1 / 59

Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága

Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága. Szalontay Zoltán vezető rendszermérnök Microsoft Magyarország. TechNet események 200 4 őszén. 2004. szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága. 2004. október 13.

gunnar
Télécharger la présentation

Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Biztonságos Windows (II. rész):A Windows alapú hálózatok biztonsága Szalontay Zoltánvezető rendszermérnök Microsoft Magyarország

  2. TechNet események 2004 őszén 2004. szeptember 29. Biztonságos Windows (I. rész): A Windows XP biztonsága 2004. október 13. Biztonságos Windows (II. rész): A Windows alapú hálózatok biztonsága 2004. október 27. Biztonságos Windows (III. rész): Windows internetes szolgáltatások biztonsága 2004. november 10. Professzionális üzleti diagramok és űrlapok a Microsoft Office System-ben 2004. november 24. A Microsoft virtuális gép-technológiája: Virtual Server 2005 és Virtual PC 2004

  3. Napirend • Menedzselt biztonság • Felhasználók azonosítása • PKI alapú szolgáltatások • A hálózati forgalom védelme • Tartalomvédelmi szolgáltatás

  4. Menedzselt biztonság • A biztonság fenntartása egy folyamat • a beállításokat az új gépekre alkalmazni kell • le kell követni a szervezeti változásokat • Természetesen minden szkriptelhető • naplózás, jelszó beállítások, leállítandó szervizek, hálózatkezelés stb. • Menedzselt biztonság • egyszer adjuk meg a kívánt állapotot • az új gépekre, felhasználókra automatikusan vonatkozik • könnyebb a változás kezelése

  5. Fiókházirend Jelszóházirend Fiókzárolás Kerberos-irányelv Helyi házirend Naplórend Felhasználó jogok kiosztása Biztonsági beállítások Eseménynapló Korlátozott csoportok Rendszerszolgáltatások Rendszerleíró adatbázis Fájlrendszer Vezeték nélküli hálózat (IEEE 802.11) házirendjei Nyilvános kulcs irányelvei Fájlrendszer titkosítása Automatikus tanúsítványkérelem beállításai Megbízható legfelső szintű hitelesítés szolgáltatók Vállalati szintű megbízhatóság Szoftverkorlátozó házirendek IP-biztonsági házirendek CsoportházirendBiztonsági beállítások

  6. demó • Menedzselt biztonságActive Directory és csoportházirendek segítségével

  7. Napirend • Menedzselt biztonság • Felhasználók azonosítása • PKI alapú szolgáltatások • A hálózati forgalom védelme • Tartalomvédelmi szolgáltatás

  8. Felhasználók azonosítása • LanMan • CSAK NAGYBETŰK • a jelszó két fele külön-külön törhető • szinte mindegy, hogy 7 vagy 10 karakteres a jelszó • NTLM • Unicode • hálózaton utazik • Challenge, LanMan hash-ből készült hash, NTLM hash-ből készült hash • LanMan törés módszerével ez is törhető • NTLM v2 • Unicode • 128 bites kulcs, HMAC-MD5 • kölcsönös azonosítás • Kerberos • Unicode vagy PKI alapú • Titkosítás: RC4; checksum: MD5; kulcs: K = MD4(UNICODE(password)) • A KRB_AS_REQ kérésben található Timestamp mező próbálkozással dekódolható, mert a mező nincs hash-elve

  9. A LanMan azonosítás letiltása • HKLM\SYSTEM\CurrentControlSet\Control\LSA • LMCompatibilityLevel érték (Q147706) • 0: LanMan és NTLM; NTLMv2 soha • 1: NTLMv2 ha lehetséges • 2: Csak NTLM • 3: Csak NTLMv2 • 4: A kiszolgáló visszautasítja a LanMan azonosítást • 5: A kiszolgáló visszautasítja a LanMan és NTLM azonosítást • NTLMv2 kompatibilitás • Windows 9x + DSClient.exe + Winsock 2.0 update + DUN 1.3 • NT4 SP4-től (tartományok között SP6-tól) • Windows 2000, Windows XP, Windows Server 2003 • csoportházirend

  10. Kerberos „brute force” támadás • A Kerberos KRB_AS_REQ üzenet feltörésének becsült ideje különböző konfigurációkon egyszerű

  11. Erős jelszavak használata • LanMan • gyakorlatilag mindegy, hogy 7 vagy 10 karakteres a jelszó! • Windows NT-s környezetben: • {ALT+0658} típusú karaktereket a jelszóba ;-) • PASSFILT.DLL (Q161990) • Windows 2000, Windows Server 2003 • Default Domain Policy nevű csoportházirend • „A jelszónak meg kell felelnie a bonyolultsági feltételeknek” • nem tartalmazhatja a felhasználók fióknevét, sem annak egy részét • legalább 6 karakter hosszú • Az A..Z, a..z, 0..9, nem alfabetikus karakterek (pl.: !, $, #, %) négyféle kategóriájából közül legalább három • egyéni jelszószűrők SDK segítségével

  12. Null Session (RPC, IPC$) • net use \\SERVER\IPC$ "" /user:"" • Sikeres csatlakozás után RPC hívásokkal mindent elérhet • erőforrások • szolgáltatások • felhasználók • ágy, asztal, tv, stb.

  13. Napirend • Menedzselt biztonság • Felhasználók azonosítása • PKI alapú szolgáltatások • A hálózati forgalom védelme • Tartalomvédelmi szolgáltatás

  14. Mi az a PKI? • Cél: üzleti kommunikáció és tranzakciók védelme • szoftverek • titkosítási technológiák • folyamatok • szolgáltatások • Feladat • személyes adatok védelme: titkosítás • adat integritás: digitális aláírás • hitelesség: hash algoritmus, üzenet kivonat, digitális aláírás • letagadhatatlanság: digitális aláírás, auditálás • Implementáció • 25 éves technológiák gyűjteménye • új terjesztési mechanizmus (pl. csoportházirend)

  15. A tanúsítványok kiállításának folyamata • Tanúsítvány házirend • a tanúsítványok felhasználási területe és a CA felelőssége • Tanúsítvány használati nyilatkozat • Certificate Practice Statement (CPS) • a CA hogyan kezelje az általa kiadott tanúsítványokat • a tanúsítvány házirend követelményei hogyan valósuljanak meg a konkrét üzemeltetési szabályzat, rendszer architektúra, fizikai biztonság és IT környezet szempontjait figyelembe véve

  16. A tanúsítvány házirend előírja… • A felhasználók hogyan azonosítják magukat a CA felé • Kompromittálódott vagy rossz célra használt CA esetén a felelősséget • A tanúsítványok mire használhatók • A privát kulcsok tárolásának és kezelésének körülményeit • A privát kulcs exportálhatóságát • Mi a teendő, ha a privát kulcs elvész vagy kompromittálódik • A tanúsítványok kiállításának és megújításának menetét • A tanúsítványok érvényességi idejét • A használható kriptográfiai algoritmusokat • A nyilvános és privát kulcsok minimális hosszát

  17. A tanúsítvány használati nyilatkozat (CPS) előírja… • A CA azonosítását (CA neve, kiszolgáló neve, DNS címe) • A CA mely tanúsítvány házirendeket alkalmazza és milyen típusú tanúsítványokat állít ki • Tanúsítvány kiadási és megújítási eljárások és folyamatok • A CA kulcsának hosszát, a használt CSP típusát és a használt kriptográfiai algoritmusokat • A CA tanúsítványának élettartamát • A CA-t körülvevő környezet fizikai védelmének előírásait • A CA által kiállított tanúsítványok élettartamát • A tanúsítványok visszavonásának eljárását • A visszavonási lista (CRL) megújításának rendszerességét és publikálási pontját (CDP) • A CA saját tanúsítványának megújítására vonatkozó szabályokat • A CA bizalmi kapcsolatainak (Certificate Trust List, Cross-Certificates) szabályozását

