hitelesítés és tanúsítványkezelés
DESCRIPTION
Hitelesítés és tanúsítványkezelés. …az ISA Server-rel. Gál Tamás [email protected] Szakmai vezető - TechNet Microsoft Magyarország. Tartalom. Preambulum Hitelesítés 1x1 Felhasználók és szolgáltatások Tanúsítványok vs. publikálás IIS, Exchange 2007, Terminal Services Gateway - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/1.jpg)
Hitelesítés és tanúsítványkezelés…az ISA Server-rel
Gál Tamá[email protected] vezető - TechNetMicrosoft Magyarország
![Page 2: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/2.jpg)
TartalomPreambulumHitelesítés 1x1
Felhasználók és szolgáltatásokTanúsítványok vs. publikálás
IIS, Exchange 2007, Terminal Services Gateway
A függelékben a jövőA Forefront TMG és egy érdekesség
![Page 3: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/3.jpg)
PreambulumInternet Security and Acceleration Server 2006
Tűzfal feladatokProxy kiszolgálóSzerver publikálásVPN kiszolgálóGyorsítótár
Standard / Enterprise
![Page 4: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/4.jpg)
Hitelesítés 1x1A web proxy feladatai
Hozzáférés és biztonságFelhasználók hitelesítéseFelhasználói kérések szűréseTartalom-vizsgálatFelhasználói hozzáférés naplózásaBelső hálózat elrejtése
TeljesítményHozzáférés a gyorsítótárhoz
![Page 5: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/5.jpg)
Hitelesítéssel is, HTTP / HTTPS / FTP, több
platformra, telepítés nélkül
Legmélyebb kapcsolat, telepítéssel, teljeskörű hitelesítéssel, titkosítva
is
Konfigurálás és telepítés nélkül, több
platformra
ISA Server
Internet
Web Proxy kliens Firewall kliens
SecureNAT kliens
Hitelesítés 1x1 Az ISA kliensei
![Page 6: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/6.jpg)
Mit szeretnénk? Melyik passzol?Kliens beállítás / telepítés nélkül SecureNAT
Csak gyorsítótár használat
SecureNAT / Web Proxy kliens
Kizárólag hitelesítéssel Firewall / Web Proxy kliens
Kiszolgáló publikálás (csak) SecureNAT
Böngészők használata nem Windows platformon
SecureNAT / Web Proxy kliens
Hitelesítés 1x1 Az ISA kliensei
![Page 7: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/7.jpg)
Hitelesítés 1x1Forward proxy
ISA
Webszerver
Proxy Serverfeladatkör
FeltételekFelhasználó?Számítógép?Protokoll?Cél oldal?Tartalom?
![Page 8: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/8.jpg)
Hitelesítés 1x1A belső hálózatból
Felhasználók és csoportokDirekt források
Active DirectoryISA gép felhasználói adatbázisLDAP / RADIUS / SecurID névterek
Indirekt forrásSaját összeállítás a direkt forrásokból
Csak fw/web proxy kliens esetén!
![Page 9: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/9.jpg)
Hitelesítés 1x1A belső hálózatból - itt dől(het) el minden
Digest vs. WDigest!
![Page 10: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/10.jpg)
Hitelesítés 1x1Hogyan szabályozunk?
TűzfalszabályokkalSorrend!System Policy
AllowDeny User
Destination NetworkDestination IPDestination Site
ProtocolIP Port/Type
Source networkSource IP
ScheduleContent Type
action on traffic from user from source to destination with conditions
![Page 11: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/11.jpg)
A demókörnyezet
Kiszolgálók:Paris – ISA Server 2006 SP1 - W2K3Denver – DC, TSG, Exchange, Root CA - WS08
Kliensek: belső: XP SP2, külső: Vista SP1
contoso.com
VistaExt - 39.1.1.9www.fenestra.netftp.fenestra.net Paris
10.1.1.139.1.1.1
Denver - 10.1.1.4denver.contoso.com
XPSP310.1.1.3
![Page 12: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/12.jpg)
demó
Hitelesítés és kliensek
Kép a demóból
Internet elérés szabályzás
![Page 13: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/13.jpg)
Hitelesítés 1x1Reverse proxy
3 DNS szerver
5
4
2
6
1
FeltételekKérés?Protokoll?Cél oldal?
ISA
Webszerver
![Page 14: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/14.jpg)
Hitelesítés 1x1Hitelesítési megoldások
Nincs HTTP alapú kliens hitelesítési metódus
Basic, Digest / wDigest, IntegratedHTML űrlap alapú kliens hitelesítési metódus (FBA)
Windows (Active Directory)LDAP (Active Directory)RADIUS, RADIUS OTPRSA SecureID
Tanúsítványon alapuló hitelesítés
![Page 15: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/15.jpg)
Hitelesítés 1x1HTTP alapú kliens hitelesítés
BasicHitelesítési infó szimpla szövegben
Digest / WDigestA hitelesítési infó hash-elve, azaz nem visszafejthetőCsak Windows tartomány, csak HTTP 1.1
IntegratedNTLM, Kerberos, NegotiateMindig a tartomány\felhasználó formula
![Page 16: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/16.jpg)
Hitelesítés 1x1HTML űrlap (FBA)
Jelszó és / vagy passcode űrlapokJelszóváltoztatás (pl. OWA-ból)
Időlimit, értesítés a lejáratrólA mobil kliensek automatikus detektálása (User-Agent) és…Fallback > Basic hitelesítés > OWA / OASzabályozható „Client Credentials Caching”Szerkeszthető űrlap
Szimpla, OWA, strings.txt, 26 különböző nyelven, de „megerőszakolás” is
![Page 17: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/17.jpg)
Hitelesítés 1x1HTML űrlap (FBA)
1
2
![Page 18: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/18.jpg)
Hitelesítés 1x1HTML űrlap (FBA)
Multifaktoros hitelesítésLényegesen biztonságosabbA felhasználónak rendelkezni kell jelszóval ÉS
egy tanúsítvánnyal;vagy egy egyszeri jelszót / kódot (OTP) generáló szoftveres/hardveres eszközzel;vagy egy SecurID-eszközzel, amely minden szükséges esetben egy úgynevezett passcode-ot (nagyon rövid lejáratú számkombináció) képes generálni.
