Microsoft Sicherheitstechnologien Sven ThimmBjörn Schneider Microsoft Senior Presales...
-
Upload
hrodulf-wiant -
Category
Documents
-
view
105 -
download
0
Transcript of Microsoft Sicherheitstechnologien Sven ThimmBjörn Schneider Microsoft Senior Presales...
MicrosoftSicherheitstechnologienMicrosoftSicherheitstechnologien
Sven Thimm Björn SchneiderMicrosoft Senior Presales Consultant Senior Consultant [email protected] [email protected]
Sven Thimm Björn SchneiderMicrosoft Senior Presales Consultant Senior Consultant [email protected] [email protected]
Techlevel 200Techlevel 200
AgendaAgenda
Das Securityproblem Patchmanagement Security Engineering Identity & Access Management Perimeter Sicherheit Security Roadmap
Das Securityproblem Patchmanagement Security Engineering Identity & Access Management Perimeter Sicherheit Security Roadmap
Das Security Problem Sicherheitskrise der Software-Branche
Das Security Problem Sicherheitskrise der Software-Branche
Bulletins by OS
4966
37
75
181
97104
202
17
8165 63 68
137
95
143158
173
269
0
50
100
150
200
250
300
Quelle: securityfocus.org, Stand: 07.02.2004
Das Security Problem Social EngineeringDas Security Problem Social Engineering Definition
Nichttechnisches Ausspähen von Informationen durch Kontakt zu den Informationsträgern
Sicherheitsvorkehrungen werden nicht auf technischer, sondern auf sozialer Ebene umgangen
Prevention Schwachstelle Mensch (Trainings, Awareness) Beseitigung von Prozessmängeln Einsatz von geeigneten Technologien
Definition Nichttechnisches Ausspähen von
Informationen durch Kontakt zu den Informationsträgern
Sicherheitsvorkehrungen werden nicht auf technischer, sondern auf sozialer Ebene umgangen
Prevention Schwachstelle Mensch (Trainings, Awareness) Beseitigung von Prozessmängeln Einsatz von geeigneten Technologien
Das Security ProblemBewertung des RisikosDas Security ProblemBewertung des Risikos
R = Risiko Wahrscheinlichkeit
einer Kompromittierung von Missbrauch
B = Bedrohung Umgebung
Internet, LAN, Offline
Verbreitung des Systems
R = Risiko Wahrscheinlichkeit
einer Kompromittierung von Missbrauch
B = Bedrohung Umgebung
Internet, LAN, Offline
Verbreitung des Systems
V = Verletzlichkeit Vulnerabilities, Exploits potentielle
Angriffsfläche
W = Wert der Beute Daten als Ware Ruhm, Anerkennung Anrichten von Schaden
z.B. Verlust von Verfügbarkeit
V = Verletzlichkeit Vulnerabilities, Exploits potentielle
Angriffsfläche
W = Wert der Beute Daten als Ware Ruhm, Anerkennung Anrichten von Schaden
z.B. Verlust von Verfügbarkeit
R = B x V x W
Das Security Problem Software Security PendelDas Security Problem Software Security Pendel
Einfache Benutzung “Automagic” Alle Features sind ON
by default
Große Angriffsfläche Out Of The Box
Experience Features Attacks
Einfache Benutzung “Automagic” Alle Features sind ON
by default
Große Angriffsfläche Out Of The Box
Experience Features Attacks
Usability &
Features
Security &
Privacy
Marketing ModeMarketing Mode
Das Security Problem Software Security PendelDas Security Problem Software Security Pendel
Geringe “connectivity”
Viele Sicherheitsdialoge
Minimierte Angriffsfläche
Oft schwieriger zu benutzen
Nur schwer zu vermarkten
Geringe “connectivity”
Viele Sicherheitsdialoge
Minimierte Angriffsfläche
Oft schwieriger zu benutzen
Nur schwer zu vermarkten
Usability &
Features
Security &
Privacy
Paranoid ModeParanoid Mode
Das Security ProblemSoftware Security PendelDas Security ProblemSoftware Security Pendel
Kleinere Angriffsfläche Weniger Sicherheits-
Dialoge, aber Transparente
Einstellung Alles konfigurierbar Sicher handhabbar!
