Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

TechNet Security Roadshow ISA Server im praktischen Einsatz Kai Wilke MVP ISA Server Björn Schneider Consultant IT-Security.

Veröffentlicht von:Bernd Esser Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "TechNet Security Roadshow ISA Server im praktischen Einsatz Kai Wilke MVP ISA Server Björn Schneider Consultant IT-Security."—  Präsentation transkript:

1 TechNet Security Roadshow 2002

2 ISA Server im praktischen Einsatz Kai Wilke MVP ISA Server Björn Schneider Consultant IT-Security

3 Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

4 Angriffe auf Netzwerke Geschäftsprozesse im Wandel Internet  Neue Herausforderungen  Schutz des Unternehmens- netzes vor Angriffen  Schutz der Unternehmens- daten vor Diebstahl  Verwaltung und Kontrolle der Internetzugriffe  Beschleunigung der Zugriffe auf das Internet und optimale Nutzung der Bandbreiten

5 Angriffe auf Netzwerke Gefahren im TCP/IP Protokoll LayerLayerProtokollProtokollAngriffAngriff Applikation FTP, SMTP, HTTP Transport TCP, UDP Netzwerk IP, ICMP Link Physical ARP Ethernet Protokoll Analyser ARP Spoofing oder Flooding Fragmentierung, Flooding, Spoofing Portscan, Spoofing DoS, Buffer Overflow uvm.

6 Angriffe auf Netzwerke Anatomie eines Angriffs  Footprinting des Netzwerkes  Informationssammlung, Social Engineering  Zieladressen durch DNS Informationen  Scanning der Systeme  Aktive Dienste, Banner Grabbing, Stack Fingerprinting  Auswerten von Schwachstellen  Konfigurationsfehler  Ungeschütze Ressourcen  Nicht gepatchte Server und Sicherheitslücken  Unerlaubter Datenzugriff oder DoS Angriffe  Auf der Basis der gesammelten Daten  Spuren werden verwischt und Backdoors eingerichtet...

7 Firewall DMZ Angriffe auf Netzwerke Perimeter Verteidigung  Einrichtung einer Firewall als Gateway zum Internet oder zwischen Abteilungen  Eine Firewall ist ein kontrollierter Zugriffspunkt für sämtlichen Datenverkehr,  der zum internen Netzwerk gesendet wird  der vom internen Netzwerk gesendet wird Internet

8 Telnet FTP IMAP Angriffe auf Netzwerke Funktionsweise einer Firewall HTTP SMTPX Firewall Regeln  Technische Umsetzung von Firewall Regeln:  Definition der zu veröffentlichenden Dienste  Definition der Zugriffsrechte für interne Clients bzw. Nutzer  Nicht zulässiger Datenverkehr wird abgewiesen  Externe Angriffe aus dem Internet  Zugriffe die nicht den Richtlinien entsprechen Anwendungsfilter Proxy Server Paketfilter

9 Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

10 ISA Server Einsatzplanung Produktversionen  Zwei Editionen  Standard  Firewall  Proxy Server  Enterprise Version  Support von Multi Server Cluster bzw. Arrays  Enterprise Policies über das Active Directory  Hierarchisches Administrationsmodell  Drei Betriebsarten  Firewall Mode  Cache Only Mode  Integrated Mode

11 Bastion Host ISA Server Einsatzplanung Firewall Design ISA Server Internet LAN

12 Dreibeinige Firewall DMZ ISA Server Einsatzplanung Firewall Design ISA Server Internet LAN

13 Back to Back Firewall DMZ ISA Server Einsatzplanung Firewall Design 3rd Party Firewall ISA Server Internet LAN

14 ISA Server Einsatzplanung Netzwerk Integration  IP Adressierung  Private Adressen im internen Netzwerk  Offizielle IP Adressen in der DMZ  Dial Up Verbindungen  Verwendung von NAT  Zwischen internen Netzwerk und DMZ  Zwischen internen Netzwerk und Internet  Verwendung von Routing  Zwischen dreibeiniger DMZ und Internet  DNS Auflösung  Interne und externe DNS Zonen verwenden

15 Forward Proxy ISA Server Einsatzplanung Proxy Server Design  CERN 1.1 oder Transparenter Proxy Server  Speichert Clientanfragen zwischen  Ermöglicht eine Inhaltsüberprüfung der Webanfragen (Dateiendungen, Non-Work, Viren) Cache ISA Server Internet LAN

16  ISA Server verhält sich wie ein Webserver  Inhaltsüberprüfung wird bereits an der Firewall durchgeführt  Anfragen werden nur ins interne Netzwerk geleitet, wenn die Regeln es zulassen Reverse Proxy ISA Server Einsatzplanung Proxy Server Design Cache ISA Server Internet LAN

17 ISA Server Einsatzplanung Active Directory Integration  Domänen Mitgliedschaft erforderlich für  Benutzerauthentifizierung  ISA Server Arrays (Schema Update)  Dedizierte Domäne oder Forest für den ISA Server?  Geringer Sicherheitsvorteil  Hohe Kosten und administrativer Aufwand  Separater Forest ist hilfreich innerhalb demilitarisierter Zonen

18 Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

19 ISA Server Installation Windows 2000 Installation  Verbindung ins Internet trennen!  Nur die nötigsten Dienste installieren  Muss der Webserver auf der Firewall laufen?  Installieren der aktuellen Service Packs  Security Baseline Analyzer oder HFNetChk um fehlende Hotfixes zu finden  Aktuelle XML Datei von einem anderen Computer downloaden und anwenden  Installieren der aktuellen Security Rollup Packages und Hotfixes

20 ISA Server Installation Windows 2000 Konfiguration  Vergabe der IP Konfiguration vor der ISA Server installation (Intra Array IP Problem)  IP Adresse  Standardgateway  DNS und WINS  NetBios over TCP/IP?  Protokoll Bindungen der Netzwerkarten  Anzahl der Netzwerkadapter  Domänen Mitgliedschaft  Festplattenkonfiguration

21 DemoKonfiguration der Netzwerkkarten

22 ISA Server Installation ISA Server Installation  Bei Active Directory Integration (Arrays) Shema Updates rechtzeitig einspielen  Installation der benötigten ISA Server Dienste  Message Screener  H.323 Gatekeeper  Überprüfen der LAT  Installation des SP1  Features  Bugfixes  Installation aller verfügbaren Hotfixes

23 ISA Server Installation System Hardening  Kontenrichtlinie festlegen  Kennwortrichtlinien  Aktivieren des Account Lockout  PASSPROP.EXE /ADMINLOCKOUT  Lokale Sicherheitsrichtlinie festlegen  Security Auditing einsetzen  Deaktivieren nicht benötigter Dienste  NTFS Berechtigungen  Logfiles  Cache Datenbank

24 ISA Server Installation ISA Security Configuration Wizard  ISA Server Security Wizard nutzt W2k Vorlagen  Eigene Sicherheitsvorlagen erstellen  Disaster Recovery Möglichkeiten  Setup Security Template  Sicherheitsvorlagen über GPOs ausrollen Default Settings Eigene Vorlagen

25 DemoSicherheitskonfiguration und Analyse, PASSPROP.EXE

26 Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

27 Webproxyclient Internet Explorer oder HTTP 1.1 kompatible Browser Unterstützt die Protokolle HTTP, FTP und Gopher Ermöglicht Benutzerauthentifizierung Webproxyclient Internet Explorer oder HTTP 1.1 kompatible Browser Unterstützt die Protokolle HTTP, FTP und Gopher Ermöglicht Benutzerauthentifizierung Firewallclient Leitet Anfragen von Winsock Anwendungen weiter Ermöglicht den Einsatz komplexer Protokolle Benötigt eine Firewallclient Software (Nur WIN 32) Ermöglicht Benutzerauthentifizierung Firewallclient Leitet Anfragen von Winsock Anwendungen weiter Ermöglicht den Einsatz komplexer Protokolle Benötigt eine Firewallclient Software (Nur WIN 32) Ermöglicht Benutzerauthentifizierung SecureNAT Client Wird von allen TCP/IP basierenden Computern unterstützt Integration in die bestehende Routingumgebung SecureNAT Client Wird von allen TCP/IP basierenden Computern unterstützt Integration in die bestehende Routingumgebung ISA Server Konfiguration Client Typen Internet ISA Server Cache