  18. A CA hierarchia ajánlott mélysége

  19. A CA hierarchia biztonsági szintjei • Root CA • a legmagasabb biztonság • minimális hozzáférés • Lefelé haladva • csökken a biztonság • nő a hozzáférés igénye

  20. Windows Server 2003 PKICélkitűzés • Windows alapú infrastruktúra számára… • biztosítsa a legjobb PKI platformot • a legkönnyebb bevezetést • a legalacsonyabb TCO-t

  21. Windows Server 2003PKI újdonságok (1/2) • Szerkeszthető tanúsítványsablonok • v2 • a régi v1-es sablon másolás esetén v2 lesz • Igénylési, kiadási és használati szabályzatok létrehozása • ki, kinek igényelhet tanúsítványt • Automatikus tanúsítvány igénylés és megújítás • Windows 2000: csak EFS és Computer • Különbözeti visszavonási lista • Delta CRL, RFC-2459

  22. Windows Server 2003PKI újdonságok (2/2) • Szerepen alapuló felügyelet • Kulcs archiválás és kulcs visszaállítás • helyreállító ügynök segítségével • Események naplózása • Minősített alrendszer • minősített CA-hoz • Certutil.exe • -dspublish, -getkey, -recoverkey • Windows 2000 CA helyben frissíthető

  23. A Windows PKI jövője • Active Directory független tanúsítvány életciklus menedzsment • Beépített OCSP támogatás • EFS intelligens kártyával • architekturális kérdés

  24. A PKI alkalmazási területei • Bejelentkezés intelligens kártyával • Smartcard logon • Távoli hálózati bejelentkezés • RAS, VPN • Office dokumentumok digitális aláírása • Programok, kódok, makrók digitális aláírása • Authenticode • Titkosított hálózati forgalom • IPSec – titkosított és / vagy aláírt forgalom • Biztonságos webszolgáltatás (https://) • Felhasználók azonosítása is • E-mail biztonság (digitális aláírás, titkosítás) • S/MIME • Titkosított fájlok • Encrypting File System (EFS)

  25. Bejelentkezés intelligens kártyával„Smartcard logon” • Végponttól végpontig Kerberos-on és PKI-n alapul • Nem használ jelszót • a privát kulcsot nem a jelszó titkosítására használja • a jelszavas bejelentkezés csoportházirenddel le is tiltható

  26. SC 4 LSA elkéri a kártyától a tanúsítványt 2 PIN meg-adása 6A tanúsítvány ellenőrzése az AD alapján: subject = email 8 A Smart Card dekódolja a TGT-t a felhasználó privát kulcsával. Az LSA bejelentkezteti a felhasználót. 3 GINA átadja a PIN-taz LSA-nak 5A Kerberos ügyfél elküldi a tanúsítványt a KDC-nek 7A KDC kiadja a TGT-t, amely a felhasználó nyilvános kulcsával lett titkosítva Kerberos KDC LSA szerviz Kerberos Bejelentkezés intelligens kártyával Olvasó 1A kártya előhívja a GINA-t

  27. Bejelentkezés intelligens kártyávalÚjdonságok a Windows 2000 óta • Támogatott kártyák • GemPlus GemSafe 4K, 8K • Infineon SICRYPT v2 (új) • Schlumberger Cryptoflex 4K, 8K, Cyberflex Access 16K • Letiltható jelszavas bejelentkezés • Terminál kiszolgáló támogatás • Automatikus tanúsítványkérelem

  28. A legtöbb smartcard alapú megoldás és ujjlenyomat olvasó… • a privát kulcsommal vagy az ujjlenyomatommal védi a jelszavamat • „tanítási fázis”  • Nem biztonsági hanem kényelmi eszköz • pl. megkönnyíti a jelszó menedzsmentet • A hálózaton semmivel sem biztonságosabb, mint a jelszavas bejelentkezés • Basic Authentication, LanMan, NTLM v1, NTLMv2 stb. • Részlet a Microsoft Fingerprint Reader ismertetőjéből • „The Fingerprint Reader should not be used for protecting sensitive data such as financial information or for accessing corporate networks. We continue to recommend that you use a strong password for these types of activities.”http://www.microsoft.com/hardware/mouseandkeyboard/features/fingerprint.mspx

  29. A különböző eszközök összehasonlítása

  30. Az intelligens kártya bevezetésének módszerei • Automatikus • üres kártyák kiosztása • automatikus tanúsítvány kiadás engedélyezése • nem javasolt • Önregisztráció • a felhasználó kezdeményezi a folyamatot, de kommunikálnia kell a regisztrációs hatósággal (RA) • Kiadó ügynök • a tanúsítványt a kiadó ügynök kéri a felhasználó számára • Automatikus megújítás • miután a felhasználó igazolja, hogy birtokolja a privát kulcsot, a tanúsítvány automatikusan megújul

  31. Automatikus tanúsítvány kérés intelligens kártyára • A Vállalati Rendszergazdák csoport tagja • készít egy új tanúsítványsablont, amelyre engedélyezi az automatikus igénylést • beállítja a a tanúsítványsablon jogosultságait és megköveteli a felhasználói interakciót a kérelem során • A CA adminisztrátora • publikálja a testre szabott tanúsítványsablont egy Enterprise CA-ra • A Tartománygazdák csoport egy tagja • csoportházirenddel engedélyezi az automatikus tanúsítványkérelmet • A felhasználó • rákattint a tanúsítványkérelem buborékra • behelyezi a kártyáját • begépeli a PIN kódját

  32. A kártyák automatikus előállításának hátrányai • A biztonság nem nagyobb, mint a jelszavas védelem • a smartcard egy kényelmi szolgáltatássá süllyed • aláíró eszközök előállítására nem ajánlott • Az igénylési folyamat bonyolult lehet a felhasználók számára • A kártyaolvasót és CSP-t az automatikus előállítás előtt kell telepíteni • A kulcsok visszaállítása néhány CSP-vel nem működik

  33. Intelligens kártyák felügyelete • Registration Authority (RA) • A Microsoft nem készít RA-t • Külső gyártók megoldásai • Alacris idNexus • Aladdin eToken TMS Token Management System • Atos Origin - Worldline Pay Card Management System • Spyrus – Signal Identity Manager • Intercede – MyID Enterprise

  34. Office dokumentumok digitális aláírása • Office 2000-től kezdve támogatott • Mit igazol? • az aláíró személyét • a dokumentum tartalma nem változott az aláírás óta • Többszörös aláírás • az aláírások listát alkotnak • a fájl tartalmát meg lehet változtatni, de ekkor eltűnnek az aláírások (az összes egyszerre)

  35. Néhány szó az InfoPath-ról • Több aláíró személy • A dokumentumnak részei is aláírhatók • pl. csak az utazási feltételek • Ellenjegyzés lehetséges • Aláíráskor a dokumentum aktuális állapota bitmap formában letárolásra kerül

  36. demó • Office dokumentumok digitális aláírása

  37. Biztonságos webszolgáltatás • Kiszolgáló oldali tanúsítvány • azonosítja a kiszolgálót • a nyilvános kulccsal titkosítható a HTTP: adatforgalom (HTTPS:) • az adatfolyamot szimmetrikus kulccsal titkosítják • a PKI a szimmetrikus kulcs cseréjének védelmére kell • Ügyfél oldali tanúsítvány • azonosítja a felhasználót • IIS user mapping • 1-1 • 1-many • AD

  38. demó • IIS 6.0: kiszolgáló és ügyfél oldali tanúsítványok

  39. kávé-szünet

  40. Napirend • Menedzselt biztonság • Felhasználók azonosítása • PKI alapú szolgáltatások • A hálózati forgalom védelme • Tartalomvédelmi szolgáltatás

  41. A hálózati forgalom védelme • Ahány protokoll, annyi megoldás • Fájl és nyomtató megosztás • SMB signing, IPSec • Webkiszolgáló • SSL • LDAP kiszolgáló • LDAP SSL • Terminal Services • RDP adatfolyam titkosítása • Távoli kapcsolat • VPN  PPTP vagy L2TP+IPsec • Telnet • SSH • Bármi más • IPSec

  42. Elterjedt VPN protokollok • OSI Layer 2 • PPTP • Microsoft+Ascend+3COM • draft-ietf-pppext-pptp-02.txt • L2F (Cisco) • L2TP • Microsoft+Cisco • draft-ietf-pppext-l2tp-09.txt • OSI Layer 3 • IPSec • IETF • Transzport mód • Tunnel mód

  43. Titkosítható (ESP) Aláírható (AH) Az IPSec belülről • Alkalmazás • IP stack • IETF szabvány • 3. OSI rétegben működő protokoll • Szűrőként működik • IPSec, ha a szűrő szerint használni kell • IPSec Tunnel mód esetén SRC IP DST IP Proto/port SRC IP DST IP Proto/port Adat AH: Authenticated Header, ESP: Encapsulated Secure Payload

  44. Az IPSec és a NAT • A NAT változtatja a SourceIP-t • AH esetén a fejlécben lévő SourceIP is alá lett írva • ha változik, a csomag érvénytelen lesz • Megoldás • IPSec NAT Traversal (NAT-T) • RFC-3193 • az UDP 4500-es porton csinál egy alagutat (tunnel) • Q818043 • A L2TP+IPsec NAT-T-hez nyitva tartandó portok • L2TP  UDP 500, UDP 1701 • NAT-T  UDP 4500 • ESP  IP protocol 50

  45. demó • IPSec

  46. Napirend • Menedzselt biztonság • Felhasználók azonosítása • PKI alapú szolgáltatások • A hálózati forgalom védelme • Tartalomvédelmi szolgáltatás

  47. Mivel keverik az RMS-t? • RMS • Windows Rights Management Services • zártkörű (AD), vállalati felhasználók számára nyújtott tartalomvédelmi szolgáltatás • DRM • Digital Rights Management • elektronikus licenccel védett Windows Media és eBook tartalom • nyílt (Internetes) szolgáltatás • IRM • Information Rights Management • az RMS Office 2003-ban lévő ügyfele • a „Passport RAC Service” neve • WRM • ilyen nincs • R.M.S Titanic • Royal Mail Streamer Titanic • már elsüllyedt

  48. A tartalomvédelemről • Üzletileg érzékeny (belső) információ • kijutása üzleti vagy erkölcsi kárt okozhat • Az információ kijutását megakadályozni nem lehet • lehet, hogy off-line médiára kerül • XP SP2: le tudja tiltani az USB tárolókra írást • portán motozni befelé szokás, kifelé nem ellenőriznek • Nem a kijutást, hanem az információt kell védeni

  49. Téveszmék • Egy újság az RMS-ről: „A szakemberek szerint a digitális aláírás is meg tudja oldani ezt a problémát…” • ez önmagában igaz, de… • Digitális aláírás • lehet olyan rendszert fejleszteni, amely az aláírásom ellenőrzése után enged másolni, nyomtatni stb. • Mi van, ha a projektnek új tagja lesz? Újra kell publikálni. • a dokumentum végső (publikált) verzióját szokás levédeni vele • az RMS a csoportmunka során sokkal kényelmesebb • A dokumentumot titkosítani is kell • Titkosítás • önmagában még nem tartalomvédelem • ha meg tudom nyitni fájlt, akkor akármit csinálhatok vele • másolás, módosítás, továbbítás, nyomtatás stb.

  50. Windows RMS 1.0 • Nagyvállalati tartalomvédelmi megoldás • skálázható, magas rendelkezésre állású, külső rendszerekkel összekapcsolható (Trust) • Széleskörű alkalmazás támogatás • Office, E-mail, Web böngésző, külső alkalmazások SDK-val • Dinamikusan kiértékelt jogosultságok • emiatt csoportmunkára is jó, nem csak a végső publikálásra • Finoman hangolható korlátozások • Korlátozás sablonok • Off-line működés • Cégen kívülről történő elérés (pl. kioszk)

More Related