Security & Privacy als Feature für den Anwender
Kleinere Angriffsfläche Weniger Sicherheits-
Dialoge, aber Transparente
Einstellung Alles konfigurierbar Sicher handhabbar!
Security & Privacy als Feature für den Anwender
Usability Usability & &
FeaturesFeatures
Security Security & &
PrivacyPrivacy
OptimumOptimum
PatchmanagementPatchmanagement
PatchmanagementNeuer Zeitplan für PatchesPatchmanagementNeuer Zeitplan für Patches Sicherheits-Patches monatlich
Patch-Paket an jedem 2. Dienstag im Monat 13.01.04, 10.02.04, 09.03.04, 13.04.04, 11.05.04, …
Bessere Test- und Deployment Planung möglich Patches als Gesamtpaket oder einzeln
Notfall-Patches (Exploit aufgetaucht) Sofortige Bereitstellung des Patches
Verlängerter Sicherheits-Support (H1/04) Windows 2000 SP2 Windows NT4 Workstation SP6a
Sicherheits-Patches monatlich Patch-Paket an jedem 2. Dienstag im Monat
13.01.04, 10.02.04, 09.03.04, 13.04.04, 11.05.04, …
Bessere Test- und Deployment Planung möglich Patches als Gesamtpaket oder einzeln
Notfall-Patches (Exploit aufgetaucht) Sofortige Bereitstellung des Patches
Verlängerter Sicherheits-Support (H1/04) Windows 2000 SP2 Windows NT4 Workstation SP6a
PatchmanagementRating von Security BulletinsPatchmanagementRating von Security Bulletins
Rating Definition Kundenaktion
Die Schwachstelle ermöglicht die Verbreitung eines Internet Wurms wie Code Red oder Nimda ohne Zutun des Anwenders
Unverzügliche Installation des Patches oder Durchführung entsprechender Anweisungen
Durch die Schwachstelle kann die Vertraulichkeit, Integrität, oder Verfügbarkeit von Anwenderdaten oder Prozess Systemen kompromittiert werden.
Baldmöglichste Installation des Patches oder Durchführung entsprechender Anweisungen
Die Schwachstelle wird bereits durch verschiedene Faktoren (z.B. Standard-konfiguration, Audits, Anwenderverhalten oder Komplexität des Angriffes) signifikant abgeschwächt.
Überprüfung des Bulletins, Eignung und Einsatz des Patches überprüfen und entsprechend fortfahren
geringAusnutzung der Schwachstelle ist äußerst schwierig oder die Auswirkungen sind minimal
Einplanung des Patches im nächsten standardmäßig geplanten Update Intervall
Patchmanagement Entstehung des Blaster WurmsPatchmanagement Entstehung des Blaster Wurms
Schwachstelle entdeckt / Start der Patchentwicklung
Bulletin & Patch verfügbar,
bisher kein Angriff
Angriffs-Codewird veröffentlicht
Wurm infiziert die Welt
1. Juli 03 16. Juli 03 25. Juli 03 11. August 03
Report Schwachstelle in
RPC/DDOM aufgedeckt
MS startet den höchsten Notfall-prozess Level
Report Schwachstelle in
RPC/DDOM aufgedeckt
MS startet den höchsten Notfall-prozess Level
Bulletin MS03-026 wird an
Kunden ausgeliefert Kontinuierliche
Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden
Bulletin MS03-026 wird an
Kunden ausgeliefert Kontinuierliche
Kommunikation mit Analysten, Presse, Community, Partner, Regierungsbehörden
Exploit X-focus (Chinesische
Security-Spezialisten) veröffentlicht Angriffs-Tool
MS maximiert die Anstrengungen, alle Kunden zu informieren
Exploit X-focus (Chinesische
Security-Spezialisten) veröffentlicht Angriffs-Tool
