Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS...
-
Upload
tielo-keiper -
Category
Documents
-
view
116 -
download
7
Transcript of Netzwerksicherheit mit dem Windows Server 2003. Kai Wilke (MVP) Consultant für IT - Security ITaCS...
Netzwerksicherheit mit Netzwerksicherheit mit dem Windows Server dem Windows Server
20032003
Netzwerksicherheit mit Netzwerksicherheit mit dem Windows Server 2003dem Windows Server 2003
Kai Wilke (MVP)Kai Wilke (MVP)Consultant für IT - SecurityConsultant für IT - SecurityITaCS GmbH ITaCS GmbH [email protected] [email protected]
Tech Level: 300Tech Level: 300
AgendaAgenda
Die Sicherheit von Windows 2000 vs. Die Sicherheit von Windows 2000 vs. 20032003 Grundsätzliche Verbesserungen im Grundsätzliche Verbesserungen im
Detail Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste
Zertifikatsdienste und deren Zertifikatsdienste und deren EinsatzgebieteEinsatzgebiete
IP Security und Virtual Private NetworksIP Security und Virtual Private Networks Sichere Wireless LAN UmgebungenSichere Wireless LAN Umgebungen Internet Information Services 6.0Internet Information Services 6.0
Microsoft Ressourcen im InternetMicrosoft Ressourcen im Internet
Sicherheit in Windows Sicherheit in Windows 20002000Ist Windows 2000 sicher? Ist Windows 2000 sicher? Ja! Man kann Windows 2000 sicher Ja! Man kann Windows 2000 sicher
machenmachen Siehe Common Criteria Zertifizierung Siehe Common Criteria Zertifizierung
nach EAL4+nach EAL4+ ……, aber man sollte dabei folgendes , aber man sollte dabei folgendes
beachten!beachten! Windows 2000 Server Baseline Security Windows 2000 Server Baseline Security
ChecklistChecklist Absichern der Win2000 default Absichern der Win2000 default
KonfigurationKonfiguration IIS 5.0 Baseline Security und Secure IIS 5.0 Baseline Security und Secure
ChecklistChecklist Absichern der IIS 5.0 default Absichern der IIS 5.0 default
KonfigurationKonfiguration Und viele Sicherheits- Hinweise in KB Und viele Sicherheits- Hinweise in KB
ArtikelnArtikeln
Sicherheit im „default“-Sicherheit im „default“-ZustandZustand
Sicherheit in Windows 2003Sicherheit in Windows 2003Was hat sich beim Server 2003 Was hat sich beim Server 2003 verbessert?verbessert?
Sicherheit bei der Sicherheit bei der KonfigurationKonfiguration
Sicherheit im laufenden Sicherheit im laufenden Betrieb Betrieb
Vergleich der „default“ Sicherheit
von Windows 2000 vs. 2003
Die Angriffsfläche des Servers wurde Die Angriffsfläche des Servers wurde verringertverringert 20 Dienste sind standardmäßig nicht aktiviert20 Dienste sind standardmäßig nicht aktiviert Entscheidungskriterium: mindestens 10% Entscheidungskriterium: mindestens 10%
Bedarf Bedarf Eingeschränkte Service Accounts für viele Eingeschränkte Service Accounts für viele
DiensteDienste NetworkService und LocalService als neue NetworkService und LocalService als neue
KontenKonten Schärfere Systemrichtlinien Einstellungen Schärfere Systemrichtlinien Einstellungen
und ACLsund ACLs Verschärfte ACLs im %Systemroot% und bei Verschärfte ACLs im %Systemroot% und bei
FreigabenFreigaben Verschärfte System SicherheitsrichtlinienVerschärfte System Sicherheitsrichtlinien
Beseitigung von “blank password” AngriffenBeseitigung von “blank password” Angriffen
Sicherheit in Windows Sicherheit in Windows 20032003 Sicherheit im Sicherheit im “default”“default” Zustand Zustand
Sicherheit in Windows Sicherheit in Windows 20032003Sicherheit bei der KonfigurationSicherheit bei der Konfiguration Leichte Administration gegen Leichte Administration gegen
KonfigurationsfehlerKonfigurationsfehler „„Serververwaltung“ für die übersichtliche Serververwaltung“ für die übersichtliche
Administration Administration Verbesserte Windows Hilfe gegen Verbesserte Windows Hilfe gegen
KonfigurationsfehlerKonfigurationsfehler Zahlreiche Assistenten mit „Best Practice“ Zahlreiche Assistenten mit „Best Practice“
ErgebnissenErgebnissen Windows Server 2003 Windows Server 2003 Security Guide schon Security Guide schon
erhältlicherhältlich Zusätzliche Administrationstools in Zusätzliche Administrationstools in
VorbereitungVorbereitung GPMC Snap-In zum Planen von GPMC Snap-In zum Planen von
GruppenrichtlinienGruppenrichtlinien SSR Wizard zur Absichern von speziellen SSR Wizard zur Absichern von speziellen
Serverrollen Serverrollen Smartcards für alle administrativen Smartcards für alle administrativen
AufgabenAufgaben RunAs, Net.exe, Terminal Dienste, DCPromoRunAs, Net.exe, Terminal Dienste, DCPromo
Sicherheit in Windows Sicherheit in Windows 20032003Sicherheit im laufenden BetriebSicherheit im laufenden Betrieb Zusätzliche Gruppenrichtlinien und Zusätzliche Gruppenrichtlinien und
BenutzerrechteBenutzerrechte Gruppenrichtlinie: Softwareeinschränkung (nicht Gruppenrichtlinie: Softwareeinschränkung (nicht
DRM!)DRM!) Gruppenrichtlinie: Zentrale Wireless Lan Gruppenrichtlinie: Zentrale Wireless Lan
Konfiguration Konfiguration Sicherheitsoption: Verbot der SID/Name Sicherheitsoption: Verbot der SID/Name
ÜbersetzungÜbersetzung Sicherheitsoption: Administratorkonto sperrenSicherheitsoption: Administratorkonto sperren Sicherheitsoption: Registry Remote ZugriffeSicherheitsoption: Registry Remote Zugriffe Benutzerrecht: Anmeldung über Terminal ServiceBenutzerrecht: Anmeldung über Terminal Service Berechtigung: Darf über Vertrauenstellung Berechtigung: Darf über Vertrauenstellung
anmelden anmelden Sichere Kommunikation in TCP/IP Sichere Kommunikation in TCP/IP
NetzwerkenNetzwerken Unterstützung von EAP Anmeldung für NetzwerkeUnterstützung von EAP Anmeldung für Netzwerke NETBIOS freie Netzwerke jetzt noch einfacherNETBIOS freie Netzwerke jetzt noch einfacher Internet Verbindungs-Firewall für ServerInternet Verbindungs-Firewall für Server
AgendaAgenda
Die Sicherheit von Windows 2000 vs. Die Sicherheit von Windows 2000 vs. 20032003 Grundsätzliche Verbesserungen im Grundsätzliche Verbesserungen im
Detail Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste
Zertifikatsdienste und deren Zertifikatsdienste und deren EinsatzgebieteEinsatzgebiete
IP Security und Virtual Private NetworksIP Security und Virtual Private Networks Sichere Wireless LAN UmgebungenSichere Wireless LAN Umgebungen Internet Information Services 6.0Internet Information Services 6.0
Microsoft Ressourcen im InternetMicrosoft Ressourcen im Internet
Windows Server 2003 Windows Server 2003 PKIPKIWas ist überhaupt PKI?Was ist überhaupt PKI? PKI ist ...PKI ist ...
… … keine Lösungkeine Lösung … … keine Anwendungkeine Anwendung … … kein Verfahren um Hacker kein Verfahren um Hacker
abzuhaltenabzuhalten PKI ist eher …PKI ist eher …
… … eine Infrastruktur, um mit speziellen eine Infrastruktur, um mit speziellen Anwendungen Sicherheitslösungen Anwendungen Sicherheitslösungen aufzubauenaufzubauen
… … eine Grundlage für sichere eine Grundlage für sichere Verschlüsselung und Authentifizierung Verschlüsselung und Authentifizierung in Netzwerken in Netzwerken
Windows Server 2003 Windows Server 2003 PKIPKINetzwerksicherheit auf Basis von Netzwerksicherheit auf Basis von PKIPKI
SzenarioSzenario RisikoRisiko SicherheitslösungSicherheitslösung
Mobile BenutzerMobile Benutzer• Encrypted File System (EFS)Encrypted File System (EFS)• Smartcard AnmeldungSmartcard Anmeldung• IPSEC u. L2TP VPN TunnelIPSEC u. L2TP VPN Tunnel
• Verlust/Diebstahl des LaptopsVerlust/Diebstahl des Laptops• Unerlaubte Remote Einwahl Unerlaubte Remote Einwahl • Man in the Middle AngriffeMan in the Middle Angriffe
E-commerceE-commerce• Identitäts VortäuschungIdentitäts Vortäuschung• Man in the Middel AngriffeMan in the Middel Angriffe
• Smartcard AnmeldungSmartcard Anmeldung• SSL/TLS VerschlüsselungSSL/TLS Verschlüsselung
Home / Remote OfficeHome / Remote Office• Smartcard AnmeldungSmartcard Anmeldung• L2TP u. IPSEC VPN TunnelL2TP u. IPSEC VPN Tunnel
• Unerlaubte Remote EinwahlUnerlaubte Remote Einwahl• Man in the Middle AngriffeMan in the Middle Angriffe
Lokales NetzwerkLokales Netzwerk• Unerlaubter Netzwerk ZugriffUnerlaubter Netzwerk Zugriff• Identitäts VortäuschungIdentitäts Vortäuschung• Man in the Middel AngriffeMan in the Middel Angriffe• Datensicherheit auf FileservernDatensicherheit auf Fileservern
• EAP Anmeldung über Zertifikate EAP Anmeldung über Zertifikate • Kerberos, Smartcard AnmeldungKerberos, Smartcard Anmeldung• IPSec, SSL/TLS, S/MIME IPSec, SSL/TLS, S/MIME • Encrypted File System (EFS)Encrypted File System (EFS)
• Zertifikats Anmeldung, SSLZertifikats Anmeldung, SSL• SSL, S/MIME, L2TP u. IPSecSSL, S/MIME, L2TP u. IPSecExtranetsExtranets
• Identitäts VortäuschungIdentitäts Vortäuschung• Man in the Middel AngriffeMan in the Middel Angriffe
Windows Server 2003 Windows Server 2003 PKIPKINeue PKI FeaturesNeue PKI Features von Windows von Windows 20032003 Rollenbasierte Administration von CAsRollenbasierte Administration von CAs
CA Administrator, Zertifikats Manager und CA Administrator, Zertifikats Manager und Auditor Auditor
Support für neue CSPs und Smartcard Support für neue CSPs und Smartcard ReaderReader Höhere Schlüsselstärken (FIPS 140-1 kompatibel) Höhere Schlüsselstärken (FIPS 140-1 kompatibel) Advanced Encryption Standard (Rijndael)Advanced Encryption Standard (Rijndael)
Unterstützung von Qualifizierten Unterstützung von Qualifizierten Subordinated CAsSubordinated CAs Verwendungszwecke, Name constrained, Cross-Verwendungszwecke, Name constrained, Cross-
CAsCAs Delta CRLs für schnellere Sperrlisten Delta CRLs für schnellere Sperrlisten
AbfragenAbfragen Geringere Latenzzeiten bei Zertifikatssperrung Geringere Latenzzeiten bei Zertifikatssperrung
möglichmöglich Geringer Verbrauch von Netzwerk BandbreiteGeringer Verbrauch von Netzwerk Bandbreite
Windows Server 2003 Windows Server 2003 PKIPKINeue PKI FeaturesNeue PKI Features von Windows von Windows 20032003 Support für frei editierbare Support für frei editierbare
ZertifikatsvorlagenZertifikatsvorlagen Alle Eigenschaften der Zertifikate sind Alle Eigenschaften der Zertifikate sind
anpassbaranpassbar CSPs, Verwendungszwecke, Ausstellungspolicy, CSPs, Verwendungszwecke, Ausstellungspolicy,
uvm.uvm. Auto enrollment und renewal übers Active Auto enrollment und renewal übers Active
DirectoryDirectory Steuerung erfolgt über „Auto enrollment“ Steuerung erfolgt über „Auto enrollment“
BerechtigungBerechtigung Für jegliche Benutzerzertifikate (auch bei Für jegliche Benutzerzertifikate (auch bei
Smartcards) Smartcards) Für jegliche ComputerzertifikateFür jegliche Computerzertifikate
Private Key Archivierung und Private Key Archivierung und WiederherstellungWiederherstellung Private Keys werden verschlüsselt in der CA Private Keys werden verschlüsselt in der CA
abgelegtabgelegt Key Recovery Agents können Keys Key Recovery Agents können Keys
wiederherstellenwiederherstellen
Verwalten der Windows 2003 Zertifikatsdienste
AgendaAgenda
Die Sicherheit von Windows 2000 vs. Die Sicherheit von Windows 2000 vs. 20032003 Grundsätzliche Verbesserungen im Grundsätzliche Verbesserungen im
Detail Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste
Zertifikatsdienste und deren Zertifikatsdienste und deren EinsatzgebieteEinsatzgebiete
IP Security und Virtual Private NetworksIP Security und Virtual Private Networks Sichere Wireless LAN UmgebungenSichere Wireless LAN Umgebungen Internet Information Services 6.0Internet Information Services 6.0
Microsoft Ressourcen im InternetMicrosoft Ressourcen im Internet
IP Security und VPNsSchwachstellen im IPv4 Protokoll TCP/IP ist ein hervorragendes Protokoll ...TCP/IP ist ein hervorragendes Protokoll ...
Plattform-unabhängige ImplementierungPlattform-unabhängige Implementierung Skalierbar durch zuverlässiges RoutingSkalierbar durch zuverlässiges Routing Verhältnismäßig geringer OverheadVerhältnismäßig geringer Overhead
... aber es beinhaltet keinerlei Sicherheit!... aber es beinhaltet keinerlei Sicherheit! Keine Authentifizierung der Keine Authentifizierung der
Kommunikationspartner!Kommunikationspartner! Keine Verschlüsselung bei der Keine Verschlüsselung bei der
Datenübertragung!Datenübertragung! Keine Integrität bei der Datenübertragung!Keine Integrität bei der Datenübertragung!
IP Security und VPNs TCP/IP Absicherung mit IPSec IPSec bietet eine sichere TCP/IP IPSec bietet eine sichere TCP/IP
KommunikationKommunikation Gegenseitige Authentifizierung zwischen Gegenseitige Authentifizierung zwischen
ComputernComputern Sender und Empfänger kennen sich untereinander Sender und Empfänger kennen sich untereinander Authentifizierung mit Kerberos, PKI oder Pre-Authentifizierung mit Kerberos, PKI oder Pre-
SharedShared Datenverschlüsselung mit Hilfe von ESP IPSec Datenverschlüsselung mit Hilfe von ESP IPSec
PaketenPaketen DES Verschlüsselung des IP Traffics nach DES Verschlüsselung des IP Traffics nach
RegelsätzenRegelsätzen Nur Sender und Empfänger kennen den Daten Nur Sender und Empfänger kennen den Daten
InhaltInhalt Datenintegrität mit Hilfe von AH IPSec PaketenDatenintegrität mit Hilfe von AH IPSec Paketen
SHA Signierung des IP Traffics nach RegelsätzenSHA Signierung des IP Traffics nach Regelsätzen Manipulierte IP Pakete werden erkannt und Manipulierte IP Pakete werden erkannt und
verworfenverworfen
IP Security und VPNs TCP/IP Absicherung mit IPSec (con‘t) IPSec arbeitet unterhalb der AnwendungIPSec arbeitet unterhalb der Anwendung
Keine Anpassungen der Netzwerk Keine Anpassungen der Netzwerk AnwendungenAnwendungen
Keine Anpassungen der Netzwerk InfrastrukturKeine Anpassungen der Netzwerk Infrastruktur IPSec wird ab Windows 2000 nativ IPSec wird ab Windows 2000 nativ
unterstütztunterstützt Zentrale Administration über GruppenrichtlinienZentrale Administration über Gruppenrichtlinien L2TP/IPSec Client für NT4 und Win98 L2TP/IPSec Client für NT4 und Win98
nachrüstbarnachrüstbar Mögliche IPSec Filterungseinstellungen sindMögliche IPSec Filterungseinstellungen sind
Filterung nach IP Adressen und Filterung nach IP Adressen und Protokoll/PortnummernProtokoll/Portnummern
„„Zulassen“, „Blocken“, „Sicherheit aushandeln“Zulassen“, „Blocken“, „Sicherheit aushandeln“
IP Security und VPNs Funktionsweise von IPSec
TCP-SchichtTCP-Schicht
IPSec-TreiberIPSec-Treiber
TCP-SchichtTCP-Schicht
IPSec-TreiberIPSec-Treiber
ISAKMP Internet Security
Association and Key Management Protocol
ISAKMP Internet Security
Association and Key Management Protocol
Verschlüsselte IP-PaketeVerschlüsselte IP-Pakete
IPSec-RichtlinieIPSec-RichtlinieIPSec-RichtlinieIPSec-Richtlinie Windows .NET DomainWindows .NET DomainActive DirectoryActive Directory11
22
33
11
IP Security und VPNsNeue IPSec Features unter Windows 2003 IP Security NAT Traversal (NAT-T) UnterstützungIP Security NAT Traversal (NAT-T) Unterstützung
Windows 2003 IPSec durch NAT Router sendenWindows 2003 IPSec durch NAT Router senden Firewalls benötigen Regeln für UDP Ports 500 u. Firewalls benötigen Regeln für UDP Ports 500 u.
45004500 Win 9x, NT, 2000 und XP Clients benötigen ein Win 9x, NT, 2000 und XP Clients benötigen ein
UpdateUpdate IPSec Monitor für verbesserte FehlersucheIPSec Monitor für verbesserte Fehlersuche Neue IPSec Sicherheitseinstellungen (via Neue IPSec Sicherheitseinstellungen (via
NETSH)NETSH) Jetzt mit 2048bit Masterschlüssel (FIPS 140-1)Jetzt mit 2048bit Masterschlüssel (FIPS 140-1) Wegfall der „Default Exemptions“ als Standard Wegfall der „Default Exemptions“ als Standard „„Stateful Paketfiltering“ beim Bootvorgang Stateful Paketfiltering“ beim Bootvorgang Fail Save KonfigurationsmöglichkeitenFail Save Konfigurationsmöglichkeiten
IP Security und VPNs Neue IPSec Features unter Windows 2003 Mehr Performance bei der VerschlüsselungMehr Performance bei der Verschlüsselung
Schnellere Schlüsselaushandlung (Main u. Schnellere Schlüsselaushandlung (Main u. Quick Mode)Quick Mode)
Loadbalancing (NLB) Unterstützung für IPSec Loadbalancing (NLB) Unterstützung für IPSec PaketePakete
Unterstützung für HardwarebeschleunigungUnterstützung für Hardwarebeschleunigung Unterstützt einen von der IETF definierten Unterstützt einen von der IETF definierten
StandardStandard Gemeinsamer Standard mit Cisco (RFC 3193)Gemeinsamer Standard mit Cisco (RFC 3193) Kompatibel zu Cisco IOS® ab Release 12.2(4)TKompatibel zu Cisco IOS® ab Release 12.2(4)T Abwärtskompatibel mit Windows 2000 IP Abwärtskompatibel mit Windows 2000 IP
SecuritySecurity
Konfiguration von IPSec Richtlinien
IP Security und VPNs Die VPN Technologie im Überblick
Virtual Private Networks sind ...Virtual Private Networks sind ... Eine kostengünstige Alternative zu Eine kostengünstige Alternative zu
StandleitungenStandleitungen Virtuelle Verbindungen über bestehende Virtuelle Verbindungen über bestehende
NetzwerkeNetzwerke Verschlüsselte Datenkanäle für sensible DatenVerschlüsselte Datenkanäle für sensible Daten
Mögliche Einsatzszenarien für VPNMögliche Einsatzszenarien für VPN Anbindung von Home- oder Anbindung von Home- oder
RemotearbeitsplätzenRemotearbeitsplätzen Netzwerkkopplungen zwischen StandortenNetzwerkkopplungen zwischen Standorten
IP Security und VPNs Die VPN Technologie im Überblick
Unternehmens-Unternehmens-netzwerknetzwerk
RRASRRAS
RRASRRAS
Home- oder Home- oder RemotearbeitsplatzRemotearbeitsplatz
IP Security und VPNs Von Microsoft unterstützte VPN Protokolle Aufbau von VPN Tunneln mittels nativen Aufbau von VPN Tunneln mittels nativen
IPSec IPSec Kopplung zwischen zwei IPSec fähigen RouternKopplung zwischen zwei IPSec fähigen Routern Ein Phasen Authentifizierung nur über ISAKMPEin Phasen Authentifizierung nur über ISAKMP
Aufbau von VPN Tunneln mittels Aufbau von VPN Tunneln mittels WählverbindungenWählverbindungen RRAS Server ist der Einwahlpunkt für VPN KanäleRRAS Server ist der Einwahlpunkt für VPN Kanäle
Layer Two Tunneling Protokoll (L2TP) + IPSecLayer Two Tunneling Protokoll (L2TP) + IPSec Point to Point Tunnel Protokoll (PPTP)Point to Point Tunnel Protokoll (PPTP)
Bietet zusätzliche Sicherheit durch Bietet zusätzliche Sicherheit durch BenutzerkennungBenutzerkennung Maximal drei Phasen Authentifizierung bei Maximal drei Phasen Authentifizierung bei
L2TP/IPSecL2TP/IPSec
IP Security und VPNs Neue VPN Features unter Windows 2003 Variable IPSec Einstellungen für L2TP TunnelVariable IPSec Einstellungen für L2TP Tunnel
Die L2TP Authentifizierung auch ohne Zertifikate Die L2TP Authentifizierung auch ohne Zertifikate Frei definierbare IPSec Richtlinien für L2TP Frei definierbare IPSec Richtlinien für L2TP
TunnelTunnel Einfaches Route Management für Split-Einfaches Route Management für Split-
Tunnel VPNsTunnel VPNs Neue DHCP Optionen zum setzen von IP Routen Neue DHCP Optionen zum setzen von IP Routen
am Clientam Client Verwaltung von VPN und DFÜ Clients mit Verwaltung von VPN und DFÜ Clients mit
CMAK 1.3CMAK 1.3 Zentrale Voreinstellung der VPN und DFÜ Zentrale Voreinstellung der VPN und DFÜ
VerbindungenVerbindungen Unterstützung für Clientseitige Scripts bei der Unterstützung für Clientseitige Scripts bei der
EinwahlEinwahl
IP Security und VPNs Neue VPN Features unter Windows 2003 Verbesserter Internet Authentification Verbesserter Internet Authentification
Service (IAS)Service (IAS) Verwendet RADIUS als Industriestandard für AAA Verwendet RADIUS als Industriestandard für AAA
DiensteDienste Übernimmt Authentifizierung, Accounting und Übernimmt Authentifizierung, Accounting und
AutorisierungAutorisierung Geeignet für RAS, VPN, Switche, WLANs und Geeignet für RAS, VPN, Switche, WLANs und
weitere Diensteweitere Dienste RADIUS Proxy Funktionalität im neuen IAS ServerRADIUS Proxy Funktionalität im neuen IAS Server
Forwarding von AAA Anfragen auf externe RADIUS Forwarding von AAA Anfragen auf externe RADIUS ServerServer
Ermöglicht dabei eine Manipulation von Ermöglicht dabei eine Manipulation von BenutzernamenBenutzernamen
Erweiterte und neue Authentifizierungs- Erweiterte und neue Authentifizierungs- MöglichkeitenMöglichkeiten Computer, Zertifikatsbasierte und EAP Computer, Zertifikatsbasierte und EAP
AuthentifizierungAuthentifizierung Unterstützung für Quarantäne Netzwerke bei Unterstützung für Quarantäne Netzwerke bei
VPNVPN
IP Security und VPNsFunktionsweise der Quarantäne Policy
InternetInternet Corp NetzCorp NetzClientClient RRASRRAS
IASIAS
Quarantäne NetzwerkQuarantäne NetzwerkConnectConnect
Quarantine AccessQuarantine Access
Full AccessFull Access
Policy CheckPolicy Check
AuthenticateAuthenticate
Authorize + Set Quarantäne + Normal FilterAuthorize + Set Quarantäne + Normal Filter
Set Normal FilterSet Normal FilterXX
Konfiguration von VPN Zugriffen
AgendaAgenda
Die Sicherheit von Windows 2000 vs. Die Sicherheit von Windows 2000 vs. 20032003 Grundsätzliche Verbesserungen im Grundsätzliche Verbesserungen im
Detail Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste
Zertifikatsdienste und deren Zertifikatsdienste und deren EinsatzgebieteEinsatzgebiete
IP Security und Virtual Private NetworksIP Security und Virtual Private Networks Sichere Wireless LAN UmgebungenSichere Wireless LAN Umgebungen Internet Information Services 6.0Internet Information Services 6.0
Microsoft Ressourcen im InternetMicrosoft Ressourcen im Internet
Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeDie Sicherheitsprobleme in IEEE Die Sicherheitsprobleme in IEEE 802.11802.11 Sicherheit durch Shared Keys? (WEP Sicherheit durch Shared Keys? (WEP
Protokoll)Protokoll) Alle Clients benutzen den selben Alle Clients benutzen den selben
Verschlüsselungs- KeyVerschlüsselungs- Key Ändern des Keys ist zu aufwändig bzw. geschieht Ändern des Keys ist zu aufwändig bzw. geschieht
niemalsniemals WEP Keys sind zu schwach und fehlerhaftWEP Keys sind zu schwach und fehlerhaft
16,7 Mio. verschiedene Schlüssel möglich (40 u. 16,7 Mio. verschiedene Schlüssel möglich (40 u. 104 bit)104 bit)
Hiervon sind 1280 Schlüssel sehr schwach Hiervon sind 1280 Schlüssel sehr schwach (Angriffsziel!)(Angriffsziel!)
2-20 Gbyte an gesnifften Daten reichen zum 2-20 Gbyte an gesnifften Daten reichen zum CrackenCracken
Viele bekannte Angriffsmöglichkeiten gegen Viele bekannte Angriffsmöglichkeiten gegen WEPWEP Airsnort, WEPCrack und Man-in-the-Middel Airsnort, WEPCrack und Man-in-the-Middel
AngriffeAngriffe
Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeMehr Sicherheit durch IEEE 802.1XMehr Sicherheit durch IEEE 802.1X Authentifizierung an einem Authentifizierung an einem
VerzeichnisdienstVerzeichnisdienst Mittels einer Smartcard oder mit Client-Mittels einer Smartcard oder mit Client-
Zertifikaten Zertifikaten Mittels eines Benutzernamens und PasswortMittels eines Benutzernamens und Passwort
AAA Zugriffssteuerung über RADIUS ServerAAA Zugriffssteuerung über RADIUS Server RADIUS bietet Authentification, Accounting, RADIUS bietet Authentification, Accounting,
AuthorisationAuthorisation Zugriff auf bestehende Benutzerdatenbanken (AD) Zugriff auf bestehende Benutzerdatenbanken (AD)
möglichmöglich Dynamische WEP Keys beseitigen Shared-Key Dynamische WEP Keys beseitigen Shared-Key
ProblemeProbleme Benutzer erhalten vom RADIUS Server eigene WEP Benutzer erhalten vom RADIUS Server eigene WEP
KeysKeys EAP-TLS und PEAP als IEEE 802.1X EAP-TLS und PEAP als IEEE 802.1X
StandardsStandards
Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeIEEE 802.1X Szenario mit EAP-TLSIEEE 802.1X Szenario mit EAP-TLS EAP-TLS als Lösung für Netzwerke mit PKIEAP-TLS als Lösung für Netzwerke mit PKI
Am Client Compter ist ein X509v3 Zertifikat Am Client Compter ist ein X509v3 Zertifikat erforderlicherforderlich Computer- oder Benutzerzertifikat werden benötigtComputer- oder Benutzerzertifikat werden benötigt
Am RADIUS Server ist ein Computer Zertifikat Am RADIUS Server ist ein Computer Zertifikat erforderlicherforderlich
EAP Anmeldung am Active Directory über EAP Anmeldung am Active Directory über RADIUSRADIUS Minimal: Windows 2000 Server IAS + EAP Minimal: Windows 2000 Server IAS + EAP
UpdatesUpdates Optimal: Windows Server 2003 IASOptimal: Windows Server 2003 IAS
Die Accesspoints müssen EAP-TLS Die Accesspoints müssen EAP-TLS unterstützenunterstützen
EAP Wireless Client ist ein Windows 2000/XPEAP Wireless Client ist ein Windows 2000/XP Verwaltung beim 2003er Active Directory über Verwaltung beim 2003er Active Directory über
GPOsGPOs
Sichere Wireless Sichere Wireless NetzwerkeNetzwerkeIEEE 802.1X Szenario mit PEAPIEEE 802.1X Szenario mit PEAP PEAP ist eine Erweiterung vom EAP ProtokollPEAP ist eine Erweiterung vom EAP Protokoll
Authentifizierung geschieht über das MS-CHAPv2 Authentifizierung geschieht über das MS-CHAPv2 ProtokollProtokoll
Anmeldung mit Benutzername/Passwort oder Anmeldung mit Benutzername/Passwort oder SmartcardSmartcard
Keine Computer Zertifikate am WLAN Client Keine Computer Zertifikate am WLAN Client erforderlicherforderlich
PEAP Anmeldung am Active Directory über PEAP Anmeldung am Active Directory über RADIUSRADIUS Ein Windows Server 2003 IAS ist erforderlichEin Windows Server 2003 IAS ist erforderlich
Die Accesspoints müssen EAP-TLS Die Accesspoints müssen EAP-TLS unterstützenunterstützen
PEAP Wireless Client ist Windows 2000/XPPEAP Wireless Client ist Windows 2000/XP Verwaltung beim 2003er Active Directory über Verwaltung beim 2003er Active Directory über
GPOsGPOs
Sichere Wireless NetzwerkeSichere Wireless NetzwerkeDeployment Szenarien für EAP-TLS & Deployment Szenarien für EAP-TLS & PEAPPEAP
Directory ServiceDirectory Service(AD)(AD)
Wireless ClientWireless Client(WinXP)(WinXP)
Wireless Wireless Access PointAccess Point
RADIUS ServerRADIUS Server(MS IAS)(MS IAS)
FirmeninterneFirmeninterneZertifizierungZertifizierung
s Stelles Stelle
WLANs mit EAP-TLS
APAP
Directory ServiceDirectory Service(AD)(AD)
Wireless ClientWireless Client(WinXP)(WinXP)
Wireless Wireless Access PointAccess Point
RADIUS ServerRADIUS Server(MS IAS)(MS IAS)
WLANs mit PEAP
APAP
33rdrd Party Party ZertifizierungZertifizierung
s Stelles Stelle
Konfiguration von EAP und PEAP
AgendaAgenda
Die Sicherheit von Windows 2000 vs. Die Sicherheit von Windows 2000 vs. 20032003 Grundsätzliche Verbesserungen im Grundsätzliche Verbesserungen im
Detail Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste
Zertifikatsdienste und deren Zertifikatsdienste und deren EinsatzgebieteEinsatzgebiete
IP Security und Virtual Private NetworksIP Security und Virtual Private Networks Sichere Wireless LAN UmgebungenSichere Wireless LAN Umgebungen Internet Information Services 6.0Internet Information Services 6.0
Microsoft Ressourcen im InternetMicrosoft Ressourcen im Internet
Internet Information Internet Information Services 6.0Services 6.0
Richard KarlRichard KarlTechnologie BeraterTechnologie Berater Microsoft Deutschland GmbHMicrosoft Deutschland [email protected]@microsoft.com
Tech Level: 300Tech Level: 300
Internet Information Internet Information Services 6Services 6Generelle Vorteile des IIS WebserverGenerelle Vorteile des IIS Webserver
SicherSicher
Voreinstellung: Nicht installiertVoreinstellung: Nicht installiert Am Anfang nur statische HTML SeitenAm Anfang nur statische HTML Seiten Durchgereichte AuthentifizierungDurchgereichte Authentifizierung Worker Prozess ID wählbarWorker Prozess ID wählbar
ZuverlässigZuverlässig
Neues ProzessmodellNeues Prozessmodell AnwendungsgruppenAnwendungsgruppen Prozess WiederverwertungProzess Wiederverwertung Verfügbarkeits ErkennungVerfügbarkeits Erkennung
SkalierbarSkalierbar
VerwaltbarVerwaltbar
XML MetabaseXML Metabase WMI ProviderWMI Provider Kommando Zeilen WerkzeugeKommando Zeilen Werkzeuge Versions und KonfigurationskontrolleVersions und Konfigurationskontrolle
Web GardensWeb Gardens Mehr Sites pro ServerMehr Sites pro Server Verbesserte NAS UnterstützungVerbesserte NAS Unterstützung Kernel Cache für HTML & ASPX SeitenKernel Cache für HTML & ASPX Seiten
metabasemetabase
Das alte IIS 5.0 ProzessmodellDas alte IIS 5.0 Prozessmodell
TCP/IPTCP/IP
ISAPI FiltersISAPI Filters
INETINFOINETINFO
W3CsvcW3Csvc
ISAPIISAPIExtensionsExtensions
DLLHOST.EXEDLLHOST.EXE
WAMWAM
ISAPIISAPIExtensionsExtensions
DLLHOST.EXEDLLHOST.EXE
WAMWAM
ISAPIISAPIExtensionsExtensions
DLLHOST.EXEDLLHOST.EXE
W3CsvcW3Csvc
ISAPIISAPIExtensionsExtensions
WinsockWinsockSuboptimalePerformance
Gute Performanz, aber unstabile Webseiten können den gesamten Webserver beinflussen
Gefährlicher Systemkontext
Schlechtere Performance
Unstabile Webseiten können den Webserver nicht beinflussen
Hoher Resourceverbrauch
User Mode
Kernel Mode
MonolithischeBlack Box
HTTP.SYSHTTP.SYS
INETINFO.exe
metabasemetabase
ftp, smtp, nntp
User mode
Kernel mode
Configuration Configuration ManagerManager
Application Application Pool ManagerPool Manager
W3SVC
ListenerListenerResponse Response
CacheCache SenderSender
Web Web PublishingPublishing
Administration Monitoring
Das neue IIS 6.0 Das neue IIS 6.0 ProzessmodelProzessmodel
Single App
W3WP.exe
ISAPI ExtISAPI Ext
ISAPI ISAPI FiltersFilters
App Pool
Multiple Apps
W3WP.exe
ISAPI ExtISAPI Ext
ISAPI ISAPI FiltersFilters
App Pool Single
App
W3WP.exe
ISAPI ExtISAPI Ext
ISAPI ISAPI FiltersFilters
App Pool
Single App
W3WP.exe
ISAPI ExtISAPI Ext
ISAPI ISAPI FiltersFilters
App Pool
Single App
W3WP.exe
ISAPI ExtISAPI Ext
ISAPI ISAPI FiltersFilters
App Pool
DoS Schutz durch limitierte und einstellbare Warteschlangen und CPU
Begrenzung pro Workerprozess
TCP/IPTCP/IP
Hohe Performance durch zwischengespeicherte Webseiten
Unabhängige Workerprozesse mit definierbaren Dienstkonten
(Systemkontext nicht erforderlich)
Hohe Performance durch Wegfall von Out-Process Anwendungen
Unstabile Webseiten können nicht andere oder den Webserver
beeinträchtigen
Zentrale Steuerung und Healthmonitoring der
Workerprozesse
Integrierter IIS Lockdown Wizard
Prozess WiederverwertungProzess Wiederverwertung
kernel
user
WA
SW
AS
HTTP.SYSHTTP.SYS
Old Old Worker Worker ProcessProcess
ISAPI Exts &ISAPI Exts &FiltersFilters
Web Proc. Web Proc. Core DLLCore DLL
Ready for Ready for
RecycleRecycle
New New Worker Worker ProcessProcess
ISAPI Exts &ISAPI Exts &FiltersFilters
Web Proc. Web Proc. Core DLLCore DLL
Shut downShut down
RequestRequest
startupstartupreadyready
RequestRequest
Anwendungsgruppen Anwendungsgruppen WiederverwertungWiederverwertungAnwendungsgruppen Anwendungsgruppen WiederverwertungWiederverwertung
Erneuern nach:Erneuern nach: X Minuten AktivitätX Minuten Aktivität Nach X Nach X
AnforderungenAnforderungen Zu definierten ZeitenZu definierten Zeiten
Erneuern nach Erneuern nach Überschreiten Überschreiten eines definierten eines definierten SpeicherverbraucSpeicherverbrauchshs
AnwendungsgruppenAnwendungsgruppenPerformanzPerformanz
Untätige Gruppen Untätige Gruppen werden gestoppt werden gestoppt um Resourcen zu um Resourcen zu sparensparenBewahrt den Server Bewahrt den Server vor Überlastvor Überlast
Anzahl der Prozesse Anzahl der Prozesse für bessere für bessere SkalierungSkalierung
CPU Verbrauchs-CPU Verbrauchs-überwachungüberwachung
AnwendungsgruppenAnwendungsgruppenVerfügbarkeitVerfügbarkeitAnwendungsgruppenAnwendungsgruppenVerfügbarkeitVerfügbarkeit
Einschalten und Einschalten und Setzen des Setzen des ZeitintervallsZeitintervallsEinschalten von RFP Einschalten von RFP und Setzen der und Setzen der ParameterParameter
Anlaufzeit Anlaufzeit begrenzenbegrenzenAbschlußzeit Abschlußzeit begrenzenbegrenzen
Anwendungsgruppen Anwendungsgruppen IdentitätIdentität
Vordefinierte Vordefinierte IdentititätenIdentititäten
- Network Service- Network Service- Local Service - Local Service - Local System- Local System
Oder Oder selbstdefinierte selbstdefinierte Benutzerkonten, dieBenutzerkonten, diezur IIS_WPG Group zur IIS_WPG Group gehören müssengehören müssen
IIS 6.0 Isolation ModesIIS 6.0 Isolation Modes
Worker Process Isolations ModusWorker Process Isolations ModusVoreinstellung für IIS 6.0Voreinstellung für IIS 6.0
IIS 5.0 Isolations ModusIIS 5.0 Isolations ModusRückwärts Kompatibel zu IIS 5.0Rückwärts Kompatibel zu IIS 5.0Jede Anfrage muss durch Jede Anfrage muss durch
Inetinfo.exe Inetinfo.exe Es gibt keine Anwendungsgruppen Es gibt keine Anwendungsgruppen
und keine Prozesswiederverwertungund keine Prozesswiederverwertung
Anwender Isolierung unter Anwender Isolierung unter FTPFTP Beschränkt Anwender auf ihre Beschränkt Anwender auf ihre
eigenen Verzeichnisseeigenen Verzeichnisse Verhindert die Aufwärts Navigation im Verhindert die Aufwärts Navigation im
Verzeichnis BaumVerzeichnis Baum Erleichtert das Zuweisen von RechtenErleichtert das Zuweisen von Rechten
FTP Benutzer IsolationFTP Benutzer Isolation Kompatibel / keine IsolationKompatibel / keine Isolation Einfache Anwendungen / Lokale Einfache Anwendungen / Lokale
IsolationIsolation Komplexe Anwendungen durch Active Komplexe Anwendungen durch Active
Directory IntegrationDirectory Integration
MetabaseMetabase
XML – ohne spezielle Werkzeuge lesbarXML – ohne spezielle Werkzeuge lesbar Während der Laufzeit editierbarWährend der Laufzeit editierbar Bei jeder Änderung wird eine Bei jeder Änderung wird eine
Sicherheitkopie in das Verlaufsverzeichnis Sicherheitkopie in das Verlaufsverzeichnis kopiert und unter einem eindeutigen kopiert und unter einem eindeutigen Namen gespeichertNamen gespeichert
Einfach zurück zu sichern Einfach zurück zu sichern Server Objekt -> Alle Aufgaben -> Server Objekt -> Alle Aufgaben ->
Backup/Restore KonfigurationBackup/Restore Konfiguration
AuthentifizierungAuthentifizierung
Authentifizierungs ModiAuthentifizierungs Modi FormsForms – nicht authentifizierte Anfragen werden – nicht authentifizierte Anfragen werden
an die Anmeldeseite weitergeleitetan die Anmeldeseite weitergeleitet WindowsWindows – Windows Authentifizierung durch IIS – Windows Authentifizierung durch IIS PassportPassport – Konten werden auf AD Konten – Konten werden auf AD Konten
abgebildetabgebildet Anonym – keine Anmeldung nötigAnonym – keine Anmeldung nötig
ProtokolltransparenzProtokolltransparenz Legacy Protokolle werden auf Kerberos Tickets Legacy Protokolle werden auf Kerberos Tickets
abgebildetabgebildet Ermöglicht ein Single-Sign-On für komplexe Ermöglicht ein Single-Sign-On für komplexe
WebportaleWebportale Modus wird in web.config festgelegt:Modus wird in web.config festgelegt:
<authentication mode=[Windows|Forms|Passport|<authentication mode=[Windows|Forms|Passport|None]"/>None]"/>
AutorisierungAutorisierung
Bildet Rechte auf authentifizierte Bildet Rechte auf authentifizierte Anwender abAnwender ab
Negative Modelle empfohlenNegative Modelle empfohlen<!– nur Administratoren können <!– nur Administratoren können
POST POST (Jeder kann GET) -->(Jeder kann GET) --><authorization><authorization> <allow verb="GET" users="*"/><allow verb="GET" users="*"/> <allow verb="POST" <allow verb="POST"
roles=“Admins"/>roles=“Admins"/> <deny verb="POST" users="*"/> <deny verb="POST" users="*"/> </authorization></authorization>
<!-- authorifizierungsabschnitt des <!-- authorifizierungsabschnitt des config file -->config file -->
<authorization><authorization><allow users=“Bob, Tommy"/><allow users=“Bob, Tommy"/><allow roles=“WebUsers"/><allow roles=“WebUsers"/>
<deny users=“Danny"/><deny users=“Danny"/> <deny users="?"/><deny users="?"/></authorization></authorization>
* Alle Benutzer * Alle Benutzer ? Anonyme Benutzer? Anonyme Benutzer
AgendaAgenda
Die Sicherheit von Windows 2000 vs. Die Sicherheit von Windows 2000 vs. 20032003 Grundsätzliche Verbesserungen im Grundsätzliche Verbesserungen im
Detail Detail Die integrierten Sicherheitsdienste Die integrierten Sicherheitsdienste
Zertifikatsdienste und deren Zertifikatsdienste und deren EinsatzgebieteEinsatzgebiete
IP Security und Virtual Private NetworksIP Security und Virtual Private Networks Sichere Wireless LAN UmgebungenSichere Wireless LAN Umgebungen Internet Information Services 6.0Internet Information Services 6.0
Microsoft Ressourcen im InternetMicrosoft Ressourcen im Internet
Microsoft Ressourcen im Microsoft Ressourcen im InternetInternet Windows 2003 Server WebsiteWindows 2003 Server Website
www.microsoft.com/windowsserver2003/www.microsoft.com/windowsserver2003/ Microsoft Website zum Thema Microsoft Website zum Thema
SicherheitSicherheitwww.microsoft.com/germany/security/www.microsoft.com/germany/security/
Deutschsprachige TechNet WebsiteDeutschsprachige TechNet Websitewww.microsoft.com/germany/technet/www.microsoft.com/germany/technet/
Security News Group auf Security News Group auf news.microsoft.comnews.microsoft.com/microsoft.public.de.security.heimanwender/microsoft.public.de.security.heimanwender/microsoft.public.de.security.netzwerk.sicherheit/microsoft.public.de.security.netzwerk.sicherheit
IIS 6.0 Technische Übersicht: IIS 6.0 Technische Übersicht: www.microsoft.com/windows.netserver/techinfowww.microsoft.com/windows.netserver/techinfo/overview/iis.mspx/overview/iis.mspx
Bleiben Sie am BallBleiben Sie am BallSicherheit: A way of lifeSicherheit: A way of life
Abonnieren Sie den Abonnieren Sie den Security Notification Service Security Notification Service www.microsoft.com/technet/treeview/www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/notify.asp?url=/technet/security/bulletin/notify.asp
Benutzen Sie den Baseline Security Benutzen Sie den Baseline Security Analyser Analyser www.microsoft.com/technet/treeview/default.aspwww.microsoft.com/technet/treeview/default.asp
?url=/technet/security/tools/tools/MBSAHome.asp?url=/technet/security/tools/tools/MBSAHome.asp
Evaluieren Sie den Software Update Evaluieren Sie den Software Update ServicesServiceswww.microsoft.com/windows2000/windowsupdate/suswww.microsoft.com/windows2000/windowsupdate/sus
Questions and AnswersQuestions and Answers
Ihr Potenzial. Unser Antrieb.