Microsoft Ελλάς Live Meeting Series
Ασφαλίζοντας εταιρικά δίκτυα Δημήτρης Παπίτσης ΙΤ Security consultant & trainer Microsoft Most Valuable Professional, Enterprise Security Moderator, – IT pro communitywww.autoexec.gr
Περιεχόμενα Παρουσίασης 1. Γενικές αρχές ασφάλειας 2. Σημεία που θα επικεντρωθούμε A.Μικρές επιχειρήσεις βασισμένες σε Small Business Server B.Ασφαλίζοντας εταιρικά περιβάλλοντα μεγαλύτερης πολυπλοκότητας Single Domain με χρήστες χωρίς ανάγκες απομακρυσμένης πρόσβασης Ασφαλή απομακρυσμένα σημεία πρόσβασης Χρήστες με ανάγκες ασφαλούς απομακρυσμένης πρόσβασης 3. Λίγα λόγια για την δράση e-Security
1. Γενικές αρχές ασφάλειας Defense in Depth −Η ασφάλεια εφαρμόζεται σε πολλαπλά layers Least Privileges −Πρέπει να δίνουμε το μικρότερο δυνατό δικαίωμα για την ολοκλήρωση μιας εργασίας Minimized Attack Surface −Μείωση των εν δυνάμει τρωτών σημείων κάθε στόχου (δικτύου, Λειτουργικών Συστημάτων κ.ο.κ.)
2. Σημεία που θα επικεντρωθούμε Σημεία προς έλεγχο και ασφάλιση σε Microsoft δίκτυα Φυσική ασφάλεια Περίμετρος Δίκτυο Ταυτοποίηση (authentication) Φυσική ασφάλεια Περίμετρος Δίκτυο Ταυτοποίηση (authentication) Servers & clients Δεδομένα Λογαριασμοί & υπηρεσίες Servers & clients Δεδομένα Λογαριασμοί & υπηρεσίες Ασύρματα δίκτυα Περιμετρικά δίκτυα Δίκτυα υποκαταστημάτων Roaming χρήστες
2A. Μικρές επιχειρήσεις βασισμένες σε Small Business Server Small Business Server 2008 −Μια απλή λύση ως 75 χρήστες −Εύκολη στην εγκατάσταση, ασφαλής by design
Small Business Server Ένας Server για όλες τις υπηρεσίες Domain controller, Exchange Server, SQL Server σε ξεχωριστό server (premium edition) Secure by design (SBS 2008) Εύκολη, κεντρική διαχείριση ασφάλειας (SBS 2008) Active Directory Domain Controller
Ασφάλεια στο Small Business Server 2008 Διαδικασίες και λύσεις ασφάλειας στον SBS 2008 Εύκολο και ασφαλές backup – εξωτερικά USB drives Δυνατότητα ασφάλειας των υπολογιστών και του SBS με το προαιρετικό Forefront Client Security (antivirus + antimalware) Forefront for Exchange (προαιρετικά) WSUS (Windows Server Update Services) για client updates
Ασφάλεια στο Small Business Server 2008 Περιμετρική ασφάλεια στον SBS 2008 −Ύπαρξη host Windows Firewall για τον SBS −Προτείνεται η χρήση του windows firewall σε XP SP2 clients και άνω −Απαιτείται ξεχωριστό network firewall (ISA, hardware appliance κλπ) Περιορισμοί στον SBS 2008 −Ο SBS πρέπει να έχει όλους τους FSMO ρόλους −Δεν είναι δυνατή η δημιουργία child domains ή cross-forest trusts −Δεν υπάρχει δυνατότητα ξεχωριστών servers
2Β. Ασφαλίζοντας εταιρικά περιβάλλοντα μεγαλύτερης πολυπλοκότητας Ενδεικτικές τοπολογίες: Τοπολογία χωρίς απομακρυσμένα σημεία πρόσβασης (single site) Τοπολογία με απομακρυσμένα σημεία πρόσβασης (branch offices) Τοπολογία με απομακρυσμένους χρήστες (remote users)
Τοπολογία χωρίς απομακρυσμένα σημεία πρόσβασης (single site) Φυσική ασφάλεια Ασφάλεια authentication - domain controllers Ασφάλεια s - Exchange Server 2007 Εταιρικό Antivirus + antispyware - Forefront Client Security Ασφάλεια non-disclosure: Rights Management Server (RMS) Ασφάλεια δεδομένων – IP Security, κρυπτογράφηση Ασφάλεια περιμέτρου – ISA/Forefront TMG Ασφάλεια υπολογιστών – server & client
Ενδεικτική τοπολογία δικτύου χωρίς απομακρυσμένα σημεία πρόσβασης Domain controller & management servers server Database servers Firewall
Φυσική ασφάλεια Μέτρα φυσικής προστασίας −Γεννήτρια ηλεκτρικού −Ασφαλείς είσοδοι −Access control −Σύστημα συναγερμού −Κλειστό κύκλωμα (ΙΡ cameras surveillance) Μέτρα περιβαλλοντικής προστασίας −Προστασία από πλημμύρα −Σύστημα πυρόσβεσης −Πρόβλεψη disaster recovery site
Ασφάλεια λειτουργικών συστημάτων WSUS: αυτόματο κατέβασμα και εγκατάσταση updates σε clients & servers −Δωρεάν, downloadable και εύκολο στο στήσιμο (MMC console) −Υποστηρίζεται από τα Group Policies του Active Directory για γνωστοποίησή του στους clients −Υποστηρίζει automatic updating για Windows, SBS, Exchange, OCS, SQL, ISA, Forefront κα
Ασφάλεια λειτουργικών συστημάτων MBSA: σκανάρει το δίκτυο για clients & servers με μη προτεινόμενο configuration ή/και updates −Δωρεάν, downloadable, μηδενικό στήσιμο −Ενημερώνεται αυτόματα για νέα updates από XML αρχείο −Παραθέτει οδηγίες για αποκατάσταση SCW (Security Configuration Wizard): −Εμπεριέχεται στο λειτουργικό και βοηθά στην ασφαλή εγκατάσταση ρόλων και features −Ανάλογα με το ρόλο (πχ, Web Server, DNS Server κλπ) ξεκινά μόνο τις απαραίτητες υπηρεσίες και ανοίγει μόνο τις απαραίτητες πόρτες στο firewall
Ασφάλεια Domain Controller (DC) Κίνδυνοι στην ταυτοποίηση (authentication) χρηστών −Keyloggers (software + hardware) −Sub-authentication packages −Brute-force & dictionary attacks Λύσεις και countermeasures −Προσοχή στη φυσική ασφάλεια των DC −Passwords με μεγάλο μήκος χαρακτήρων (το βασικότερο) −Passwords με μεγάλο complexity (μέσα από πολιτικές του AD) −Passwords με χρήση passphrases −Xρήση τεχνολογιών two-factor authentication (smart cards, λύσεις ΟΤΡ) −Επιπλέον βοήθεια προσφέρει η χρήση fine-grained password policies (Windows Server 2008)
Ασφάλεια Domain Controller (DC) Πιο ασφαλής εξ αρχής: Windows Server Core! −Μια «λιτή» έκδοση των Windows Server 2008 −Κανένα (σχεδόν) γραφικό περιβάλλον – ξεκινά και παραμένει σε command prompt −Μόνο 38 υπηρεσίες ξεκινούν αυτόματα (42 στα Windows Server), 30 χειροκίνητα (55 στα Windows Server) – μειωμένο attack surface −Μόλις 1GB χώρου στο δίσκο −Μπορεί να γίνει ένας εξαιρετικός DC, αλλά και DHCP/IIS/Print Server κα
Enterprise Network Άλλοι SMTP Servers Mailbox Routing & AV/ASRouting & Policy Voice Messaging Client Access PBX or VoIP Public Folders Fax Applications OWA Protocols ActiveSync, POP, IMAP, RPC / HTTP … Programmability Web services, Web parts Unified Messaging Edge Transport Hub Transport Mailbox INTERNETINTERNET Exchange Server – τοπολογία enterprise
Ασφάλεια εγκατάστασης Exchange Server Guidelines σωστής εγκατάστασης Exchange Server −Οι ρόλοι του Exchange (Hub Transport, Client Access, Mailbox Server) πρέπει να εγκαθίστανται στο εσωτερικό δίκτυο, πίσω από το firewall (ΝΑΤ) −Ασφαλής πρόσβαση μόνο με πρωτόκολλο HTTPS (Outlook Web Access ή Outlook Anywhere) −Πόρτες ανοιχτές στο firewall: μόνο 25 & 443 −Χρήση του ExBPA (Exchange Best Practices Analyzer) −Χρήση του SCW (Security Configuration Wizard) −Χρήση Edge Server (SMTP relay, anti-spam, virus-scanning στην περίμετρο)
Ασφάλεια s – Exchange Server Κίνδυνοι στo infrastructure −Ιοί και malware που έρχονται ως attachments −Spam −Αποποίηση ευθύνης αποστολής −Ευαίσθητα δεδομένα − Διαρροή ευαίσθητων εταιρικών δεδομένων Λύσεις και τρόποι αντιμετώπισης −Anti-virus λογισμικό που υποστηρίζει το Exchange VSAPI (Forefront for Exchange) −Δωρεάν anti-spam & υποστήριξη block lists −Δυνατότητα ψηφιακής υπογραφής των εξερχόμενων s −Δυνατότητα κρυπτογράφησης εξερχόμενων s −Rights management services
Windows Active Directory RMS Standards compliant FIPS-certified cryptographic modules από το CryptoAPI (CAPI) Πιστοποίηση Common Criteria Καλύτερο integration με την πλατφόρμα Windows RMS client ενσωματωμένος στα Vista Ευκολία στον προγραμματισμό νέων rights-protected εφαρμογών Απλή εφαρμογή AD integration – εύκολο set up και κεντρική διαχείριση Ευκολία χρήσης με out-of-the-box support για το Office Windows RMS: integration με εφαρμογές Windows
Ασφάλεια ενδοεταιρικής διακίνησης δεδομένων - IP Security Χρησιμοποιείται για την κρυπτογραφημένη μετάδοση δεδομένων : −μεταξύ υπολογιστών σε εσωτερικό δίκτυο −σε L2TP VPNs Κάνει authenticate υπολογιστές μεταξύ τους με τη χρήση Kerberos, certificates, pre-shared keys, health certificates (NAP) Transport mode (χρησιμοποιείται σε L2TP VPNs) & tunnel mode (συνδέσεις site-to-site) Νέα χαρακτηριστικά στο IPSec των Windows Server 2008 −Ενοποίηση με το Windows Firewall console −Υποστήριξη AES 256-bit key size encryption
Encryption - Bitlocker Bitlocker – κρυπτογράφηση ολόκληρων volumes −Απαιτεί TPM chip ή USB key (ή συνδυασμό) −Υποστηρίζεται στα Windows Server 2008 και στα Windows Vista Enterprise/Ultimate −Οι δίσκοι δε μπορούν να διαβαστούν αν τοποθετηθούν σε άλλο σύστημα, μόνο αν υπάρχει το recovery password −Δεν αντικαθιστά την ανάγκη για backups ή δυνατά passwords −Μικρή επίπτωση στην απόδοση του συστήματος (<5%) −NEO στα Windows 7: Bitlocker-to-go, κρυπτογράφηση και σε USB keys με ξεχωριστό passphrase
Encryption - EFS EFS – κρυπτογράφηση αρχείων −Δεν απαιτεί κανενός είδους ξεχωριστό hardware ή software, πλέον του λειτουργικού (και NTFS volume) −Είναι transparent στο χρήστη, το file system και σε κάθε λογισμικό
Σύγκριση τεχνολογιών EFS/Bitlocker/RMS Σενάριο RMSEFSBitLocker Προστασία πληροφορίας εκτός του άμεσου ελέγχου της εταιρείας Ορισμός fine-grained πολιτικής χρήσης στην πληροφορία Συνεργασία με άλλους σε ευαίσθητα δεδομένα Προστασία πληροφοριών μέσω χρήσης smartcard Προστασία απομακρυσμένων αρχείων και φακέλων Προστασία δεδομένων σε κοινόχρηστο υπολογιστή Προστασία σε περίπτωση κλοπής φορητού υπολογιστή Branch office server τοποθετημένος σε μη ασφαλές σημείο
Firewall Security – ISA και άλλοι ISA & hardware firewalls – μύθοι και αλήθειες −Τα software-based firewalls όπως ο ISA δεν είναι περισσότερο ανασφαλή από οποιοδήποτε hardware-based firewall, αφού και αυτά «τρέχουν» σε κάποιο λειτουργικό −Επιπλέον, ο ISA (και σύντομα ο Forefront TMG) διατίθεται ως έτοιμο hardware network appliance − Ο ISA ΔΕΝ είναι ένας απλός proxy server, αλλά ένας πλήρης, enterprise, application-layer firewall −Ο ISA είναι όσο «γρήγορος» είναι ένα hardware-based firewall & VPN server, έχει δοκιμαστεί σε ταχύτητες ως 1.59GBps & 16,000 VPN connections
Firewall Security – δυνατότητες ISA Χαρακτηριστικά Ασφάλεια Multilayer packet inspection Firewall & VPN (host & site-to-site) server Πολλαπλά δίκτυα Application layer filtering Intrusion detection Ευκολία Απλά management εργαλεία Network templates Product integration Ευκολία χρήσης στους clients (ISA & VPN) Απόδοση Μεγάλη απόδοση με απλό h/w Scalability Web caching
Firewall Security – ISA configurations Πολλαπλά δίκτυα Back-To-Back DMZ
Client Security Προτείνονται: −Antivirus (Forefront ή άλλα) & antispyware (Defender ή Forefront) −Ισχυρά passwords χρηστών (όσο το δυνατό…), ενεργοποίηση όλων των πολιτικών για passwords −Σε «εκτεθειμένα» μηχανήματα με ευαίσθητα δεδομένα: EFS ή και Bitlocker −RMS-enabled Office System
Forefront Family Client and Server OS Server Applications Edge Λύση antivirus & antimalware για όλα τα μεγέθη επιχειρήσεων Ασφαλίζει Windows clients & servers Επιπλέον ασφάλιση Exchange, Sharepoint, OCS Προστασία και για την περίμετρο της επιχείρησης Update distribution με τη χρήση WSUS
Distributed offices Infrastructure Read Only Domain Controller VPN (ISA)
Distributed infrastructure - Βranch offices Σε τι διαφέρουν τα branch offices −Αργή σύνδεση −Μειωμένη φυσική ασφάλεια −Μειωμένη διάθεση πόρων εύρυθμης λειτουργίας −Μειωμένη ή μηδενική ΙΤ υποστήριξη Πως μπορούν να αυξηθούν τα επίπεδα ασφάλειας −Εγκατάσταση Windows Server Core για ασφάλεια και μειωμένο κόστος συντήρησης (60% λιγότερα updates) −Χρήση Bitlocker −Χρήση RODCs
Read Only Domain Controller Κατάλληλο για τοποθεσίες με domain controllers χωρίς εγγυημένη φυσική ασφάλεια −Καλύτερη ασφάλεια −Γρηγορότερα logons −Καλύτερη συμπεριφορά replication (μικρότερος όγκος) −Καλύτερη πρόσβαση στους πόρους του δικτύου Κύρια χαρακτηριστικά −Read-only domain database −Filtered attribute set – αποκλείει το replication κωδικών ή κλειδιών κρυπτογράφησης (απαιτεί 2008 FF) −Δυνατότητα credential caching μέσω Password Replication Policy (by default, κανένα username δεν αποθηκεύεται τοπικά) −Read-only DNS
VPN (ISA) Ασφαλής και εύκολη δημιουργία VPNs με τον ISA Server enterprise firewall & VPN server −Υποστήριξη site-to-site VPNs −Υποστήριξη PPTP & L2TP/IPSec πρωτοκόλλων −Εύκολη ενεργοποίηση (ΡΡΤΡ) με ένα κλικ −Δεν απαιτείται ξεχωριστό VPN client −Χρησιμοποιεί τα credentials του AD χρήστη
Remote users Infrastructure Exchange Server −Outlook Web Access (OWA) −Outlook Anywhere Access VPN Authentication
Exchange Server 2007 remote access Οutlook Web Access −Δυνατότητες παρόμοιες με το Outlook client (χωρίς offline access, import/export contacts κα) −Ανάγκη χρήσης SSL certificate για κρυπτογραφημένη σύνδεση −Προσοχή στο Certification Authority που εκδίδει το πιστοποιητικό Outlook Anywhere (πρώην RPC over HTTPS) −Όλες οι δυνατότητες του Outlook client & Exchange σύνδεσης (ΜΑΡΙ) μέσω απλού HTTPS πρωτοκόλλου −Ασφαλής σύνδεση μέσω HTTPS −Αναιρεί την ανάγκη χρήσης VPNs για χρήση του Outlook client και εκτός του εταιρικού δικτύου −Χρήση του ίδιου SSL certificate με αυτό του OWA Anywhere Access
VPN Authentication Χρήση του απλού, ενσωματωμένου στο λειτουργικό VPN client της Microsoft Επιλογή πρωτοκόλλων L2TP, PPTP, SSTP −STTP: δυνατότητα δημιουργίας VPN σύνδεσης μέσω HTTPS (πόρτα 443) −Απαιτεί server certificate Επιπρόσθετα χαρακτηριστικά στα Windows 2008 −Υποστήριξη AES encryption (ως 256-bit) & απενεργοποιημένα πρωτόκολλα <56-bit encryption −Απαιτεί server certificate
Network Access Protection Πως δουλεύει Not policy compliant 1 Restricted Network O Client ζητά πρόσβαση στο δίκτυο και παρουσιάζει τo τρέχον health state του 1 4 Αν δεν ανταποκρίνεται σε αυτή, ο client μπαίνει σε restricted VLAN με πρόσβαση σε policy servers με resources για patches ή antivirus updates 2 Ο DHCP, VPN ή το Switch στέλνει το health status στο Microsoft Network Policy Server (RADIUS, πρώην IAS) 5 Αν ανταποκρίνεται, του δίνεται πλήρης πρόσβαση στο εταιρικό δίκτυο MSFT NPS 3 Policy Servers Patch, AV Policy compliant 3 O Network Policy Server (NPS) συγκρίνει το health status με την πολιτική health της εταιρείας 2 Windows Client DHCP, VPN Switch/Router Fix Up Servers e.g. Patch Corporate Network 5 4
Δράση e-security Χρήστος Παπανικολάου Solutions Sales Specialist Microsoft Hellas
