
Microsoft Exchange Server 2000 GET secure, STAY secure! Verwendung von Microsoft Security Tools Mario Bono
Agenda • Get secure • Stay secure Sicherheitskonzept • MSBSA • Hotfixes • Tools • Patch Management • MSUS • Checklisten • Dienste • MS WUPD Microsoft Security Tool Kit Security Operations Guides (W2K/E2K) • Server Security (Firewalls/DMZ) • Netzwerk Traffic • Client Zugriff Securing E2K & OWA Q & A
Sicherheitskonzept Programm – integriert Microsoft Produkte, Support und Dienstleistungen (Microsoft Security Tool Kit) Phase 1: GET secure • Unterstützung für Windows NT 4.0 und Windows 2000 • Enthält Tools und Richtlinien zum sicheren Betreiben eines Servers der am Internet angeschlossen ist Phase 2: STAY secure • Tools, Updates • Patches, Consulting
Microsoft Security Tool Kit http://www.microsoft.com/technet/ treeview/default.asp?url=/ technet/security/tools/Default.asp
Microsoft Security Tool Kit Arbeitsstationen und Server • Security Checklisten • Security Vorlagen Hot Fixes • Windows Update • Microsoft Base Security Analyzer • HFNetCheck • QChain • Critical Update Notification IIS Dienste • IIS Checklisten • IIS Lockdown Tool • URLScan
Checklisten / Vorlagen Vorhanden für: • Windows NT 4.0 • Windows NT 4.0 Terminal Server • Windows 2000 • Windows XP
IIS Dienste Das Toolkit enthält Checklisten zum Sicheren betreiben von Internet Information Server und Internet Explorer • IE (für alle Versionen) • IIS 5.0 • IIS 4.0
IIS TOOLS IIS Lockdown Wizard • Konfiguriert IIS auf Windows NT 4.0 oder Windows 2000 Server URLScan • Windows 2000 SP1 oder später • Analysiert vom IIS empfangene HTTP Anfragen
Hotfixes - MS Windows Update Update bei Publikation der Sicherheits Bulletins Voraussetzungen: • Internet Explorer muss Cookies und • ActiveX Controls erlauben • Lokale Administrator Berechtigungen
MS Baseline Security Analyzer Unterstützte Plattformen: • Windows 2000 Professional/Server • Windows XP Home Edition/Professional Voraussetzungen: • Lokale Administrator Berechtigungen • Mehr Sicherheits-Checks als Microsoft Windows Update • Unterstützung Remoter Workstations und Server
MS Baseline Security Analyzer Überprüfung folgender Produkte/Services: • Windows NT 4.0 Workstation/Server • Windows 2000 Professional/Server • Windows XP Home Edition/Professional • IIS 4.0/5.0 • SQL 7.0/2000 • Erkennt SQL Server Instanzen • IE 5.01+
MS Baseline Security Analyzer Überprüfung folgender Produkte/Services Fortsetzung: • Exchange und Windows Media Player • Office 97, 2000, XP • Support für Software Update Services (SUS) http://www.microsoft.com/technet/ security/tools/Tools/mbsahome.asp
The Hotfix Network Checker Anwendung für Server und Client Workstations • Remote Unterstützung • Mehr Security-Checks als Windows Update • Windows 2000, IIS 4.0, IIS 5.0, SQL Server 7.0, SQL Server 2000, Internet Explorer 5.01 and later • Download verfügbarer Updates und Fixes als .XML Zusätzliche Funktionalität in der Pro und LT Version • Download der LT Version • http://www.shavlik.com
Hotfix Allgemeine Überlegungen • Viele Neustarts • Reihenfolge Hotfix Installationbeachten Lösung • Windows Critical Update Notification • Security Tool Kit: QChain Tool
QChain verwenden In Betriebssystem Integriert Seit SP3 integriert QChain verwenden QChain Entscheidungs Baum BetriebssystemWindows NT 4.0? Betriebssystem Windows XP? BetriebssystemWindows 2000 SP3 oder später
Hotfix B Hotfix A Hotfix B Hotfix A X.dll (v3) X.dll (v1) X.dll (v3) X.dll (v1) QChain Tool QChain Tool X.dll (v3) Server Hotfix C Hotfix C X.dll (v2) X.dll (v2) X.dll (v2) QChain Tool - Funktionsweise Richtige Version Falsche Version
QChain Tool für Windows NT 4.0 Switch – Z unterdrückt den Neustart @echo offsetlocalset PATHTOFIXES=E:\Hotfix %PATHTOFIXES%\Q123456i.exe -z -m%PATHTOFIXES%\Q123321i.exe -z -m%PATHTOFIXES%\Q123789i.exe -z -m%PATHTOFIXES%\qchain.exe Switch – M Unattended Mode
QChain Tool für Windows 2000 @echo offsetlocalset PATHTOFIXES=E:\hotfix%PATHTOFIXES%\Q123456_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123321_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\Q123789_w2k_sp2_x86.exe -z -m%PATHTOFIXES%\qchain.exe HotfixWindows 2000
Critical Update Notification Service Informiert über neue Updates Drei Optionen: • Automatischer Download und Benachrichtigung über Installation • Benachrichtigung bei Download und Installation • Manuell
Unternehmensweites Patch Management Windows Update Site – Permission Denied Keine Tests = keine Installation; Unternehmensweite Sicherheitsrichtlinien Lösung: • Microsoft Software Update Services (SUS)
