TechNet Security Roadshow ISA Server im praktischen Einsatz Kai Wilke MVP ISA Server Björn Schneider Consultant IT-Security.

Slides:



Advertisements
Ähnliche Präsentationen
Aufbau eines Netzwerkes
Advertisements

Einer der Dienste im Internet
Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
Kommunikation und Zusammenarbeit mit Microsoft Exchange Server 2003
Verwenden der Microsoft Sicherheitstools Christian Thor Technologieberater Microsoft Deutschland GmbH.
Web Matrix Project Kurzüberblick Dirk Primbs Technologieberater Developer Platform Strategy Group Microsoft Deutschland GmbH.
Sicherheit als Geschäftsmodell
Systemverwaltung wie es Ihnen gefällt.
Firewalls.
Datenbankzugriff im WWW (Kommerzielle Systeme)
Die Firewall Was versteht man unter dem Begriff „Firewall“?
PC I Kursdauer:3 x 3 Stunden Dozentin:Johanna Vohwinkel.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Firewalls Holger Stengel Vortrag am Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.
WhatsUp Gold
Einführung in die Technik des Internets
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.
Referat über das Thema: Firewall
Workshop: Active Directory
IGEL UMS Universal Management Suite Oktober 2011 Florian Spatz
Windows Small Business Server 2008
Sicherer Zugang zu internen Terminalservern von öffentlichen PCs
Netzwerktechnik Wiederholung Mag. Sabine Tullits.
Weltweite Kommunikation mit Exchange Server über das Internet
3 Wie funktioniert TCP/IP?
HOB RD VPN HOB Remote Desktop Virtual Private Network
Bereitstellen eines Internetzugangs über eine Firewall mit Proxyserver
1 Teil 2 Einblicke in Exchange 2003 (Basis Beta 2)
Arbeitsgruppen-administration
Präsentation von Lukas Sulzer
Grundlagen der Netzwerktechnik
Netzwerke.
1 (C)2006, Hermann Knoll, HTW Chur, FHO teKRY407 Geheimhaltung, Authentikation, Anonymität Protokolle: Übersicht Referat Santos: Hash-Funktionen.
Dedizierte Systeme Typo3 Installation Dedizierte Systeme – Typo3 Installation – Christoph Stollwerk IT Zertifikat der Philosophischen Fakultät WS 2008/2009.
Zero Administration Kit für Microsoft® Windows® Jörg Kramer University Support Center.
VPN – Virtual Private Network
->Prinzip ->Systeme ->Peer – to – Peer
Datenbanken im Web 1.
Internet-Grundtechnologien. Client / Server Client („Kunde“): fordert Information / Datei an im Internet: fordert Internetseite an, z.B.
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Sniffing & Spoofing Workshop
Workshop Sicherheit Von Christian Hövels Klasse: ITA U1 Fach: Betriebs- und Netzwerke Abgabetermin:
Mobile Computing Praxisbeispiele
Sicherheitskomponente in der Computertechnik
NiederwangenWinterthurBaselMünchenFrankfurt Ralf Fachet Das M2M Kochbuch Fernzugriff mit Mobilfunk.
Lync and Learn mit Manfred Helber Thema heute: Überblick der Leistungserweiterungen von Windows Server 2016 Start: 9.30 Uhr 30 Minuten Vortrag & Demo 30.
Unternehmensweite und Internetrichtlinien und deren Einhaltung mit BlueCoat & Sophos.
Identity Management.  Zentrale Begriffe und Probleme  Modellbildung  Methoden zur Authentisierung über HTTP  Technische Aspekte  Compliance  Hindernisse,
LINUX II Samba Verbindung mit Windows. Samba Übersicht ● Samba dient zur Verbindung von Linux-Clients mit Windows Rechnern ( samba-client ) sowie von.
15b beas WEB App Installation
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Crashkurs Computernetzwerke
WS2016: Container von A bis Z
Manuel Blechschmidt & Volker Grabsch CdE Sommerakademie 2006 Kirchheim
Azure Active Directory und Azure Active Directory Domain Services
Microsoft Azure Optionen zur Verbindung mit OnPremises Netzwerken
VPN (Virtual private Network)
Firewall.
Netzwerksicherheit Netzwerkgrundlagen.
Ich brauche eine Web-Seite vom Server im Internet
Security Labor MitM-Demonstration
Datenbanken online sowie offline verfügbar machen
Rechenzentrum Zentrum für Kommunikation und Information
SOFTWARE- UND WEB-LÖSUNGEN
Überblick zur Protokoll-/ Verbindungswahl zwischen Backend-Server und Gateway ITC-MEETING Tobias Hänel.
 Präsentation transkript:

TechNet Security Roadshow 2002

ISA Server im praktischen Einsatz Kai Wilke MVP ISA Server Björn Schneider Consultant IT-Security

Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

Angriffe auf Netzwerke Geschäftsprozesse im Wandel Internet  Neue Herausforderungen  Schutz des Unternehmens- netzes vor Angriffen  Schutz der Unternehmens- daten vor Diebstahl  Verwaltung und Kontrolle der Internetzugriffe  Beschleunigung der Zugriffe auf das Internet und optimale Nutzung der Bandbreiten

Angriffe auf Netzwerke Gefahren im TCP/IP Protokoll LayerLayerProtokollProtokollAngriffAngriff Applikation FTP, SMTP, HTTP Transport TCP, UDP Netzwerk IP, ICMP Link Physical ARP Ethernet Protokoll Analyser ARP Spoofing oder Flooding Fragmentierung, Flooding, Spoofing Portscan, Spoofing DoS, Buffer Overflow uvm.

Angriffe auf Netzwerke Anatomie eines Angriffs  Footprinting des Netzwerkes  Informationssammlung, Social Engineering  Zieladressen durch DNS Informationen  Scanning der Systeme  Aktive Dienste, Banner Grabbing, Stack Fingerprinting  Auswerten von Schwachstellen  Konfigurationsfehler  Ungeschütze Ressourcen  Nicht gepatchte Server und Sicherheitslücken  Unerlaubter Datenzugriff oder DoS Angriffe  Auf der Basis der gesammelten Daten  Spuren werden verwischt und Backdoors eingerichtet...

Firewall DMZ Angriffe auf Netzwerke Perimeter Verteidigung  Einrichtung einer Firewall als Gateway zum Internet oder zwischen Abteilungen  Eine Firewall ist ein kontrollierter Zugriffspunkt für sämtlichen Datenverkehr,  der zum internen Netzwerk gesendet wird  der vom internen Netzwerk gesendet wird Internet

Telnet FTP IMAP Angriffe auf Netzwerke Funktionsweise einer Firewall HTTP SMTPX Firewall Regeln  Technische Umsetzung von Firewall Regeln:  Definition der zu veröffentlichenden Dienste  Definition der Zugriffsrechte für interne Clients bzw. Nutzer  Nicht zulässiger Datenverkehr wird abgewiesen  Externe Angriffe aus dem Internet  Zugriffe die nicht den Richtlinien entsprechen Anwendungsfilter Proxy Server Paketfilter

Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

ISA Server Einsatzplanung Produktversionen  Zwei Editionen  Standard  Firewall  Proxy Server  Enterprise Version  Support von Multi Server Cluster bzw. Arrays  Enterprise Policies über das Active Directory  Hierarchisches Administrationsmodell  Drei Betriebsarten  Firewall Mode  Cache Only Mode  Integrated Mode

Bastion Host ISA Server Einsatzplanung Firewall Design ISA Server Internet LAN

Dreibeinige Firewall DMZ ISA Server Einsatzplanung Firewall Design ISA Server Internet LAN

Back to Back Firewall DMZ ISA Server Einsatzplanung Firewall Design 3rd Party Firewall ISA Server Internet LAN

ISA Server Einsatzplanung Netzwerk Integration  IP Adressierung  Private Adressen im internen Netzwerk  Offizielle IP Adressen in der DMZ  Dial Up Verbindungen  Verwendung von NAT  Zwischen internen Netzwerk und DMZ  Zwischen internen Netzwerk und Internet  Verwendung von Routing  Zwischen dreibeiniger DMZ und Internet  DNS Auflösung  Interne und externe DNS Zonen verwenden

Forward Proxy ISA Server Einsatzplanung Proxy Server Design  CERN 1.1 oder Transparenter Proxy Server  Speichert Clientanfragen zwischen  Ermöglicht eine Inhaltsüberprüfung der Webanfragen (Dateiendungen, Non-Work, Viren) Cache ISA Server Internet LAN

 ISA Server verhält sich wie ein Webserver  Inhaltsüberprüfung wird bereits an der Firewall durchgeführt  Anfragen werden nur ins interne Netzwerk geleitet, wenn die Regeln es zulassen Reverse Proxy ISA Server Einsatzplanung Proxy Server Design Cache ISA Server Internet LAN

ISA Server Einsatzplanung Active Directory Integration  Domänen Mitgliedschaft erforderlich für  Benutzerauthentifizierung  ISA Server Arrays (Schema Update)  Dedizierte Domäne oder Forest für den ISA Server?  Geringer Sicherheitsvorteil  Hohe Kosten und administrativer Aufwand  Separater Forest ist hilfreich innerhalb demilitarisierter Zonen

Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

ISA Server Installation Windows 2000 Installation  Verbindung ins Internet trennen!  Nur die nötigsten Dienste installieren  Muss der Webserver auf der Firewall laufen?  Installieren der aktuellen Service Packs  Security Baseline Analyzer oder HFNetChk um fehlende Hotfixes zu finden  Aktuelle XML Datei von einem anderen Computer downloaden und anwenden  Installieren der aktuellen Security Rollup Packages und Hotfixes

ISA Server Installation Windows 2000 Konfiguration  Vergabe der IP Konfiguration vor der ISA Server installation (Intra Array IP Problem)  IP Adresse  Standardgateway  DNS und WINS  NetBios over TCP/IP?  Protokoll Bindungen der Netzwerkarten  Anzahl der Netzwerkadapter  Domänen Mitgliedschaft  Festplattenkonfiguration

DemoKonfiguration der Netzwerkkarten

ISA Server Installation ISA Server Installation  Bei Active Directory Integration (Arrays) Shema Updates rechtzeitig einspielen  Installation der benötigten ISA Server Dienste  Message Screener  H.323 Gatekeeper  Überprüfen der LAT  Installation des SP1  Features  Bugfixes  Installation aller verfügbaren Hotfixes

ISA Server Installation System Hardening  Kontenrichtlinie festlegen  Kennwortrichtlinien  Aktivieren des Account Lockout  PASSPROP.EXE /ADMINLOCKOUT  Lokale Sicherheitsrichtlinie festlegen  Security Auditing einsetzen  Deaktivieren nicht benötigter Dienste  NTFS Berechtigungen  Logfiles  Cache Datenbank

ISA Server Installation ISA Security Configuration Wizard  ISA Server Security Wizard nutzt W2k Vorlagen  Eigene Sicherheitsvorlagen erstellen  Disaster Recovery Möglichkeiten  Setup Security Template  Sicherheitsvorlagen über GPOs ausrollen Default Settings Eigene Vorlagen

DemoSicherheitskonfiguration und Analyse, PASSPROP.EXE

Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

Webproxyclient Internet Explorer oder HTTP 1.1 kompatible Browser Unterstützt die Protokolle HTTP, FTP und Gopher Ermöglicht Benutzerauthentifizierung Webproxyclient Internet Explorer oder HTTP 1.1 kompatible Browser Unterstützt die Protokolle HTTP, FTP und Gopher Ermöglicht Benutzerauthentifizierung Firewallclient Leitet Anfragen von Winsock Anwendungen weiter Ermöglicht den Einsatz komplexer Protokolle Benötigt eine Firewallclient Software (Nur WIN 32) Ermöglicht Benutzerauthentifizierung Firewallclient Leitet Anfragen von Winsock Anwendungen weiter Ermöglicht den Einsatz komplexer Protokolle Benötigt eine Firewallclient Software (Nur WIN 32) Ermöglicht Benutzerauthentifizierung SecureNAT Client Wird von allen TCP/IP basierenden Computern unterstützt Integration in die bestehende Routingumgebung SecureNAT Client Wird von allen TCP/IP basierenden Computern unterstützt Integration in die bestehende Routingumgebung ISA Server Konfiguration Client Typen Internet ISA Server Cache

ISA Server Kongfiguration Ausgehende Anfragen  Protokollregeln  Legen die Protokolle, Uhrzeiten und internen Clients fest, die mit dem Internet kommunizieren dürfen  Standort- und Inhaltsregeln  Legen die IP Adressen oder Webseiten, Inhaltstypen und internen Clients fest, die mit dem Internet kommunizieren dürfen  IP Paketfilter  Legen fest wie der ISA Server oder ein Computer in der DMZ (Dreibeinige Firewall) mit dem Internet kommunizieren darf  Können die Protokollregeln und Standort- und Inhaltregeln einschränken

ISA Server Kongfiguration Effektive Regeln - Client Anfragen Gibt es eine Standort- und Inhaltsregel, welche die Anforderung verweigert? Gibt es eine Standort- und Inhaltsregel, welche die Anforderung verweigert? Gibt es eine Protokollregel, welche die Anforderung verweigert? Gibt es eine Protokollregel, welche die Anforderung verweigert? Anforderung vom internen Client Anforderung vom internen Client Anforderung verweigern! Objekt abrufen Gibt es eine Protokollregel, welche die Anforderung zulässt? Gibt es eine Protokollregel, welche die Anforderung zulässt? Ja Nein Ja Nein Gibt es eine Standort- und Inhaltsregel, welche die Anforderung zulässt? Gibt es eine Standort- und Inhaltsregel, welche die Anforderung zulässt? Ja Blockiert ein IP-Paketfilter die Anforderung? Spezifiziert eine Routingregel das Routing zu einem Upstreamserver? Spezifiziert eine Routingregel das Routing zu einem Upstreamserver? Nein Zum Upstreamserver routen Zum Upstreamserver routen Nein Ja Nein Ja

ISA Server Kongfiguration Benutzer Authentifizierung  Authentifizierung mittels AD oder lokaler SAM  Webproxy Clients  Anonymer Zugriff  Basic, Integriert, Digest, Zertifikate  Firewall Client  Integrierte Windows Anmeldung  SecureNAT Client  Nur mit herkömlicher IP Adressierung  Web Anfragen von Firewall- und SecureNAT Clients  HTTP Redirector verwirft die Anmeldeinformationen  Erzwingen der Authentifizierung  „Anonymous“ in den Logfiles???

Demo Zugriffsrichtlinie für ausgehende Anfragen erstellen

ISA Server Kongfiguration Eingehende Anfragen  Veröffentlichen von internen Ressourcen  Serververöffentlichungen  Reverse NAT von TCP oder UDP Diensten  Mapping zwischen externer und interner IP Adresse mit einem bestimmten Protokoll (Port)  Webveröffentlichungen  Reverse Proxy Funktion des ISA Servers nutzen  Ausschließlich HTTP oder HTTPS Anfragen  Firewalling auf HTTP Anwendungsebene

ISA Server Kongfiguration Serververöffentlichungen in der Praxis  Überprüfen ob der Port bereits am ISA Server vergeben wurde  NETSTAT.EXE –NA  IIS Socketpooling, Terminal Server  Internen Server als SecureNAT Client einrichten  Serververöffentlichung einrichten  IP Adressenzuordnung einrichten  Protokoll auswählen  Testen der Serververöffentlichungen  telnet server.domain.tld [port]

DemoSerververöffentlichung eines SMTP Servers

ISA Server Kongfiguration Webveröffentlichungen in der Praxis  ISA Server verhält sich wie ein WebServer  Leitet die Anfragen an interne Webserver weiter  Unterscheidung der internen Webseiten anhand  IP Adressen, Hostheader, Pfadangaben  ISA Server übernimmt die SSL Verschlüsselung ISA Server Josef DNS: “ SSL Verschlüsselung SSL oder HTTP /asia /europe LAN

ISA Server Kongfiguration Outlook Web Access Probleme  Funktionsweise der OWA Webseite  OWA wertet den Hostheader der Client Anfrage aus  OWA benutzt den Hostheader, um Frames und Objekte in die Webseite einzubinden (Absolute Pfade)  Probleme im Zusammenhang mit ISA  Die ISA Server Webpublishing Rules verändert den Hostheader (ISA  OWA)  Frames und Objekte werden mit falschen Pfaden eingebunden (OWA  Client)  Clients bekommen zerstückelte Webseiten (Client  falschen FQDN)

ISA Server Kongfiguration Outlook Web Access Konfiguration  Abhörer für eingehende Anfragen erstellen  SSL Zertifikate am ISA Server einbinden  Erstellen eines OWA Zielsatzes  Externer FQDN und Virtuelle Webs  /exchange/*, /exchweb/*, /public/*  Webpublishing Wizard starten  OWA Zielsatz verwenden  Umleitung zum X.509 CNAME des OWAs  Option: Originalen Hostheader senden!  Bei Bridging von zu  Q auf dem ISA Server anwenden

Demo Veröffentlichen von Outlook Web Access (OWA)

Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

ISA Server Erweiterung  Software Developer Kit für ISA (SDK)  Third Party Tools  Reporting, Business Analytics  Access Control  Content Security  Intrusion Detection  Monitoring

Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

Ausblick  Microsoft Security Initiative  Trustworthy Computing  Secure Connected Infrastructure  Security Solutions  Windows.NET Security Features  ISA Server Value Pack  OWA/SSL – Wizzard, URLScan für ISA,…  Ende des Jahres erwartet

Ressourcen  TechNet-Website  ISA Server-Website  Microsoft-Website zum Thema Sicherheit  1# ISA Server Ressource Site  Deutsche ISA Server FAQ  ISA News Groups auf news.microsoft.com /microsoft.public.de.german.isaserver /microsoft.public.de.german.isaserver  Security News Groups auf news.microsoft.com /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender

TechNet Security Roadshow 2002