如何建構安全的網路環境

1、insights and answers for it professionals如何建構安全的如何建構安全的網路環境網路環境蕭文龍蕭文龍零宇學苑零宇學苑鍾希桓鍾希桓技術專員技術專員本課程假設您本課程假設您u已具備以下基本技術知識已具備以下基本技術知識:u如何如何運用運用windows 2000 的安全機制的安全機制各種網路環境下應有的安全考量各種網路環境下應有的安全考量 身份認證機制身份認證機制(kerberos) 檔案存取限制與保護檔案存取限制與保護uisa server 2000安全機制安全機制isa server功能剖析功能剖析如何設定如何設定isa server防火牆防火牆如何設定如

2、何設定isa server網路快取網路快取如何運用如何運用windows 2000 的安全機制的安全機制u各種網路環境下應有的安全考量各種網路環境下應有的安全考量 單一辦公室位置單一辦公室位置分公司網路環境分公司網路環境跨國集團的網路環境跨國集團的網路環境security office傳統鎖傳統鎖警衛警衛監視器監視器各種網路環境下應有的安全考量各種網路環境下應有的安全考量環境一環境一各種網路環境下應有的安全考量各種網路環境下應有的安全考量環境二環境二各種網路環境下應有的安全考量各種網路環境下應有的安全考量環境三環境三the infrastructure pieces使用者帳戶的管理使用者帳戶的

3、管理認證服務認證服務public key infrastructure原則管理原則管理信任管理信任管理授權服務授權服務稽核服務稽核服務cryptographic services資料保護服務資料保護服務整合服務整合服務網路安全的元件網路安全的元件policyu 身份認證服務身份認證服務u 非戰區的設置非戰區的設置 ( dmz )u 資料保密資料保密 (data privacy)u 安全監測安全監測u 經由原則管理經由原則管理綜綜 合合 解解 決決 方方 案案移移 動動 使使 用用 者者 加密檔案系統加密檔案系統 (efs) pptp, ipsec, l2tp 遺失遺失/被偷被偷 laptop

4、撥接攻擊撥接攻擊e-commerce 偽造偽造 id/假冒身份假冒身份 資料資料/金錢金錢 被偷被偷 任意更改交易任意更改交易 public key infrastructure (pki) 與與 ca 整合整合 ssl/tls家家 庭庭 辦辦 公公 室室 pptp, ipsec, l2tp ntlmv2, kerberos, pki ssl/tls, s/mime 線上線上 internet 攻擊攻擊 撥接攻擊撥接攻擊 偽造偽造 id/假冒身份假冒身份 public key infrastructure (pki) 與與 ca 整合整合 ipsec, l2tp, ssl/tsl, s/mim

5、eextranets 偽造偽造 id/假冒身份假冒身份 資料被偷資料被偷 線上線上 internet 攻擊攻擊 與與 active directory 整合整合 委任管理委任管理 改善稽核改善稽核 安全性範本安全性範本管管 理理 面面 太多地方有安全需求太多地方有安全需求 員工角色的變化員工角色的變化 不知道誰做了什麼事不知道誰做了什麼事 時常變化的組態時常變化的組態如何如何運用運用windows 2000 的安全機制的安全機制u各種網路環境下應有的安全考量各種網路環境下應有的安全考量 u身份認證機制身份認證機制(kerberos) u檔案存取限制與保護檔案存取限制與保護身份認證服務身份認證服

6、務u利用利用 usernamec 來登入來登入u利用利用 kerberos 來做網域的身份認證來做網域的身份認證usmart card 登入登入smart card u實作實作 smart card logonuconfigure certificates註冊代理程式註冊代理程式 (enrollment agent)憑證憑證, , 智慧卡使用者智慧卡使用者 (smartcard user)u設定憑證範本設定憑證範本u安裝安裝 smart card reader u利用利用 web-based 為使用者申請為使用者申請u測試測試1 挿入卡片後會觸發挿入卡片後會觸發winlogon 程式並顯程式並

7、顯示示 gina2 使用者使用者輸入輸入 pin5 kerberos pkinit 延伸套件送出憑延伸套件送出憑證給證給 kdc 要求登入要求登入7 kdc 送回一個利用雙層加密的送回一個利用雙層加密的 tgt (encrypted with a session key which is in turn encrypted using users public key)8 smart card 利用利用private key 解密解密 tgt 然然後後 lsa 允許允許 使用者登入使用者登入6 kdc 核對憑證核對憑證並且查詢並且查詢 ad 內內之原則之原則3 gina 把把 pin code

8、 傳傳給給 lsasc4 lsa 存取存取 smart card 並並 取出憑證取出憑證多種身份認證機制多種身份認證機制u彈性的身份認證架構支援網路上多種彈性的身份認證架構支援網路上多種 “ “核對身份核對身份” ” 的機制的機制如何運用如何運用windows 2000 的安全機制的安全機制u各種網路環境下應有的安全考量各種網路環境下應有的安全考量 u身份認證機制身份認證機制(kerberos) u檔案存取限制與保護檔案存取限制與保護物件存取的授權物件存取的授權u所有的所有的物件存取物件存取都透過安全系統來檢查都透過安全系統來檢查u任何系統內物件皆可被保護任何系統內物件皆可被保護一致性的授權模

9、式一致性的授權模式u由一致性的授權模式與由一致性的授權模式與 kerberos 標準整合來決定資標準整合來決定資源的存取源的存取aclaclacl資料保護資料保護u保護硬碟內的資料保護硬碟內的資料加密檔案系統加密檔案系統加密郵件加密郵件加密檔案系統加密檔案系統u可由被授權的代理做資料修復可由被授權的代理做資料修復integrated key management檔案加密檔案加密檔案解密檔案解密u檔案傳輸的安全檔案傳輸的安全遠端存取公司網路遠端存取公司網路兩地之間的網路連接兩地之間的網路連接u安全的電子郵件安全的電子郵件u安全的安全的如何運用如何運用windows 2000 的安全機制的安全機制

10、檔案存取限制與保護檔案存取限制與保護hostahostbhostc遠端存取公司的網路遠端存取公司的網路uuser 利用遠端存取公司網路利用遠端存取公司網路hostahostb兩地之間的網路連接兩地之間的網路連接ulan to lan 經由經由 gatewayipsec u兩種協定的組合兩種協定的組合encapsulated security payload (esp)authentication header (ah) u可以使用數位憑證為鑰匙的身可以使用數位憑證為鑰匙的身分認證架構分認證架構u兩種模式兩種模式傳輸傳輸 自發送者包裝自發送者包裝 ip 封包封包 (end-to-end)隧道隧道

11、 自隧道的發送端自隧道的發送端包裝包裝 ip 封包封包enterprise and support training mtunneling basicstransit internetworktunnel endpointspacketpackettunneledpackettransit internetwork headertunnel安全的電子郵件安全的電子郵件安全的安全的 web 伺服器伺服器檔案傳輸的安全檔案傳輸的安全u虛擬私有網路虛擬私有網路 (vpn)internet protocol security (ipsec)pptpu 如何加入如何加入ca服務服務 u如何發送憑證如何發

12、送憑證 uca的規劃與運用的規劃與運用 授權憑證授權憑證 certificated authority (ca)加入加入uwindows 2000 內建服務之一內建服務之一u控制台控制台 新増移除程式新増移除程式ca u企業等級企業等級 ca (enterprise ca)網域認證使用網域認證使用定義憑證內容範本定義憑證內容範本憑證登記流程憑證登記流程ca u階層式階層式 caextranete-mailssl serverssl clientcorporate caprojects subordinate casissuing cas 綜合的服務綜合的服務uwindows 2000 發揮了綜

13、合性可管控的安全服務並且與其發揮了綜合性可管控的安全服務並且與其他的服務能夠共同整合運作來達到企業的要求他的服務能夠共同整合運作來達到企業的要求windowsunixmainframe / mini綜綜 合合 解解 決決 方方 案案isa server 2000 安全機制安全機制uisa server 功能剖析功能剖析u如何設定如何設定isa server防火牆防火牆u如何設定如何設定isa server網路快取網路快取isa u多功能的防火牆多功能的防火牆多層次防火牆多層次防火牆 (packet, protocol, app-level)入侵防護入侵防護, nat, vpn, dmz如何設定

14、如何設定 isa server 防火牆防火牆upacket, protocol, site and contentupolicy-baseduelementuapplication-level filteruintrusion detected如何設定如何設定 isa server 網路快取網路快取uhttp cacheuftp cacheuadvanced properties如何利用如何利用 windows 2000 與與 isa server 2000 規劃安全的網路環境規劃安全的網路環境uwindows 2000 internetsmall organizationisa server

15、internetmedium org & enterpriseisa serverarrayinternetdmz - 1isa serverdmz intranetinternetdmz - 2isa #2isa #1dmz intranetfirewallchainingisa serverisa serverleased line /vpn connectionbranchmaininternetweb proxy u存取原則存取原則protocol rulessite and content rulestiered enterprise level policyarray 2p

16、olicyarray 1policyarray 1array 2domain levelutop-down approach uapply policy to multiple arraysenterprise level policytiered umultiple policy objectsuavoid duplicationsalespolicyarray 3policyarray 1policyarray 1array 3marketingpolicyarray 2array 2policyisa server u單一地點管理所有單一地點管理所有 enterprise arraysu

17、遠端管理遠端管理mmc (snap-in)dcomterminal servicesu整合性整合性u透通性透通性u無所不在無所不在規劃安全的網路環境規劃安全的網路環境實務上的建議實務上的建議u認證所有的使用者身份認證所有的使用者身份u多層安全防護來限制存取多層安全防護來限制存取u入侵防護並對重要地區作流量分析入侵防護並對重要地區作流量分析u利用利用isa server vpns 節省成本並確保資料的私節省成本並確保資料的私密性密性u定期做網路風險評估定期做網路風險評估u持續的原則性佈署並且訓練持續的原則性佈署並且訓練參考資料參考資料step by stepswhite papers 整體服務整

18、體服務insights & answers for it professionalsutechnet technet cd 標準版標準版內容內容一年十二期一年十二期umicrosoft knowledge baseu精通所有產品的精通所有產品的 resource kitsu讓系統保持最佳狀態的讓系統保持最佳狀態的service packs, patches, drivers, tools 等等等等u實務技術文章實務技術文章u評估與部署指南評估與部署指南utechnet 技術訓練課程技術訓練課程 (seminar online)u個案研討、建置策略白皮書個案研討、建置策略白皮書u technet plus cd內容內容technet plus = technet 標準版光碟的內容標準版光碟的內容+microsoft 各種最新產品的各種最新產品的 beta 評估版評估版以及正式評估版光碟以及正式評估版光碟2001年年2月月technet plus umicrosoft mobile information 2001 server企業版企業版 betaumicrosoft sharepoint portal server rc-1uexchange 2000 conferencing server正式評