'

Сетевая безопасность

Понравилась презентация – покажи это...





Слайд 0

Сетевая безопасность Presenter Name Job Title Microsoft


Слайд 1

Содержание Введение Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита сетей с использованием IPSec


Слайд 2

Защита на всех уровнях Упрощает процесс обнаружения вторжения Снижает шансы атакующего на успех Политики и процедуры Защита ОС, управление обновлениями, аутентификация Межсетевые экраны, Карантин VPN-соединений Охрана, средства наблюдения Сегментация сети, IP Security, Система обнаружения вторжений Защита приложений, антивирусные системы Списки контроля доступа, шифрование Обучение пользователей Физическая защита Периметр Внутренняя сеть Компьютер Приложения Данные


Слайд 3

Цели и ограничения защиты периметра сети Правильно настроенный межсетевой экран – краеугольный камень защиты периметра сети Активное использование Интернет и мобильные пользователи увеличивают риски по безопасности Развитие VPN ослабило периметр и вместе с беспроводными сетями размыла традиционную концепцию периметра сети Традиционные межсетевые экраны, реализующие фильтрацию пакетов, блокируют только сетевые порты и адреса компьютеров Большинство современных атак происходит на уровне приложений


Слайд 4

Цели и ограничения защиты рабочих станций Защита клиентских компьютеров блокирует атаки, которые прошли через защиту периметра или исходят из внутренней сети Защита рабочей станции включает в себя помимо прочего: Настройку ОС на безопасную работу Использование антивирусного ПО Персональные межсетевые экраны Защита рабочих станций означает защиту большого количества компьютеров Если в сети не ведется централизованное управление и контроль доступа, то пользователи смогут ослабить защиту рабочих станций


Слайд 5

Цели и ограничения систем обнаружения вторжений Обнаруживает признаки типовых атак, записывает подозрительный трафик в журнал безопасности и или извещает администраторов Регулярно появляются новые угрозы и уязвимости, которые создают опасность для систем до тех пор, пока признаки таких атак не собраны и не распространены производителем системы обнаружения вторжений


Слайд 6

Задачи защиты сетей


Слайд 7

Содержание Введение Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита сетей с использованием IPSec


Слайд 8

Защита периметра


Слайд 9

Экран с тремя точками


Слайд 10

Два экрана


Слайд 11

Межсетевой экран НЕ защищает от: Вредоносного трафика, который идет по разрешенным портам и не анализируется фильтром уровня приложения на экране Любого трафика, который проходит по зашифрованному тоннелю или сессии Атак после проникновения в сеть злоумышленника Трафика, похожего на легитимный Пользователей и администраторов, умышленно или непреднамеренно установивших вирусы Администратора с плохим паролем Межсетевой экран


Слайд 12

Программный или аппаратный межсетевой экран


Слайд 13

Что делает экран Пакетная фильтрация С сохранением состояния Проверка уровня приложений Многослойная проверка (Включая уровня приложений)


Слайд 14

Содержание Введение Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита сетей с использованием IPSec


Слайд 15

Задачи защиты сетей


Слайд 16

Защита периметра ISA Server обеспечивает все необходимые возможности: Пакетная фильтрация С сохранением состояния Проверка уровня приложений ISA Server блокирует любой трафик если вы его не разрешили ISA Server обеспечивает безопасное подключение через VPN ISA Server имеет сертификат ICSA и сертифицирован по общим критериям


Слайд 17

Вам нужно… Открыть доступ партнерам к определённой внутренней информации в сети Контролировать доступ в Интернет и защитить пользователей от интернет-атак Обеспечить быстрый доступ к часто используемому веб-содержимому Кэширование Функции ISA:


Слайд 18

Усовершенствованный межсетевой экран уровня приложений, средство управления VPN и служба веб-кэширования – решение, которое позволит увеличить безопасности и производительности сети ISA Server 2004


Слайд 19

Новое в ISA Server 2004 Обновленная архитектура Улучшенная интеграция с Exchange


Слайд 20

Новое в ISA Server 2004 Новыe средства управления и пользовательский интерфейс Сетевые мастера и шаблоны


Слайд 21

Новое в ISA Server 2004 Интеграция Веб-кэширование


Слайд 22

Защита рабочих станций


Слайд 23

Защита веб-серверов Web Publishing Rules Защита веб-серверов, установленных за экраном от внешних атак путем анализа трафика HTTP обеспечивает проверку на правильное форматирование запросов и соответствие стандартам Проверка трафика Secure Socket Layer (SSL) Расшифровывает и проверяет входящие запросы на корректность форматирования запросов и соответствие стандартам Может дополнительно перешифровывать трафик до отправки на веб-сервер


Слайд 24

URLScan ISA Server Feature Pack 1 включает в себя URLScan 2.5 для ISA Server Добавляет URLScan ISAPI фильтр на внешний периметр сети Обеспечивает защиту для всех веб-серверов за межсетевым экраном Периметр заблокирован для известных и вновь обнаруженных атак Web Server 1 ISA Server Web Server 2 Web Server 3


Слайд 25

Защита Exchange Server


Слайд 26

Демонстрация Фильтрация трафика на уровне приложений в ISA Server WПубликация веб-серверов URLScan Message Screener


Слайд 27

Трафик, который проходит через межсетевой экран Туннели SSL проходят через обычные экраны в зашифрованном виде, что позволяет вирусам и червям оставаться незамеченными и попадать во внутреннюю сеть Трафик VPN соединения зашифрован и не может быть проверен Часто трафик служб обмена мгновенными сообщениями Instant Messenger (IM) не проверяется и может использоваться для пересылки файлов


Слайд 28

Проверка всего трафика Целесообразно использование системы обнаружения вторжений для проверки трафика VPN после того как он был расшифрован Помните: многоуровневая защита Используйте межсетевой экран, который может проверять трафик SSL Расширьте возможности своего межсетевого экрана Установите расширения, которые могут проверять трафик служб обмена мгновенными сообщений (IM)


Слайд 29

Проверка трафика SSL Межсетевой экран пропускает трафик SSL т.к. он зашифрован и не может быть проверен. Это позволяет вирусам и червям проникнуть в сеть незамеченными и заразить внутренние компьютеры ISA Server может дешифровать и проверять SSL трафик. Проверенный трафик может быть затем передан на внутренний сервер перешифрованным или в обычном виде


Слайд 30

Демонстрация Проверка SSL в ISA Server


Слайд 31

Защита ISA Server Защитите сетевой стек Отключите ненужные сетевые протоколы на внешнем интерфейсе: Клиент для Microsoft Networks File and Printer Sharing for Microsoft Networks NetBIOS over TCP/IP


Слайд 32

Рекомендации Создавайте правила доступа только для тех типов запросов, которые необходимы Используйте возможности для аутентификации в ISA Server для протоколирования ограничения доступа в Интернет Настройте Web publishing rules только для тех, кому нужно (destination sets) Настройте проверку трафика SSL для контроля за шифрованным трафиком приходящим в сеть


Слайд 33

Содержание Введение Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита сетей с использованием IPSec


Слайд 34

Задачи защиты сетей


Слайд 35

Обзор возможностей ICF Internet Connection Firewall входит в состав Microsoft Windows XP и Microsoft Windows Server 2003 Позволяет предотвратить атаки из сети типа Blaster, путем блокирования всего не-нужно входящего трафика Порты могут быть открыты для отдельных служб запущенных на компьютере Возможно централизованное управление через групповую политику Что это Что делает Основные возможности


Слайд 36

Включается: Один флажок Программой мастер - Network Setup Wizard При создании нового соединения - New Connection Wizard Включается отдельно для каждого соединения Как включить ICF


Слайд 37

Для сетевых служб Для веб-приложений ICF расширенные настройки


Слайд 38

Настройки протоколирование Файл для журнала Протоколирование событий безопасности в ICF


Слайд 39

ICF в компаниях Настройка ICF с использованием групповых политик Настройка ICF вместе с карантином Network Access Quarantine Control


Слайд 40

Включите ICF на домашнем компьютере и в малом офисе для обеспечения защиты компьютеров подключенных напрямую в Интернет Не включайте ICF для соединений VPN (но включайте для используемого соединения с LAN или модемом) Настройте определения служб для каждого сетевого соединения ICF через которое вы планируете работать с этой службой Установите размер журнала в 16 Мб для предотвращения его переполнения при атаках на отказ в обслуживании Советы


Слайд 41

Демонстрация Internet Connection Firewall (ICF) Настройка ICF вручную Проверка ICF Изучение журнала ICF Настройка групповых политик


Слайд 42

Содержание Введение Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита сетей с использованием IPSec


Слайд 43

Задачи защиты сетей


Слайд 44

Ограничения Wired Equivalent Privacy (WEP) Статические ключи WEP не меняются и могут быть уязвимы для атаки Не существует стандартных средств для распространения ключей на клиентские компьютеры Масштабируемость: раскрытие ключа WEP означает открытие доступа ко всей сети Ограничения на фильтрацию по MAC адресам Атакующий может подставить допустимый MAC адрес Проблемы защиты беспроводных сетей


Слайд 45

Аутентификация на 2 уровне по паролю IEEE 802.1x PEAP/MSCHAP v2 Аутентификация по сертификату на 2 уровне IEEE 802.1x EAP-TLS Другие способы Подсоединение к VPN L2TP/IPsec (рекомендуется) или PPTP Не работает роуминг Полезно при использовании общественных точек доступа Не используется аутентификация компьютера и использование настроек групповой политики IPSec Вопросы взаимодействия и совместимости Пути решения проблем


Слайд 46

Сравнение методик защиты


Слайд 47

Определяет механизм контроля доступа по портам Работает при проводном и беспроводном соединении Не нужен ключ для шифрования Дает возможность выбора методов аутентификации с использованием Extensible Authentication Protocol (EAP) Выбирается при аутентификации Точка доступа не влияет на использование EAP Автоматическое управление ключами Нет необходимости заранее программировать ключи для шифрации 802.1x


Слайд 48

Ethernet Access Point Radius Server RADIUS Laptop Computer Wireless 802.11 802.1x поверх 802.11


Слайд 49

Системные требования для 802.1x Клиент: Windows XP Сервер: Windows Server 2003 IAS Internet Authentication Service — RADIUS server Сертификат на IAS 802.1x на Windows 2000 Клиент и IAS должны иметь SP3 См. статью в базе знаний 313664 Не поддерживается автоматическая конфигурация на клиенте (zero-configuration) Поддерживается только EAP-TLS и MS-CHAPv2 Новые методы EAP в Windows XP и Windows Server 2003 могут быть обратно не совместимы


Слайд 50

Установка 802.1x Настройте поддержку IAS в Windows Server 2003 Подсоединитесь к домену Получите новый сертификат для компьютера Зарегистрируйте IAS в Active Directory Настройте протоколирование RADIUS Добавьте точку доступа как RADIUS клиент Настройте точку доступа для поддержки RADIUS и 802.1x Создайте политику доступа беспроводного клиента Настройте клиентов Не забудьте импортировать корневой сертификат


Слайд 51

Политика доступа Условия политик NAS-port-type соответствует Wireless IEEE 802.11 ИЛИ Wireless Other Windows-group = <группа в AD> Дополнительно: разрешить административный контроль Должна содержать пользовательские и компьютерные бюджеты


Слайд 52

Профиль политики доступа Профиль Таймаут: 60 мин. (802.11b) или 10 мин. (802.11a/g) Не используются обычные методы аутентификации Тип EAP: protected EAP; используйте сертификат компьютера Шифрация: только самую сильную (MPPE 128-bit) Аттрибуты: Ignore-User-Dialin-Properties = True


Слайд 53

Спецификация основанных на стандартах механизмов безопасных расширений для взаимодействия, которые значительно повышают уровень защиты данных и контроля доступа к существующим и будущим беспроводным и проводным сетям WPA требует 802.1x аутентификации для доступа к сети Цели Расширенная шифрация данных Обеспечение аутентификации пользователя Совместимость с будущим стандартом 802.11i Предоставляет решение для малых/домашних офисов без использования RADIUS Wi-Fi Alliance начал сертификационное тестирование на совместимость продуктов, поддерживающих WPA в феврале 2003 Wireless Protected Access (WPA)


Слайд 54

Советы Применяйте аутентификацию 802.1x Создайте группы для беспроводных пользователей и компьютеров Применяйте групповые политики для беспроводного доступа Применяйте EAP-TLS для аутентификации по сертификатам и PEAP для аутентификации по паролям Настройте политику удаленного доступа для поддержки аутентификации пользователей и компьютеров Определите методы борьбы с незаконными точками доступа, правила мониторинга и обучения пользователей


Слайд 55

Содержание Введение Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита сетей с использованием IPSec


Слайд 56

Goals of Network Security


Слайд 57

Что такое IP Security (IPSec)? Метод защиты трафика IP Основан на открытых стандартах разработанных Internet Engineering Task Force (IETF) Зачем использовать IPSec? Для обеспечения шифрованного и аутентифицированного соединения поверх IP Обеспечение безопасности транспорта, который независим от приложения или протоколов уровня приложения Обзор IPSec


Слайд 58

Разрешение/запрет фильтрации пакетов Безопасность внутрисетевого взаимодействия Репликация доменов с использованием межсетевых экранов Установка тоннелей в открытых сетях Сценарии использования IPSec


Слайд 59

Фильтры для разрешенного и запрещенного трафика При наличии нескольких правил наиболее жесткое пра имеет приорирет Обязательна установка параметра "NoDefaultExempt = 1" для безопасности Реализация фильтрации пакетов IPSec


Слайд 60

Фальсифицированные пакеты IP могут содержать запросы или вредоносный код и проникать внутрь сети через межсетевые экраны IPSec не обеспечивает анализ такого трафика Многие инструменты взлома используют порты 80, 88, 135 и т.п. для подключения к внутренним ресурсам Фильтрация пакетов и защита серверов


Слайд 61

IP broadcast Адреса multicast От 224.0.0.0 до 239.255.255.255 Kerberos — исходный или целевой порты UDP 88 Kerberos является защищенным протоколом, который служба Internet Key Exchange (IKE) может использовать для аутентификации других компьютеров в домене IKE — целевой порт UDP 500 Требуется службе IKE для возможности обмена параметрами IPSec Трафик, не фильтруемый IPSec


Слайд 62

Безопасные внутренние взаимодействия Используйте IPSec для обеспечения взаимной аутентификации устройств Использование сертификатов или Kerberos Используйте Authentication Header (AH) для обеспечения целостности пакетов AH не обеспечивает шифрации трафика или анализа вторжений Используйте Encapsulation Security Payload (ESP) для шифрования важного трафика ESP обеспечивает целостность пакетов и конфиденциальность Шифрование не позволяет анализировать пакеты Тщательно спланируйте, какой трафик должен быть защищен


Слайд 63

IPSec для репликации доменов Используйте IPSec для репликации через межсетевые экраны На каждом контроллере домена создайте политику IPSec для обеспечения безопасности трафика по IP адресам других контроллеров домена Используйте ESP 3DES для шифрования Разрешите на межсетевом экране трафик по следующим портам: UDP Port 500 (IKE) IP protocol 50 (ESP)


Слайд 64

Производительность IPSec Обработка IPSec приводит к накладным расходам Время установления соединения IKE — около 2–5 секунд в первый раз 5 передач информации в обе стороны Аутентификация — Kerberos или сертификаты Генерация крипто-ключа и зашифрованных сообщений Производится каждые 8 часов (может быть настроено) Новый ключ для сессии получается быстро — <1–2 секунд, 2 передачи, раз в час, настраивается Шифрование пакетов Как повысить производительность? Специальные сетевые карты с поддержкой IPSec работают со скоростью провода Более быстрые процессоры


Слайд 65

Советы Планируйте внедрение IPSec максимально тщательно Определитесь с выбором AH или ESP Применяйте групповые политики для распределения политик IPSec Подумайте над возможностью использования специальных сетевых карт с поддержкой IPSec Никогда не используйте аутентификацию с Shared Key вне тестовой лаборатории Выберите между аутентификацией по сертификатам или через кKerberos Осторожно применяйте правила по необходимости работать через IPSec для соединений между контроллерами доменов и другим инфраструктурными серверами


Слайд 66

Демонстрация IPSec Настройка и тестирование простой политики IPSec Настройка и тестирование пакетного фильтра в IPSec


Слайд 67

Содержание Введение Защита периметра сети Настройка Internet Security and Acceleration (ISA) Server для защиты сетей Использование Internet Connection Firewall (ICF) для защиты рабочих станций Защита беспроводных сетей Защита сетей с использованием IPSec


Слайд 68

Дальнейшие шаги Будьте в курсе новостей Подпишитесь на рассылку бюллетеней безопасности: http://www.microsoft.com/security/security_bulletins/alerts2.asp Загрузите себе свежие руководства по безопасности: http://www.microsoft.com/security/guidance/ Пройдите дополнительное обучение На семинарах Microsoft: http://www.microsoft.com/rus/events В учебных центрах CTEC: http://www.microsoft.com/rus/learning/


Слайд 69

Дополнительная информация Сайт Microsoft по безопасности http://www.microsoft.com/security Для администраторов http://www.microsoft.com/technet/security Для разработчиков http://msdn.microsoft.com/security


Слайд 70

Вопросы и ответы


Слайд 71


×

HTML:





Ссылка: