TechNet Security Roadshow 2002
ISA Server im praktischen Einsatz Kai Wilke MVP ISA Server Björn Schneider Consultant IT-Security
Agenda Angriffe auf Netzwerke ISA Server Einsatzplanung ISA Server Installation ISA Server Konfiguration ISA Server Erweiterung Ausblick
Angriffe auf Netzwerke Geschäftsprozesse im Wandel Internet Neue Herausforderungen Schutz des Unternehmens- netzes vor Angriffen Schutz der Unternehmens- daten vor Diebstahl Verwaltung und Kontrolle der Internetzugriffe Beschleunigung der Zugriffe auf das Internet und optimale Nutzung der Bandbreiten
Angriffe auf Netzwerke Gefahren im TCP/IP Protokoll LayerLayerProtokollProtokollAngriffAngriff Applikation FTP, SMTP, HTTP Transport TCP, UDP Netzwerk IP, ICMP Link Physical ARP Ethernet Protokoll Analyser ARP Spoofing oder Flooding Fragmentierung, Flooding, Spoofing Portscan, Spoofing DoS, Buffer Overflow uvm.
Angriffe auf Netzwerke Anatomie eines Angriffs Footprinting des Netzwerkes Informationssammlung, Social Engineering Zieladressen durch DNS Informationen Scanning der Systeme Aktive Dienste, Banner Grabbing, Stack Fingerprinting Auswerten von Schwachstellen Konfigurationsfehler Ungeschütze Ressourcen Nicht gepatchte Server und Sicherheitslücken Unerlaubter Datenzugriff oder DoS Angriffe Auf der Basis der gesammelten Daten Spuren werden verwischt und Backdoors eingerichtet...
Firewall DMZ Angriffe auf Netzwerke Perimeter Verteidigung Einrichtung einer Firewall als Gateway zum Internet oder zwischen Abteilungen Eine Firewall ist ein kontrollierter Zugriffspunkt für sämtlichen Datenverkehr, der zum internen Netzwerk gesendet wird der vom internen Netzwerk gesendet wird Internet
Telnet FTP IMAP Angriffe auf Netzwerke Funktionsweise einer Firewall HTTP SMTPX Firewall Regeln Technische Umsetzung von Firewall Regeln: Definition der zu veröffentlichenden Dienste Definition der Zugriffsrechte für interne Clients bzw. Nutzer Nicht zulässiger Datenverkehr wird abgewiesen Externe Angriffe aus dem Internet Zugriffe die nicht den Richtlinien entsprechen Anwendungsfilter Proxy Server Paketfilter
Agenda Angriffe auf Netzwerke ISA Server Einsatzplanung ISA Server Installation ISA Server Konfiguration ISA Server Erweiterung Ausblick
ISA Server Einsatzplanung Produktversionen Zwei Editionen Standard Firewall Proxy Server Enterprise Version Support von Multi Server Cluster bzw. Arrays Enterprise Policies über das Active Directory Hierarchisches Administrationsmodell Drei Betriebsarten Firewall Mode Cache Only Mode Integrated Mode
Bastion Host ISA Server Einsatzplanung Firewall Design ISA Server Internet LAN
Dreibeinige Firewall DMZ ISA Server Einsatzplanung Firewall Design ISA Server Internet LAN
Back to Back Firewall DMZ ISA Server Einsatzplanung Firewall Design 3rd Party Firewall ISA Server Internet LAN
ISA Server Einsatzplanung Netzwerk Integration IP Adressierung Private Adressen im internen Netzwerk Offizielle IP Adressen in der DMZ Dial Up Verbindungen Verwendung von NAT Zwischen internen Netzwerk und DMZ Zwischen internen Netzwerk und Internet Verwendung von Routing Zwischen dreibeiniger DMZ und Internet DNS Auflösung Interne und externe DNS Zonen verwenden
Forward Proxy ISA Server Einsatzplanung Proxy Server Design CERN 1.1 oder Transparenter Proxy Server Speichert Clientanfragen zwischen Ermöglicht eine Inhaltsüberprüfung der Webanfragen (Dateiendungen, Non-Work, Viren) Cache ISA Server Internet LAN
ISA Server verhält sich wie ein Webserver Inhaltsüberprüfung wird bereits an der Firewall durchgeführt Anfragen werden nur ins interne Netzwerk geleitet, wenn die Regeln es zulassen Reverse Proxy ISA Server Einsatzplanung Proxy Server Design Cache ISA Server Internet LAN
ISA Server Einsatzplanung Active Directory Integration Domänen Mitgliedschaft erforderlich für Benutzerauthentifizierung ISA Server Arrays (Schema Update) Dedizierte Domäne oder Forest für den ISA Server? Geringer Sicherheitsvorteil Hohe Kosten und administrativer Aufwand Separater Forest ist hilfreich innerhalb demilitarisierter Zonen
Agenda Angriffe auf Netzwerke ISA Server Einsatzplanung ISA Server Installation ISA Server Konfiguration ISA Server Erweiterung Ausblick
ISA Server Installation Windows 2000 Installation Verbindung ins Internet trennen! Nur die nötigsten Dienste installieren Muss der Webserver auf der Firewall laufen? Installieren der aktuellen Service Packs Security Baseline Analyzer oder HFNetChk um fehlende Hotfixes zu finden Aktuelle XML Datei von einem anderen Computer downloaden und anwenden Installieren der aktuellen Security Rollup Packages und Hotfixes
ISA Server Installation Windows 2000 Konfiguration Vergabe der IP Konfiguration vor der ISA Server installation (Intra Array IP Problem) IP Adresse Standardgateway DNS und WINS NetBios over TCP/IP? Protokoll Bindungen der Netzwerkarten Anzahl der Netzwerkadapter Domänen Mitgliedschaft Festplattenkonfiguration
DemoKonfiguration der Netzwerkkarten
ISA Server Installation ISA Server Installation Bei Active Directory Integration (Arrays) Shema Updates rechtzeitig einspielen Installation der benötigten ISA Server Dienste Message Screener H.323 Gatekeeper Überprüfen der LAT Installation des SP1 Features Bugfixes Installation aller verfügbaren Hotfixes
ISA Server Installation System Hardening Kontenrichtlinie festlegen Kennwortrichtlinien Aktivieren des Account Lockout PASSPROP.EXE /ADMINLOCKOUT Lokale Sicherheitsrichtlinie festlegen Security Auditing einsetzen Deaktivieren nicht benötigter Dienste NTFS Berechtigungen Logfiles Cache Datenbank
ISA Server Installation ISA Security Configuration Wizard ISA Server Security Wizard nutzt W2k Vorlagen Eigene Sicherheitsvorlagen erstellen Disaster Recovery Möglichkeiten Setup Security Template Sicherheitsvorlagen über GPOs ausrollen Default Settings Eigene Vorlagen
DemoSicherheitskonfiguration und Analyse, PASSPROP.EXE
Agenda Angriffe auf Netzwerke ISA Server Einsatzplanung ISA Server Installation ISA Server Konfiguration ISA Server Erweiterung Ausblick
Webproxyclient Internet Explorer oder HTTP 1.1 kompatible Browser Unterstützt die Protokolle HTTP, FTP und Gopher Ermöglicht Benutzerauthentifizierung Webproxyclient Internet Explorer oder HTTP 1.1 kompatible Browser Unterstützt die Protokolle HTTP, FTP und Gopher Ermöglicht Benutzerauthentifizierung Firewallclient Leitet Anfragen von Winsock Anwendungen weiter Ermöglicht den Einsatz komplexer Protokolle Benötigt eine Firewallclient Software (Nur WIN 32) Ermöglicht Benutzerauthentifizierung Firewallclient Leitet Anfragen von Winsock Anwendungen weiter Ermöglicht den Einsatz komplexer Protokolle Benötigt eine Firewallclient Software (Nur WIN 32) Ermöglicht Benutzerauthentifizierung SecureNAT Client Wird von allen TCP/IP basierenden Computern unterstützt Integration in die bestehende Routingumgebung SecureNAT Client Wird von allen TCP/IP basierenden Computern unterstützt Integration in die bestehende Routingumgebung ISA Server Konfiguration Client Typen Internet ISA Server Cache
ISA Server Kongfiguration Ausgehende Anfragen Protokollregeln Legen die Protokolle, Uhrzeiten und internen Clients fest, die mit dem Internet kommunizieren dürfen Standort- und Inhaltsregeln Legen die IP Adressen oder Webseiten, Inhaltstypen und internen Clients fest, die mit dem Internet kommunizieren dürfen IP Paketfilter Legen fest wie der ISA Server oder ein Computer in der DMZ (Dreibeinige Firewall) mit dem Internet kommunizieren darf Können die Protokollregeln und Standort- und Inhaltregeln einschränken
ISA Server Kongfiguration Effektive Regeln - Client Anfragen Gibt es eine Standort- und Inhaltsregel, welche die Anforderung verweigert? Gibt es eine Standort- und Inhaltsregel, welche die Anforderung verweigert? Gibt es eine Protokollregel, welche die Anforderung verweigert? Gibt es eine Protokollregel, welche die Anforderung verweigert? Anforderung vom internen Client Anforderung vom internen Client Anforderung verweigern! Objekt abrufen Gibt es eine Protokollregel, welche die Anforderung zulässt? Gibt es eine Protokollregel, welche die Anforderung zulässt? Ja Nein Ja Nein Gibt es eine Standort- und Inhaltsregel, welche die Anforderung zulässt? Gibt es eine Standort- und Inhaltsregel, welche die Anforderung zulässt? Ja Blockiert ein IP-Paketfilter die Anforderung? Spezifiziert eine Routingregel das Routing zu einem Upstreamserver? Spezifiziert eine Routingregel das Routing zu einem Upstreamserver? Nein Zum Upstreamserver routen Zum Upstreamserver routen Nein Ja Nein Ja
ISA Server Kongfiguration Benutzer Authentifizierung Authentifizierung mittels AD oder lokaler SAM Webproxy Clients Anonymer Zugriff Basic, Integriert, Digest, Zertifikate Firewall Client Integrierte Windows Anmeldung SecureNAT Client Nur mit herkömlicher IP Adressierung Web Anfragen von Firewall- und SecureNAT Clients HTTP Redirector verwirft die Anmeldeinformationen Erzwingen der Authentifizierung „Anonymous“ in den Logfiles???
Demo Zugriffsrichtlinie für ausgehende Anfragen erstellen
ISA Server Kongfiguration Eingehende Anfragen Veröffentlichen von internen Ressourcen Serververöffentlichungen Reverse NAT von TCP oder UDP Diensten Mapping zwischen externer und interner IP Adresse mit einem bestimmten Protokoll (Port) Webveröffentlichungen Reverse Proxy Funktion des ISA Servers nutzen Ausschließlich HTTP oder HTTPS Anfragen Firewalling auf HTTP Anwendungsebene
ISA Server Kongfiguration Serververöffentlichungen in der Praxis Überprüfen ob der Port bereits am ISA Server vergeben wurde NETSTAT.EXE –NA IIS Socketpooling, Terminal Server Internen Server als SecureNAT Client einrichten Serververöffentlichung einrichten IP Adressenzuordnung einrichten Protokoll auswählen Testen der Serververöffentlichungen telnet server.domain.tld [port]
DemoSerververöffentlichung eines SMTP Servers
ISA Server Kongfiguration Webveröffentlichungen in der Praxis ISA Server verhält sich wie ein WebServer Leitet die Anfragen an interne Webserver weiter Unterscheidung der internen Webseiten anhand IP Adressen, Hostheader, Pfadangaben ISA Server übernimmt die SSL Verschlüsselung ISA Server Josef DNS: “ SSL Verschlüsselung SSL oder HTTP /asia /europe LAN
ISA Server Kongfiguration Outlook Web Access Probleme Funktionsweise der OWA Webseite OWA wertet den Hostheader der Client Anfrage aus OWA benutzt den Hostheader, um Frames und Objekte in die Webseite einzubinden (Absolute Pfade) Probleme im Zusammenhang mit ISA Die ISA Server Webpublishing Rules verändert den Hostheader (ISA OWA) Frames und Objekte werden mit falschen Pfaden eingebunden (OWA Client) Clients bekommen zerstückelte Webseiten (Client falschen FQDN)
ISA Server Kongfiguration Outlook Web Access Konfiguration Abhörer für eingehende Anfragen erstellen SSL Zertifikate am ISA Server einbinden Erstellen eines OWA Zielsatzes Externer FQDN und Virtuelle Webs /exchange/*, /exchweb/*, /public/* Webpublishing Wizard starten OWA Zielsatz verwenden Umleitung zum X.509 CNAME des OWAs Option: Originalen Hostheader senden! Bei Bridging von zu Q auf dem ISA Server anwenden
Demo Veröffentlichen von Outlook Web Access (OWA)
Agenda Angriffe auf Netzwerke ISA Server Einsatzplanung ISA Server Installation ISA Server Konfiguration ISA Server Erweiterung Ausblick
ISA Server Erweiterung Software Developer Kit für ISA (SDK) Third Party Tools Reporting, Business Analytics Access Control Content Security Intrusion Detection Monitoring
Agenda Angriffe auf Netzwerke ISA Server Einsatzplanung ISA Server Installation ISA Server Konfiguration ISA Server Erweiterung Ausblick
Ausblick Microsoft Security Initiative Trustworthy Computing Secure Connected Infrastructure Security Solutions Windows.NET Security Features ISA Server Value Pack OWA/SSL – Wizzard, URLScan für ISA,… Ende des Jahres erwartet
Ressourcen TechNet-Website ISA Server-Website Microsoft-Website zum Thema Sicherheit 1# ISA Server Ressource Site Deutsche ISA Server FAQ ISA News Groups auf news.microsoft.com /microsoft.public.de.german.isaserver /microsoft.public.de.german.isaserver Security News Groups auf news.microsoft.com /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender
TechNet Security Roadshow 2002