Сетевая безопасность Presenter Name Job Title Microsoft
Содержание Введение Введение Защита периметра сети Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита беспроводных сетей Защита сетей с использованием IPSec Защита сетей с использованием IPSec
Защита на всех уровнях Упрощает процесс обнаружения вторжения Упрощает процесс обнаружения вторжения Снижает шансы атакующего на успех Снижает шансы атакующего на успех Политики и процедуры Защита ОС, управление обновлениями, аутентификация Межсетевые экраны, Карантин VPN-соединений Охрана, средства наблюдения Сегментация сети, IP Security, Система обнаружения вторжений Защита приложений, антивирусные системы Списки контроля доступа, шифрование Обучение пользователей Физическая защита Периметр Внутренняя сеть Компьютер Приложения Данные
Цели и ограничения защиты периметра сети Правильно настроенный межсетевой экран – краеугольный камень защиты периметра сети Правильно настроенный межсетевой экран – краеугольный камень защиты периметра сети Активное использование Интернет и мобильные пользователи увеличивают риски по безопасности Активное использование Интернет и мобильные пользователи увеличивают риски по безопасности Развитие VPN ослабило периметр и вместе с беспроводными сетями размыла традиционную концепцию периметра сети Развитие VPN ослабило периметр и вместе с беспроводными сетями размыла традиционную концепцию периметра сети Традиционные межсетевые экраны, реализующие фильтрацию пакетов, блокируют только сетевые порты и адреса компьютеров Традиционные межсетевые экраны, реализующие фильтрацию пакетов, блокируют только сетевые порты и адреса компьютеров Большинство современных атак происходит на уровне приложений Большинство современных атак происходит на уровне приложений
Цели и ограничения защиты рабочих станций Защита клиентских компьютеров блокирует атаки, которые прошли через защиту периметра или исходят из внутренней сети Защита клиентских компьютеров блокирует атаки, которые прошли через защиту периметра или исходят из внутренней сети Защита рабочей станции включает в себя помимо прочего: Защита рабочей станции включает в себя помимо прочего: Настройку ОС на безопасную работу Настройку ОС на безопасную работу Использование антивирусного ПО Использование антивирусного ПО Персональные межсетевые экраны Персональные межсетевые экраны Защита рабочих станций означает защиту большого количества компьютеров Защита рабочих станций означает защиту большого количества компьютеров Если в сети не ведется централизованное управление и контроль доступа, то пользователи смогут ослабить защиту рабочих станций Если в сети не ведется централизованное управление и контроль доступа, то пользователи смогут ослабить защиту рабочих станций
Цели и ограничения систем обнаружения вторжений Обнаруживает признаки типовых атак, записывает подозрительный трафик в журнал безопасности и или извещает администраторов Обнаруживает признаки типовых атак, записывает подозрительный трафик в журнал безопасности и или извещает администраторов Регулярно появляются новые угрозы и уязвимости, которые создают опасность для систем до тех пор, пока признаки таких атак не собраны и не распространены производителем системы обнаружения вторжений Регулярно появляются новые угрозы и уязвимости, которые создают опасность для систем до тех пор, пока признаки таких атак не собраны и не распространены производителем системы обнаружения вторжений
Задачи защиты сетей Защита пери- метра Защита клиента Обнару- жение вторже- ния Кон- троль доступа к сети Конфи- денци- альность Защита удален- ного доступа ISA Server ICF 802.1x / WPA IPSec
Содержание Введение Введение Защита периметра сети Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита беспроводных сетей Защита сетей с использованием IPSec Защита сетей с использованием IPSec
Защита периметра Интернет Дополн. офисам Бизнес-партнерам Удаленные пользователи Беспроводные сети Интернет-приложения Периметр сети включает в себя подсоединения к : Бизнес партнер LAN Главный офис LAN Доп. офис LAN Беспров. сеть Удал. Польз. Internet
Экран с тремя точками DMZ Интернет LAN Экран
Два экрана Интернет Внешний экран LAN Внутренний экран DMZ
Межсетевой экран НЕ защищает от: Вредоносного трафика, который идет по разрешенным портам и не анализируется фильтром уровня приложения на экране Любого трафика, который проходит по зашифрованному тоннелю или сессии Любого трафика, который проходит по зашифрованному тоннелю или сессии Атак после проникновения в сеть злоумышленника Трафика, похожего на легитимный Пользователей и администраторов, умышленно или непреднамеренно установивших вирусы Администратора с плохим паролем Межсетевой экран
Программный или аппаратный межсетевой экран Факторы выбора Описание Гибкость Обновление для новых уязвимостей обычно проще у программных экранов Расширяемость Многие из аппаратных экранов имеют ограниченные возможности для расширения Выбор Программные экраны позволяют выбрать из большого количества поставщиков аппаратного обеспечения для различных сценариев Цена Цена приобретения аппаратного экрана может быть меньше. Программные экраны имеют преимущество благодаря возможности использования дешевых процессоров и простоты обновления аппаратного обеспечения Сложность Аппаратные межсетевые экраны часто менее сложны в установке и настройке Общая стабильность Главный критерий при выборе – может ли этот экран справится с поставленной задачей. Довольно часто линия раздела между аппаратными и программными межсетевыми экранами размыта
Что делает экран Пакетная фильтрация Пакетная фильтрация С сохранением состояния С сохранением состояния Проверка уровня приложений Проверка уровня приложений Многослойная проверка (Включая уровня приложений) Internet
Содержание Введение Введение Защита периметра сети Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита беспроводных сетей Защита сетей с использованием IPSec Защита сетей с использованием IPSec
Задачи защиты сетей Защита пери- метра Защита клиента Обнару- жение вторже- ния Кон- троль доступа к сети Конфи- денци- альность Защита удален- ного доступа ISA Server ICF 802.1x / WPA IPSec
Защита периметра ISA Server обеспечивает все необходимые возможности: ISA Server обеспечивает все необходимые возможности: Пакетная фильтрация Пакетная фильтрация С сохранением состояния С сохранением состояния Проверка уровня приложений Проверка уровня приложений ISA Server блокирует любой трафик если вы его не разрешили ISA Server блокирует любой трафик если вы его не разрешили ISA Server обеспечивает безопасное подключение через VPN ISA Server обеспечивает безопасное подключение через VPN ISA Server имеет сертификат ICSA и сертифицирован по общим критериям ISA Server имеет сертификат ICSA и сертифицирован по общим критериям
Обеспечить безопасный доступ к электронной почте из внешней сети Публикация почтового сервера (Microsoft Exchange Server) Вам нужно… Обеспечить безопасный доступ к внутренним приложениям из Интернет Публикация серверов Открыть доступ партнерам к определённой внутренней информации в сети Поддержка и защита VPN Обеспечить гибкий безопасный доступ к корпоративной сети Интеграция со службой удаленного доступа RRAS Обеспечить безопасное подключение филиалов к головному офису Брандмауэр, VPN, Служба кэширования Контролировать доступ в Интернет и защитить пользователей от интернет-атак Брандмауэр, Web Proxy Обеспечить быстрый доступ к часто используемому веб- содержимому Кэширование Функции ISA:
Усовершенствованный межсетевой экран уровня приложений, средство управления VPN и служба веб-кэширования – решение, которое позволит увеличить безопасности и производительности сети Усовершенствованная защита Межсетевой экран уровня приложений Быстрый и надёжный доступ Обеспечение доступа пользователей к релевантной информации в сети Простота использования Гибкость и простота использования, эффективные сценарии внедрения ISA Server 2004
Новое в ISA Server 2004 Обновленная архитектура Усовершенствованная защита Сетевой экран уровня приложений Глубокая инспекция трафика Улучшенная интеграция с Exchange Интегрированная поддержка VPN Безопасность IIS и SPPS Улучшенная фильтрация HTTP Гибкие настройки политик Маршрутизация всего IP трафика Поддержка «RPC через HTTP» для Outlook 2003 Улучшенная безопасность Outlook Web Access Мастера настройки Унифицированная фильтрация firewall-VPN Встроенная поддержка туннельного режима IPsec Интеграция с Windows Quarantine Организация моста SSL-SSL Мастер настройки публикации Web Аутентификация AD, RADIUS, SecurID
Новое в ISA Server 2004 Новыe средства управления и пользовательский интерфейс Поддержка нескольких сетей Неограниченное кол-во профилей сетей Политики, применяемые ко всему трафику Собственные правила маршрутизации для каждой сети Сетевые мастера и шаблоны Мастер настройки правил маршрутизации Шаблоны для 5 основных топологий Удобство настройки сложных сценариев Визуальный редактор политик Унифицированные политики настройки Drag/drop редактирование по сценариям Импорт/экспорт настроек на базе XML Улучшенный контроль Новые средства мониторинга Просмотр журналов в режиме реального врем. Панели инструментов Удобство использования Гибкость и простота использования, удобные сетевые шаблоны
Быстрый и надёжный доступ Обеспечение доступа пользователей к релевантной информации в сети Новое в ISA Server 2004 Интеграция Улучшенная архитектура Высокоскоростная передача данных Поддержка новейшего оборудования Организация мостов SSL Веб-кэширование Обновленные правила политикОбновленные правила политик Локальная обработка контента Предварительная загрузка контента Контроль доступа к Интернет Политики на пользователей и группы Расширения сторонних разработчиков Расширенная аутентификация Новая поддержка RADIUS и RSA SecurID Контроль доступа по пользователям и группам Расширения сторонних разработчиков
Защита рабочих станций ФункцияОписание Прокси Обрабатывает все запросы клиентов и не открывает прямых соединений Поддержка клиентов Поддержка всех клиентов без необходимости установки дополнительного ПО. Установка клиента ISA Firewall на рабочих станциях Windows добавляет дополнительные функции Правила Доступ можно контролировать с помощью: Protocol Rules, Site и Content Rules, и Publishing Rules Дополнения Первоначальная стоимость приобретения аппаратных экранов может быть ниже. Программные межсетевые экраны могут использовать дешевеющие процессоры. Аппаратная составляющая может быть легко обновлена, а старое оборудование использоваться для других целей
Защита веб-серверов Web Publishing Rules Web Publishing Rules Защита веб-серверов, установленных за экраном от внешних атак путем анализа трафика HTTP обеспечивает проверку на правильное форматирование запросов и соответствие стандартам Защита веб-серверов, установленных за экраном от внешних атак путем анализа трафика HTTP обеспечивает проверку на правильное форматирование запросов и соответствие стандартам Проверка трафика Secure Socket Layer (SSL) Проверка трафика Secure Socket Layer (SSL) Расшифровывает и проверяет входящие запросы на корректность форматирования запросов и соответствие стандартам Расшифровывает и проверяет входящие запросы на корректность форматирования запросов и соответствие стандартам Может дополнительно перешифровывать трафик до отправки на веб-сервер Может дополнительно перешифровывать трафик до отправки на веб-сервер
URLScan ISA Server Feature Pack 1 включает в себя URLScan 2.5 для ISA Server ISA Server Feature Pack 1 включает в себя URLScan 2.5 для ISA Server Добавляет URLScan ISAPI фильтр на внешний периметр сети Добавляет URLScan ISAPI фильтр на внешний периметр сети Обеспечивает защиту для всех веб-серверов за межсетевым экраном Обеспечивает защиту для всех веб-серверов за межсетевым экраном Периметр заблокирован для известных и вновь обнаруженных атак Периметр заблокирован для известных и вновь обнаруженных атак Web Server 1 ISA Server Web Server 2 Web Server 3
Защита Exchange Server МетодОписание Mail Publishing Wizard Настраивает правила ISA Server для безопасной публикации внутренней почты для внешних пользователей Message Screener Анализирует все SMTP сообщения, которые попадают во внутреннюю сеть RPC Publishing Обеспечивает безопасность работы для стандартных клиентов Microsoft Outlook® OWA Publishing Обеспечивает защиту для OWA и для пользователей Outlook работающих с Microsoft Exchange Server из открытых сетей без VPN
Демонстрация Фильтрация трафика на уровне приложений в ISA Server WПубликация веб-серверов URLScan Message Screener
Трафик, который проходит через межсетевой экран Туннели SSL проходят через обычные экраны в зашифрованном виде, что позволяет вирусам и червям оставаться незамеченными и попадать во внутреннюю сеть Туннели SSL проходят через обычные экраны в зашифрованном виде, что позволяет вирусам и червям оставаться незамеченными и попадать во внутреннюю сеть Трафик VPN соединения зашифрован и не может быть проверен Трафик VPN соединения зашифрован и не может быть проверен Часто трафик служб обмена мгновенными сообщениями Instant Messenger (IM) не проверяется и может использоваться для пересылки файлов Часто трафик служб обмена мгновенными сообщениями Instant Messenger (IM) не проверяется и может использоваться для пересылки файлов
Проверка всего трафика Целесообразно использование системы обнаружения вторжений для проверки трафика VPN после того как он был расшифрован Целесообразно использование системы обнаружения вторжений для проверки трафика VPN после того как он был расшифрован Помните: многоуровневая защита Помните: многоуровневая защита Используйте межсетевой экран, который может проверять трафик SSL Используйте межсетевой экран, который может проверять трафик SSL Расширьте возможности своего межсетевого экрана Расширьте возможности своего межсетевого экрана Установите расширения, которые могут проверять трафик служб обмена мгновенными сообщений (IM) Установите расширения, которые могут проверять трафик служб обмена мгновенными сообщений (IM)
Проверка трафика SSL Межсетевой экран пропускает трафик SSL т.к. он зашифрован и не может быть проверен. Это позволяет вирусам и червям проникнуть в сеть незамеченными и заразить внутренние компьютеры Межсетевой экран пропускает трафик SSL т.к. он зашифрован и не может быть проверен. Это позволяет вирусам и червям проникнуть в сеть незамеченными и заразить внутренние компьютеры ISA Server может дешифровать и проверять SSL трафик. Проверенный трафик может быть затем передан на внутренний сервер перешифрованным или в обычном виде ISA Server может дешифровать и проверять SSL трафик. Проверенный трафик может быть затем передан на внутренний сервер перешифрованным или в обычном виде
Демонстрация Проверка SSL в ISA Server
Защита ISA Server Защитите сетевой стек Защитите сетевой стек Отключите ненужные сетевые протоколы на внешнем интерфейсе: Отключите ненужные сетевые протоколы на внешнем интерфейсе: Клиент для Microsoft Networks Клиент для Microsoft Networks File and Printer Sharing for Microsoft Networks File and Printer Sharing for Microsoft Networks NetBIOS over TCP/IP NetBIOS over TCP/IP
Рекомендации Создавайте правила доступа только для тех типов запросов, которые необходимы Создавайте правила доступа только для тех типов запросов, которые необходимы Используйте возможности для аутентификации в ISA Server для протоколирования ограничения доступа в Интернет Используйте возможности для аутентификации в ISA Server для протоколирования ограничения доступа в Интернет Настройте Web publishing rules только для тех, кому нужно (destination sets) Настройте Web publishing rules только для тех, кому нужно (destination sets) Настройте проверку трафика SSL для контроля за шифрованным трафиком приходящим в сеть Настройте проверку трафика SSL для контроля за шифрованным трафиком приходящим в сеть
Содержание Введение Введение Защита периметра сети Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита беспроводных сетей Защита сетей с использованием IPSec Защита сетей с использованием IPSec
Задачи защиты сетей Защита пери- метра Защита клиента Обнару- жение вторже- ния Кон- троль доступа к сети Конфи- денци- альность Защита удален- ного доступа ISA Server ICF 802.1x / WPA IPSec
Обзор возможностей ICF Internet Connection Firewall входит в состав Microsoft Windows XP и Microsoft Windows Server 2003 Internet Connection Firewall входит в состав Microsoft Windows XP и Microsoft Windows Server 2003 Позволяет предотвратить атаки из сети типа Blaster, путем блокирования всего не-нужно входящего трафика Позволяет предотвратить атаки из сети типа Blaster, путем блокирования всего не-нужно входящего трафика Порты могут быть открыты для отдельных служб запущенных на компьютере Порты могут быть открыты для отдельных служб запущенных на компьютере Возможно централизованное управление через групповую политику Возможно централизованное управление через групповую политику Что это Что делает Основные возможности
Включается: Включается: Один флажок Один флажок Программой мастер - Network Setup Wizard Программой мастер - Network Setup Wizard При создании нового соединения - New Connection Wizard При создании нового соединения - New Connection Wizard Включается отдельно для каждого соединения Включается отдельно для каждого соединения Как включить ICF
Для сетевых служб Для сетевых служб Для веб-приложений Для веб-приложений ICF расширенные настройки
Настройки протоколирование Настройки протоколирование Файл для журнала Файл для журнала Протоколирование событий безопасности в ICF
ICF в компаниях Настройка ICF с использованием групповых политик Настройка ICF с использованием групповых политик Настройка ICF вместе с карантином Network Access Quarantine Control Настройка ICF вместе с карантином Network Access Quarantine Control
Включите ICF на домашнем компьютере и в малом офисе для обеспечения защиты компьютеров подключенных напрямую в Интернет Включите ICF на домашнем компьютере и в малом офисе для обеспечения защиты компьютеров подключенных напрямую в Интернет Не включайте ICF для соединений VPN (но включайте для используемого соединения с LAN или модемом) Не включайте ICF для соединений VPN (но включайте для используемого соединения с LAN или модемом) Настройте определения служб для каждого сетевого соединения ICF через которое вы планируете работать с этой службой Настройте определения служб для каждого сетевого соединения ICF через которое вы планируете работать с этой службой Установите размер журнала в 16 Мб для предотвращения его переполнения при атаках на отказ в обслуживании Установите размер журнала в 16 Мб для предотвращения его переполнения при атаках на отказ в обслуживании Советы
Демонстрация Internet Connection Firewall (ICF) Настройка ICF вручную Проверка ICF Изучение журнала ICF Настройка групповых политик
Содержание Введение Введение Защита периметра сети Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита беспроводных сетей Защита сетей с использованием IPSec Защита сетей с использованием IPSec
Задачи защиты сетей Защита пери- метра Защита клиента Обнару- жение вторже- ния Кон- троль доступа к сети Конфи- денци- альность Защита удален- ного доступа ISA Server ICF 802.1x / WPA IPSec
Ограничения Wired Equivalent Privacy ( WEP) Ограничения Wired Equivalent Privacy ( WEP) Статические ключи WEP не меняются и могут быть уязвимы для атаки Статические ключи WEP не меняются и могут быть уязвимы для атаки Не существует стандартных средств для распространения ключей на клиентские компьютеры Не существует стандартных средств для распространения ключей на клиентские компьютеры Масштабируемость: раскрытие ключа WEP означает открытие доступа ко всей сети Масштабируемость: раскрытие ключа WEP означает открытие доступа ко всей сети Ограничения на фильтрацию по MAC адресам Ограничения на фильтрацию по MAC адресам Атакующий может подставить допустимый MAC адрес Атакующий может подставить допустимый MAC адрес Проблемы защиты беспроводных сетей
Аутентификация на 2 уровне по паролю Аутентификация на 2 уровне по паролю IEEE 802.1x PEAP/MSCHAP v2 IEEE 802.1x PEAP/MSCHAP v2 Аутентификация по сертификату на 2 уровне Аутентификация по сертификату на 2 уровне IEEE 802.1x EAP-TLS IEEE 802.1x EAP-TLS Другие способы Другие способы Подсоединение к VPN Подсоединение к VPN L2TP/IPsec (рекомендуется) или PPTP L2TP/IPsec (рекомендуется) или PPTP Не работает роуминг Не работает роуминг Полезно при использовании общественных точек доступа Полезно при использовании общественных точек доступа Не используется аутентификация компьютера и использование настроек групповой политики Не используется аутентификация компьютера и использование настроек групповой политики IPSec IPSec Вопросы взаимодействия и совместимости Вопросы взаимодействия и совместимости Пути решения проблем
Тип безопасности Уровень защиты Простота внедрения Уровень удобства Статический WEP НизкийВысокаяВысокий IEEE 802.1X PEAP ВысокийСредняяВысокий IEEE 802.1x TLS ВысокийНизкаяВысокий VPN Высокий (L2TP/IPSec) СредняяНизкий IPSecВысокийНизкаяНизкий Сравнение методик защиты
Определяет механизм контроля доступа по портам Определяет механизм контроля доступа по портам Работает при проводном и беспроводном соединении Работает при проводном и беспроводном соединении Не нужен ключ для шифрования Не нужен ключ для шифрования Дает возможность выбора методов аутентификации с использованием Extensible Authentication Protocol (EAP) Дает возможность выбора методов аутентификации с использованием Extensible Authentication Protocol (EAP) Выбирается при аутентификации Выбирается при аутентификации Точка доступа не влияет на использование EAP Точка доступа не влияет на использование EAP Автоматическое управление ключами Автоматическое управление ключами Нет необходимости заранее программировать ключи для шифрации Нет необходимости заранее программировать ключи для шифрации 802.1x
Ethernet Access Point Radius Server EAPOL-Start EAP-Response/Identity Radius-Access-Challenge EAP-Response (credentials) Access Blocked Association Radius-Access-Accept EAP-Request/Identity EAP-Request Radius-Access-Request Radius-Access-RequestRADIUS Laptop Computer Wireless Associate EAP-Success Access Allowed EAPOL-Key (Key) 802.1x поверх
Системные требования для 802.1x Клиент: Windows XP Клиент: Windows XP Сервер: Windows Server 2003 IAS Сервер: Windows Server 2003 IAS Internet Authentication Service RADIUS server Internet Authentication Service RADIUS server Сертификат на IAS Сертификат на IAS 802.1x на Windows x на Windows 2000 Клиент и IAS должны иметь SP3 Клиент и IAS должны иметь SP3 См. статью в базе знаний См. статью в базе знаний Не поддерживается автоматическая конфигурация на клиенте (zero-configuration) Не поддерживается автоматическая конфигурация на клиенте (zero-configuration) Поддерживается только EAP-TLS и MS- CHAPv2 Поддерживается только EAP-TLS и MS- CHAPv2 Новые методы EAP в Windows XP и Windows Server 2003 могут быть обратно не совместимы Новые методы EAP в Windows XP и Windows Server 2003 могут быть обратно не совместимы
Установка 802.1x 1.Настройте поддержку IAS в Windows Server Подсоединитесь к домену 3.Получите новый сертификат для компьютера 4.Зарегистрируйте IAS в Active Directory 5.Настройте протоколирование RADIUS 6.Добавьте точку доступа как RADIUS клиент 7.Настройте точку доступа для поддержки RADIUS и 802.1x 8.Создайте политику доступа беспроводного клиента 9.Настройте клиентов Не забудьте импортировать корневой сертификат Не забудьте импортировать корневой сертификат
Политика доступа Условия политик Условия политик NAS-port-type соответствует Wireless IEEE ИЛИ Wireless Other NAS-port-type соответствует Wireless IEEE ИЛИ Wireless Other Windows-group = Windows-group = Дополнительно: разрешить административный контроль Дополнительно: разрешить административный контроль Должна содержать пользовательские и компьютерные бюджеты Должна содержать пользовательские и компьютерные бюджеты
Профиль политики доступа Профиль Профиль Таймаут: 60 мин. (802.11b) или 10 мин. (802.11a/g) Таймаут: 60 мин. (802.11b) или 10 мин. (802.11a/g) Не используются обычные методы аутентификации Не используются обычные методы аутентификации Тип EAP: protected EAP; используйте сертификат компьютера Тип EAP: protected EAP; используйте сертификат компьютера Шифрация: только самую сильную (MPPE 128-bit) Шифрация: только самую сильную (MPPE 128-bit) Аттрибуты: Ignore-User- Dialin-Properties = True Аттрибуты: Ignore-User- Dialin-Properties = True
Спецификация основанных на стандартах механизмов безопасных расширений для взаимодействия, которые значительно повышают уровень защиты данных и контроля доступа к существующим и будущим беспроводным и проводным сетям WPA требует 802.1x аутентификации для доступа к сети Цели Цели Расширенная шифрация данных Расширенная шифрация данных Обеспечение аутентификации пользователя Обеспечение аутентификации пользователя Совместимость с будущим стандартом i Совместимость с будущим стандартом i Предоставляет решение для малых/домашних офисов без использования RADIUS Предоставляет решение для малых/домашних офисов без использования RADIUS Wi-Fi Alliance начал сертификационное тестирование на совместимость продуктов, поддерживающих WPA в феврале 2003 Wireless Protected Access (WPA)
Советы Применяйте аутентификацию 802.1x Применяйте аутентификацию 802.1x Создайте группы для беспроводных пользователей и компьютеров Создайте группы для беспроводных пользователей и компьютеров Применяйте групповые политики для беспроводного доступа Применяйте групповые политики для беспроводного доступа Применяйте EAP-TLS для аутентификации по сертификатам и PEAP для аутентификации по паролям Применяйте EAP-TLS для аутентификации по сертификатам и PEAP для аутентификации по паролям Настройте политику удаленного доступа для поддержки аутентификации пользователей и компьютеров Настройте политику удаленного доступа для поддержки аутентификации пользователей и компьютеров Определите методы борьбы с незаконными точками доступа, правила мониторинга и обучения пользователей Определите методы борьбы с незаконными точками доступа, правила мониторинга и обучения пользователей
Содержание Введение Введение Защита периметра сети Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита беспроводных сетей Защита сетей с использованием IPSec Защита сетей с использованием IPSec
Goals of Network Security Perimeter Defense Client Defense Intrusion Detection Network Access Control Confi- dentiality Secure Remote Access ISA Server ICF 802.1x / WPA IPSec
Что такое IP Security (IPSec)? Что такое IP Security (IPSec)? Метод защиты трафика IP Метод защиты трафика IP Основан на открытых стандартах разработанных Internet Engineering Task Force (IETF) Основан на открытых стандартах разработанных Internet Engineering Task Force (IETF) Зачем использовать IPSec? Зачем использовать IPSec? Для обеспечения шифрованного и аутентифицированного соединения поверх IP Для обеспечения шифрованного и аутентифицированного соединения поверх IP Обеспечение безопасности транспорта, который независим от приложения или протоколов уровня приложения Обеспечение безопасности транспорта, который независим от приложения или протоколов уровня приложения Обзор IPSec
Разрешение/запрет фильтрации пакетов Разрешение/запрет фильтрации пакетов Безопасность внутрисетевого взаимодействия Безопасность внутрисетевого взаимодействия Репликация доменов с использованием межсетевых экранов Репликация доменов с использованием межсетевых экранов Установка тоннелей в открытых сетях Установка тоннелей в открытых сетях Сценарии использования IPSec
Фильтры для разрешенного и запрещенного трафика Фильтры для разрешенного и запрещенного трафика При наличии нескольких правил наиболее жесткое пра имеет приорирет При наличии нескольких правил наиболее жесткое пра имеет приорирет Обязательна установка параметра "NoDefaultExempt = 1" для безопасности Обязательна установка параметра "NoDefaultExempt = 1" для безопасности From IPTo IPProtocolSrc PortDest PortAction Any My Internet IP AnyN/A Block Any My Internet IP TCPAny80Permit Реализация фильтрации пакетов IPSec
Фальсифицированные пакеты IP могут содержать запросы или вредоносный код и проникать внутрь сети через межсетевые экраны Фальсифицированные пакеты IP могут содержать запросы или вредоносный код и проникать внутрь сети через межсетевые экраны IPSec не обеспечивает анализ такого трафика IPSec не обеспечивает анализ такого трафика Многие инструменты взлома используют порты 80, 88, 135 и т.п. для подключения к внутренним ресурсам Многие инструменты взлома используют порты 80, 88, 135 и т.п. для подключения к внутренним ресурсам Фильтрация пакетов и защита серверов
IP broadcast IP broadcast Адреса multicast Адреса multicast От до От до Kerberos исходный или целевой порты UDP 88 Kerberos исходный или целевой порты UDP 88 Kerberos является защищенным протоколом, который служба Internet Key Exchange (IKE) может использовать для аутентификации других компьютеров в домене Kerberos является защищенным протоколом, который служба Internet Key Exchange (IKE) может использовать для аутентификации других компьютеров в домене IKE целевой порт UDP 500 IKE целевой порт UDP 500 Требуется службе IKE для возможности обмена параметрами IPSec Требуется службе IKE для возможности обмена параметрами IPSec Трафик, не фильтруемый IPSec
Безопасные внутренние взаимодействия Используйте IPSec для обеспечения взаимной аутентификации устройств Используйте IPSec для обеспечения взаимной аутентификации устройств Использование сертификатов или Kerberos Использование сертификатов или Kerberos Используйте Authentication Header (AH) для обеспечения целостности пакетов Используйте Authentication Header (AH) для обеспечения целостности пакетов AH не обеспечивает шифрации трафика или анализа вторжений AH не обеспечивает шифрации трафика или анализа вторжений Используйте Encapsulation Security Payload (ESP) для шифрования важного трафика Используйте Encapsulation Security Payload (ESP) для шифрования важного трафика ESP обеспечивает целостность пакетов и конфиденциальность ESP обеспечивает целостность пакетов и конфиденциальность Шифрование не позволяет анализировать пакеты Шифрование не позволяет анализировать пакеты Тщательно спланируйте, какой трафик должен быть защищен Тщательно спланируйте, какой трафик должен быть защищен
IPSec для репликации доменов Используйте IPSec для репликации через межсетевые экраны Используйте IPSec для репликации через межсетевые экраны На каждом контроллере домена создайте политику IPSec для обеспечения безопасности трафика по IP адресам других контроллеров домена На каждом контроллере домена создайте политику IPSec для обеспечения безопасности трафика по IP адресам других контроллеров домена Используйте ESP 3DES для шифрования Используйте ESP 3DES для шифрования Разрешите на межсетевом экране трафик по следующим портам: Разрешите на межсетевом экране трафик по следующим портам: UDP Port 500 (IKE) UDP Port 500 (IKE) IP protocol 50 (ESP) IP protocol 50 (ESP)
Производительность IPSec Обработка IPSec приводит к накладным расходам Обработка IPSec приводит к накладным расходам Время установления соединения IKE около 2–5 секунд в первый раз Время установления соединения IKE около 2–5 секунд в первый раз 5 передач информации в обе стороны 5 передач информации в обе стороны Аутентификация Kerberos или сертификаты Аутентификация Kerberos или сертификаты Генерация крипто-ключа и зашифрованных сообщений Генерация крипто-ключа и зашифрованных сообщений Производится каждые 8 часов (может быть настроено) Производится каждые 8 часов (может быть настроено) Новый ключ для сессии получается быстро
Советы Планируйте внедрение IPSec максимально тщательно Планируйте внедрение IPSec максимально тщательно Определитесь с выбором AH или ESP Определитесь с выбором AH или ESP Применяйте групповые политики для распределения политик IPSec Применяйте групповые политики для распределения политик IPSec Подумайте над возможностью использования специальных сетевых карт с поддержкой IPSec Подумайте над возможностью использования специальных сетевых карт с поддержкой IPSec Никогда не используйте аутентификацию с Shared Key вне тестовой лаборатории Никогда не используйте аутентификацию с Shared Key вне тестовой лаборатории Выберите между аутентификацией по сертификатам или через кKerberos Выберите между аутентификацией по сертификатам или через кKerberos Осторожно применяйте правила по необходимости работать через IPSec для соединений между контроллерами доменов и другим инфраструктурными серверами Осторожно применяйте правила по необходимости работать через IPSec для соединений между контроллерами доменов и другим инфраструктурными серверами
Демонстрация IPSec Настройка и тестирование простой политики IPSec Настройка и тестирование пакетного фильтра в IPSec
Содержание Введение Введение Защита периметра сети Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита беспроводных сетей Защита сетей с использованием IPSec Защита сетей с использованием IPSec
Дальнейшие шаги 1. Будьте в курсе новостей Подпишитесь на рассылку бюллетеней безопасности: Подпишитесь на рассылку бюллетеней безопасности: Загрузите себе свежие руководства по безопасности: Загрузите себе свежие руководства по безопасности: 2. Пройдите дополнительное обучение На семинарах Microsoft: На семинарах Microsoft: В учебных центрах CTEC: В учебных центрах CTEC:
Дополнительная информация Сайт Microsoft по безопасности Сайт Microsoft по безопасности Для администраторов Для администраторов Для разработчиков Для разработчиков
Вопросы и ответы