![Page 19: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/19.jpg)
Hitelesítés 1x1Külső hitelesítő eszköz
1. Kliens jogosultság elfogadása
2. A jogosultság elküldése..
3. …majd befogadása
4. Hitelesítés-delegálás
5. A publikált szerver válasza
6. A válasz továbbküldése
ISA Server
Hitelesítés-szolgáltató
Kliens
OWA
4
5
2 3
1 6
![Page 20: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/20.jpg)
Hitelesítés 1x1Tanúsítványon alapuló hitelesítés
Csak Active Directory névtérDe nem muszáj tartományi tagnak lenni
ISA 2006 SP1 > TRCAFallback
Basic, Digest, IntegratedÁllítható időtúllépés vizsgálat (FBA is)Client Certificate Trust List (FBA is)Client Certificate Restrictions (FBA is)
![Page 21: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/21.jpg)
Hitelesítés 1x1Hitelesítés-delegálás
Biztonságos és erőforrás takarékosISA 2004 – erős korlátok
Csak Basic, ergo csak VPN és HTTPSISA 2006 – szinte mindent
Nincs delegálás, és a kliens nem hitelesíthet közvetlenül;Nincs delegálás, de a kliens hitelesíthet közvetlenül;Basic, NTLM, Negotiate (Kerberos / NTLM)Kikényszerített Kerberos-delegálás
![Page 22: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/22.jpg)
`
Exchange.Company.Com
SharePoint.Company.Com
Hitelesítés 1x1SSO1. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel
Exchange elérés - SSO nélkülKérem a hitelesítési infókat!Egy e-mailből menjünk tovább a SharePoint oldalunkra!Kérem megint a hitelesítési infókat!
FBA
2. forgatókönyv - Két publikált webszerver, kötelező hitelesítéssel▪ Exchange elérés – SSO-val▪ Kérem a hitelesítési infókat!▪ Egy e-mailből menjünk tovább a SharePoint oldalunkra!▪ NEM kérem a hitelesítési infókat!
![Page 23: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/23.jpg)
demó
Hitelesítés
Kép a demóból
Az űrlapok lehetőségei - OWA
![Page 24: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/24.jpg)
Tanúsítványok vs. publikálás
PublikálásA kiszolgálóink szolgáltatásaink biztonságos közzétételeKomoly rizikófaktorNagyon sok segítség az ISA 2006-ban
Csoportosítási szempontokBelső vs. külső (pl. Internet)Integrált vs. önálló kiszolgálóSzimpla szerver vs. webszerver
![Page 25: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/25.jpg)
Tanúsítványok vs. publikálás
Tunneling vs. BridgingTunneling: SSL forgalom átengedéseBridging: HTTP szűrés is
Csonkol, ellenőríz (HTTP filter), ragasztMindkét irányban, de csak saját tanúsítvány (webszerver) eseténPublikus kulccsal ellátott tanúsítvány kell hozzá > ISA Computer Certificate Store
ISA 2004: mindkettő választhatóISA 2006: „csak” BridgingTMG: lásd később
![Page 26: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/26.jpg)
Tanúsítványok vs. publikálásA listener
Figyel, szűr, szabályozHálózat / IP / port Hitelesítés típusa, és ehhez kapcsolódó extrák beállításaTipikusan egy-egy HTTP és HTTPS listener-ünk van (web listener)Minden publikáló szabályban kötelező
De 1-1 listener-t több szabályban is felhasználhatunk
![Page 27: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/27.jpg)
Tanúsítványok vs. publikálásTanúsítványok kezelése
![Page 28: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/28.jpg)
Tanúsítványok vs. publikálásTöbb tanúsítvány használata
Ha nincs SAN vagy wildcardEgyesével hozzárendeljük az IP-khez a megfelelő tanúsítványtNLBOutlook Anywhere
![Page 29: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/29.jpg)
demóPublikálás tanúsítvánnyal
Kép a demóból
Tanúsítvány előkészületekIIS, OWA, OA, TSG publikálás
![Page 30: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/30.jpg)
![Page 31: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/31.jpg)
Szünet...
![Page 32: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/32.jpg)
Függelék
![Page 33: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/33.jpg)
A jövő: Forefront TMGRöpke bemutatás
Nem túl távoli jövőDe a jelen is: Medium Business Edition > EBS (csökkentett tudással)
Csak Windows 2008 / x64Sok változás, néhány példa:
Intrusion Prevention SystemSMTP ProtectionISP RedundancyURL filtering, Malware Inspection
![Page 34: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/34.jpg)
A jövő: Forefront TMGHTTPS Inspection – most!
Tanúsítvány ellenőrzésLejárt, nem érvényes, visszavonási infó
HTTPS forgalom ellenőrzésHaladó „bridging” - kifelé isBármilyen forgalom esetén – MITM?
Kivételek képzése mindkét szintenFelhasználó értesítése
Új tűzfal kliens kell hozzáTöbb új riasztás a tanúsítványokkal
![Page 35: Hitelesítés és tanúsítványkezelés](https://reader035.vdocuments.mx/reader035/viewer/2022062813/568164f6550346895dd76426/html5/thumbnails/35.jpg)