Üzemeltetői Konferencia V

Üzemeltetői Konferencia V.Üzemeltetői Konferencia V.

Harmath ZoltánHarmath Zoltán KonzulensKonzulens

[email protected]@microsoft.com

Kérdezz-felelekKérdezz-felelek Ki tudja mi az a VPN?Ki tudja mi az a VPN? Kik használnak a cégnél VPN-t?Kik használnak a cégnél VPN-t? Kik használnak nem Microsoft alapú Kik használnak nem Microsoft alapú

VPN kiszolgálót?VPN kiszolgálót? Kik használnak Microsoft Windows Kik használnak Microsoft Windows

Server 2003 alapú VPN kiszolgálót?Server 2003 alapú VPN kiszolgálót?

Gyors áttekintésGyors áttekintés

Internet

VPN kliens VPN kiszolgáló

Helyi hálózat

Internet kapcsolat

VPN cső VPN kapcsolat

?

•A VPN kliens kap egy belső IP címet, amivel eléri a belső erőforrásokat•Elég ismernem egy felhasználói nevet, jelszót, tartományt és VPN szerver nevet és betudok tárcsázni bármely szervezethez•A VPN csőben átmenő adatok esetében fontos az adatintegrítás, és a privacy•Biztonságos módon kell tudnom azonosítani a felhasználót a VPN kiszolgálón•A VPN kliens a belső, védett hálózat részeként kommunikál, így akár megfertőzheti a védett gépeket

- Forgalom szűrése a VPN csőben

- Megbízható azonosítás

- Titkosítás kényszerítése

- RADIUS alkalmazása

- Biztonsági BaseLine kényszerítése a VPN kliensre

Megbízható azonosításMegbízható azonosításTitkosítás kényszerítéseTitkosítás kényszerítéseForgalom szűréseForgalom szűréseRADIUS alkalmazásaRADIUS alkalmazásaBiztonsági BaseLine kényszerítéseBiztonsági BaseLine kényszerítése

Megbízható azonosítás I.Megbízható azonosítás I. Cél - a kockázat csökkentéseCél - a kockázat csökkentése TapasztalatTapasztalat

A kockázat nem csökkenthető le nullára, erre ne is A kockázat nem csökkenthető le nullára, erre ne is törekedjünktörekedjünk

Mindenkinek más és más jelenti a kockázatotMindenkinek más és más jelenti a kockázatot Kockázat elemzés során el kell dönteni, hogy mi a Kockázat elemzés során el kell dönteni, hogy mi a

vállalható kockázat (MOF)vállalható kockázat (MOF) Gyakori megoldásokGyakori megoldások

Forrás IP cím alapján történő szűrésForrás IP cím alapján történő szűrés Kötelező IPSec használataKötelező IPSec használata Smart-card alapú hitelesítésSmart-card alapú hitelesítés Biometrikus hitelesítésekBiometrikus hitelesítések A fentiek tetszőleges kombinációjaA fentiek tetszőleges kombinációja

Megbízható azonosítás II.Megbízható azonosítás II.

Azonosítás módszert Azonosítás módszert az igényeink alapján az igényeink alapján konfigurálhatjuk az konfigurálhatjuk az RRAS házirendbenRRAS házirendben

Smart-Card eseténSmart-Card esetén EAPEAP

Nem SC eseténNem SC esetén MS-CHAP v2MS-CHAP v2

Eltérés esetén a Eltérés esetén a kapcsolat nem épül felkapcsolat nem épül fel


Titkosítás kényszerítéseTitkosítás kényszerítése MPPE – MPPE – Microsoft Point-to-Point Microsoft Point-to-Point

EncryptionEncryption

Javasolt a 128 bit alkalmazása

• Titkosítás módszert az igényeink alapján konfigurálhatjuk az RRAS házirendben• Figyelnünk kell a kliensek támogatottságára• Ha nem azonos a kliens beállításokkal a kapcsolat nem épül fel


Forgalom szűrése a „VPN Forgalom szűrése a „VPN csőben”csőben” Ha a VPN csőbe belátnék, akkor Ha a VPN csőbe belátnék, akkor

nem lenne biztonságosnem lenne biztonságos Nem tudunk a csőben szűrniNem tudunk a csőben szűrni Csak a végpontokonCsak a végpontokon

RRAS alapú VPN kiszolgáló esetén RRAS alapú VPN kiszolgáló esetén kiválóan alkalmazható a forgalom kiválóan alkalmazható a forgalom szűréséreszűrésére Input FilterInput Filter Output FilterOutput Filter


RADIUS alkalmazása I.RADIUS alkalmazása I. A felhasználót célszerű a A felhasználót célszerű a

tartományunkból azonosítani (SSO)tartományunkból azonosítani (SSO) Milyen azonosítást támogat az RRAS?Milyen azonosítást támogat az RRAS?

Windows Authentication és AccountingWindows Authentication és Accounting Workgroup esetén helyi csoportok és felhasználókWorkgroup esetén helyi csoportok és felhasználók Tartomány esetén helyi és tartományi csoportok Tartomány esetén helyi és tartományi csoportok

és felhasználókés felhasználók RADIUS Authentication és AccountingRADIUS Authentication és Accounting

Külön névtérként kell kezelni és a beállításunknak Külön névtérként kell kezelni és a beállításunknak megfelelően egy vagy több tartományból megfelelően egy vagy több tartományból azonosíthatjuk a felhasználóinkatazonosíthatjuk a felhasználóinkat

RADIUS alkalmazása II.RADIUS alkalmazása II. SzótárSzótár

RADIUS kliensRADIUS kliens Aki kezdeményezi a RADIUS azonosítástAki kezdeményezi a RADIUS azonosítást Microsoft környezetben ez az VPN Microsoft környezetben ez az VPN

kiszolgálókiszolgáló RADIUS szerverRADIUS szerver

Aki fogadja a RADIUS autentikációs Aki fogadja a RADIUS autentikációs kéréstkérést

Microsoft környezetben ez az IAS Microsoft környezetben ez az IAS kiszolgálókiszolgáló

Régi újdonságunkRégi újdonságunk RADIUS ProxyRADIUS Proxy

RADIUS alkalmazása III.RADIUS alkalmazása III.

VPN KliensRADIUS kiszolgáló

Tartományvezérlő

1 2

5

3

6

4

1. VPN kapcsolat kezdeményezése2. Bejelentkezési információk továbbítása a RADIUS

kiszolgálónak3. Bejelentkezési információk ellenőrzése4. Tartományvezérlő válasza5. Radius kiszolgáló válasza6. Válasz a felhasználói munkaállomásnak

RADIUS alkalmazása IV.RADIUS alkalmazása IV. MegfontolásokMegfontolások

„„Erős” shared secretErős” shared secret Egyedi RADIUS port alkalmazásaEgyedi RADIUS port alkalmazása Man in the middle Attack elleni Man in the middle Attack elleni

védelemvédelem Védett hálózati szakasz a RADIUS kliens Védett hálózati szakasz a RADIUS kliens

és az IAS közöttés az IAS között IPSec – teljes mértékben támogatott és IPSec – teljes mértékben támogatott és

javasoltjavasolt de nem shared key alapon de nem shared key alapon

DemoDemo Azonosítási beállításokAzonosítási beállítások Titkosítási beállításokTitkosítási beállítások Forgalom szűrési beállításokForgalom szűrési beállítások RADIUS beállításokRADIUS beállítások

Biztonsági BaseLine Biztonsági BaseLine kiterjesztése a VPN kliensekrekiterjesztése a VPN kliensekre

Internet

Miért szükséges?

BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre ElőfeltételekElőfeltételek

Windows Server 2003 alapú VPN Windows Server 2003 alapú VPN kiszolgálókiszolgáló

Windows Server 2003 alapú IAS Windows Server 2003 alapú IAS kiszolgálókiszolgáló

Active DirectoryActive Directory RADIUS azonosítás alkalmazásaRADIUS azonosítás alkalmazása Connection Manager alapú VPN Connection Manager alapú VPN

kapcsolatkapcsolat Programozási tudásProgramozási tudás

A fentiek ellenére nem lehetetlen A fentiek ellenére nem lehetetlen

VPN Kliens VPN Kiszolgáló Tartomány A

1 2

34

5

1. VPN kapcsolat felépítés CM profilból2. RADIUS azonosítás3. RADIUS válasz, benne a Quarantine információval4. Válasz a felhasználónak5. After Connection script futtatása a kliens oldalon majd

visszajelzés a VPN kiszolgálónak6. Quarantine információ eltávolítása / kapcsolat bontása

BaseLine kiterjesztése a BaseLine kiterjesztése a VPN kliensekreVPN kliensekre

Elérhető quarantine opciókElérhető quarantine opciók MS-Quarantine-IPFilterMS-Quarantine-IPFilter (4165) (4165) MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout

(4166)(4166) IAS házirendenként definiálhatóIAS házirendenként definiálható

BaseLine kiterjesztése a VPN BaseLine kiterjesztése a VPN kliensekrekliensekre

MS-Quarantine-IPFilterMS-Quarantine-IPFilter Segítségével a kliensre IP szűrőket definiálhatunk Segítségével a kliensre IP szűrőket definiálhatunk From From

ClientClient és és To ClientTo Client megközelítésben megközelítésben Lényege: segítségével beállítható, hogy a BaseLine-nak nem Lényege: segítségével beállítható, hogy a BaseLine-nak nem

megfelelő kliens mit láthat a hálózaton (pl.: megfelelő kliens mit láthat a hálózaton (pl.: telepítőkészleteket tartalmazó megosztásokat)telepítőkészleteket tartalmazó megosztásokat)

MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout Segítségével a Policy-ban meghatározott idő eltelte után a Segítségével a Policy-ban meghatározott idő eltelte után a

bejövő VPN kérést szerver oldalon (!!!) lebontjukbejövő VPN kérést szerver oldalon (!!!) lebontjuk Lényege: a telepítőkészletek lemásolásához szükséges időt Lényege: a telepítőkészletek lemásolásához szükséges időt

töltheti el a felhasználó a VPN sessionben, vagy akár azonnal töltheti el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a kapcsolatis lebontható a kapcsolat

A kettő kombinálható egymássalA kettő kombinálható egymással


MS-Quarantine-Session-TimeoutMS-Quarantine-Session-Timeout Segítségével a Policy-ban Segítségével a Policy-ban

meghatározott idő eltelte után a meghatározott idő eltelte után a bejövő VPN kérést szerver oldalon (!!!) bejövő VPN kérést szerver oldalon (!!!) lebontjuklebontjuk

Lényege: a telepítőkészletek Lényege: a telepítőkészletek lemásolásához szükséges időt töltheti lemásolásához szükséges időt töltheti el a felhasználó a VPN sessionben, el a felhasználó a VPN sessionben, vagy akár azonnal is lebontható a vagy akár azonnal is lebontható a kapcsolatkapcsolat

BaseLine kiterjesztése a BaseLine kiterjesztése a VPN kliensekreVPN kliensekre

Internet

Quarantine hálózat


Technikai háttérTechnikai háttér rqc.exe alkalmazást kell meghívni rqc.exe alkalmazást kell meghívni

kliens oldalon, ami egy kliens oldalon, ami egy stringetstringet elküld elküld az RRAS kiszolgálón futó rqs.exe az RRAS kiszolgálón futó rqs.exe modulnakmodulnak

rqs.exe alkalmazás az RRAS rqs.exe alkalmazás az RRAS kiszolgálón várja a kiszolgálón várja a stringet, stringet, ha ha megérkezik akkor a kliens megfelelt a megérkezik akkor a kliens megfelelt a BasLine-nak és leszedhető róla a BasLine-nak és leszedhető róla a QuarantineQuarantine


Miért biztonságos ez?Miért biztonságos ez? Mert a kliens oldalon nem jelenik meg Mert a kliens oldalon nem jelenik meg

a string, kiolvasható formábana string, kiolvasható formában Mert a kliens oldalon az rqc.exe –t Mert a kliens oldalon az rqc.exe –t

futtatva még ha ismernénk a string-et futtatva még ha ismernénk a string-et sem tudnánk leszedni a Quarantine-t, sem tudnánk leszedni a Quarantine-t, mivel az rqc.exe csak a CM-től fogadja mivel az rqc.exe csak a CM-től fogadja el a paramétertel a paramétert

Még ha van egy SC-m és tudom a PIN Még ha van egy SC-m és tudom a PIN kódját, akkor is rendelkeznek kell a kódját, akkor is rendelkeznek kell a megfelelő CM profillalmegfelelő CM profillal


Mi az árnyoldala?Mi az árnyoldala? A PSS jelenleg nem ad terméktámogatást az A PSS jelenleg nem ad terméktámogatást az

eszközhöz, csak eszközhöz, csak Best EffortBest Effort jelleggel lévén, hogy jelleggel lévén, hogy Resource Kit utility-ről van szóResource Kit utility-ről van szó

A kliens oldalon lefutó script-et nekünk kell A kliens oldalon lefutó script-et nekünk kell megírnunk, tehát fejlesztők előnybenmegírnunk, tehát fejlesztők előnyben

Ha egyszerű VB Script-et írunk, a felhasználók Ha egyszerű VB Script-et írunk, a felhasználók kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” kifigyelhetik, hogy mit vizsgálunk és „becsaphatják” az ellenőrzéstaz ellenőrzést

Nem VB Script esetén is kifigyelhető az ellenőrzés egy Nem VB Script esetén is kifigyelhető az ellenőrzés egy debuger, vagy a klasszikus monitorozó programok debuger, vagy a klasszikus monitorozó programok segítségévelsegítségével

Kellően körültekintő fejlesztéssel azonban Kellően körültekintő fejlesztéssel azonban roppant jó ellenőrzéseket lehet végrehajtani az roppant jó ellenőrzéseket lehet végrehajtani az eszköz segítségével, ami biztonságosabbá teszi eszköz segítségével, ami biztonságosabbá teszi a környezetünket és a VPN elérését isa környezetünket és a VPN elérését is


Néhány tipp, hogy mit érdemes Néhány tipp, hogy mit érdemes ellenőrizniellenőrizni Internet Connection Firewall állapotátInternet Connection Firewall állapotát Internet Connection SharingInternet Connection Sharing Operációs rendszer verziójátOperációs rendszer verzióját Javítócsomag szintjétJavítócsomag szintjét Hotfix állapototHotfix állapotot Telepített víruskeresőtTelepített víruskeresőt Frissített víruskereső adatbázistFrissített víruskereső adatbázist Fájlrendszer típusátFájlrendszer típusát


Néhány gondolatNéhány gondolat Határozd meg, hogy mi jelenti Határozd meg, hogy mi jelenti

számodra a kockázatotszámodra a kockázatot Milyen kockázatokat rejt a rendszered?Milyen kockázatokat rejt a rendszered? Ezek közül mi az ami vállalható Ezek közül mi az ami vállalható

kockázat?kockázat? Egy port szám önmagában még nem Egy port szám önmagában még nem

jelent semmitjelent semmit Egy támadás forgalma általában úgy Egy támadás forgalma általában úgy

néz ki, mint egy általános forgalomnéz ki, mint egy általános forgalom

Documents

Üzemeltetői Konferencia V