MS maximiert die Anstrengungen, alle Kunden zu informieren
Wurm Blaster Wurm entdeckt Varianten und andere
Viren schlagen gemeinsam zu (z.B. “SoBig”)
Wurm Blaster Wurm entdeckt Varianten und andere
Viren schlagen gemeinsam zu (z.B. “SoBig”)
BlasterBlaster zeigt das komplexe Zusammenspiel zwischen zeigt das komplexe Zusammenspiel zwischen Sicherheitsforschung, Softwareherstellern und HackernSicherheitsforschung, Softwareherstellern und Hackern
PatchmanagementTools und TechnologienPatchmanagementTools und Technologien Scanning Engines
Hfnetchk, MBSA, Office Inventory Tool Einzelplatzlösung
Office Update Windows Update, Automatic Update
Unternehmenslösungen SUS 1.0 SP1 SMS 2003
Microsoft Solution for Management (MSM)
Scanning Engines Hfnetchk, MBSA, Office Inventory Tool
Einzelplatzlösung Office Update Windows Update, Automatic Update
Unternehmenslösungen SUS 1.0 SP1 SMS 2003
Microsoft Solution for Management (MSM)
Patchmanagement SUS 1.0: ÜbersichtPatchmanagement SUS 1.0: Übersicht
FirewallFirewall
UntergeordneterSUS Server
UntergeordneterSUS Server
UntergeordneterSUS Server
UntergeordneterSUS Server
Bandbreiten
PrüfungBandbreiten
Prüfung
WindowsUpdate Service Windows
Update Service
Bandbreiten
Prüfung
Ban
db
reiten
Prü
fun
gB
and
bre
iten
Prü
fun
g
2. Administrator erteilt Freigabe für überprüfte Aktualisierungen
2. Administrator erteilt Freigabe für überprüfte Aktualisierungen
1. SUS Server prüft ob neue Aktualisierungen vorliegen
1. SUS Server prüft ob neue Aktualisierungen vorliegen
3. Freigegebene Updates werden mit untergeordneten SUS Servern synchronisiert
3. Freigegebene Updates werden mit untergeordneten SUS Servern synchronisiert
4. AU erhält freigegebene Aktualisierungsliste vom SUS Server
4. AU erhält freigegebene Aktualisierungsliste vom SUS Server
6. AU informiert bzw. installiert das Update
6. AU informiert bzw. installiert das Update
7. AU hält Installationshistorie fest
7. AU hält Installationshistorie fest
5. AU lädt freigegebene Aktualisierungen vom SUS Server herunter
5. AU lädt freigegebene Aktualisierungen vom SUS Server herunter
SUS ServerSUS Server
DEMOClient GPO
Office Update
SMS
Windows Update
SUS
Microsoft UpdateWindows Update
Mitte 2004Mitte 2004HeuteHeute
Patchmanagement Microsoft UpdatePatchmanagement Microsoft Update
Microsoft Update Onlinedienst und
Aktualisierung für die gesamte Microsoft Software
Basierend auf der SUS Infrastruktur
Integriert per Design:- automatisches Scannen- Installation der Aktualisierung- Berichtauswertung
Microsoft Update Onlinedienst und
Aktualisierung für die gesamte Microsoft Software
Basierend auf der SUS Infrastruktur
Integriert per Design:- automatisches Scannen- Installation der Aktualisierung- Berichtauswertung
Preview SUS 2.0
Preview SUS 2.0
Patchmanagement SUS 2.0Patchmanagement SUS 2.0 Unterstützung für zusätzliche MS Produkte
Office 2003, SQL Server 2000, Exchange Server zusätzliche Unterstützung weiterer Produkte
Administrative Kontrolle Möglichkeit der automatischen Deinstallation Anpassung der Client Abfrageintervalle Festlegen des Zeitpunktes bis Installation