28 ISA Server Kongfiguration Ausgehende Anfragen  Protokollregeln  Legen die Protokolle, Uhrzeiten und internen Clients fest, die mit dem Internet kommunizieren dürfen  Standort- und Inhaltsregeln  Legen die IP Adressen oder Webseiten, Inhaltstypen und internen Clients fest, die mit dem Internet kommunizieren dürfen  IP Paketfilter  Legen fest wie der ISA Server oder ein Computer in der DMZ (Dreibeinige Firewall) mit dem Internet kommunizieren darf  Können die Protokollregeln und Standort- und Inhaltregeln einschränken

29 ISA Server Kongfiguration Effektive Regeln - Client Anfragen Gibt es eine Standort- und Inhaltsregel, welche die Anforderung verweigert? Gibt es eine Standort- und Inhaltsregel, welche die Anforderung verweigert? Gibt es eine Protokollregel, welche die Anforderung verweigert? Gibt es eine Protokollregel, welche die Anforderung verweigert? Anforderung vom internen Client Anforderung vom internen Client Anforderung verweigern! Objekt abrufen Gibt es eine Protokollregel, welche die Anforderung zulässt? Gibt es eine Protokollregel, welche die Anforderung zulässt? Ja Nein Ja Nein Gibt es eine Standort- und Inhaltsregel, welche die Anforderung zulässt? Gibt es eine Standort- und Inhaltsregel, welche die Anforderung zulässt? Ja Blockiert ein IP-Paketfilter die Anforderung? Spezifiziert eine Routingregel das Routing zu einem Upstreamserver? Spezifiziert eine Routingregel das Routing zu einem Upstreamserver? Nein Zum Upstreamserver routen Zum Upstreamserver routen Nein Ja Nein Ja

30 ISA Server Kongfiguration Benutzer Authentifizierung  Authentifizierung mittels AD oder lokaler SAM  Webproxy Clients  Anonymer Zugriff  Basic, Integriert, Digest, Zertifikate  Firewall Client  Integrierte Windows Anmeldung  SecureNAT Client  Nur mit herkömlicher IP Adressierung  Web Anfragen von Firewall- und SecureNAT Clients  HTTP Redirector verwirft die Anmeldeinformationen  Erzwingen der Authentifizierung  „Anonymous“ in den Logfiles???

31 Demo Zugriffsrichtlinie für ausgehende Anfragen erstellen

32 ISA Server Kongfiguration Eingehende Anfragen  Veröffentlichen von internen Ressourcen  Serververöffentlichungen  Reverse NAT von TCP oder UDP Diensten  Mapping zwischen externer und interner IP Adresse mit einem bestimmten Protokoll (Port)  Webveröffentlichungen  Reverse Proxy Funktion des ISA Servers nutzen  Ausschließlich HTTP oder HTTPS Anfragen  Firewalling auf HTTP Anwendungsebene

33 ISA Server Kongfiguration Serververöffentlichungen in der Praxis  Überprüfen ob der Port bereits am ISA Server vergeben wurde  NETSTAT.EXE –NA  IIS Socketpooling, Terminal Server  Internen Server als SecureNAT Client einrichten  Serververöffentlichung einrichten  IP Adressenzuordnung einrichten  Protokoll auswählen  Testen der Serververöffentlichungen  telnet server.domain.tld [port]

34 DemoSerververöffentlichung eines SMTP Servers

35 ISA Server Kongfiguration Webveröffentlichungen in der Praxis  ISA Server verhält sich wie ein WebServer  Leitet die Anfragen an interne Webserver weiter  Unterscheidung der internen Webseiten anhand  IP Adressen, Hostheader, Pfadangaben  ISA Server übernimmt die SSL Verschlüsselung www.ms.de/europe ISA Server Josef DNS: “www.ms.de” SSL Verschlüsselung SSL oder HTTP 10.0.0.3/asia 10.0.0.2/europe LAN

36 ISA Server Kongfiguration Outlook Web Access Probleme  Funktionsweise der OWA Webseite  OWA wertet den Hostheader der Client Anfrage aus  OWA benutzt den Hostheader, um Frames und Objekte in die Webseite einzubinden (Absolute Pfade)  Probleme im Zusammenhang mit ISA  Die ISA Server Webpublishing Rules verändert den Hostheader (ISA  OWA)  Frames und Objekte werden mit falschen Pfaden eingebunden (OWA  Client)  Clients bekommen zerstückelte Webseiten (Client  falschen FQDN)

37 ISA Server Kongfiguration Outlook Web Access Konfiguration  Abhörer für eingehende Anfragen erstellen  SSL Zertifikate am ISA Server einbinden  Erstellen eines OWA Zielsatzes  Externer FQDN und Virtuelle Webs  /exchange/*, /exchweb/*, /public/*  Webpublishing Wizard starten  OWA Zielsatz verwenden  Umleitung zum X.509 CNAME des OWAs  Option: Originalen Hostheader senden!  Bei Bridging von https:// zu http://  Q307347 auf dem ISA Server anwenden

38 Demo Veröffentlichen von Outlook Web Access (OWA)

39 Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

40 ISA Server Erweiterung  Software Developer Kit für ISA (SDK)  Third Party Tools  Reporting, Business Analytics  Access Control  Content Security  Intrusion Detection  Monitoring

41 Agenda  Angriffe auf Netzwerke  ISA Server Einsatzplanung  ISA Server Installation  ISA Server Konfiguration  ISA Server Erweiterung  Ausblick

42 Ausblick  Microsoft Security Initiative  Trustworthy Computing  Secure Connected Infrastructure  Security Solutions  Windows.NET Security Features  ISA Server Value Pack  OWA/SSL – Wizzard, URLScan für ISA,…  Ende des Jahres erwartet

43 Ressourcen  TechNet-Website www.microsoft.com/germany/technet www.microsoft.com/germany/technet  ISA Server-Website www.microsoft.com/germany/ms/intserver/isas www.microsoft.com/germany/ms/intserver/isas  Microsoft-Website zum Thema Sicherheit www.microsoft.com/security www.microsoft.com/security  1# ISA Server Ressource Site www.isaserver.org www.isaserver.org  Deutsche ISA Server FAQ www.msisafaq.de www.msisafaq.de  ISA News Groups auf news.microsoft.com /microsoft.public.de.german.isaserver /microsoft.public.de.german.isaserver  Security News Groups auf news.microsoft.com /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender /microsoft.public.de.security.netzwerksicherheit /microsoft.public.de.security.heimanwender

44

45 TechNet Security Roadshow 2002

Herunterladen ppt "TechNet Security Roadshow ISA Server im praktischen Einsatz Kai Wilke MVP ISA Server Björn Schneider Consultant IT-Security."

Ähnliche Präsentationen

Aufbau eines Netzwerkes

Aufbau eines Netzwerkes
Einer der Dienste im Internet

Einer der Dienste im Internet
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
für das Schulnetz der BS Roth

für das Schulnetz der BS Roth
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.

Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
Kommunikation und Zusammenarbeit mit Microsoft Exchange Server 2003

Kommunikation und Zusammenarbeit mit Microsoft Exchange Server 2003
Verwenden der Microsoft Sicherheitstools Christian Thor Technologieberater Microsoft Deutschland GmbH.

Verwenden der Microsoft Sicherheitstools Christian Thor Technologieberater Microsoft Deutschland GmbH.
Web Matrix Project Kurzüberblick Dirk Primbs Technologieberater Developer Platform Strategy Group Microsoft Deutschland GmbH.

Web Matrix Project Kurzüberblick Dirk Primbs Technologieberater Developer Platform Strategy Group Microsoft Deutschland GmbH.
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Systemverwaltung wie es Ihnen gefällt.

Systemverwaltung wie es Ihnen gefällt.
Firewalls.

Firewalls.
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Die Firewall Was versteht man unter dem Begriff „Firewall“?

Die Firewall Was versteht man unter dem Begriff „Firewall“?
PC I Kursdauer:3 x 3 Stunden Dozentin:Johanna Vohwinkel.

PC I Kursdauer:3 x 3 Stunden Dozentin:Johanna Vohwinkel.
1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze

1. Einführung Lernziele: Auffrischen des Wissens aus Rechnernetze
Firewalls Holger Stengel Vortrag am 1999-12-20. Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.

Firewalls Holger Stengel Vortrag am Gliederung Definition: Firewall Grundlage: TCP/IP-Modell Angriffe Elemente und Konzepte Grenzen.
WhatsUp Gold 04.06.01.

WhatsUp Gold
Einführung in die Technik des Internets

Einführung in die Technik des Internets
Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Bridgefirewall – eine transparente Lösung Thomas Röhl 08. April 2005.

Ähnliche Präsentationen

Google-Anzeigen