Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
© Copyr i g h t 2012 OS Iso f t , LLC . 1
Вебинар «Защита данных. Особенности настройки службы
каталогов Active Directory при работе с PI System»
Как работать с LiveMeeting
Настройка аудио/видео
Задать вопросы
Загрузить материалы семинара
Presented by
Защита данных. Особенности
настройки службы каталогов
Active Directory при работе с
PI System
Игорь Кораблев,
инженер технической поддержки клиентов OSIsoft
© Copyr i g h t 2012 OS Iso f t , LLC .
Основные вопросы
• Анатомия Атаки.
• Аутентификация в системе и “Pass the Hash”.
• Настройка ДМЗ.
• Анализ решений на базе Active Directory.
© Copyr i g h t 2012 OS Iso f t , LLC .
4
Анатомия атаки
Сбор информации
Заметание следов
атаки
Управление
доступом(делегирование)
Та самая стадия,
когда угроза
превращается в
атаку! Получение доступа
Сканирование и анализ
структуры
© Copyr i g h t 2012 OS Iso f t , LLC . 5
Процесс Атаки
Attacker
© Copyr i g h t 2012 OS Iso f t , LLC .
6
Звено процесса атаки
Начальная
стадия
Действия
клиента
Взлом
пароля
или хэша
Уязвимость
системы
Повышение
полномочий Сканирование
хэшей
Захват
управления
Переадресация портов и
маршрутизация при помощи
уже взломанной системы
Эксплоит
Цель
© Copyr i g h t 2012 OS Iso f t , LLC . 7
Взлом посредством “Pass the Hash”
fn(Hash,Challenge)
Request Access
Random Challenge
LMhash=fn(“password”)
NThash=fn(“password”)
Захвачен хэш? Пароль больше не нужен!
© Copyr i g h t 2012 OS Iso f t , LLC . 8
Стратегически важные аккаунты
• Администраторы домена.
• Локальные администраторы.
• Аккаунт с возможностью удаленного доступа
к машине в сети.
• “Зеркальный” аккаунт.
• Имеет “Network Logon” права на удаленной
машине.
• И др.
© Copyr i g h t 2012 OS Iso f t , LLC . 9
Рекомендации по настройке
аутентификации
• Действовать по принципу делегирования
наименьших прав доступа.
• Сокращение и защита доменных аккаунтов с
высоким уровнем доступа.
• Сокращение и защита локальных
административных аккаунтов.
• Ограничение трафика посредством
фаервола.
© Copyr i g h t 2012 OS Iso f t , LLC . 12
Поток данных в производственной среде
Control
DMZ
Офис
Высший уровень аутентификации
Отсутствие аутентификации
Consumer 1
Producer 1 + Consumer 2
Producer 2 + Consumer 3
Producer 3
ENTERPRISE “ZONE”
PRODUCTION “ZONE”
© Copyr i g h t 2012 OS Iso f t , LLC . 13
Доверительная модель
DMZ
Офис
Система Управления
O-Пользователи
Ресурсы для O/D
Ресурсы для O/CУ
СУ-Пользователи
O-Пользователи “SSO”
Resources for C
Trusted
Trusted
Trusting
(Explicitly Managed)
Избранные O-
Пользователи
Аутентифицированные
в СУ для доступа к СУ-
ресурсам
O-Пользователи
Аутентифицированные в O
для доступа к
D-ресурсам
СУ-Пользователи
Аутентифицированные в У
для доступа к
D-ресурсам Trusted
© Copyr i g h t 2012 OS Iso f t , LLC . 15
Практики PI System в DMZ
• Избегайте сквозной трафик через DMZ – Никаких исключений для сквознго трафика
– DMZ изолирована от интернета
– Запрет на локальный и RDP доступ к системе
• Управляющая сеть – Минимизация использования
офис и вебпротоколов
– Мониторинг трафика DMZ
– Отдельный полномочия для входа в систему
– PI Interface +PI Buffering
© Copyr i g h t 2012 OS Iso f t , LLC .
16
16
Способ 1: DMZ PI
Управляющая сеть DMZ Корпоративная сеть
PI Interface Service
Critical Usage
5450 5457 5459
Web Apps PI Coresight PI Notifications PI WebParts
5450 5457 5459
Desktop Apps PI ProcessBook PI DataLink
Web Server
A
S
S
E
T
S
T
H
R
E
A
T
A
C
T
O
R
S
© Copyr i g h t 2012 OS Iso f t , LLC . 17
17
Способ 2: PI High Availability
Управляющая сеть DMZ Корпоративная сеть
PI Interface Service
Web Apps PI Coresight PI Notifications PI WebParts
Desktop Apps PI ProcessBook PI DataLink Critical Usage
5450 5457 5459
5450 5457 5459
Web Server
A
S
S
E
T
S
T
H
R
E
A
T
A
C
T
O
R
S
© Copyr i g h t 2012 OS Iso f t , LLC .
18
18
Способ 3: DMZ PI to PI
Управляющая сеть
DMZ
Корпоративная сеть
PI Interface Service
PI-to-PI Interface Critical Usage
Web Apps PI Coresight PI Notifications PI WebParts
Данные реального времени (нет пользовательского
трафика)
5450 5450
Desktop Apps PI ProcessBook PI DataLink
Web Server
A
S
S
E
T
S
T
H
R
E
A
T
A
C
T
O
R
S
© Copyr i g h t 2012 OS Iso f t , LLC .
19
19
Способ 4: Однонаправленные сети
(Data Diode) Управляющая сеть
Enforcement Zone(Однонаправленная
сеть)
Корпоративная сеть
PI Interface Service
Critical Usage
Web Apps PI Coresight PI Notifications PI WebParts
Desktop Apps PI ProcessBook PI DataLink
Web Server
A
S
S
E
T
S
T
H
R
E
A
T
A
C
T
O
R
S
© Copyr i g h t 2012 OS Iso f t , LLC . 20
Возможные опции для построения
архитектуры
1. “Зеркальные” аккаунты.
2. Лес– Один домен
3. Лес– Несколько доменов
4. Множество лесов
© Copyr i g h t 2012 OS Iso f t , LLC . 21
“Зеркальные”
аккаунты Единый Лес Множество Лесов
Единый аккаунт для управления Нет Да Да
Передача хэша в среде Офис/Производство 2 1 n/a – Тикеты
Сегрегация административных полномочий Да Нет Да
Наследование доверительных свзяей в среде
Офисн/Производство n/a Наследуемые Ненаследуемые
Обозначения трастов в среде Офис/Производство n/a Неявные
Явные Отсуствуют
Направленность Доверительных связей n/a Двунаправленные Однонаправленные
Область Аутентификации Локaльная Любой домен в
лесу
Любой домен в
лесу
Глобальный каталог / Схема n/a 1 2
Репликация через файрвол n/a Да Нет
Требования к репликации (DC to DC) 2 tcp / 2 udp 9 tcp / 3 udp (2003)
10 tcp / 6 udp (2008) 1 tcp / 1 udp
Возможные опции. Сравнение.
© Copyr i g h t 2012 OS Iso f t , LLC . 22
© Copyr i g h t 2012 OS Iso f t , LLC . 23
Руководство к действию
• Ограничьте доступ к DMZ и сервисам AD
• Будьте осторожней в использовании аккаунтов администратора
• Поддерживайте програмное обеспечение, операционную систему и сетевое ПО в акутальном состоянии.
• Решение должно быть оправдано с точки зрения трудозатрат. – Привлекайте эскпертов.
© Copyr i g h t 2012 OS Iso f t , LLC . 24
Дополнительные источники
• Active Directory Replication Over Firewalls http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx
• How to Configure a Firewall for Domains and
Trusts http://social.technet.microsoft.com/wiki/contents/articles/active-directory-replication-over-firewalls.aspx
• Active Directory Domain Services in the
Perimeter http://technet.microsoft.com/en-us/library/dd728034(WS.10).aspx
• Windows Security Requirements for PI Server
3.4.380.36 and later (OSIsoft KB00354)
© Copyr i g h t 2012 OS Iso f t , LLC . 25
© Copyr i g h t 2013 OS Iso f t , LLC .
Стандартный сервис OSIsoft SRP
• Техническая поддержка 24/7 ( на английском языке)
• Обновления программного обеспечения
• Доступ на веб-сайт технической поддержки
techsupport.osisoft.com:
– База знаний
– Документация для текущих версий продуктов
– Информация о будущих разработках
– История обращений в техническую поддержку OSIsoft
© Copyr i g h t 2013 OS Iso f t , LLC .
Дополнительный сервис OSIsoft (SRP) для
России и стран СНГ
• Техподдержка на русском языке в часы работы
Московского офиса
• Ежегодный двухдневный «техосмотр» PI System
• Один ваучер на тренинг в Москве
• Доступ на OSIsoft virtual campus (vCampus)
• Практикум по различным сценариям (восстановление
после катастроф, миграция/обновление PI System,
слияние PI Server’ов и т.д., в зависимости от размера
PI Server)
© Copyr i g h t 2013 OS Iso f t , LLC .
Дополнительный сервис OSIsoft (SRP) для
России и стран СНГ
При приобретении технической поддержки в 2013 году
через наших партнеров мы дополнительно предлагаем:
• До 10 лицензий клиентского ПО PI Webparts или PI
Coresight бесплатно, с бесплатной технической
поддержкой на первые 12 месяцев
• Демонстрационный стенд нашего нового ПО PI
System 2012 – бесплатно, на 30 дней
© Copyr i g h t 2013 OS Iso f t , LLC .
Наш канал на YouTube
OSIsoftRussia
© Copyr i g h t 2012 OS Iso f t , LLC . 30
Зарегистрироваться на этот вебинар можно на
нашем сайте:
www.osisoft.ru
20 ноября - «Обновление до
PI Server 2012»
4 декабря –«Все о техподдержке, доп.
сервисах и портале разработчиков
OSIsoft »
Вебинар OSIsoft на русском языке в
2013 году
© Copyr i g h t 2012 OS Iso f t , LLC . 31
Тренинги OSIsoft в Москве
Название курса Начало Окончание
PI System Architecture, Planning and Implementation 25.03.2014 28.03.2014
Building PI System Assets and Analytics with PI AF 1.04.2014 4.04.2014
Visualizing PI System Data 8.04.2014 10.04.2014
Содержание курсов Вы можете найти в разделе «Обучение» на нашем
сайте
www.osisoft.ru
Заявки присылайте на электронный адрес:
© Copyr i g h t 2012 OS Iso f t , LLC . 32
СПАСИБО! [email protected]
По всем вопросам обращайтесь по адресу: