Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS...

Netzwerksicherheit mit Netzwerksicherheit mit dem Windows Server dem Windows Server

20032003

Netzwerksicherheit mit Netzwerksicherheit mit dem Windows Server 2003dem Windows Server 2003

Kai Wilke (MVP)Kai Wilke (MVP)Consultant für IT - SecurityConsultant für IT - SecurityITaCS GmbH ITaCS GmbH [email protected] [email protected]

Tech Level: 300Tech Level: 300

AgendaAgenda

Die Sicherheit von Windows 2000 vs. Die Sicherheit von Windows 2000 vs. 20032003 Grundsätzliche Verbesserungen im Grundsätzliche Verbesserungen im

Detail Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste

Zertifikatsdienste und deren Zertifikatsdienste und deren EinsatzgebieteEinsatzgebiete

IP Security und Virtual Private NetworksIP Security und Virtual Private Networks Sichere Wireless LAN UmgebungenSichere Wireless LAN Umgebungen Internet Information Services 6.0Internet Information Services 6.0

Microsoft Ressourcen im InternetMicrosoft Ressourcen im Internet

Sicherheit in Windows Sicherheit in Windows 20002000Ist Windows 2000 sicher? Ist Windows 2000 sicher? Ja! Man kann Windows 2000 sicher Ja! Man kann Windows 2000 sicher

machenmachen Siehe Common Criteria Zertifizierung Siehe Common Criteria Zertifizierung

nach EAL4+nach EAL4+ ……, aber man sollte dabei folgendes , aber man sollte dabei folgendes

beachten!beachten! Windows 2000 Server Baseline Security Windows 2000 Server Baseline Security

ChecklistChecklist Absichern der Win2000 default Absichern der Win2000 default

KonfigurationKonfiguration IIS 5.0 Baseline Security und Secure IIS 5.0 Baseline Security und Secure

ChecklistChecklist Absichern der IIS 5.0 default Absichern der IIS 5.0 default

KonfigurationKonfiguration Und viele Sicherheits- Hinweise in KB Und viele Sicherheits- Hinweise in KB

ArtikelnArtikeln

Sicherheit im „default“-Sicherheit im „default“-ZustandZustand

Sicherheit in Windows 2003Sicherheit in Windows 2003Was hat sich beim Server 2003 Was hat sich beim Server 2003 verbessert?verbessert?

Sicherheit bei der Sicherheit bei der KonfigurationKonfiguration

Sicherheit im laufenden Sicherheit im laufenden Betrieb Betrieb

Vergleich der „default“ Sicherheit

von Windows 2000 vs. 2003

Die Angriffsfläche des Servers wurde Die Angriffsfläche des Servers wurde verringertverringert 20 Dienste sind standardmäßig nicht aktiviert20 Dienste sind standardmäßig nicht aktiviert Entscheidungskriterium: mindestens 10% Entscheidungskriterium: mindestens 10%

Bedarf Bedarf Eingeschränkte Service Accounts für viele Eingeschränkte Service Accounts für viele

DiensteDienste NetworkService und LocalService als neue NetworkService und LocalService als neue

KontenKonten Schärfere Systemrichtlinien Einstellungen Schärfere Systemrichtlinien Einstellungen

und ACLsund ACLs Verschärfte ACLs im %Systemroot% und bei Verschärfte ACLs im %Systemroot% und bei

FreigabenFreigaben Verschärfte System SicherheitsrichtlinienVerschärfte System Sicherheitsrichtlinien

Beseitigung von “blank password” AngriffenBeseitigung von “blank password” Angriffen

Sicherheit in Windows Sicherheit in Windows 20032003 Sicherheit im Sicherheit im “default”“default” Zustand Zustand

Sicherheit in Windows Sicherheit in Windows 20032003Sicherheit bei der KonfigurationSicherheit bei der Konfiguration Leichte Administration gegen Leichte Administration gegen

KonfigurationsfehlerKonfigurationsfehler „„Serververwaltung“ für die übersichtliche Serververwaltung“ für die übersichtliche

Administration Administration Verbesserte Windows Hilfe gegen Verbesserte Windows Hilfe gegen

KonfigurationsfehlerKonfigurationsfehler Zahlreiche Assistenten mit „Best Practice“ Zahlreiche Assistenten mit „Best Practice“

ErgebnissenErgebnissen Windows Server 2003 Windows Server 2003 Security Guide schon Security Guide schon

erhältlicherhältlich Zusätzliche Administrationstools in Zusätzliche Administrationstools in

VorbereitungVorbereitung GPMC Snap-In zum Planen von GPMC Snap-In zum Planen von

GruppenrichtlinienGruppenrichtlinien SSR Wizard zur Absichern von speziellen SSR Wizard zur Absichern von speziellen

Serverrollen Serverrollen Smartcards für alle administrativen Smartcards für alle administrativen

AufgabenAufgaben RunAs, Net.exe, Terminal Dienste, DCPromoRunAs, Net.exe, Terminal Dienste, DCPromo

Sicherheit in Windows Sicherheit in Windows 20032003Sicherheit im laufenden BetriebSicherheit im laufenden Betrieb Zusätzliche Gruppenrichtlinien und Zusätzliche Gruppenrichtlinien und

BenutzerrechteBenutzerrechte Gruppenrichtlinie: Softwareeinschränkung (nicht Gruppenrichtlinie: Softwareeinschränkung (nicht

DRM!)DRM!) Gruppenrichtlinie: Zentrale Wireless Lan Gruppenrichtlinie: Zentrale Wireless Lan

Konfiguration Konfiguration Sicherheitsoption: Verbot der SID/Name Sicherheitsoption: Verbot der SID/Name

ÜbersetzungÜbersetzung Sicherheitsoption: Administratorkonto sperrenSicherheitsoption: Administratorkonto sperren Sicherheitsoption: Registry Remote ZugriffeSicherheitsoption: Registry Remote Zugriffe Benutzerrecht: Anmeldung über Terminal ServiceBenutzerrecht: Anmeldung über Terminal Service Berechtigung: Darf über Vertrauenstellung Berechtigung: Darf über Vertrauenstellung

anmelden anmelden Sichere Kommunikation in TCP/IP Sichere Kommunikation in TCP/IP

NetzwerkenNetzwerken Unterstützung von EAP Anmeldung für NetzwerkeUnterstützung von EAP Anmeldung für Netzwerke NETBIOS freie Netzwerke jetzt noch einfacherNETBIOS freie Netzwerke jetzt noch einfacher Internet Verbindungs-Firewall für ServerInternet Verbindungs-Firewall für Server

AgendaAgenda






Windows Server 2003 Windows Server 2003 PKIPKIWas ist überhaupt PKI?Was ist überhaupt PKI? PKI ist ...PKI ist ...

… … keine Lösungkeine Lösung … … keine Anwendungkeine Anwendung … … kein Verfahren um Hacker kein Verfahren um Hacker

abzuhaltenabzuhalten PKI ist eher …PKI ist eher …

… … eine Infrastruktur, um mit speziellen eine Infrastruktur, um mit speziellen Anwendungen Sicherheitslösungen Anwendungen Sicherheitslösungen aufzubauenaufzubauen

… … eine Grundlage für sichere eine Grundlage für sichere Verschlüsselung und Authentifizierung Verschlüsselung und Authentifizierung in Netzwerken in Netzwerken

Windows Server 2003 Windows Server 2003 PKIPKINetzwerksicherheit auf Basis von Netzwerksicherheit auf Basis von PKIPKI

SzenarioSzenario RisikoRisiko SicherheitslösungSicherheitslösung

Mobile BenutzerMobile Benutzer• Encrypted File System (EFS)Encrypted File System (EFS)• Smartcard AnmeldungSmartcard Anmeldung• IPSEC u. L2TP VPN TunnelIPSEC u. L2TP VPN Tunnel

• Verlust/Diebstahl des LaptopsVerlust/Diebstahl des Laptops• Unerlaubte Remote Einwahl Unerlaubte Remote Einwahl • Man in the Middle AngriffeMan in the Middle Angriffe

E-commerceE-commerce• Identitäts VortäuschungIdentitäts Vortäuschung• Man in the Middel AngriffeMan in the Middel Angriffe

• Smartcard AnmeldungSmartcard Anmeldung• SSL/TLS VerschlüsselungSSL/TLS Verschlüsselung

Home / Remote OfficeHome / Remote Office• Smartcard AnmeldungSmartcard Anmeldung• L2TP u. IPSEC VPN TunnelL2TP u. IPSEC VPN Tunnel

• Unerlaubte Remote EinwahlUnerlaubte Remote Einwahl• Man in the Middle AngriffeMan in the Middle Angriffe

Lokales NetzwerkLokales Netzwerk• Unerlaubter Netzwerk ZugriffUnerlaubter Netzwerk Zugriff• Identitäts VortäuschungIdentitäts Vortäuschung• Man in the Middel AngriffeMan in the Middel Angriffe• Datensicherheit auf FileservernDatensicherheit auf Fileservern

• EAP Anmeldung über Zertifikate EAP Anmeldung über Zertifikate • Kerberos, Smartcard AnmeldungKerberos, Smartcard Anmeldung• IPSec, SSL/TLS, S/MIME IPSec, SSL/TLS, S/MIME • Encrypted File System (EFS)Encrypted File System (EFS)

• Zertifikats Anmeldung, SSLZertifikats Anmeldung, SSL• SSL, S/MIME, L2TP u. IPSecSSL, S/MIME, L2TP u. IPSecExtranetsExtranets

• Identitäts VortäuschungIdentitäts Vortäuschung• Man in the Middel AngriffeMan in the Middel Angriffe

Windows Server 2003 Windows Server 2003 PKIPKINeue PKI FeaturesNeue PKI Features von Windows von Windows 20032003 Rollenbasierte Administration von CAsRollenbasierte Administration von CAs

CA Administrator, Zertifikats Manager und CA Administrator, Zertifikats Manager und Auditor Auditor

Support für neue CSPs und Smartcard Support für neue CSPs und Smartcard ReaderReader Höhere Schlüsselstärken (FIPS 140-1 kompatibel) Höhere Schlüsselstärken (FIPS 140-1 kompatibel) Advanced Encryption Standard (Rijndael)Advanced Encryption Standard (Rijndael)

Unterstützung von Qualifizierten Unterstützung von Qualifizierten Subordinated CAsSubordinated CAs Verwendungszwecke, Name constrained, Cross-Verwendungszwecke, Name constrained, Cross-

CAsCAs Delta CRLs für schnellere Sperrlisten Delta CRLs für schnellere Sperrlisten

AbfragenAbfragen Geringere Latenzzeiten bei Zertifikatssperrung Geringere Latenzzeiten bei Zertifikatssperrung

möglichmöglich Geringer Verbrauch von Netzwerk BandbreiteGeringer Verbrauch von Netzwerk Bandbreite

Windows Server 2003 Windows Server 2003 PKIPKINeue PKI FeaturesNeue PKI Features von Windows von Windows 20032003 Support für frei editierbare Support für frei editierbare

ZertifikatsvorlagenZertifikatsvorlagen Alle Eigenschaften der Zertifikate sind Alle Eigenschaften der Zertifikate sind

anpassbaranpassbar CSPs, Verwendungszwecke, Ausstellungspolicy, CSPs, Verwendungszwecke, Ausstellungspolicy,

uvm.uvm. Auto enrollment und renewal übers Active Auto enrollment und renewal übers Active

DirectoryDirectory Steuerung erfolgt über „Auto enrollment“ Steuerung erfolgt über „Auto enrollment“

BerechtigungBerechtigung Für jegliche Benutzerzertifikate (auch bei Für jegliche Benutzerzertifikate (auch bei

Smartcards) Smartcards) Für jegliche ComputerzertifikateFür jegliche Computerzertifikate

Private Key Archivierung und Private Key Archivierung und WiederherstellungWiederherstellung Private Keys werden verschlüsselt in der CA Private Keys werden verschlüsselt in der CA

abgelegtabgelegt Key Recovery Agents können Keys Key Recovery Agents können Keys

wiederherstellenwiederherstellen

Verwalten der Windows 2003 Zertifikatsdienste

AgendaAgenda






IP Security und VPNsSchwachstellen im IPv4 Protokoll TCP/IP ist ein hervorragendes Protokoll ...TCP/IP ist ein hervorragendes Protokoll ...

Plattform-unabhängige ImplementierungPlattform-unabhängige Implementierung Skalierbar durch zuverlässiges RoutingSkalierbar durch zuverlässiges Routing Verhältnismäßig geringer OverheadVerhältnismäßig geringer Overhead

... aber es beinhaltet keinerlei Sicherheit!... aber es beinhaltet keinerlei Sicherheit! Keine Authentifizierung der Keine Authentifizierung der

Kommunikationspartner!Kommunikationspartner! Keine Verschlüsselung bei der Keine Verschlüsselung bei der

Datenübertragung!Datenübertragung! Keine Integrität bei der Datenübertragung!Keine Integrität bei der Datenübertragung!

IP Security und VPNs TCP/IP Absicherung mit IPSec IPSec bietet eine sichere TCP/IP IPSec bietet eine sichere TCP/IP

KommunikationKommunikation Gegenseitige Authentifizierung zwischen Gegenseitige Authentifizierung zwischen

ComputernComputern Sender und Empfänger kennen sich untereinander Sender und Empfänger kennen sich untereinander Authentifizierung mit Kerberos, PKI oder Pre-Authentifizierung mit Kerberos, PKI oder Pre-

SharedShared Datenverschlüsselung mit Hilfe von ESP IPSec Datenverschlüsselung mit Hilfe von ESP IPSec

PaketenPaketen DES Verschlüsselung des IP Traffics nach DES Verschlüsselung des IP Traffics nach

RegelsätzenRegelsätzen Nur Sender und Empfänger kennen den Daten Nur Sender und Empfänger kennen den Daten

InhaltInhalt Datenintegrität mit Hilfe von AH IPSec PaketenDatenintegrität mit Hilfe von AH IPSec Paketen

SHA Signierung des IP Traffics nach RegelsätzenSHA Signierung des IP Traffics nach Regelsätzen Manipulierte IP Pakete werden erkannt und Manipulierte IP Pakete werden erkannt und

verworfenverworfen

IP Security und VPNs TCP/IP Absicherung mit IPSec (con‘t) IPSec arbeitet unterhalb der AnwendungIPSec arbeitet unterhalb der Anwendung

Keine Anpassungen der Netzwerk Keine Anpassungen der Netzwerk AnwendungenAnwendungen

Keine Anpassungen der Netzwerk InfrastrukturKeine Anpassungen der Netzwerk Infrastruktur IPSec wird ab Windows 2000 nativ IPSec wird ab Windows 2000 nativ

unterstütztunterstützt Zentrale Administration über GruppenrichtlinienZentrale Administration über Gruppenrichtlinien L2TP/IPSec Client für NT4 und Win98 L2TP/IPSec Client für NT4 und Win98

nachrüstbarnachrüstbar Mögliche IPSec Filterungseinstellungen sindMögliche IPSec Filterungseinstellungen sind

Filterung nach IP Adressen und Filterung nach IP Adressen und Protokoll/PortnummernProtokoll/Portnummern

„„Zulassen“, „Blocken“, „Sicherheit aushandeln“Zulassen“, „Blocken“, „Sicherheit aushandeln“

IP Security und VPNs Funktionsweise von IPSec

TCP-SchichtTCP-Schicht

IPSec-TreiberIPSec-Treiber

TCP-SchichtTCP-Schicht

IPSec-TreiberIPSec-Treiber

ISAKMP Internet Security

Association and Key Management Protocol

ISAKMP Internet Security

Association and Key Management Protocol

Verschlüsselte IP-PaketeVerschlüsselte IP-Pakete

IPSec-RichtlinieIPSec-RichtlinieIPSec-RichtlinieIPSec-Richtlinie Windows .NET DomainWindows .NET DomainActive DirectoryActive Directory11

22

33

11

IP Security und VPNsNeue IPSec Features unter Windows 2003 IP Security NAT Traversal (NAT-T) UnterstützungIP Security NAT Traversal (NAT-T) Unterstützung

Windows 2003 IPSec durch NAT Router sendenWindows 2003 IPSec durch NAT Router senden Firewalls benötigen Regeln für UDP Ports 500 u. Firewalls benötigen Regeln für UDP Ports 500 u.