Δράση e-security Συγχρηματοδοτούμενο πρόγραμμα ενίσχυσης μικρομεσαίων επιχειρήσεων μέσω της ΨΗ.ΦΕΝ. ΑΕ για δράσεις ασφάλειας Συνολικός Προϋπολογισμός € (70% ενίσχυση – 30% ιδιωτική χρηματοδότηση) Απευθύνεται σε μικρομεσαίες επιχειρήσεις (< 250 άτομα & < 50Μ€ κύκλο εργασιών (ή < 43 Μ€ σύνολο ενεργητικού) Μέγιστος προϋπολογισμός επένδυσης με βάση το μέγεθος της επιχείρησης και την ανάγκη για ασφάλεια: € € Site της δράσης: Εγγραφή (υποχρεωτική για την συνέχεια) από 22 Απριλίου Υποβολή αιτήσεων από 7 Μαΐου γίνεται ηλεκτρονικά Συγχρηματοδοτούμενο πρόγραμμα ενίσχυσης μικρομεσαίων επιχειρήσεων μέσω της ΨΗ.ΦΕΝ. ΑΕ για δράσεις ασφάλειας Συνολικός Προϋπολογισμός € (70% ενίσχυση – 30% ιδιωτική χρηματοδότηση) Απευθύνεται σε μικρομεσαίες επιχειρήσεις (< 250 άτομα & < 50Μ€ κύκλο εργασιών (ή < 43 Μ€ σύνολο ενεργητικού) Μέγιστος προϋπολογισμός επένδυσης με βάση το μέγεθος της επιχείρησης και την ανάγκη για ασφάλεια: € € Site της δράσης: Εγγραφή (υποχρεωτική για την συνέχεια) από 22 Απριλίου Υποβολή αιτήσεων από 7 Μαΐου γίνεται ηλεκτρονικά
Πλήρης οικογένεια λύσεων και προϊόντων ασφάλειας Network Edge Server Applications Client and Server OS * Antivirus/antimalware λύση για κάθε επιχείρηση με Windows OS clients & Servers ανεξαρτήτως μεγέθους Για προστασία συγκεκριμένων Εφαρμογών (Exchange, SharePoint, OCS) Ενοποιημένη κονσόλα διαχείρισης Προστασία στην “περίμετρο” της επιχείρησης
Πλήρης λύση Data Backup & Recovery για κάθε μέγεθος επιχείρησης Δυνατότητα enterprise λύσεων (Disk – to Disk – to Tape backups/) σε χαμηλό κόστος Πλήρης υποστήριξη Windows XP/Vista Clients (DPM SP1), Windows File Servers, Exchange, SharePoint, SQL Server Ενοποιημένη λύση διαχείρισης για μικρομεσαίες επιχειρήσεις Proactive Management: Παρακολούθηση, διάγνωση προβλημάτων, διαχείριση HW/SW assets προκειμένου να διατηρείται το IT περιβάλλον ασφαλές και ενημερωμένο συνεχώς Απλοποίηση περίπλοκων διαχειριστικών θεμάτων (end user/server monitoring, server/client software & security updates deployment)
H διαρροή πληροφοριών είναι από τα μεγαλύτερα προβλήματα ασφαλείας για τις περισσότερες επιχειρήσεις “After virus infections, businesses report unintended forwarding of s and loss of mobile devices more frequently than they do any other security breach” Jupiter Research Report 0%10%20%30%40%50%60%70% Loss of digital assets, restored piracy Password compromise Loss of mobile devices Unintended forwarding of s 20% 22% 22% 35% 36%63% Virus infection
Απαγόρευση προώθησης εταιρικών πληροφοριών (Do not forward) Πρότυπα (Templates) για τον κεντρικό καθορισμό πολιτικών Secure s Microsoft Office Outlook 2003 and 2007,Windows Rights Management Services (RMS) Έλεγχος στην πρόσβαση των ευαίσθητων πληροφοριών Καθορισμός πολιτικών —view, change, print... Καθορισμός χρονικής διάρκειας πολιτικών Secure Documents Microsoft Office 2003, 2007 Microsoft Office system, Microsoft Office SharePoint Server 2007, Windows RMS Χρήστες χωρίς Office 2003/2007 μπορούν να δουν προστατευμένα έγγραφα μέσω του ΙΕ σύμφωνα με τις πολιτικές χρήσης Secure Intranets Windows Internet Explorer with Rights Management Add-on (RMA), Windows RMS
© 2008 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.