Microsoft Ελλάς Live Meeting Series. Ασφαλίζοντας εταιρικά δίκτυα Δημήτρης Παπίτσης ΙΤ Security consultant & trainer

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Εταιρεία : Imagination Travel Κλάδος : Ταξιδιωτικό Γραφείο Αριθμός Εργαζομένων : 15
Advertisements

Αντιγόνη Αρχοντίκη Account Manager. Software Assurance  Software Assurance:  Extra παροχές λογισμικού  Δωρεάν upgrades σε νέες εκδόσεις  Το Software.
EgoSecure – I‘m Secure EgoSecure Endpoint Protection Παρουσίαση Προϊόντος.
E-Phone. Microsoft Office Communicator και e-phone Επικοινωνία μέσω Video, ανταλλαγή δεδομένων και Instant Messaging μέσω Contact Management Διαχείριση.
Υποδιευθυντής Πληροφορικής
©2004 H+S Technology Solutions Ευρυζωνικές Υπηρεσίες στις Επιχειρήσεις Παρόν και Μέλλον Τριαντάφυλλος Σαραφίδης Ρίο, 18/05/05.
Μετάβαση από BPOS σε Office 365 για υπάρχοντες πελάτες του BPOS
Client Access Internet Explorer. Εισαγωγή aXes Terminal Server είναι ένα πρωτοποριακό προϊόν το οποίο μετατρέπει μεταφέρει άμεσα τις οθόνες του iSeries.
WORDPRESS. Self-Hosting Wordpress • Απαιτείται δικό μας domain, και δικιά μας Web Hosting Υπηρεσία (κατόπιν πληρωμής) • Το λογισμικό του Wordpress κατεβαίνει.
Don’t worry, Be MAPI ;-) Παύλος Καλογεράς Γιώργος Ανδρίτσος.
Υποστήριξη του Υπολογιστή σας μ’ ένα “κλικ” !. H PROFITEL σε συνεργασία με την I.T.OpenSolutionS σχεδίασε και παρέχει στους συνδρομητές της, τη νέα πρωτοποριακή.
Galaxy είναι DO YOU SPEAK FUTURE ?  Η μεγαλύτερη επένδυση στην Πληροφορική  Τεχνολογία αιχμής  Συσσωρευμένη τεχνογνωσία  Μοναδική εμπειρία χρήσης.
Αντιγόνη Αρχοντίκη Account Manager. Executive Summary   Ο χώρος του e-commerce σήμερα (λύσεις & προοπτικές)   Η πρόταση της SiEBEN   Οφέλη της επιχείρησης.
Real life testing με Lab Management Γιώργος Καρκαλής Testing Specialist 12/5/2011.
Microsoft ISA (Internet Security and Acceleration) Server 2004.
Ισίδωρος Σιδερίδης Business Development Manager. 1η Φάση: Ειδήσεις & Portals Στόχος: Παρουσία 3η Φάση: Ψηφιακή Οικονομία Στόχος: Κέρδος 2η Φάση: Απλές.
Ασφαλής Διαχείριση Τηλεπικοινωνιακών Δικτύων σε νέες ευρυζωνικές υπηρεσίες Δρ. Χαρίλαος Κατωπόδης Πρ. Υποδ. Λειτουργίας Συστημάτων Διαχείρισης Δικτύου,
ΕΓΚΑΤΑΣΤΑΣΗ ΛΟΓΑΡΙΑΣΜΟΥ
E-Business Startup Ισίδωρος Σιδερίδης Systems Integration Division.
Παρουσίαση PocketBiz Restaurant Κωνσταντίνος Τζαβάρας Sales Manager.
Microsoft και Συνεργάτες Λύσεις για τη Μικρή, Αναπτυσσόμενη Επιχείρηση
© ENERANET IT SYSTEMS    Tel: Προστασία από κλοπή δεδομένων.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.
ΑΣΦΑΛΗΣ ΔΙΑΔΙΚΤΥΑΚΗ ΔΙΑΚΙΝΗΣΗ... Πιστωτικών Μονάδων, Βαθμολογιών, Εγγράφων.doc,.xls,...κ.τ.λ. Π Τ Υ Χ Ι Α Κ Η Ε Ρ Γ Α Σ Ι Α των Σπουδαστών: Τζούραλη Αντωνία.
Microsoft Dynamics CRM 3.0
Ισίδωρος Σιδερίδης Business Development Manager. Unified. Simplified.  Πολλαπλές μορφές επικοινωνίας  Διαφορετικά interfaces και τεχνολογίες  Έλλειψη.
Microsoft Exchange Server Τι είναι ο Exchange Ο Exchange Server χρησιμοποιείται για την παροχή υπηρεσίας ηλεκτρονικού ταχυδρομείου ( service).
Σελίδα 1 ΕΚΠΑ. «Διαμόρφωση υπηρεσίας καταλόγου Active Directory σε Windows 2003» Τηλέμαχος Ράπτης Εθνικό και Καποδιστριακό.
Ασφάλεια Ηλεκτρονικού Εμπορίου
Αντιγόνη Αρχοντίκη Account Manager.  e-Business Startup από τη SiEBEN  Κόστος υλοποίησης  Οφέλη για την επιχείρηση  Επίλογος.
Σελίδα 1 ΕΚΠΑ. Εγκατάσταση – παραμετροποίηση τερματικών Windows XP clients σχολικού εργαστηρίου Τηλέμαχος Ράπτης Εθνικό.
ΔΠΘ, Ξάνθη 17/05/2003. Enterprise Project Management Διαχείριση Έργων με Παρελθόν και Μέλλον Μελίνα Γαλεάδη Information Worker Solutions Marketing Manager.
ΤCP/IP Τι είναι; Σύντομο Ιστορικό
Σύμφωνα με τον ΣΕΒ, αναμένεται να παρουσιάσουν ζήτηση μέχρι το 2020 Πηγή:
Microsoft ASP.NET Browser Web 2.0 CSS JavaScript Server Client Clients Κατσιώτης Ιωάννης Οικονομικό Πανεπιστήμιο Αθηνών
ΑΓΡΟΤΕΧΝΙΚΗ A.E AGROLINE A.Β.Ε.E AGROPARTS A.E
Σύγχρονοι Εξυπηρετητές του Ιστού Παραδείγματα και Συγκρίσεις Πληροφοριακά Συστήματα για Μάρκετινγκ & Δημοσκοπήσεις.
ΙΤ Disaster Recovery στην COSMOTE
Open Source από την μεριά του ΙΤ provider Μάνος Μαργαρίτης CTO EXODUS AE.
ΚΕΝΤΡΟ ΔΙΚΤΥΩΝ - ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ GRNET-TECH, Οκτώβριος 2004 ΝΕΕΣ ΥΠΗΡΕΣΙΕΣ ΔΙΚΤΥΟΥ ΚΟΡΜΟΥ Διαχειριστική Ομάδα ΕΜΠ Παρουσίαση: Δουίτσης Αθανάσιος.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 05/05/2009.
Υλοποίηση έργου e-Security στη Γ. Λαζαρίδη Μάρμαρα Δράμας ΑΕ Νικόλαος Νίκου Γεν. Δ/ντής Vertitech Ηλ. Μηχ & Μηχ ΗΥ ΑΠΘ / MBA Warwick.
Γιατί Disk Based Backup; Πολλά ψηφιακά δεδομένα Μεγάλος χρόνος λήψεως αντιγράφων ασφαλείας Χρονοβόρο restore αρχείων Έλλειψη σιγουριάς για την ποιότητα.
Άσκηση 6 Ασφάλεια Δικτύων.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. SSL & ΑΣΦΑΛΕΙΑ 2. ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ Β. Μάγκλαρης
Προηγμένες υπηρεσίες προς τους Πολίτες Σταύρος Αλεξάκης Public Sector Lead– Microsoft Hellas.
Microsoft BizTalk Server 2002 Αθανασίου Σπύρος Ιωάννης Κουβάρας.
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 14/11/07. 2 Κατηγορίες Λειτουργιών Διαχείρισης ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ Fault (Βλάβες) Configuration (Διάρθρωση) Accounting (Λογιστική) Performance.
FOSS NTUA Server Installation Ubuntu Server LTS - Live InstallFest - by finrod (2010)
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
Κέντρο Υποστήριξης Τεχνολογιών Πληροφορικής ΑΠΘ Δικτυακή Πύλη Υπηρεσιών Ηλεκτρονικού Πανεπιστημίου Ηλεκτρονική Διεύθυνση Υποστήριξης.
Personal Firewalls Ασφάλεια στο Διαδίκτυο Τεχνολογία Firewall Χαρακτηριστικά Personal Firewalls Συγκριτικοί Πίνακες Χρήστος Βενέτης Μάιος 2002.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
Ασφάλεια σε Ασύρματα Τοπικά Δίκτυα ΙΕΕΕ “IEEE WLAN Security” Μεταπτυχιακή Εργασία Μαλατράς Απόστολος Ο.Π.Α. MScIS Φεβρουάριος 2003.
1 StudentGuru.gr Live Meeting IT Challenge Support Ηρακλής Ψαρουδάκης - Kingherc Αλέξανδρος Σιγαράς - Mazohack Microsoft Student Partners.
2 Μικρές Επιχειρήσεις Μεσαίες Επιχειρήσεις Μεγάλες Επιχειρήσεις Καταναλωτές Κατηγορία Πελατών Ολοκληρωμένες Λύσεις Servers Γενικής Χρήσης Αριθμός Χρηστών.
Φορέας υλοποίησης: Δημοκρίτειο Πανεπιστήμιο Θράκης Ανάδοχος: Ερευνητικό Ακαδημαϊκό Ινστιτούτο Τεχνολογίας Υπολογιστών ΕΠ ΚτΠ – Μέτρο 1.2 «Εισαγωγή και.
Προχωρημένα Θέματα Δικτύων
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
ΕΦΑΡΜΟΓΕΣ ΝΕΦΟΥΣ Cloud Computing.
Κεφάλαιο 6o. Επίπεδο εφαρμογής
Firewall Antivirus Antispyware Internet security
ΥΠΗΡΕΣΙΕΣ ΚΑΙ ΕΦΑΡΜΟΓΕΣ ΔΙΑΔΙΚΤΥΟΥ 10.1 Υπηρεσίες Διαδικτύου
Υπηρεσίες Διαδικτύου.
Τ.Ε.Ι. Ιονίων Νήσων Σχολή Διοίκησης και Οικονομίας - Λευκάδα
Υπηρεσίες και εφαρμογές Διαδικτύου
Εφαρμογές ιστού και δημιουργία ιστοσελίδων
ΔΙΑΔΙΚΤΥΑΚΗ ΣΟΥΙΤΑ ΠΡΟΓΡΑΜΜΑΤΩΝ
Μεταγράφημα παρουσίασης:

Microsoft Ελλάς Live Meeting Series

Ασφαλίζοντας εταιρικά δίκτυα Δημήτρης Παπίτσης ΙΤ Security consultant & trainer Microsoft Most Valuable Professional, Enterprise Security Moderator, – IT pro communitywww.autoexec.gr

Περιεχόμενα Παρουσίασης 1. Γενικές αρχές ασφάλειας 2. Σημεία που θα επικεντρωθούμε A.Μικρές επιχειρήσεις βασισμένες σε Small Business Server B.Ασφαλίζοντας εταιρικά περιβάλλοντα μεγαλύτερης πολυπλοκότητας Single Domain με χρήστες χωρίς ανάγκες απομακρυσμένης πρόσβασης Ασφαλή απομακρυσμένα σημεία πρόσβασης Χρήστες με ανάγκες ασφαλούς απομακρυσμένης πρόσβασης 3. Λίγα λόγια για την δράση e-Security

1. Γενικές αρχές ασφάλειας Defense in Depth −Η ασφάλεια εφαρμόζεται σε πολλαπλά layers Least Privileges −Πρέπει να δίνουμε το μικρότερο δυνατό δικαίωμα για την ολοκλήρωση μιας εργασίας Minimized Attack Surface −Μείωση των εν δυνάμει τρωτών σημείων κάθε στόχου (δικτύου, Λειτουργικών Συστημάτων κ.ο.κ.)

2. Σημεία που θα επικεντρωθούμε Σημεία προς έλεγχο και ασφάλιση σε Microsoft δίκτυα Φυσική ασφάλεια Περίμετρος Δίκτυο Ταυτοποίηση (authentication) Φυσική ασφάλεια Περίμετρος Δίκτυο Ταυτοποίηση (authentication) Servers & clients Δεδομένα Λογαριασμοί & υπηρεσίες Servers & clients Δεδομένα Λογαριασμοί & υπηρεσίες Ασύρματα δίκτυα Περιμετρικά δίκτυα Δίκτυα υποκαταστημάτων Roaming χρήστες

2A. Μικρές επιχειρήσεις βασισμένες σε Small Business Server Small Business Server 2008 −Μια απλή λύση ως 75 χρήστες −Εύκολη στην εγκατάσταση, ασφαλής by design

Small Business Server Ένας Server για όλες τις υπηρεσίες Domain controller, Exchange Server, SQL Server σε ξεχωριστό server (premium edition) Secure by design (SBS 2008) Εύκολη, κεντρική διαχείριση ασφάλειας (SBS 2008) Active Directory Domain Controller

Ασφάλεια στο Small Business Server 2008 Διαδικασίες και λύσεις ασφάλειας στον SBS 2008 Εύκολο και ασφαλές backup – εξωτερικά USB drives Δυνατότητα ασφάλειας των υπολογιστών και του SBS με το προαιρετικό Forefront Client Security (antivirus + antimalware) Forefront for Exchange (προαιρετικά) WSUS (Windows Server Update Services) για client updates

Ασφάλεια στο Small Business Server 2008 Περιμετρική ασφάλεια στον SBS 2008 −Ύπαρξη host Windows Firewall για τον SBS −Προτείνεται η χρήση του windows firewall σε XP SP2 clients και άνω −Απαιτείται ξεχωριστό network firewall (ISA, hardware appliance κλπ) Περιορισμοί στον SBS 2008 −Ο SBS πρέπει να έχει όλους τους FSMO ρόλους −Δεν είναι δυνατή η δημιουργία child domains ή cross-forest trusts −Δεν υπάρχει δυνατότητα ξεχωριστών servers

2Β. Ασφαλίζοντας εταιρικά περιβάλλοντα μεγαλύτερης πολυπλοκότητας Ενδεικτικές τοπολογίες: Τοπολογία χωρίς απομακρυσμένα σημεία πρόσβασης (single site) Τοπολογία με απομακρυσμένα σημεία πρόσβασης (branch offices) Τοπολογία με απομακρυσμένους χρήστες (remote users)

Τοπολογία χωρίς απομακρυσμένα σημεία πρόσβασης (single site) Φυσική ασφάλεια Ασφάλεια authentication - domain controllers Ασφάλεια s - Exchange Server 2007 Εταιρικό Antivirus + antispyware - Forefront Client Security Ασφάλεια non-disclosure: Rights Management Server (RMS) Ασφάλεια δεδομένων – IP Security, κρυπτογράφηση Ασφάλεια περιμέτρου – ISA/Forefront TMG Ασφάλεια υπολογιστών – server & client

Ενδεικτική τοπολογία δικτύου χωρίς απομακρυσμένα σημεία πρόσβασης Domain controller & management servers server Database servers Firewall

Φυσική ασφάλεια Μέτρα φυσικής προστασίας −Γεννήτρια ηλεκτρικού −Ασφαλείς είσοδοι −Access control −Σύστημα συναγερμού −Κλειστό κύκλωμα (ΙΡ cameras surveillance) Μέτρα περιβαλλοντικής προστασίας −Προστασία από πλημμύρα −Σύστημα πυρόσβεσης −Πρόβλεψη disaster recovery site

Ασφάλεια λειτουργικών συστημάτων WSUS: αυτόματο κατέβασμα και εγκατάσταση updates σε clients & servers −Δωρεάν, downloadable και εύκολο στο στήσιμο (MMC console) −Υποστηρίζεται από τα Group Policies του Active Directory για γνωστοποίησή του στους clients −Υποστηρίζει automatic updating για Windows, SBS, Exchange, OCS, SQL, ISA, Forefront κα

Ασφάλεια λειτουργικών συστημάτων MBSA: σκανάρει το δίκτυο για clients & servers με μη προτεινόμενο configuration ή/και updates −Δωρεάν, downloadable, μηδενικό στήσιμο −Ενημερώνεται αυτόματα για νέα updates από XML αρχείο −Παραθέτει οδηγίες για αποκατάσταση SCW (Security Configuration Wizard): −Εμπεριέχεται στο λειτουργικό και βοηθά στην ασφαλή εγκατάσταση ρόλων και features −Ανάλογα με το ρόλο (πχ, Web Server, DNS Server κλπ) ξεκινά μόνο τις απαραίτητες υπηρεσίες και ανοίγει μόνο τις απαραίτητες πόρτες στο firewall

Ασφάλεια Domain Controller (DC) Κίνδυνοι στην ταυτοποίηση (authentication) χρηστών −Keyloggers (software + hardware) −Sub-authentication packages −Brute-force & dictionary attacks Λύσεις και countermeasures −Προσοχή στη φυσική ασφάλεια των DC −Passwords με μεγάλο μήκος χαρακτήρων (το βασικότερο) −Passwords με μεγάλο complexity (μέσα από πολιτικές του AD) −Passwords με χρήση passphrases −Xρήση τεχνολογιών two-factor authentication (smart cards, λύσεις ΟΤΡ) −Επιπλέον βοήθεια προσφέρει η χρήση fine-grained password policies (Windows Server 2008)

Ασφάλεια Domain Controller (DC) Πιο ασφαλής εξ αρχής: Windows Server Core! −Μια «λιτή» έκδοση των Windows Server 2008 −Κανένα (σχεδόν) γραφικό περιβάλλον – ξεκινά και παραμένει σε command prompt −Μόνο 38 υπηρεσίες ξεκινούν αυτόματα (42 στα Windows Server), 30 χειροκίνητα (55 στα Windows Server) – μειωμένο attack surface −Μόλις 1GB χώρου στο δίσκο −Μπορεί να γίνει ένας εξαιρετικός DC, αλλά και DHCP/IIS/Print Server κα

Enterprise Network Άλλοι SMTP Servers Mailbox Routing & AV/ASRouting & Policy Voice Messaging Client Access PBX or VoIP Public Folders Fax Applications OWA Protocols ActiveSync, POP, IMAP, RPC / HTTP … Programmability Web services, Web parts Unified Messaging Edge Transport Hub Transport Mailbox INTERNETINTERNET Exchange Server – τοπολογία enterprise

Ασφάλεια εγκατάστασης Exchange Server Guidelines σωστής εγκατάστασης Exchange Server −Οι ρόλοι του Exchange (Hub Transport, Client Access, Mailbox Server) πρέπει να εγκαθίστανται στο εσωτερικό δίκτυο, πίσω από το firewall (ΝΑΤ) −Ασφαλής πρόσβαση μόνο με πρωτόκολλο HTTPS (Outlook Web Access ή Outlook Anywhere) −Πόρτες ανοιχτές στο firewall: μόνο 25 & 443 −Χρήση του ExBPA (Exchange Best Practices Analyzer) −Χρήση του SCW (Security Configuration Wizard) −Χρήση Edge Server (SMTP relay, anti-spam, virus-scanning στην περίμετρο)

Ασφάλεια s – Exchange Server Κίνδυνοι στo infrastructure −Ιοί και malware που έρχονται ως attachments −Spam −Αποποίηση ευθύνης αποστολής −Ευαίσθητα δεδομένα − Διαρροή ευαίσθητων εταιρικών δεδομένων Λύσεις και τρόποι αντιμετώπισης −Anti-virus λογισμικό που υποστηρίζει το Exchange VSAPI (Forefront for Exchange) −Δωρεάν anti-spam & υποστήριξη block lists −Δυνατότητα ψηφιακής υπογραφής των εξερχόμενων s −Δυνατότητα κρυπτογράφησης εξερχόμενων s −Rights management services

Windows Active Directory RMS Standards compliant FIPS-certified cryptographic modules από το CryptoAPI (CAPI) Πιστοποίηση Common Criteria Καλύτερο integration με την πλατφόρμα Windows RMS client ενσωματωμένος στα Vista Ευκολία στον προγραμματισμό νέων rights-protected εφαρμογών Απλή εφαρμογή AD integration – εύκολο set up και κεντρική διαχείριση Ευκολία χρήσης με out-of-the-box support για το Office Windows RMS: integration με εφαρμογές Windows

Ασφάλεια ενδοεταιρικής διακίνησης δεδομένων - IP Security Χρησιμοποιείται για την κρυπτογραφημένη μετάδοση δεδομένων : −μεταξύ υπολογιστών σε εσωτερικό δίκτυο −σε L2TP VPNs Κάνει authenticate υπολογιστές μεταξύ τους με τη χρήση Kerberos, certificates, pre-shared keys, health certificates (NAP) Transport mode (χρησιμοποιείται σε L2TP VPNs) & tunnel mode (συνδέσεις site-to-site) Νέα χαρακτηριστικά στο IPSec των Windows Server 2008 −Ενοποίηση με το Windows Firewall console −Υποστήριξη AES 256-bit key size encryption