SUS Komponenten MSUS Server • Wird im Intranet zur Verfügung gestellt • Synchronisation mit Windows Update Site • Kontrolle über Update und Hotfix Verteilung Auto Update Client • Beruht auf Windows XP Auto Update • Check Intranet und öffentliche Windows Update Site • Zentralisierte Konfiguration • Auto-Download und Installation
Microsoft Software Update Services A Administrator definiert Updates MSUS Server Konfiguration und Verteilung Per Group Policy Internet B Server A Download GEPRÜFTER Updates C C Microsoft Windows Update Server B Workstations
MSUS Überlegungen Kann verwendet werden für: • Rollout von Hotfixes und • Security Updates Keine Unterstützung für: • Service Packs • Verteilung über Group Policies
Security Operations Guide For Windows 2000 Server Chapter 1 - Introduction Chapter 2 - Understanding Security Risk Chapter 3 - Managing Security with Windows 2000 Group Policy Chapter 4 - Securing Servers Based on Role Chapter 5 - Patch Management Chapter 6 - Auditing and Intrusion Detection Chapter 7 - Responding to Incidents http://www.microsoft.com/technet/security/prodtech/windows/windows2000/staysecure/
Tool EventComb • Zentralisierte Auswertung der Event Logs • multi-threaded • Speicherung und Weiterverarbeitung per CSV Text File
Security Operations Guide For Exchange 2000 Server Chapter 1 – Introduction Chapter 2 – Securing your Exchange 2000 Environment Chapter 3 – Securing Exchange 2000 Servers based on Role Chapter 4 – Securing Exchange Communications http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default.asp
Sicherheit: E2K & OWA Zuerst – Sicherheit beim Zugriff auf Server! • Firewalls/DMZ • Virus Protection Netzwerkzugriffe zwischen Servern • Protokolle • Ports • Spoofing usw. Clientzugriffe sichern • MAPI – OUTLOOK • OWA
Serverzugriffe Hardening Windows 2000 - siehe Sicherheitsvorlagen Unnötige Dienste deaktivieren Firewalls • Deaktivieren nicht benötigter Ports • ISA server versus Hardwarelösungen • Spezial HW bietet weniger Angriffspunkte • Teurer in der Anschaffung • ISA server • Integration mit Microsoft Server & Backoffice Familie • Günstigere Anschaffung
Einfache Firewall HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server Internet Exchange 2000 Server Exchange 2000 Front-EndServer Firewall Offene Ports: 443, 993, 995 Exchange 2000 Server
Typische DMZ Konfiguration HTTP, IMAPoder POP3 Client Active Directory Global Catalog Server DMZ Internet Exchange 2000 Server Exchange 2000 Front-EndServers Firewall Offene Ports:443, 993, 995 Firewall OffenePorts: 80143, 110, LDAP, … Exchange 2000 Server
Firewalls und Client Zugriffe Zugriff auf “Internen” (Firewall) Exchange Server vom Internet • Inbound RPC Zugriff auf Firewall • Typisches Szenario für Roaming Users Zugriff auf Exchange Server (DMZ) von Intern • Untypisches Szenario • Outbound RPC Zugriff erlauben Best Practice: VPN´s = keine Probleme mehr
(HTTP, IMAP, POP) DMZ Überlegungen • FE und BE müssen dem gleichen Forest angehören • FE benötigt Zugriff auf DNS Server • FE benötigt RPC beim Zugriff auf AD • nur wenn Authentisierung eingeschalten ist
RPCs in der DMZ • IIS verwendet RPCs für Authentisierung • Vor SP2, RPCs zum Auffinden von DCs • RPC nicht erforderlich; Einschränkungen: • Explizites Logon erforderlich http://server/exchange/user • Kein Load Balancing für Öffentliche Ordner
Port Filtering in der DMZBenötigte Ports • Client Mail Zugriff • 443 TCP vom Internet (HTTPS) • 80 TCP zum Intranet (HTTP) • LDAP • 389 TCP und UDP • 3268 TCP (Globaler Catalog) • Kerberos • 88 TCP und UDP • DNS (oder DNS Server in DMZ) • 53 TCP und UDP
Port Filtering in der DMZBenötigte Ports … • IPsec (optional) • Kerberos Ports • Securing Kerberos with IPSec on DCs broken in Win2K SP2 (Q309304) oder SP3 • 500 UDP: Internet Key Exchange (IKE) • ESP (Encapsulating Security Payload ): Port 50 • AH (Authentication Header): Port 51 • RPCs (optional) • 135 und 1024 oder.. • 135 und Single Port (Konfiguration, Q224196)
Überlegungen zu SPAM Relaying • Was ist SPAM Relaying? O MAIL FROM: <info@bono.to> RCPT TO: <billi@MS.com> 550 5.7.1 Unable to relay for <billi@MS.com> “Evil Spammer” Bono.to
Überlegungen zu SMTP • Definition SPAM Relaying? Bono.to MAIL FROM: <info@bono.to> RCPT TO: <virus@bono.to> • Falsch “Von:” • Richtig “An:” • Nachricht • Filter greifen nicht? “EVIL Spammer”
SMTP Server Einstellungen • Relay Einstellungen • Best Practice: • Default!
Anti-Spoofing: ResolveP2 • Problem: irgend jemand übermittelt eine Nachricht • Von: Info@Bono.to • Beim Öffnen dieser erscheint: • Von: Mario Bono • Betreff: DU BIST GEFEUERT • Eigenschaften des Senders anzeigen • Name wird aufgelöst
ResolveP2 • Was ist “P2”? • X.400 Name für “Body” der Nachricht • Envelope (Umschlag) ist P1 • Bei SMTP, P2 entspricht dem „Body“ nach RFC 2822 • Anzeige der Clients immer in Form vonVon: und An: oder P2 • Was bedeutet “resolve”? • Werden Informationen die bei Zustellung einer Nachricht zum Server und Abruf durch MAPI Clients mit dem Adressbuch abgeglichen? • Ja, wenn Übereinstimmungen gefunden werden sieht die E-Mail wie von “Intern” aus.
ResolveP2 History • Exchange 5.0 • Default: “resolve everything” • Regkey zum Deaktivieren • Exchange 5.5: • Default: “resolve nothing” • Regkey zum Aktivieren • Exchange 2000 • Default: “resolve everything”, keine Kontrolle bei E2K RTM • Exchange 2000 SP1: ResolveP2 Regkey
Exchange 2000 SP1+ ResolveP2 • Registry Key für ResolveP2 • Siehe KB-Artikel Q288635 • Outlook XP Erweiterungen • Vorschaufenster unterscheidet zwischen unaufgelösten Adressen ohne die Nachricht zu öffnen • Bei Antworten; nicht aufgelöste Adressen werden als <xxxx@yyyy.com>Name dargestellt
Allgemeine Überlegungen zu SMTP • Internet Mail ist nicht sicher! • Ausnahme Verschlüsselung • Jeder kann E-Mails an jeden senden • “Evil People” • Können immer mit Ihrer Adresse als Absender auftreten! • Aber nicht über Ihren Server, wenn Relaying ausgeschalten ist!
Authentisierung zwischen Servern im Netzwerk • Automatische Server zu Server Authentisierung mit X-EXPS • Kerberos/NTLM • Default SMTP Protokoll Erweiterungen in Exchange 2000 SMTP AUTH (RFC 2554) • Verbindung zu externen Systemen,wird am SMTP Connector eingestellt
Verschlüsselung zwischen Servern im Netzwerk • IPSec • Einfache Konfiguration • Über Group Policy Einstellung: “erfordert Verschlüsselung des Inbound Traffics, Port 25” auf allen Exchange Servern http://www.microsoft.com/windows2000/techinfo/ planning/security/ipsecsteps.asp • Einsatz von IPSec Accelerator Ethernet Cards
Client Zugriff • Outlook (MAPI) Clients • Outlook Web Access (HTTP) Clients
Netzwerk Sicherheit mit Outlook Clients • Verschlüsselung • in Mail Einstellungen ändern • MAPI RPC • Am FE keine Mailboxen • Verwendet UDP vom Server zum Client für Benachrichtigung über neue E-Mail
OWA Verschlüsselung zwischen Servern • Traffic von FE zu BE • Isolierte Netzwerke • IPSec? (RFCs 1825, 1826, 1827) • Internet Key Exchange (IKE): RFC 2409 • Encapsulating Security Payload (ESP) oder Authentication Header (AH) • Client (respond only) policy • ISA can inspect IPSec’d traffic
OWA Authentisierung am Server • (Optional) FE Authentisierung aktiviert • Erfordert RPC • Deaktivieren anonymer Anfragen auf BE • SMTP Domain auf virtuellem Server • Benutzer benötigt E-Mail Adresse der Domain um sich anzumelden