (FIPS kompatibel) Advanced Encryption Standard (Rijndael) Advanced Encryption Standard (Rijndael) Unterstützung von Qualifizierten Subordinated CAs Unterstützung von Qualifizierten Subordinated CAs Verwendungszwecke, Name constrained, Cross-CAs Verwendungszwecke, Name constrained, Cross-CAs Delta CRLs für schnellere Sperrlisten Abfragen Delta CRLs für schnellere Sperrlisten Abfragen Geringere Latenzzeiten bei Zertifikatssperrung möglich Geringere Latenzzeiten bei Zertifikatssperrung möglich Geringer Verbrauch von Netzwerk Bandbreite Geringer Verbrauch von Netzwerk Bandbreite

14 Windows Server 2003 PKI Neue PKI Features von Windows 2003 Support für frei editierbare Zertifikatsvorlagen Support für frei editierbare Zertifikatsvorlagen Alle Eigenschaften der Zertifikate sind anpassbar Alle Eigenschaften der Zertifikate sind anpassbar CSPs, Verwendungszwecke, Ausstellungspolicy, uvm. CSPs, Verwendungszwecke, Ausstellungspolicy, uvm. Auto enrollment und renewal übers Active Directory Auto enrollment und renewal übers Active Directory Steuerung erfolgt über Auto enrollment Berechtigung Steuerung erfolgt über Auto enrollment Berechtigung Für jegliche Benutzerzertifikate (auch bei Smartcards) Für jegliche Benutzerzertifikate (auch bei Smartcards) Für jegliche Computerzertifikate Für jegliche Computerzertifikate Private Key Archivierung und Wiederherstellung Private Key Archivierung und Wiederherstellung Private Keys werden verschlüsselt in der CA abgelegt Private Keys werden verschlüsselt in der CA abgelegt Key Recovery Agents können Keys wiederherstellen Key Recovery Agents können Keys wiederherstellen

15 Verwalten der Windows 2003 Zertifikatsdienste

16 Agenda Die Sicherheit von Windows 2000 vs Die Sicherheit von Windows 2000 vs Grundsätzliche Verbesserungen im Detail Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Internet Information Services 6.0 Microsoft Ressourcen im Internet Microsoft Ressourcen im Internet

17 IP Security und VPNs Schwachstellen im IPv4 Protokoll TCP/IP ist ein hervorragendes Protokoll... TCP/IP ist ein hervorragendes Protokoll... Plattform-unabhängige Implementierung Plattform-unabhängige Implementierung Skalierbar durch zuverlässiges Routing Skalierbar durch zuverlässiges Routing Verhältnismäßig geringer Overhead Verhältnismäßig geringer Overhead... aber es beinhaltet keinerlei Sicherheit!... aber es beinhaltet keinerlei Sicherheit! Keine Authentifizierung der Kommunikationspartner! Keine Authentifizierung der Kommunikationspartner! Keine Verschlüsselung bei der Datenübertragung! Keine Verschlüsselung bei der Datenübertragung! Keine Integrität bei der Datenübertragung! Keine Integrität bei der Datenübertragung!

18 IP Security und VPNs TCP/IP Absicherung mit IPSec IPSec bietet eine sichere TCP/IP Kommunikation IPSec bietet eine sichere TCP/IP Kommunikation Gegenseitige Authentifizierung zwischen Computern Gegenseitige Authentifizierung zwischen Computern Sender und Empfänger kennen sich untereinander Sender und Empfänger kennen sich untereinander Authentifizierung mit Kerberos, PKI oder Pre-Shared Authentifizierung mit Kerberos, PKI oder Pre-Shared Datenverschlüsselung mit Hilfe von ESP IPSec Paketen Datenverschlüsselung mit Hilfe von ESP IPSec Paketen DES Verschlüsselung des IP Traffics nach Regelsätzen DES Verschlüsselung des IP Traffics nach Regelsätzen Nur Sender und Empfänger kennen den Daten Inhalt Nur Sender und Empfänger kennen den Daten Inhalt Datenintegrität mit Hilfe von AH IPSec Paketen Datenintegrität mit Hilfe von AH IPSec Paketen SHA Signierung des IP Traffics nach Regelsätzen SHA Signierung des IP Traffics nach Regelsätzen Manipulierte IP Pakete werden erkannt und verworfen Manipulierte IP Pakete werden erkannt und verworfen

19 IP Security und VPNs TCP/IP Absicherung mit IPSec (cont) IPSec arbeitet unterhalb der Anwendung IPSec arbeitet unterhalb der Anwendung Keine Anpassungen der Netzwerk Anwendungen Keine Anpassungen der Netzwerk Anwendungen Keine Anpassungen der Netzwerk Infrastruktur Keine Anpassungen der Netzwerk Infrastruktur IPSec wird ab Windows 2000 nativ unterstützt IPSec wird ab Windows 2000 nativ unterstützt Zentrale Administration über Gruppenrichtlinien Zentrale Administration über Gruppenrichtlinien L2TP/IPSec Client für NT4 und Win98 nachrüstbar L2TP/IPSec Client für NT4 und Win98 nachrüstbar Mögliche IPSec Filterungseinstellungen sind Mögliche IPSec Filterungseinstellungen sind Filterung nach IP Adressen und Protokoll/Portnummern Filterung nach IP Adressen und Protokoll/Portnummern Zulassen, Blocken, Sicherheit aushandeln Zulassen, Blocken, Sicherheit aushandeln

20 IP Security und VPNs Funktionsweise von IPSec TCP-Schicht IPSec-Treiber TCP-Schicht IPSec-Treiber ISAKMP Internet Security Association and Key Management Protocol Verschlüsselte IP-Pakete IPSec-Richtlinie Active Directory

21 IP Security und VPNs Neue IPSec Features unter Windows 2003 IP Security NAT Traversal (NAT-T) Unterstützung IP Security NAT Traversal (NAT-T) Unterstützung Windows 2003 IPSec durch NAT Router senden Windows 2003 IPSec durch NAT Router senden Firewalls benötigen Regeln für UDP Ports 500 u Firewalls benötigen Regeln für UDP Ports 500 u Win 9x, NT, 2000 und XP Clients benötigen ein Update Win 9x, NT, 2000 und XP Clients benötigen ein Update IPSec Monitor für verbesserte Fehlersuche IPSec Monitor für verbesserte Fehlersuche Neue IPSec Sicherheitseinstellungen (via NETSH) Neue IPSec Sicherheitseinstellungen (via NETSH) Jetzt mit 2048bit Masterschlüssel (FIPS 140-1) Jetzt mit 2048bit Masterschlüssel (FIPS 140-1) Wegfall der Default Exemptions als Standard Wegfall der Default Exemptions als Standard Stateful Paketfiltering beim Bootvorgang Stateful Paketfiltering beim Bootvorgang Fail Save Konfigurationsmöglichkeiten Fail Save Konfigurationsmöglichkeiten

22 IP Security und VPNs Neue IPSec Features unter Windows 2003 Mehr Performance bei der Verschlüsselung Mehr Performance bei der Verschlüsselung Schnellere Schlüsselaushandlung (Main u. Quick Mode) Schnellere Schlüsselaushandlung (Main u. Quick Mode) Loadbalancing (NLB) Unterstützung für IPSec Pakete Loadbalancing (NLB) Unterstützung für IPSec Pakete Unterstützung für Hardwarebeschleunigung Unterstützung für Hardwarebeschleunigung Unterstützt einen von der IETF definierten Standard Unterstützt einen von der IETF definierten Standard Gemeinsamer Standard mit Cisco (RFC 3193) Gemeinsamer Standard mit Cisco (RFC 3193) Kompatibel zu Cisco IOS® ab Release 12.2(4)T Kompatibel zu Cisco IOS® ab Release 12.2(4)T Abwärtskompatibel mit Windows 2000 IP Security Abwärtskompatibel mit Windows 2000 IP Security

23 Konfiguration von IPSec Richtlinien

24 IP Security und VPNs Die VPN Technologie im Überblick Virtual Private Networks sind... Virtual Private Networks sind... Eine kostengünstige Alternative zu Standleitungen Eine kostengünstige Alternative zu Standleitungen Virtuelle Verbindungen über bestehende Netzwerke Virtuelle Verbindungen über bestehende Netzwerke Verschlüsselte Datenkanäle für sensible Daten Verschlüsselte Datenkanäle für sensible Daten Mögliche Einsatzszenarien für VPN Mögliche Einsatzszenarien für VPN Anbindung von Home- oder Remotearbeitsplätzen Anbindung von Home- oder Remotearbeitsplätzen Netzwerkkopplungen zwischen Standorten Netzwerkkopplungen zwischen Standorten

25 IP Security und VPNs Die VPN Technologie im Überblick Unternehmens-netzwerk RRAS RRAS Home- oder Remotearbeitsplatz

26 IP Security und VPNs Von Microsoft unterstützte VPN Protokolle Aufbau von VPN Tunneln mittels nativen IPSec Aufbau von VPN Tunneln mittels nativen IPSec Kopplung zwischen zwei IPSec fähigen Routern Kopplung zwischen zwei IPSec fähigen Routern Ein Phasen Authentifizierung nur über ISAKMP Ein Phasen Authentifizierung nur über ISAKMP Aufbau von VPN Tunneln mittels Wählverbindungen Aufbau von VPN Tunneln mittels Wählverbindungen RRAS Server ist der Einwahlpunkt für VPN Kanäle RRAS Server ist der Einwahlpunkt für VPN Kanäle Layer Two Tunneling Protokoll (L2TP) + IPSec Layer Two Tunneling Protokoll (L2TP) + IPSec Point to Point Tunnel Protokoll (PPTP) Point to Point Tunnel Protokoll (PPTP) Bietet zusätzliche Sicherheit durch Benutzerkennung Bietet zusätzliche Sicherheit durch Benutzerkennung Maximal drei Phasen Authentifizierung bei L2TP/IPSec Maximal drei Phasen Authentifizierung bei L2TP/IPSec

27 IP Security und VPNs Neue VPN Features unter Windows 2003 Variable IPSec Einstellungen für L2TP Tunnel Variable IPSec Einstellungen für L2TP Tunnel Die L2TP Authentifizierung auch ohne Zertifikate Die L2TP Authentifizierung auch ohne Zertifikate Frei definierbare IPSec Richtlinien für L2TP Tunnel Frei definierbare IPSec Richtlinien für L2TP Tunnel Einfaches Route Management für Split-Tunnel VPNs Einfaches Route Management für Split-Tunnel VPNs Neue DHCP Optionen zum setzen von IP Routen am Client Neue DHCP Optionen zum setzen von IP Routen am Client Verwaltung von VPN und DFÜ Clients mit CMAK 1.3 Verwaltung von VPN und DFÜ Clients mit CMAK 1.3 Zentrale Voreinstellung der VPN und DFÜ Verbindungen Zentrale Voreinstellung der VPN und DFÜ Verbindungen Unterstützung für Clientseitige Scripts bei der Einwahl Unterstützung für Clientseitige Scripts bei der Einwahl

28 IP Security und VPNs Neue VPN Features unter Windows 2003 Verbesserter Internet Authentification Service (IAS) Verbesserter Internet Authentification Service (IAS) Verwendet RADIUS als Industriestandard für AAA Dienste Verwendet RADIUS als Industriestandard für AAA Dienste Übernimmt Authentifizierung, Accounting und Autorisierung Übernimmt Authentifizierung, Accounting und Autorisierung Geeignet für RAS, VPN, Switche, WLANs und weitere Dienste Geeignet für RAS, VPN, Switche, WLANs und weitere Dienste RADIUS Proxy Funktionalität im neuen IAS Server RADIUS Proxy Funktionalität im neuen IAS Server Forwarding von AAA Anfragen auf externe RADIUS Server Forwarding von AAA Anfragen auf externe RADIUS Server Ermöglicht dabei eine Manipulation von Benutzernamen Ermöglicht dabei eine Manipulation von Benutzernamen Erweiterte und neue Authentifizierungs- Möglichkeiten Erweiterte und neue Authentifizierungs- Möglichkeiten Computer, Zertifikatsbasierte und EAP Authentifizierung Computer, Zertifikatsbasierte und EAP Authentifizierung Unterstützung für Quarantäne Netzwerke bei VPN Unterstützung für Quarantäne Netzwerke bei VPN

29 IP Security und VPNs Funktionsweise der Quarantäne Policy Internet Corp Netz Client RRAS IAS Quarantäne Netzwerk Connect Quarantine Access Full Access Policy Check Authenticate Authorize + Set Quarantäne + Normal Filter Set Normal Filter X

30 Konfiguration von VPN Zugriffen

31 Agenda Die Sicherheit von Windows 2000 vs Die Sicherheit von Windows 2000 vs Grundsätzliche Verbesserungen im Detail Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Internet Information Services 6.0 Microsoft Ressourcen im Internet Microsoft Ressourcen im Internet

32 Sichere Wireless Netzwerke Die Sicherheitsprobleme in IEEE Sicherheit durch Shared Keys? (WEP Protokoll) Sicherheit durch Shared Keys? (WEP Protokoll) Alle Clients benutzen den selben Verschlüsselungs- Key Alle Clients benutzen den selben Verschlüsselungs- Key Ändern des Keys ist zu aufwändig bzw. geschieht niemals Ändern des Keys ist zu aufwändig bzw. geschieht niemals WEP Keys sind zu schwach und fehlerhaft WEP Keys sind zu schwach und fehlerhaft 16,7 Mio. verschiedene Schlüssel möglich (40 u. 104 bit) 16,7 Mio. verschiedene Schlüssel möglich (40 u. 104 bit) Hiervon sind 1280 Schlüssel sehr schwach (Angriffsziel!) Hiervon sind 1280 Schlüssel sehr schwach (Angriffsziel!) 2-20 Gbyte an gesnifften Daten reichen zum Cracken 2-20 Gbyte an gesnifften Daten reichen zum Cracken Viele bekannte Angriffsmöglichkeiten gegen WEP Viele bekannte Angriffsmöglichkeiten gegen WEP Airsnort, WEPCrack und Man-in-the-Middel Angriffe Airsnort, WEPCrack und Man-in-the-Middel Angriffe

33 Sichere Wireless Netzwerke Mehr Sicherheit durch IEEE 802.1X Authentifizierung an einem Verzeichnisdienst Authentifizierung an einem Verzeichnisdienst Mittels einer Smartcard oder mit Client-Zertifikaten Mittels einer Smartcard oder mit Client-Zertifikaten Mittels eines Benutzernamens und Passwort Mittels eines Benutzernamens und Passwort AAA Zugriffssteuerung über RADIUS Server AAA Zugriffssteuerung über RADIUS Server RADIUS bietet Authentification, Accounting, Authorisation RADIUS bietet Authentification, Accounting, Authorisation Zugriff auf bestehende Benutzerdatenbanken (AD) möglich Zugriff auf bestehende Benutzerdatenbanken (AD) möglich Dynamische WEP Keys beseitigen Shared-Key Probleme Dynamische WEP Keys beseitigen Shared-Key Probleme Benutzer erhalten vom RADIUS Server eigene WEP Keys Benutzer erhalten vom RADIUS Server eigene WEP Keys EAP-TLS und PEAP als IEEE 802.1X Standards EAP-TLS und PEAP als IEEE 802.1X Standards

34 Sichere Wireless Netzwerke IEEE 802.1X Szenario mit EAP-TLS EAP-TLS als Lösung für Netzwerke mit PKI EAP-TLS als Lösung für Netzwerke mit PKI Am Client Compter ist ein X509v3 Zertifikat erforderlich Am Client Compter ist ein X509v3 Zertifikat erforderlich Computer- oder Benutzerzertifikat werden benötigt Computer- oder Benutzerzertifikat werden benötigt Am RADIUS Server ist ein Computer Zertifikat erforderlich Am RADIUS Server ist ein Computer Zertifikat erforderlich EAP Anmeldung am Active Directory über RADIUS EAP Anmeldung am Active Directory über RADIUS Minimal: Windows 2000 Server IAS + EAP Updates Minimal: Windows 2000 Server IAS + EAP Updates Optimal: Windows Server 2003 IAS Optimal: Windows Server 2003 IAS Die Accesspoints müssen EAP-TLS unterstützen Die Accesspoints müssen EAP-TLS unterstützen EAP Wireless Client ist ein Windows 2000/XP EAP Wireless Client ist ein Windows 2000/XP Verwaltung beim 2003er Active Directory über GPOs Verwaltung beim 2003er Active Directory über GPOs

35 Sichere Wireless Netzwerke IEEE 802.1X Szenario mit PEAP PEAP ist eine Erweiterung vom EAP Protokoll PEAP ist eine Erweiterung vom EAP Protokoll Authentifizierung geschieht über das MS-CHAPv2 Protokoll Authentifizierung geschieht über das MS-CHAPv2 Protokoll Anmeldung mit Benutzername/Passwort oder Smartcard Anmeldung mit Benutzername/Passwort oder Smartcard Keine Computer Zertifikate am WLAN Client erforderlich Keine Computer Zertifikate am WLAN Client erforderlich PEAP Anmeldung am Active Directory über RADIUS PEAP Anmeldung am Active Directory über RADIUS Ein Windows Server 2003 IAS ist erforderlich Ein Windows Server 2003 IAS ist erforderlich Die Accesspoints müssen EAP-TLS unterstützen Die Accesspoints müssen EAP-TLS unterstützen PEAP Wireless Client ist Windows 2000/XP PEAP Wireless Client ist Windows 2000/XP Verwaltung beim 2003er Active Directory über GPOs Verwaltung beim 2003er Active Directory über GPOs

36 Sichere Wireless Netzwerke Deployment Szenarien für EAP-TLS & PEAP Directory Service (AD) Wireless Client (WinXP) Wireless Access Point RADIUS Server (MS IAS) Firmeninterne Zertifizierungs Stelle WLANs mit EAP-TLS AP Directory Service (AD) Wireless Client (WinXP) Wireless Access Point RADIUS Server (MS IAS) WLANs mit PEAP AP 3 rd Party Zertifizierungs Stelle

37 Konfiguration von EAP und PEAP

38 Agenda Die Sicherheit von Windows 2000 vs Die Sicherheit von Windows 2000 vs Grundsätzliche Verbesserungen im Detail Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Internet Information Services 6.0 Microsoft Ressourcen im Internet Microsoft Ressourcen im Internet

39 Internet Information Services 6.0 Richard Karl Technologie Berater Microsoft Deutschland GmbH Tech Level: 300

40 Internet Information Services 6 Generelle Vorteile des IIS Webserver Sicher Voreinstellung: Nicht installiert Voreinstellung: Nicht installiert Am Anfang nur statische HTML Seiten Am Anfang nur statische HTML Seiten Durchgereichte Authentifizierung Durchgereichte Authentifizierung Worker Prozess ID wählbar Worker Prozess ID wählbar Zuverlässig Neues Prozessmodell Neues Prozessmodell Anwendungsgruppen Anwendungsgruppen Prozess Wiederverwertung Prozess Wiederverwertung Verfügbarkeits Erkennung Verfügbarkeits Erkennung Skalierbar Verwaltbar XML Metabase XML Metabase WMI Provider WMI Provider Kommando Zeilen Werkzeuge Kommando Zeilen Werkzeuge Versions und Konfigurationskontrolle Versions und Konfigurationskontrolle Web Gardens Web Gardens Mehr Sites pro Server Mehr Sites pro Server Verbesserte NAS Unterstützung Verbesserte NAS Unterstützung Kernel Cache für HTML & ASPX Seiten Kernel Cache für HTML & ASPX Seiten

41 metabase Das alte IIS 5.0 Prozessmodell TCP/IP ISAPI Filters INETINFO W3Csvc ISAPIExtensions DLLHOST.EXE WAM ISAPIExtensions DLLHOST.EXE WAM ISAPIExtensions DLLHOST.EXE W3Csvc ISAPIExtensions Winsock Suboptimale Performance Gute Performanz, aber unstabile Webseiten können den gesamten Webserver beinflussen Gefährlicher Systemkontext Schlechtere Performance Unstabile Webseiten können den Webserver nicht beinflussen Hoher Resourceverbrauch User Mode Kernel Mode Monolithische Black Box

42 HTTP.SYS INETINFO.exe metabase ftp, smtp, nntp User mode Kernel mode Configuration Manager Application Pool Manager W3SVC Listener Response Cache Sender Web Publishing Administration Monitoring Das neue IIS 6.0 Prozessmodel Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool Multiple Apps W3WP.exe ISAPI Ext ISAPI Filters App Pool Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool Single App W3WP.exe ISAPI Ext ISAPI Filters App Pool DoS Schutz durch limitierte und einstellbare Warteschlangen und CPU Begrenzung pro Workerprozess TCP/IP Hohe Performance durch zwischengespeicherte Webseiten Unabhängige Workerprozesse mit definierbaren Dienstkonten (Systemkontext nicht erforderlich) Hohe Performance durch Wegfall von Out-Process Anwendungen Unstabile Webseiten können nicht andere oder den Webserver beeinträchtigen Zentrale Steuerung und Healthmonitoring der Workerprozesse Integrierter IIS Lockdown Wizard

43 Prozess Wiederverwertung kernel user WAS HTTP.SYS Old Worker Process ISAPI Exts & Filters Web Proc. Core DLL Ready for Recycle New Worker Process ISAPI Exts & Filters Web Proc. Core DLL Shut down Request startup ready Request

44 Anwendungsgruppen Wiederverwertung Erneuern nach: X Minuten Aktivität X Minuten Aktivität Nach X Anforderungen Nach X Anforderungen Zu definierten Zeiten Zu definierten Zeiten Erneuern nach Überschreiten eines definierten Speicherverbrauchs

45 Anwendungsgruppen Performanz Untätige Gruppen werden gestoppt um Resourcen zu sparen Bewahrt den Server vor Überlast Anzahl der Prozesse für bessere Skalierung CPU Verbrauchs- überwachung

46 Anwendungsgruppen Verfügbarkeit Einschalten und Setzen des Zeitintervalls Einschalten von RFP und Setzen der Parameter Anlaufzeit begrenzen Abschlußzeit begrenzen

47 Anwendungsgruppen Identität Vordefinierte Identititäten - Network Service - Local Service - Local System Oder selbstdefinierte Benutzerkonten, die zur IIS_WPG Group gehören müssen

48 IIS 6.0 Isolation Modes Worker Process Isolations Modus Worker Process Isolations Modus Voreinstellung für IIS 6.0 Voreinstellung für IIS 6.0 IIS 5.0 Isolations Modus IIS 5.0 Isolations Modus Rückwärts Kompatibel zu IIS 5.0 Rückwärts Kompatibel zu IIS 5.0 Jede Anfrage muss durch Inetinfo.exe Jede Anfrage muss durch Inetinfo.exe Es gibt keine Anwendungsgruppen und keine Prozesswiederverwertung Es gibt keine Anwendungsgruppen und keine Prozesswiederverwertung

49 Anwender Isolierung unter FTP Beschränkt Anwender auf ihre eigenen Verzeichnisse Beschränkt Anwender auf ihre eigenen Verzeichnisse Verhindert die Aufwärts Navigation im Verzeichnis Baum Verhindert die Aufwärts Navigation im Verzeichnis Baum Erleichtert das Zuweisen von Rechten Erleichtert das Zuweisen von Rechten FTP Benutzer Isolation FTP Benutzer Isolation Kompatibel / keine Isolation Kompatibel / keine Isolation Einfache Anwendungen / Lokale Isolation Einfache Anwendungen / Lokale Isolation Komplexe Anwendungen durch Active Directory Integration Komplexe Anwendungen durch Active Directory Integration

50 Metabase XML – ohne spezielle Werkzeuge lesbar XML – ohne spezielle Werkzeuge lesbar Während der Laufzeit editierbar Während der Laufzeit editierbar Bei jeder Änderung wird eine Sicherheitkopie in das Verlaufsverzeichnis kopiert und unter einem eindeutigen Namen gespeichert Bei jeder Änderung wird eine Sicherheitkopie in das Verlaufsverzeichnis kopiert und unter einem eindeutigen Namen gespeichert Einfach zurück zu sichern Einfach zurück zu sichern Server Objekt -> Alle Aufgaben -> Backup/Restore Konfiguration Server Objekt -> Alle Aufgaben -> Backup/Restore Konfiguration

51 Authentifizierung Authentifizierungs Modi Authentifizierungs Modi Forms – nicht authentifizierte Anfragen werden an die Anmeldeseite weitergeleitet Forms – nicht authentifizierte Anfragen werden an die Anmeldeseite weitergeleitet Windows – Windows Authentifizierung durch IIS Windows – Windows Authentifizierung durch IIS Passport – Konten werden auf AD Konten abgebildet Passport – Konten werden auf AD Konten abgebildet Anonym – keine Anmeldung nötig Anonym – keine Anmeldung nötig Protokolltransparenz Protokolltransparenz Legacy Protokolle werden auf Kerberos Tickets abgebildet Legacy Protokolle werden auf Kerberos Tickets abgebildet Ermöglicht ein Single-Sign-On für komplexe Webportale Ermöglicht ein Single-Sign-On für komplexe Webportale Modus wird in web.config festgelegt: Modus wird in web.config festgelegt:

52 Autorisierung Bildet Rechte auf authentifizierte Anwender ab Bildet Rechte auf authentifizierte Anwender ab Negative Modelle empfohlen Negative Modelle empfohlen (Jeder kann GET) --> * Alle Benutzer ? Anonyme Benutzer

53 Agenda Die Sicherheit von Windows 2000 vs Die Sicherheit von Windows 2000 vs Grundsätzliche Verbesserungen im Detail Grundsätzliche Verbesserungen im Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste Zertifikatsdienste und deren Einsatzgebiete Zertifikatsdienste und deren Einsatzgebiete IP Security und Virtual Private Networks IP Security und Virtual Private Networks Sichere Wireless LAN Umgebungen Sichere Wireless LAN Umgebungen Internet Information Services 6.0 Internet Information Services 6.0 Microsoft Ressourcen im Internet Microsoft Ressourcen im Internet

54 Microsoft Ressourcen im Internet Windows 2003 Server Website Windows 2003 Server Websitewww.microsoft.com/windowsserver2003/ Microsoft Website zum Thema Sicherheit Microsoft Website zum Thema Sicherheitwww.microsoft.com/germany/security/ Deutschsprachige TechNet Website Deutschsprachige TechNet Websitewww.microsoft.com/germany/technet/ Security News Group auf news.microsoft.com Security News Group auf news.microsoft.com/microsoft.public.de.security.heimanwender/microsoft.public.de.security.netzwerk.sicherheit IIS 6.0 Technische Übersicht: IIS 6.0 Technische Übersicht:www.microsoft.com/windows.netserver/techinfo/overview/iis.mspx

55 Bleiben Sie am Ball Sicherheit: A way of life Abonnieren Sie den Security Notification Service Abonnieren Sie den Security Notification Service ?url=/technet/security/bulletin/notify.asp Benutzen Sie den Baseline Security Analyser Benutzen Sie den Baseline Security Analyserwww.microsoft.com/technet/treeview/default.asp?url=/technet/security/tools/tools/MBSAHome.asp Evaluieren Sie den Software Update Services Evaluieren Sie den Software Update Serviceswww.microsoft.com/windows2000/windowsupdate/sus

56 Questions and Answers

57 Ihr Potenzial. Unser Antrieb.


Herunterladen ppt "Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS GmbH Tech Level: 300."

Ähnliche Präsentationen


Google-Anzeigen