Encryption - Bitlocker Bitlocker – κρυπτογράφηση ολόκληρων volumes −Απαιτεί TPM chip ή USB key (ή συνδυασμό) −Υποστηρίζεται στα Windows Server 2008 και στα Windows Vista Enterprise/Ultimate −Οι δίσκοι δε μπορούν να διαβαστούν αν τοποθετηθούν σε άλλο σύστημα, μόνο αν υπάρχει το recovery password −Δεν αντικαθιστά την ανάγκη για backups ή δυνατά passwords −Μικρή επίπτωση στην απόδοση του συστήματος (<5%) −NEO στα Windows 7: Bitlocker-to-go, κρυπτογράφηση και σε USB keys με ξεχωριστό passphrase

Encryption - EFS EFS – κρυπτογράφηση αρχείων −Δεν απαιτεί κανενός είδους ξεχωριστό hardware ή software, πλέον του λειτουργικού (και NTFS volume) −Είναι transparent στο χρήστη, το file system και σε κάθε λογισμικό

Σύγκριση τεχνολογιών EFS/Bitlocker/RMS Σενάριο RMSEFSBitLocker Προστασία πληροφορίας εκτός του άμεσου ελέγχου της εταιρείας Ορισμός fine-grained πολιτικής χρήσης στην πληροφορία Συνεργασία με άλλους σε ευαίσθητα δεδομένα Προστασία πληροφοριών μέσω χρήσης smartcard Προστασία απομακρυσμένων αρχείων και φακέλων Προστασία δεδομένων σε κοινόχρηστο υπολογιστή Προστασία σε περίπτωση κλοπής φορητού υπολογιστή Branch office server τοποθετημένος σε μη ασφαλές σημείο

Firewall Security – ISA και άλλοι ISA & hardware firewalls – μύθοι και αλήθειες −Τα software-based firewalls όπως ο ISA δεν είναι περισσότερο ανασφαλή από οποιοδήποτε hardware-based firewall, αφού και αυτά «τρέχουν» σε κάποιο λειτουργικό −Επιπλέον, ο ISA (και σύντομα ο Forefront TMG) διατίθεται ως έτοιμο hardware network appliance − Ο ISA ΔΕΝ είναι ένας απλός proxy server, αλλά ένας πλήρης, enterprise, application-layer firewall −Ο ISA είναι όσο «γρήγορος» είναι ένα hardware-based firewall & VPN server, έχει δοκιμαστεί σε ταχύτητες ως 1.59GBps & 16,000 VPN connections

Firewall Security – δυνατότητες ISA Χαρακτηριστικά Ασφάλεια Multilayer packet inspection Firewall & VPN (host & site-to-site) server Πολλαπλά δίκτυα Application layer filtering Intrusion detection Ευκολία Απλά management εργαλεία Network templates Product integration Ευκολία χρήσης στους clients (ISA & VPN) Απόδοση Μεγάλη απόδοση με απλό h/w Scalability Web caching

Firewall Security – ISA configurations Πολλαπλά δίκτυα Back-To-Back DMZ

Client Security Προτείνονται: −Antivirus (Forefront ή άλλα) & antispyware (Defender ή Forefront) −Ισχυρά passwords χρηστών (όσο το δυνατό…), ενεργοποίηση όλων των πολιτικών για passwords −Σε «εκτεθειμένα» μηχανήματα με ευαίσθητα δεδομένα: EFS ή και Bitlocker −RMS-enabled Office System

Forefront Family Client and Server OS Server Applications Edge Λύση antivirus & antimalware για όλα τα μεγέθη επιχειρήσεων Ασφαλίζει Windows clients & servers Επιπλέον ασφάλιση Exchange, Sharepoint, OCS Προστασία και για την περίμετρο της επιχείρησης Update distribution με τη χρήση WSUS

Distributed offices Infrastructure Read Only Domain Controller VPN (ISA)

Distributed infrastructure - Βranch offices Σε τι διαφέρουν τα branch offices −Αργή σύνδεση −Μειωμένη φυσική ασφάλεια −Μειωμένη διάθεση πόρων εύρυθμης λειτουργίας −Μειωμένη ή μηδενική ΙΤ υποστήριξη Πως μπορούν να αυξηθούν τα επίπεδα ασφάλειας −Εγκατάσταση Windows Server Core για ασφάλεια και μειωμένο κόστος συντήρησης (60% λιγότερα updates) −Χρήση Bitlocker −Χρήση RODCs

Read Only Domain Controller Κατάλληλο για τοποθεσίες με domain controllers χωρίς εγγυημένη φυσική ασφάλεια −Καλύτερη ασφάλεια −Γρηγορότερα logons −Καλύτερη συμπεριφορά replication (μικρότερος όγκος) −Καλύτερη πρόσβαση στους πόρους του δικτύου Κύρια χαρακτηριστικά −Read-only domain database −Filtered attribute set – αποκλείει το replication κωδικών ή κλειδιών κρυπτογράφησης (απαιτεί 2008 FF) −Δυνατότητα credential caching μέσω Password Replication Policy (by default, κανένα username δεν αποθηκεύεται τοπικά) −Read-only DNS

VPN (ISA) Ασφαλής και εύκολη δημιουργία VPNs με τον ISA Server enterprise firewall & VPN server −Υποστήριξη site-to-site VPNs −Υποστήριξη PPTP & L2TP/IPSec πρωτοκόλλων −Εύκολη ενεργοποίηση (ΡΡΤΡ) με ένα κλικ −Δεν απαιτείται ξεχωριστό VPN client −Χρησιμοποιεί τα credentials του AD χρήστη

Remote users Infrastructure Exchange Server −Outlook Web Access (OWA) −Outlook Anywhere Access VPN Authentication

Exchange Server 2007 remote access Οutlook Web Access −Δυνατότητες παρόμοιες με το Outlook client (χωρίς offline access, import/export contacts κα) −Ανάγκη χρήσης SSL certificate για κρυπτογραφημένη σύνδεση −Προσοχή στο Certification Authority που εκδίδει το πιστοποιητικό Outlook Anywhere (πρώην RPC over HTTPS) −Όλες οι δυνατότητες του Outlook client & Exchange σύνδεσης (ΜΑΡΙ) μέσω απλού HTTPS πρωτοκόλλου −Ασφαλής σύνδεση μέσω HTTPS −Αναιρεί την ανάγκη χρήσης VPNs για χρήση του Outlook client και εκτός του εταιρικού δικτύου −Χρήση του ίδιου SSL certificate με αυτό του OWA Anywhere Access

VPN Authentication Χρήση του απλού, ενσωματωμένου στο λειτουργικό VPN client της Microsoft Επιλογή πρωτοκόλλων L2TP, PPTP, SSTP −STTP: δυνατότητα δημιουργίας VPN σύνδεσης μέσω HTTPS (πόρτα 443) −Απαιτεί server certificate Επιπρόσθετα χαρακτηριστικά στα Windows 2008 −Υποστήριξη AES encryption (ως 256-bit) & απενεργοποιημένα πρωτόκολλα <56-bit encryption −Απαιτεί server certificate

Network Access Protection Πως δουλεύει Not policy compliant 1 Restricted Network O Client ζητά πρόσβαση στο δίκτυο και παρουσιάζει τo τρέχον health state του 1 4 Αν δεν ανταποκρίνεται σε αυτή, ο client μπαίνει σε restricted VLAN με πρόσβαση σε policy servers με resources για patches ή antivirus updates 2 Ο DHCP, VPN ή το Switch στέλνει το health status στο Microsoft Network Policy Server (RADIUS, πρώην IAS) 5 Αν ανταποκρίνεται, του δίνεται πλήρης πρόσβαση στο εταιρικό δίκτυο MSFT NPS 3 Policy Servers Patch, AV Policy compliant 3 O Network Policy Server (NPS) συγκρίνει το health status με την πολιτική health της εταιρείας 2 Windows Client DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Corporate Network 5 4

Δράση e-security Χρήστος Παπανικολάου Solutions Sales Specialist Microsoft Hellas

Δράση e-security Συγχρηματοδοτούμενο πρόγραμμα ενίσχυσης μικρομεσαίων επιχειρήσεων μέσω της ΨΗ.ΦΕΝ. ΑΕ για δράσεις ασφάλειας Συνολικός Προϋπολογισμός € (70% ενίσχυση – 30% ιδιωτική χρηματοδότηση) Απευθύνεται σε μικρομεσαίες επιχειρήσεις (< 250 άτομα & < 50Μ€ κύκλο εργασιών (ή < 43 Μ€ σύνολο ενεργητικού) Μέγιστος προϋπολογισμός επένδυσης με βάση το μέγεθος της επιχείρησης και την ανάγκη για ασφάλεια: € € Site της δράσης: Εγγραφή (υποχρεωτική για την συνέχεια) από 22 Απριλίου Υποβολή αιτήσεων από 7 Μαΐου γίνεται ηλεκτρονικά Συγχρηματοδοτούμενο πρόγραμμα ενίσχυσης μικρομεσαίων επιχειρήσεων μέσω της ΨΗ.ΦΕΝ. ΑΕ για δράσεις ασφάλειας Συνολικός Προϋπολογισμός € (70% ενίσχυση – 30% ιδιωτική χρηματοδότηση) Απευθύνεται σε μικρομεσαίες επιχειρήσεις (< 250 άτομα & < 50Μ€ κύκλο εργασιών (ή < 43 Μ€ σύνολο ενεργητικού) Μέγιστος προϋπολογισμός επένδυσης με βάση το μέγεθος της επιχείρησης και την ανάγκη για ασφάλεια: € € Site της δράσης: Εγγραφή (υποχρεωτική για την συνέχεια) από 22 Απριλίου Υποβολή αιτήσεων από 7 Μαΐου γίνεται ηλεκτρονικά

Πλήρης οικογένεια λύσεων και προϊόντων ασφάλειας Network Edge Server Applications Client and Server OS * Antivirus/antimalware λύση για κάθε επιχείρηση με Windows OS clients & Servers ανεξαρτήτως μεγέθους Για προστασία συγκεκριμένων Εφαρμογών (Exchange, SharePoint, OCS) Ενοποιημένη κονσόλα διαχείρισης Προστασία στην “περίμετρο” της επιχείρησης

Πλήρης λύση Data Backup & Recovery για κάθε μέγεθος επιχείρησης Δυνατότητα enterprise λύσεων (Disk – to Disk – to Tape backups/) σε χαμηλό κόστος Πλήρης υποστήριξη Windows XP/Vista Clients (DPM SP1), Windows File Servers, Exchange, SharePoint, SQL Server Ενοποιημένη λύση διαχείρισης για μικρομεσαίες επιχειρήσεις Proactive Management: Παρακολούθηση, διάγνωση προβλημάτων, διαχείριση HW/SW assets προκειμένου να διατηρείται το IT περιβάλλον ασφαλές και ενημερωμένο συνεχώς Απλοποίηση περίπλοκων διαχειριστικών θεμάτων (end user/server monitoring, server/client software & security updates deployment)

H διαρροή πληροφοριών είναι από τα μεγαλύτερα προβλήματα ασφαλείας για τις περισσότερες επιχειρήσεις “After virus infections, businesses report unintended forwarding of s and loss of mobile devices more frequently than they do any other security breach” Jupiter Research Report 0%10%20%30%40%50%60%70% Loss of digital assets, restored piracy Password compromise Loss of mobile devices Unintended forwarding of s 20% 22% 22% 35% 36%63% Virus infection

Απαγόρευση προώθησης εταιρικών πληροφοριών (Do not forward) Πρότυπα (Templates) για τον κεντρικό καθορισμό πολιτικών Secure s Microsoft Office Outlook 2003 and 2007,Windows Rights Management Services (RMS) Έλεγχος στην πρόσβαση των ευαίσθητων πληροφοριών Καθορισμός πολιτικών —view, change, print... Καθορισμός χρονικής διάρκειας πολιτικών Secure Documents Microsoft Office 2003, 2007 Microsoft Office system, Microsoft Office SharePoint Server 2007, Windows RMS Χρήστες χωρίς Office 2003/2007 μπορούν να δουν προστατευμένα έγγραφα μέσω του ΙΕ σύμφωνα με τις πολιτικές χρήσης Secure Intranets Windows Internet Explorer with Rights Management Add-on (RMA), Windows RMS

© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.