ausgeführt werden muss Zusätzliche Regeln für automatische Installation
Unterstützung für zusätzliche MS Produkte Office 2003, SQL Server 2000, Exchange Server zusätzliche Unterstützung weiterer Produkte
Administrative Kontrolle Möglichkeit der automatischen Deinstallation Anpassung der Client Abfrageintervalle Festlegen des Zeitpunktes bis Installation
ausgeführt werden muss Zusätzliche Regeln für automatische Installation
Patchmanagement SUS 2.0Patchmanagement SUS 2.0 Ausrollen & Zielbestimmung
Angepasste Synchronisation mit WU z.B. alle WinXP Patches, aber keine Win2K Inhalte
Automatische Aktualisierung des SUS Clients Statusprüfung der installierten Updates Verbessertes Reporting
GUI Report-Tool sammelt den Aktualisierunsstatus per Computer-Group oder per Update
Ausrollen & Zielbestimmung Angepasste Synchronisation mit WU
z.B. alle WinXP Patches, aber keine Win2K Inhalte
Automatische Aktualisierung des SUS Clients Statusprüfung der installierten Updates Verbessertes Reporting
GUI Report-Tool sammelt den Aktualisierunsstatus per Computer-Group oder per Update
PatchmanagementNeue SchutztechnologienPatchmanagementNeue Schutztechnologien Windows XP SP2
Verbesserte Firewall Email und Browsing sicherer Verbesserter Schutz gegen Buffer Overflows Status: Beta, RTM ca. Sommer 2004
Windows Server 2003 SP1 Rollen-basierte Sicherheitskonfiguration RAS Client Inspection (Quarantäne Technologie) Locale Inspection bei Verbindungsaufbau im
LAN RTM evtl. Q4 2004
Windows XP SP2 Verbesserte Firewall Email und Browsing sicherer Verbesserter Schutz gegen Buffer Overflows Status: Beta, RTM ca. Sommer 2004
Windows Server 2003 SP1 Rollen-basierte Sicherheitskonfiguration RAS Client Inspection (Quarantäne Technologie) Locale Inspection bei Verbindungsaufbau im
LAN RTM evtl. Q4 2004
Patch Grösse reduzierenPatch Grösse reduzieren
Patch Komplexität reduzieren
Patch Komplexität reduzieren
Patch-Risiko minimierenPatch-Risiko minimieren
Downtime reduzierenDowntime reduzieren
Bis Sommer 2004: Durchgängige Patch-Rollback- Fähigkeit für Windows, SQL, Exchange, Office
Bis Sommer 2004: Durchgängige Patch-Rollback- Fähigkeit für Windows, SQL, Exchange, Office
Bis Sommer 2004: 80% Reduktion der Grösse. (Delta patching Technologie, Optimierungen in MSI 3.0)
Bis Sommer 2004: 80% Reduktion der Grösse. (Delta patching Technologie, Optimierungen in MSI 3.0)
Bis Sommer 2004: 30% weniger Reboots bei Win 2003 (mit SP1). Bis 70% Reduktion bei nächster Server-Generation
Bis Sommer 2004: 30% weniger Reboots bei Win 2003 (mit SP1). Bis 70% Reduktion bei nächster Server-Generation
Bis Sommer 2004: Nur noch 2 Patch Installer. Alle Patches verhalten sich gleich und sind gleich zu installieren (SUS 2.0, MSI 3.0)
Bis Sommer 2004: Nur noch 2 Patch Installer. Alle Patches verhalten sich gleich und sind gleich zu installieren (SUS 2.0, MSI 3.0)
PatchmanagementPatching vereinfachenPatchmanagementPatching vereinfachen
Patch Automation für alle Produkte
Patch Automation für alle Produkte
Bis Ende 2004: Alle Patches auf “MS Update”. Derzeit: SMS 2003 kann alle Patches für aktuelle MS Apps verteilen
Bis Ende 2004: Alle Patches auf “MS Update”. Derzeit: SMS 2003 kann alle Patches für aktuelle MS Apps verteilen
PatchmanagementReaktionszeitPatchmanagementReaktionszeit
Exploits werden intelligenter
Zeitspanne zwischen Erscheinen des Patches und Auftreten eines Exploits sinkt
Traditionelle Software-verteilung zu zeitintensiv
Ansatz Patchmanagement reicht nicht
Neue Techniken müssen entwickelt werden
Exploits werden intelligenter
Zeitspanne zwischen Erscheinen des Patches und Auftreten eines Exploits sinkt
Traditionelle Software-verteilung zu zeitintensiv
Ansatz Patchmanagement reicht nicht
Neue Techniken müssen entwickelt werden
151151180180
331331
Blaster
Blaster
Welchia/ Nachi
Welchia/ Nachi
NimdaNimda
2525
SQL Slammer
SQL Slammer
Tage zwischen Patch und AngriffTage zwischen Patch und Angriff
Security EngineeringSecurity Engineering
Security Engineering Threat ModelingSecurity Engineering Threat Modeling Klassischer Ansatz „Entwickler und Tester
beweisen, dass ihre Anwendung unter verschiedensten Bedingungen funktioniert.“
OK für „geschlossene“ Software-Systeme Nicht OK für Systeme im Internet “Threat modeling” You need to think !
Anwendung “zerlegen” Interfaces identifizieren (Sockets, Named Pipes) Daten-Strukturen analysieren Angriffspunkte durch Datenmutation penetrieren
Klassischer Ansatz „Entwickler und Tester beweisen, dass ihre Anwendung unter verschiedensten Bedingungen funktioniert.“
OK für „geschlossene“ Software-Systeme Nicht OK für Systeme im Internet “Threat modeling” You need to think !
Anwendung “zerlegen” Interfaces identifizieren (Sockets, Named Pipes) Daten-Strukturen analysieren Angriffspunkte durch Datenmutation penetrieren
Security Engineering Fehler bei der Softwareentwicklung
Security Engineering Fehler bei der Softwareentwicklung Buffer Overruns
Was kann passieren? Bluescreen System wird instabil Debugging??? Angreifer injiziert bösen Code und ist
Admin!
Buffer Overruns
Was kann passieren? Bluescreen System wird instabil Debugging??? Angreifer injiziert bösen Code und ist
Admin!
Ein Buffer
Ein paar Daten
Pack sie zusammen {
Hope there’s nothingof interest here!
// Only allow "HTTP://" URLsif(url.ToUpper(CultureInfo.InvariantCulture).Left(4) == "HTTP") getStuff(url);else return ERROR;
Security Engineering Das “Türkisch-İ Problem”Security Engineering Das “Türkisch-İ Problem” Im Türkischen gibt es 4 Buchstaben für
“I” i (U+0069) I (U+0049) ı (U+0131) İ
(U+0130) Im Türkischen UC ("file") == FİLE
Im Türkischen gibt es 4 Buchstaben für “I” i (U+0069) I (U+0049) ı (U+0131) İ
(U+0130) Im Türkischen UC ("file") == FİLE// Do not allow "FILE://" URLsif(url.ToUpper().Left(4) == "FILE") return ERROR;getStuff(url);
İİ
Identity ManagementIdentity Management
LANLAN
FirewallFirewall
Non-ADDirectory Non-ADDirectory
Wireless LAN
Wireless LAN
UNIXApp
UNIXApp
RADIUSRADIUS
File ServerFile Server Application Server
Application Server
ClientClientEmailEmail DatenbankDatenbank
Intranet Portal
Intranet Portal
Web ServerWeb
Server
Identity & Access Management Überblick
Identity & Access Management Überblick
VPNGateway
VPNGateway
Active DirectoryActive DirectoryMeta Directory
Meta Directory
Perimeter SicherheitPerimeter Sicherheit
Perimeter SicherheitFirewall-TechnologienPerimeter SicherheitFirewall-Technologien Static-Packet-Filtering (PF)
Älteste und einfachste Firewall-Technologie Statische Analyse der Network- und
Transport-Header Hoher Datendurchsatz durch einfache
Paketanalysen
Wenig Schutz bei komplexen Konfigurationen! Keine Zuordnung von Antworten zu ihren
Anfragen Probleme bei Auswertung von fragmentierten
Paketen
Static-Packet-Filtering (PF) Älteste und einfachste Firewall-Technologie Statische Analyse der Network- und
Transport-Header Hoher Datendurchsatz durch einfache
Paketanalysen
Wenig Schutz bei komplexen Konfigurationen! Keine Zuordnung von Antworten zu ihren
Anfragen Probleme bei Auswertung von fragmentierten
Paketen
Perimeter SicherheitFirewall-TechnologienPerimeter SicherheitFirewall-Technologien Stateful-Packet-Filtering (SPF)
Firewall verwaltet Sitzungstabelle aller Anfragen Antworten dürfen nur nach Anfrage passieren Komplexe Protokolle verwenden dynamische
Ports FTP Zugriffe (PASV u. PORT), Voice-over-IP, RPC, u.v.m. SPF können die Steuerinformationen auswerten Primäre und sekundäre Verbindung bilden eine Sitzung
Automatisches Hinzufügen von dynamischen Paketfiltern möglich
Stateful-Packet-Filtering (SPF) Firewall verwaltet Sitzungstabelle aller Anfragen Antworten dürfen nur nach Anfrage passieren Komplexe Protokolle verwenden dynamische
Ports FTP Zugriffe (PASV u. PORT), Voice-over-IP, RPC, u.v.m. SPF können die Steuerinformationen auswerten Primäre und sekundäre Verbindung bilden eine Sitzung
Automatisches Hinzufügen von dynamischen Paketfiltern möglich
Perimeter SicherheitFirewall-TechnologienPerimeter SicherheitFirewall-Technologien Was bedeutet heutzutage TCP Port 80?
Laut iana.org : „Hypertext Transfer Protokoll“ In der Realität : „Universal Firewall Bypass
Protokoll“ Viele Unternehmen haben „Port 80“ an ihrer Firewall
geöffnet Viele Anwendungen tunneln ihre Daten über Port 80/HTTP
Wie kann man dann die Protokollintegrität sicherstellen? Einsatz von Application-Layer-Filtering (ALF)
Umsetzung als protokollspezifischer Proxy-Server Umsetzung als transparente Datenstromfilter
Was bedeutet heutzutage TCP Port 80? Laut iana.org : „Hypertext Transfer Protokoll“ In der Realität : „Universal Firewall Bypass
Protokoll“ Viele Unternehmen haben „Port 80“ an ihrer Firewall
geöffnet Viele Anwendungen tunneln ihre Daten über Port 80/HTTP
Wie kann man dann die Protokollintegrität sicherstellen? Einsatz von Application-Layer-Filtering (ALF)
Umsetzung als protokollspezifischer Proxy-Server Umsetzung als transparente Datenstromfilter
Perimeter Sicherheit ALF Funktionalitäten (HTTP)Perimeter Sicherheit ALF Funktionalitäten (HTTP) Filterung anhand von Informationen wie…
Hostheader gibt Auskunft über das Ziel Dateiendung gibt Auskunft über den
Datentyp Benutzerkennung, User-Agent, Mime-Type protokollspezifischer Befehle
PUT, DELETE, MOVE, OPTIONS, PROPFIND, POLL, …
Filterung von bekannten Angriffssignaturen URL Encoding Probleme, Folder Traversal Bugs
/scripts/..%255c../winnt/system32/cmd.exe?/c+…
Buffer Overruns in eingesetzten Webserver /default.ida?xxxxxxxxx…xxxxxxxxx+SHELLCODE
Filterung anhand von Informationen wie… Hostheader gibt Auskunft über das Ziel Dateiendung gibt Auskunft über den
Datentyp Benutzerkennung, User-Agent, Mime-Type protokollspezifischer Befehle
PUT, DELETE, MOVE, OPTIONS, PROPFIND, POLL, …
Filterung von bekannten Angriffssignaturen URL Encoding Probleme, Folder Traversal Bugs
/scripts/..%255c../winnt/system32/cmd.exe?/c+…
Buffer Overruns in eingesetzten Webserver /default.ida?xxxxxxxxx…xxxxxxxxx+SHELLCODE
Perimeter Sicherheit ISA Server 2004Perimeter Sicherheit ISA Server 2004 Künftige Firewall-, VPN- und Cache-Lösung
Status: Beta 2 (englisch und deutsch) Stateful- und Application-Layer-Filterung
ALF: HTTP, SMTP, FTP, DNS, POP3, RPC… Deep Content Inspection
Erweitert VPN Dienst von Windows Server VPN- und Quarantänenetzwerke
Multi-Networking Support Verbesserte GUI
Künftige Firewall-, VPN- und Cache-Lösung Status: Beta 2 (englisch und deutsch)
Stateful- und Application-Layer-Filterung ALF: HTTP, SMTP, FTP, DNS, POP3, RPC… Deep Content Inspection
Erweitert VPN Dienst von Windows Server VPN- und Quarantänenetzwerke
Multi-Networking Support Verbesserte GUI
ISA Server 2004
ISA Server 2004
Perimeter SicherheitVergleich ISA Server 2004 vs. 2000
Perimeter SicherheitVergleich ISA Server 2004 vs. 2000
Netzwerk-topologien
Unlimitierte Anzahl von Netzwerken und Topologien
Ein internes und ein externes Netzwerk sowie eine DMZ
Sicherheits-richtlinien
Sicherheitsrichtlinien für jedes Netzwerk
Eine Sicherheitsrichtlinie für alle Netzwerke
Netzwerkrouting
NAT oder Routing in alle Netzwerke
Ausschließlich NAT ins interne Netzwerk (LAT)
Content Inspection
Komplette „Stateful Inspection“ auf allen Netzwerken + ALF
„Stateful Inspection“ nur von und zum internen Netzwerk (LAT)
VPN Filterung Stateful-Filterung des VPN Traffics möglich
Keine Stateful-Filterung des VPN Traffics
Architektur Performance-optimierte Multilayer Fliltering Engine
Parallele Web-Proxy- und Firewall Dienste
Management Komplett überarbeitetes User-Interface
Standard MMC Plug-In
VPN Support PPTP, L2TP IPSec + IPSec Tunnel Mode (NAT Traversal)
PPTP, L2TP IPSec
Perimeter Sicherheit Fazit der Filterungstechnologien
Perimeter Sicherheit Fazit der Filterungstechnologien
Paketfilter sind Mittel zur groben Datenfilterung Einfach anwendbar durch einheitliche Protokolle Gut geeignet, um Kommunikation zu „Blocken“
ALFs beherrschen intelligente Datenfilterung Portnummern sind nicht mehr aussagekräftig Viele Angriffe finden auf Anwendungsebene statt
Sind ALFs eine 100%ige Schutzmöglichkeit? FW ist blind gegen clientseitige Verschlüsselung Intelligentere „FW-Hacks“ wie z.B. VPN over SSL
Paketfilter sind Mittel zur groben Datenfilterung Einfach anwendbar durch einheitliche Protokolle Gut geeignet, um Kommunikation zu „Blocken“
ALFs beherrschen intelligente Datenfilterung Portnummern sind nicht mehr aussagekräftig Viele Angriffe finden auf Anwendungsebene statt
Sind ALFs eine 100%ige Schutzmöglichkeit? FW ist blind gegen clientseitige Verschlüsselung Intelligentere „FW-Hacks“ wie z.B. VPN over SSL
http://foo.de/vpn.pl?data=[VPNProtokoll]http://foo.de/vpn.pl?data=[VPNProtokoll]
H1 04H1 04 H2 04H2 04 ZukunftZukunftHeuteHeute
Erweiterter Support
Monatliche Patch Releases
Basis-Sicherheits-richtlinien
Aufbau einer Community
SMS 2003
Erweiterter Support
Monatliche Patch Releases
Basis-Sicherheits-richtlinien
Aufbau einer Community
SMS 2003
Windows XP SP2 mit verbessertemPatching
SUS 2.0 Microsoft
Update Breitentraining
s ISA Server
2004 Standard Edition
Windows XP SP2 mit verbessertemPatching
SUS 2.0 Microsoft
Update Breitentraining
s ISA Server
2004 Standard Edition
Windows Server 2003 SP1 mit neuen Sicherheits-technologien
Next generation inspection
ISA Server 2004 Enterprise Edition
Windows Server 2003 SP1 mit neuen Sicherheits-technologien
Next generation inspection
ISA Server 2004 Enterprise Edition
NGSCB Windows hardening
WeiterführendeSicherheits-technologienauf BS-Level
NGSCB Windows hardening
WeiterführendeSicherheits-technologienauf BS-Level
Security RoadmapSecurity Roadmap
Die richtigen Schritte zu effizienter SicherheitDie richtigen Schritte zu effizienter Sicherheit
Implementierung einer Patchmanagement-Strategie
Implementierung einer Patchmanagement-Strategie
Standardisierung der Serverplattform auf Windows Server 2003
Standardisierung der Serverplattform auf Windows Server 2003
Upgrade der Laptops & Remote Systeme auf Windows XP
Upgrade der Laptops & Remote Systeme auf Windows XP
Erstellung eines Security PlansErstellung eines Security Plans
Durchführung eines Security Audits
Durchführung eines Security Audits
LiteraturLiteratur
Windows Sicherheit – Das Praxisbuch Weltner, Wilke, Schneider erschienen bei Microsoft Press
Writing Secure Code – 2Michael Howard, David LeBlancerscheinen bei Microsoft Press
Bill Gates: „Required reading at Microsoft“
Windows Sicherheit – Das Praxisbuch Weltner, Wilke, Schneider erschienen bei Microsoft Press
Writing Secure Code – 2Michael Howard, David LeBlancerscheinen bei Microsoft Press
Bill Gates: „Required reading at Microsoft“
LinksLinks Neuer Security Bulletin Release Prozess:
http://www.microsoft.com/technet/security/bulletin/revsbwp.asp
Security Bulletins:http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/
Schweizer Security Webseite:http://www.microsoft.com/switzerland/de/security
Leitfaden zur Sicherheitspatch-Verwaltunghttp://www.microsoft.com/germany/ms/technetdatenbank/showArticle.asp?siteid=600262
ISA Server 2004 Beta Webseitehttp://www.microsoft.com/isaserver/beta/default.asp
Neuer Security Bulletin Release Prozess:http://www.microsoft.com/technet/security/bulletin/revsbwp.asp
Security Bulletins:http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/
Schweizer Security Webseite:http://www.microsoft.com/switzerland/de/security
Leitfaden zur Sicherheitspatch-Verwaltunghttp://www.microsoft.com/germany/ms/technetdatenbank/showArticle.asp?siteid=600262
ISA Server 2004 Beta Webseitehttp://www.microsoft.com/isaserver/beta/default.asp
Ihr Potenzial. Unser Antrieb.
Ihr Potenzial. Unser Antrieb.