45004500 Win 9x, NT, 2000 und XP Clients benötigen ein Win 9x, NT, 2000 und XP Clients benötigen ein

UpdateUpdate IPSec Monitor für verbesserte FehlersucheIPSec Monitor für verbesserte Fehlersuche Neue IPSec Sicherheitseinstellungen (via Neue IPSec Sicherheitseinstellungen (via

NETSH)NETSH) Jetzt mit 2048bit Masterschlüssel (FIPS 140-1)Jetzt mit 2048bit Masterschlüssel (FIPS 140-1) Wegfall der „Default Exemptions“ als Standard Wegfall der „Default Exemptions“ als Standard „„Stateful Paketfiltering“ beim Bootvorgang Stateful Paketfiltering“ beim Bootvorgang Fail Save KonfigurationsmöglichkeitenFail Save Konfigurationsmöglichkeiten

IP Security und VPNs Neue IPSec Features unter Windows 2003 Mehr Performance bei der VerschlüsselungMehr Performance bei der Verschlüsselung

Schnellere Schlüsselaushandlung (Main u. Schnellere Schlüsselaushandlung (Main u. Quick Mode)Quick Mode)

Loadbalancing (NLB) Unterstützung für IPSec Loadbalancing (NLB) Unterstützung für IPSec PaketePakete

Unterstützung für HardwarebeschleunigungUnterstützung für Hardwarebeschleunigung Unterstützt einen von der IETF definierten Unterstützt einen von der IETF definierten

StandardStandard Gemeinsamer Standard mit Cisco (RFC 3193)Gemeinsamer Standard mit Cisco (RFC 3193) Kompatibel zu Cisco IOS® ab Release 12.2(4)TKompatibel zu Cisco IOS® ab Release 12.2(4)T Abwärtskompatibel mit Windows 2000 IP Abwärtskompatibel mit Windows 2000 IP

SecuritySecurity

Konfiguration von IPSec Richtlinien

IP Security und VPNs Die VPN Technologie im Überblick

Virtual Private Networks sind ...Virtual Private Networks sind ... Eine kostengünstige Alternative zu Eine kostengünstige Alternative zu

StandleitungenStandleitungen Virtuelle Verbindungen über bestehende Virtuelle Verbindungen über bestehende

NetzwerkeNetzwerke Verschlüsselte Datenkanäle für sensible DatenVerschlüsselte Datenkanäle für sensible Daten

Mögliche Einsatzszenarien für VPNMögliche Einsatzszenarien für VPN Anbindung von Home- oder Anbindung von Home- oder

RemotearbeitsplätzenRemotearbeitsplätzen Netzwerkkopplungen zwischen StandortenNetzwerkkopplungen zwischen Standorten

IP Security und VPNs Die VPN Technologie im Überblick

Unternehmens-Unternehmens-netzwerknetzwerk

RRASRRAS

RRASRRAS

Home- oder Home- oder RemotearbeitsplatzRemotearbeitsplatz

IP Security und VPNs Von Microsoft unterstützte VPN Protokolle Aufbau von VPN Tunneln mittels nativen Aufbau von VPN Tunneln mittels nativen

IPSec IPSec Kopplung zwischen zwei IPSec fähigen RouternKopplung zwischen zwei IPSec fähigen Routern Ein Phasen Authentifizierung nur über ISAKMPEin Phasen Authentifizierung nur über ISAKMP

Aufbau von VPN Tunneln mittels Aufbau von VPN Tunneln mittels WählverbindungenWählverbindungen RRAS Server ist der Einwahlpunkt für VPN KanäleRRAS Server ist der Einwahlpunkt für VPN Kanäle

Layer Two Tunneling Protokoll (L2TP) + IPSecLayer Two Tunneling Protokoll (L2TP) + IPSec Point to Point Tunnel Protokoll (PPTP)Point to Point Tunnel Protokoll (PPTP)

Bietet zusätzliche Sicherheit durch Bietet zusätzliche Sicherheit durch BenutzerkennungBenutzerkennung Maximal drei Phasen Authentifizierung bei Maximal drei Phasen Authentifizierung bei

L2TP/IPSecL2TP/IPSec

IP Security und VPNs Neue VPN Features unter Windows 2003 Variable IPSec Einstellungen für L2TP TunnelVariable IPSec Einstellungen für L2TP Tunnel

Die L2TP Authentifizierung auch ohne Zertifikate Die L2TP Authentifizierung auch ohne Zertifikate Frei definierbare IPSec Richtlinien für L2TP Frei definierbare IPSec Richtlinien für L2TP

TunnelTunnel Einfaches Route Management für Split-Einfaches Route Management für Split-

Tunnel VPNsTunnel VPNs Neue DHCP Optionen zum setzen von IP Routen Neue DHCP Optionen zum setzen von IP Routen

am Clientam Client Verwaltung von VPN und DFÜ Clients mit Verwaltung von VPN und DFÜ Clients mit

CMAK 1.3CMAK 1.3 Zentrale Voreinstellung der VPN und DFÜ Zentrale Voreinstellung der VPN und DFÜ

VerbindungenVerbindungen Unterstützung für Clientseitige Scripts bei der Unterstützung für Clientseitige Scripts bei der

EinwahlEinwahl

IP Security und VPNs Neue VPN Features unter Windows 2003 Verbesserter Internet Authentification Verbesserter Internet Authentification

Service (IAS)Service (IAS) Verwendet RADIUS als Industriestandard für AAA Verwendet RADIUS als Industriestandard für AAA

DiensteDienste Übernimmt Authentifizierung, Accounting und Übernimmt Authentifizierung, Accounting und

AutorisierungAutorisierung Geeignet für RAS, VPN, Switche, WLANs und Geeignet für RAS, VPN, Switche, WLANs und

weitere Diensteweitere Dienste RADIUS Proxy Funktionalität im neuen IAS ServerRADIUS Proxy Funktionalität im neuen IAS Server

Forwarding von AAA Anfragen auf externe RADIUS Forwarding von AAA Anfragen auf externe RADIUS ServerServer

Ermöglicht dabei eine Manipulation von Ermöglicht dabei eine Manipulation von BenutzernamenBenutzernamen

Erweiterte und neue Authentifizierungs- Erweiterte und neue Authentifizierungs- MöglichkeitenMöglichkeiten Computer, Zertifikatsbasierte und EAP Computer, Zertifikatsbasierte und EAP

AuthentifizierungAuthentifizierung Unterstützung für Quarantäne Netzwerke bei Unterstützung für Quarantäne Netzwerke bei

VPNVPN

IP Security und VPNsFunktionsweise der Quarantäne Policy

InternetInternet Corp NetzCorp NetzClientClient RRASRRAS

IASIAS

Quarantäne NetzwerkQuarantäne NetzwerkConnectConnect

Quarantine AccessQuarantine Access

Full AccessFull Access

Policy CheckPolicy Check

AuthenticateAuthenticate

Authorize + Set Quarantäne + Normal FilterAuthorize + Set Quarantäne + Normal Filter

Set Normal FilterSet Normal FilterXX

Konfiguration von VPN Zugriffen

AgendaAgenda






Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeDie Sicherheitsprobleme in IEEE Die Sicherheitsprobleme in IEEE 802.11802.11 Sicherheit durch Shared Keys? (WEP Sicherheit durch Shared Keys? (WEP

Protokoll)Protokoll) Alle Clients benutzen den selben Alle Clients benutzen den selben

Verschlüsselungs- KeyVerschlüsselungs- Key Ändern des Keys ist zu aufwändig bzw. geschieht Ändern des Keys ist zu aufwändig bzw. geschieht

niemalsniemals WEP Keys sind zu schwach und fehlerhaftWEP Keys sind zu schwach und fehlerhaft

16,7 Mio. verschiedene Schlüssel möglich (40 u. 16,7 Mio. verschiedene Schlüssel möglich (40 u. 104 bit)104 bit)

Hiervon sind 1280 Schlüssel sehr schwach Hiervon sind 1280 Schlüssel sehr schwach (Angriffsziel!)(Angriffsziel!)

2-20 Gbyte an gesnifften Daten reichen zum 2-20 Gbyte an gesnifften Daten reichen zum CrackenCracken

Viele bekannte Angriffsmöglichkeiten gegen Viele bekannte Angriffsmöglichkeiten gegen WEPWEP Airsnort, WEPCrack und Man-in-the-Middel Airsnort, WEPCrack und Man-in-the-Middel

AngriffeAngriffe

Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeMehr Sicherheit durch IEEE 802.1XMehr Sicherheit durch IEEE 802.1X Authentifizierung an einem Authentifizierung an einem

VerzeichnisdienstVerzeichnisdienst Mittels einer Smartcard oder mit Client-Mittels einer Smartcard oder mit Client-

Zertifikaten Zertifikaten Mittels eines Benutzernamens und PasswortMittels eines Benutzernamens und Passwort

AAA Zugriffssteuerung über RADIUS ServerAAA Zugriffssteuerung über RADIUS Server RADIUS bietet Authentification, Accounting, RADIUS bietet Authentification, Accounting,

AuthorisationAuthorisation Zugriff auf bestehende Benutzerdatenbanken (AD) Zugriff auf bestehende Benutzerdatenbanken (AD)

möglichmöglich Dynamische WEP Keys beseitigen Shared-Key Dynamische WEP Keys beseitigen Shared-Key

ProblemeProbleme Benutzer erhalten vom RADIUS Server eigene WEP Benutzer erhalten vom RADIUS Server eigene WEP

KeysKeys EAP-TLS und PEAP als IEEE 802.1X EAP-TLS und PEAP als IEEE 802.1X

StandardsStandards

Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeIEEE 802.1X Szenario mit EAP-TLSIEEE 802.1X Szenario mit EAP-TLS EAP-TLS als Lösung für Netzwerke mit PKIEAP-TLS als Lösung für Netzwerke mit PKI

Am Client Compter ist ein X509v3 Zertifikat Am Client Compter ist ein X509v3 Zertifikat erforderlicherforderlich Computer- oder Benutzerzertifikat werden benötigtComputer- oder Benutzerzertifikat werden benötigt

Am RADIUS Server ist ein Computer Zertifikat Am RADIUS Server ist ein Computer Zertifikat erforderlicherforderlich

EAP Anmeldung am Active Directory über EAP Anmeldung am Active Directory über RADIUSRADIUS Minimal: Windows 2000 Server IAS + EAP Minimal: Windows 2000 Server IAS + EAP

UpdatesUpdates Optimal: Windows Server 2003 IASOptimal: Windows Server 2003 IAS

Die Accesspoints müssen EAP-TLS Die Accesspoints müssen EAP-TLS unterstützenunterstützen

EAP Wireless Client ist ein Windows 2000/XPEAP Wireless Client ist ein Windows 2000/XP Verwaltung beim 2003er Active Directory über Verwaltung beim 2003er Active Directory über

GPOsGPOs

Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeIEEE 802.1X Szenario mit PEAPIEEE 802.1X Szenario mit PEAP PEAP ist eine Erweiterung vom EAP ProtokollPEAP ist eine Erweiterung vom EAP Protokoll

Authentifizierung geschieht über das MS-CHAPv2 Authentifizierung geschieht über das MS-CHAPv2 ProtokollProtokoll

Anmeldung mit Benutzername/Passwort oder Anmeldung mit Benutzername/Passwort oder SmartcardSmartcard

Keine Computer Zertifikate am WLAN Client Keine Computer Zertifikate am WLAN Client erforderlicherforderlich

PEAP Anmeldung am Active Directory über PEAP Anmeldung am Active Directory über RADIUSRADIUS Ein Windows Server 2003 IAS ist erforderlichEin Windows Server 2003 IAS ist erforderlich

Die Accesspoints müssen EAP-TLS Die Accesspoints müssen EAP-TLS unterstützenunterstützen

PEAP Wireless Client ist Windows 2000/XPPEAP Wireless Client ist Windows 2000/XP Verwaltung beim 2003er Active Directory über Verwaltung beim 2003er Active Directory über

GPOsGPOs

Sichere Wireless NetzwerkeSichere Wireless NetzwerkeDeployment Szenarien für EAP-TLS & Deployment Szenarien für EAP-TLS & PEAPPEAP

Directory ServiceDirectory Service(AD)(AD)

Wireless ClientWireless Client(WinXP)(WinXP)

Wireless Wireless Access PointAccess Point

RADIUS ServerRADIUS Server(MS IAS)(MS IAS)

FirmeninterneFirmeninterneZertifizierungZertifizierung

s Stelles Stelle

WLANs mit EAP-TLS

APAP

Directory ServiceDirectory Service(AD)(AD)

Wireless ClientWireless Client(WinXP)(WinXP)

Wireless Wireless Access PointAccess Point

RADIUS ServerRADIUS Server(MS IAS)(MS IAS)

WLANs mit PEAP

APAP

33rdrd Party Party ZertifizierungZertifizierung

s Stelles Stelle

Konfiguration von EAP und PEAP

AgendaAgenda






Internet Information Internet Information Services 6.0Services 6.0

Richard KarlRichard KarlTechnologie BeraterTechnologie Berater Microsoft Deutschland GmbHMicrosoft Deutschland [email protected]@microsoft.com

Tech Level: 300Tech Level: 300

Internet Information Internet Information Services 6Services 6Generelle Vorteile des IIS WebserverGenerelle Vorteile des IIS Webserver

SicherSicher

Voreinstellung: Nicht installiertVoreinstellung: Nicht installiert Am Anfang nur statische HTML SeitenAm Anfang nur statische HTML Seiten Durchgereichte AuthentifizierungDurchgereichte Authentifizierung Worker Prozess ID wählbarWorker Prozess ID wählbar

ZuverlässigZuverlässig

Neues ProzessmodellNeues Prozessmodell AnwendungsgruppenAnwendungsgruppen Prozess WiederverwertungProzess Wiederverwertung Verfügbarkeits ErkennungVerfügbarkeits Erkennung

SkalierbarSkalierbar

VerwaltbarVerwaltbar

XML MetabaseXML Metabase WMI ProviderWMI Provider Kommando Zeilen WerkzeugeKommando Zeilen Werkzeuge Versions und KonfigurationskontrolleVersions und Konfigurationskontrolle

Web GardensWeb Gardens Mehr Sites pro ServerMehr Sites pro Server Verbesserte NAS UnterstützungVerbesserte NAS Unterstützung Kernel Cache für HTML & ASPX SeitenKernel Cache für HTML & ASPX Seiten

metabasemetabase

Das alte IIS 5.0 ProzessmodellDas alte IIS 5.0 Prozessmodell

TCP/IPTCP/IP

ISAPI FiltersISAPI Filters

INETINFOINETINFO

W3CsvcW3Csvc

ISAPIISAPIExtensionsExtensions

DLLHOST.EXEDLLHOST.EXE

WAMWAM



WAMWAM



W3CsvcW3Csvc


WinsockWinsockSuboptimalePerformance

Gute Performanz, aber unstabile Webseiten können den gesamten Webserver beinflussen

Gefährlicher Systemkontext

Schlechtere Performance

Unstabile Webseiten können den Webserver nicht beinflussen

Hoher Resourceverbrauch

User Mode

Kernel Mode

MonolithischeBlack Box

HTTP.SYSHTTP.SYS

INETINFO.exe

metabasemetabase

ftp, smtp, nntp

User mode

Kernel mode

Configuration Configuration ManagerManager

Application Application Pool ManagerPool Manager

W3SVC

ListenerListenerResponse Response

CacheCache SenderSender

Web Web PublishingPublishing

Administration Monitoring

Das neue IIS 6.0 Das neue IIS 6.0 ProzessmodelProzessmodel

Single App

W3WP.exe

ISAPI ExtISAPI Ext

ISAPI ISAPI FiltersFilters

App Pool

Multiple Apps

W3WP.exe

ISAPI ExtISAPI Ext


App Pool Single

App

W3WP.exe

ISAPI ExtISAPI Ext


App Pool

Single App

W3WP.exe

ISAPI ExtISAPI Ext


App Pool

Single App

W3WP.exe

ISAPI ExtISAPI Ext


App Pool

DoS Schutz durch limitierte und einstellbare Warteschlangen und CPU

Begrenzung pro Workerprozess

TCP/IPTCP/IP

Hohe Performance durch zwischengespeicherte Webseiten

Unabhängige Workerprozesse mit definierbaren Dienstkonten

(Systemkontext nicht erforderlich)

Hohe Performance durch Wegfall von Out-Process Anwendungen

Unstabile Webseiten können nicht andere oder den Webserver

beeinträchtigen

Zentrale Steuerung und Healthmonitoring der

Workerprozesse

Integrierter IIS Lockdown Wizard

Prozess WiederverwertungProzess Wiederverwertung

kernel

user

WA

SW

AS

HTTP.SYSHTTP.SYS

Old Old Worker Worker ProcessProcess

ISAPI Exts &ISAPI Exts &FiltersFilters

Web Proc. Web Proc. Core DLLCore DLL

Ready for Ready for

RecycleRecycle

New New Worker Worker ProcessProcess

ISAPI Exts &ISAPI Exts &FiltersFilters

Web Proc. Web Proc. Core DLLCore DLL

Shut downShut down

RequestRequest

startupstartupreadyready

RequestRequest

Anwendungsgruppen Anwendungsgruppen WiederverwertungWiederverwertungAnwendungsgruppen Anwendungsgruppen WiederverwertungWiederverwertung

Erneuern nach:Erneuern nach: X Minuten AktivitätX Minuten Aktivität Nach X Nach X

AnforderungenAnforderungen Zu definierten ZeitenZu definierten Zeiten

Erneuern nach Erneuern nach Überschreiten Überschreiten eines definierten eines definierten SpeicherverbraucSpeicherverbrauchshs

AnwendungsgruppenAnwendungsgruppenPerformanzPerformanz

Untätige Gruppen Untätige Gruppen werden gestoppt werden gestoppt um Resourcen zu um Resourcen zu sparensparenBewahrt den Server Bewahrt den Server vor Überlastvor Überlast

Anzahl der Prozesse Anzahl der Prozesse für bessere für bessere SkalierungSkalierung

CPU Verbrauchs-CPU Verbrauchs-überwachungüberwachung

AnwendungsgruppenAnwendungsgruppenVerfügbarkeitVerfügbarkeitAnwendungsgruppenAnwendungsgruppenVerfügbarkeitVerfügbarkeit

Einschalten und Einschalten und Setzen des Setzen des ZeitintervallsZeitintervallsEinschalten von RFP Einschalten von RFP und Setzen der und Setzen der ParameterParameter

Anlaufzeit Anlaufzeit begrenzenbegrenzenAbschlußzeit Abschlußzeit begrenzenbegrenzen

Anwendungsgruppen Anwendungsgruppen IdentitätIdentität

Vordefinierte Vordefinierte IdentititätenIdentititäten

- Network Service- Network Service- Local Service - Local Service - Local System- Local System

Oder Oder selbstdefinierte selbstdefinierte Benutzerkonten, dieBenutzerkonten, diezur IIS_WPG Group zur IIS_WPG Group gehören müssengehören müssen

IIS 6.0 Isolation ModesIIS 6.0 Isolation Modes

Worker Process Isolations ModusWorker Process Isolations ModusVoreinstellung für IIS 6.0Voreinstellung für IIS 6.0

IIS 5.0 Isolations ModusIIS 5.0 Isolations ModusRückwärts Kompatibel zu IIS 5.0Rückwärts Kompatibel zu IIS 5.0Jede Anfrage muss durch Jede Anfrage muss durch

Inetinfo.exe Inetinfo.exe Es gibt keine Anwendungsgruppen Es gibt keine Anwendungsgruppen

und keine Prozesswiederverwertungund keine Prozesswiederverwertung

Anwender Isolierung unter Anwender Isolierung unter FTPFTP Beschränkt Anwender auf ihre Beschränkt Anwender auf ihre

eigenen Verzeichnisseeigenen Verzeichnisse Verhindert die Aufwärts Navigation im Verhindert die Aufwärts Navigation im

Verzeichnis BaumVerzeichnis Baum Erleichtert das Zuweisen von RechtenErleichtert das Zuweisen von Rechten

FTP Benutzer IsolationFTP Benutzer Isolation Kompatibel / keine IsolationKompatibel / keine Isolation Einfache Anwendungen / Lokale Einfache Anwendungen / Lokale

IsolationIsolation Komplexe Anwendungen durch Active Komplexe Anwendungen durch Active

Directory IntegrationDirectory Integration

MetabaseMetabase

XML – ohne spezielle Werkzeuge lesbarXML – ohne spezielle Werkzeuge lesbar Während der Laufzeit editierbarWährend der Laufzeit editierbar Bei jeder Änderung wird eine Bei jeder Änderung wird eine

Sicherheitkopie in das Verlaufsverzeichnis Sicherheitkopie in das Verlaufsverzeichnis kopiert und unter einem eindeutigen kopiert und unter einem eindeutigen Namen gespeichertNamen gespeichert

Einfach zurück zu sichern Einfach zurück zu sichern Server Objekt -> Alle Aufgaben -> Server Objekt -> Alle Aufgaben ->

Backup/Restore KonfigurationBackup/Restore Konfiguration

AuthentifizierungAuthentifizierung

Authentifizierungs ModiAuthentifizierungs Modi FormsForms – nicht authentifizierte Anfragen werden – nicht authentifizierte Anfragen werden

an die Anmeldeseite weitergeleitetan die Anmeldeseite weitergeleitet WindowsWindows – Windows Authentifizierung durch IIS – Windows Authentifizierung durch IIS PassportPassport – Konten werden auf AD Konten – Konten werden auf AD Konten

abgebildetabgebildet Anonym – keine Anmeldung nötigAnonym – keine Anmeldung nötig

ProtokolltransparenzProtokolltransparenz Legacy Protokolle werden auf Kerberos Tickets Legacy Protokolle werden auf Kerberos Tickets

abgebildetabgebildet Ermöglicht ein Single-Sign-On für komplexe Ermöglicht ein Single-Sign-On für komplexe

WebportaleWebportale Modus wird in web.config festgelegt:Modus wird in web.config festgelegt:

<authentication mode=[Windows|Forms|Passport|<authentication mode=[Windows|Forms|Passport|None]"/>None]"/>

AutorisierungAutorisierung

Bildet Rechte auf authentifizierte Bildet Rechte auf authentifizierte Anwender abAnwender ab

Negative Modelle empfohlenNegative Modelle empfohlen<!– nur Administratoren können <!– nur Administratoren können

POST POST (Jeder kann GET) -->(Jeder kann GET) --><authorization><authorization> <allow verb="GET" users="*"/><allow verb="GET" users="*"/> <allow verb="POST" <allow verb="POST"

roles=“Admins"/>roles=“Admins"/> <deny verb="POST" users="*"/> <deny verb="POST" users="*"/> </authorization></authorization>

config file -->

<authorization><authorization><allow users=“Bob, Tommy"/><allow users=“Bob, Tommy"/><allow roles=“WebUsers"/><allow roles=“WebUsers"/>

<deny users=“Danny"/><deny users=“Danny"/> <deny users="?"/><deny users="?"/></authorization></authorization>

* Alle Benutzer * Alle Benutzer ? Anonyme Benutzer? Anonyme Benutzer

AgendaAgenda






Microsoft Ressourcen im Microsoft Ressourcen im InternetInternet Windows 2003 Server WebsiteWindows 2003 Server Website

www.microsoft.com/windowsserver2003/www.microsoft.com/windowsserver2003/ Microsoft Website zum Thema Microsoft Website zum Thema

SicherheitSicherheitwww.microsoft.com/germany/security/www.microsoft.com/germany/security/

Deutschsprachige TechNet WebsiteDeutschsprachige TechNet Websitewww.microsoft.com/germany/technet/www.microsoft.com/germany/technet/

Security News Group auf Security News Group auf news.microsoft.comnews.microsoft.com/microsoft.public.de.security.heimanwender/microsoft.public.de.security.heimanwender/microsoft.public.de.security.netzwerk.sicherheit/microsoft.public.de.security.netzwerk.sicherheit

IIS 6.0 Technische Übersicht: IIS 6.0 Technische Übersicht: www.microsoft.com/windows.netserver/techinfowww.microsoft.com/windows.netserver/techinfo/overview/iis.mspx/overview/iis.mspx

Bleiben Sie am BallBleiben Sie am BallSicherheit: A way of lifeSicherheit: A way of life

Abonnieren Sie den Abonnieren Sie den Security Notification Service Security Notification Service www.microsoft.com/technet/treeview/www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notify.asp?url=/technet/security/bulletin/notify.asp

Benutzen Sie den Baseline Security Benutzen Sie den Baseline Security Analyser Analyser www.microsoft.com/technet/treeview/default.aspwww.microsoft.com/technet/treeview/default.asp

?url=/technet/security/tools/tools/MBSAHome.asp?url=/technet/security/tools/tools/MBSAHome.asp

Evaluieren Sie den Software Update Evaluieren Sie den Software Update ServicesServiceswww.microsoft.com/windows2000/windowsupdate/suswww.microsoft.com/windows2000/windowsupdate/sus

Questions and AnswersQuestions and Answers

Ihr Potenzial. Unser Antrieb.

Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS...

Documents

Transcript of Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS...