La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

La nuova funzionalità di quarantena in Windows 2003 III Workshop sulle problematiche di Calcolo e Reti nell’INFN Castiadas (CA), 24-29 Maggio 2004 Francesca.

Presentazioni simili


Presentazione sul tema: "La nuova funzionalità di quarantena in Windows 2003 III Workshop sulle problematiche di Calcolo e Reti nell’INFN Castiadas (CA), 24-29 Maggio 2004 Francesca."— Transcript della presentazione:

1 La nuova funzionalità di quarantena in Windows 2003 III Workshop sulle problematiche di Calcolo e Reti nell’INFN Castiadas (CA), Maggio 2004 Francesca Del Corso – INFN Sez. Firenze

2 Francesca Del Corso – INFN Firenze ACCESSO VPN ActiveDirectory PPTP o L2TP/IPSEC Autenticazione Windows o RADIUS (Windows Server 2003 IAS) Active Directory per la gestione degli utenti Remote Access Policies su RRAS o IAS Internet Intranet Intranet Web Server RRAS Server RAS Client Windows Server 2003 IAS

3 Francesca Del Corso – INFN Firenze Processo di QuarantenaConnessione Autenticazione Autorizzazione Timeout e Filtri Policy Check Result Rimozione della Quarantena Accesso in Quarantena Accesso Completo RAS Client RRAS Server Windows Server 2003 Internet Authentication Service Quarantena Internet

4 Francesca Del Corso – INFN Firenze Architettura della Quarantena Profilo CM Esegue script in modalità post connectEsegue script in modalità post connect Esegue RQC ed invia il risultato al listenerEsegue RQC ed invia il risultato al listener Listener RQS riceve risultatoRQS riceve risultato Confronta il risultatoConfronta il risultato ai possibili risultati ai possibili risultati Rimuove time-outRimuove time-out Rimuove i filtri diRimuove i filtri di quarantena quarantena Quarantine VSA notifica del limite temporale prima dell’auto sconnessionenotifica del limite temporale prima dell’auto sconnessione Insieme di Q-filter temporanei per un accesso in quarantenaInsieme di Q-filter temporanei per un accesso in quarantena RAS Client RRAS Server IAS Server Quarantena Internet

5 Francesca Del Corso – INFN Firenze Network Access Quarantine Control Definizione delle risorse di quarantena Configurazione RRAS server ed installazione Rqs.exe script o programma che valida la configurazione client Creazione script o programma che valida la configurazione client Installazione Windows Server 2003 CMAK e creazione profili CM di quarantena Distribuzione profilo CM per installazione su RAS client Configurazione Remote Access Policies di quarantena sul server IAS o RRAS

6 Francesca Del Corso – INFN Firenze Risorse di quarantena Definizione risorse e server: DNS, WINS, file server, web server Default Input packet filter: Rqs ed Rqc: TCP porta 7250 (destination) Ras DHCP: UDP porta 68 (source), porta 67 (destination) Rqs DNS: UDP porta 53 (destination) WINS: UDP porta 137 (dest) HTTP: TCP porta 80 (dest) File sharing NetBIOS over TCP/IP: TCP porta 139 (dest)

7 Configurazione RRAS server

8

9

10

11

12

13 Francesca Del Corso – INFN Firenze Installazione Rqs.exe su RRAS server – Installare MS Windows Resource Kit 2003 su RRAS server – Modificare lo script: %ProgramFiles%\Windows Resource Kits\Tools>rqs_setup.bat %ProgramFiles%\Windows Resource Kits\Tools>rqs_setup.bat reg add %ServicePath% /v AllowedSet /t REG_MULTI_SZ /d Version1 – Installare Rqs: %ProgramFiles%\Windows Resource Kits\Tools>rqs_setup.bat /install – HKLM\System\CurrentControlSet\Services\Rqs Aggiungere la chiave AllowedSet, tipo REG_MULTI_SZ, valore Version1Aggiungere la chiave AllowedSet, tipo REG_MULTI_SZ, valore Version1 – Far partire il servizio Remote Access Quarantine Agent 'net start rqs‘'net start rqs‘ – La componente listener può essere sviluppata utilizzando le API MprAdminConnectionRemoveQuarantine() per rimuovere le restrizioni di quarantena (Microsoft Developer Network Microsoft Developer Networkhttp://msdn.microsoft.com/Microsoft Developer Networkhttp://msdn.microsoft.com/

14 Francesca Del Corso – INFN Firenze.exe,.cmd,.bat Serie di test per la verifica della policy di network da parte del RAS client rqc rqc ConnName: nome connessione di accesso remoto - %DialRasEntry% TunnelConnName: nome connessione del tunnel - %TunnelRasEntry% Port: porta TCP Domain: dominio utente che si connette - %Domain% Username: username utente - %UserName% ScriptVersion: versione dello script – Version1 Creazione script

15 Creazione profili CM di quarantena

16

17

18

19

20

21

22

23

24

25 Configurazione Remote Access Policies

26

27

28

29

30

31

32

33

34

35 Francesca Del Corso – INFN Firenze Ambiente di test ActiveDirectory Internet Intranet Intranet Web Server WWW VPN / RRAS Server RAS Client Quarantena

36 Francesca Del Corso – INFN off rem Network quarantine script - INF Sez. Firenze. Se i controlli hanno successo il test è considerato positivamente ed il RRAS Server lascia la quarantena. echo RAS Connection = %1 echo Tunnel Connection = %2 echo Domain = %3 echo User Name = %4 echo Service Directory = %5 rem %1 = %DialRasEntry% rem %2 = %TunnelRasEntry% rem %3 = %Domain% rem %4 = %UserName% rem %5 = %ServiceDir% set rqcloc=%5\rqc.exe Script di quarantena

37 Francesca Del Corso – INFN Firenze REM *********** Controllo Symantec Norton Antivirus Corporate Edition ********* :AVCHK reg query "HKLM\Software\Symantec\InstalledApps" >nul 2>&1 if errorlevel=0 goto VPTrayCHK set msg=Symantec Norton Antivirus non è installato. goto TESTFAIL :VPTrayCHK %5\pslist VPTray >nul if errorlevel=0 goto SIGNCHK set msg=Norton Virus Checker non è in esecuzione. goto TESTFAIL :SIGNCHK for /F %l in ('find "CurDefs" "%ProgramFiles%\Common Files\Symantec Shared\ VirusDefs\definfo.dat"') do set CurDefCli=%l for /F %l in ('find "CurDefs" "%5\definfo.dat“’) do set CurDefSrv=%l if %curDefCli% == %CurDefSrv% goto ICFCHK set msg=Definizioni dei virus non aggiornate. Scaricare gli aggiornamenti da goto TESTFAIL REM ********** Verifica attivazione Internet Connection Firewall ****************** :ICFCHK net start|find "Internet Connection Firewall" >nul if not errorlevel=1 goto OSCHK set msg=Microsoft Internet Connection Firewall deve essere attivato per potersi connettere. goto TESTFAIL

38 Francesca Del Corso – INFN Firenze REM ************Verifica installazione critical security patch ed Hotfix *************** :OSCHK ver|find "5.1." >nul if not errorlevel=1 goto HFXPCHK ver|find "5.2." >nul if not errorlevel=1 goto HFW2003CHK set msg=Questa connessione remota richiede Windows XP o Windows 2003 Server. goto EOF : HFXPCHK reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\Windows XP\SP2\Q318684” >nul 2>&1 if not errorlevel=1 goto QUARANTENA set msg=Windows XP Hotfix (SP2) Q non trovato; scaricare l’hotfix dal sito goto TESTFAIL :HFW2003CHK reg query "HKLM\SOFTWARE\Microsoft\Updates\Windows Server 2003\SP1\KB819696“ >nul 2>&1 if not errorlevel=1 goto QUARANTENA set msg= Windows 2003 Hotfix KB non trovato; scaricare l’hotfix dal sito goto TESTFAIL

39 Francesca Del Corso – INFN Firenze :QUARANTENA %rqcloc% %1 % %3 %4 Version1 If "%ERRORLEVEL%" == "0" ( set MYERRMSG=Success! ) Else If "%ERRORLEVEL%" == "1" ( set MYERRMSG=Impossibile contattare il remote access gateway. Il supporto alla quarantena verrà disabilitato. ) Else If "%ERRORLEVEL%" == "2" ( set MYERRMSG=Accesso negato. Scaricare l’ultima versione del profilo Connection Manager direttamente da e provare a riconnettersi.http://www.fi.infn.it/calcolo/vpn/ ) Else (set MYERRMSG=Fallimento sconosciuto. Il client rimarrà in quarantena.) Echo %MYERRMSG% Pause Goto :EOF :TESTFAIL Echo Il tuo computer ha fallito i controlli di sicurezza. Echo Per informanzioni contattare il Servizio Calcolo e Reti: Pause :EOF

40 Francesca Del Corso – INFN Firenze Esempio di script.exe int main(void) {………… char patches[1][200] = {"\"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ Updates\\Windows XP\\SP2\\Q318684\\\""}; ……... execlp("/cygdrive/c/WINDOWS/system32/reg", "/cygdrive/c/WINDOWS/system32/reg", "query", patches[i], (char *)0); ……… while(fgets(qstring,80,qstream)) { while(fgets(qstring,80,qstream)) { if(strstr(qstring,"Error: ")) { if(strstr(qstring,"Error: ")) {patchn=strstr(patches[i],"SP2\\");strncpy(patchnstr,patchn,strlen(patchn)); printf("la patch %s non e\' stata installata\n", strtok(patchnstr+4,"\\")); return -1; } } printf("controllo patch di sistema effettuato con successo!\n"); printf("controllo patch di sistema effettuato con successo!\n"); return 0; return 0;}

41 Connection Manager VPN-INFN sez. Firenze

42 Collegamento dalla rete privata x

43 Successo del comando tracert

44 Security policy non soddisfatta

45 MS-Quarantine-IPFilter: fallimento del comando tracert

46 MS-Quarantine-Session-Timeout: disconnessione

47 Collegamento dalla rete pubblica via ISP

48 Risultato del comando ipconfig

49 Francesca Del Corso – INFN Firenze Sviluppi futuri Virtual Private Networking Utilizzo di L2TP/IPSec (certificato macchina sul VPN server e sul VPN client) Logon security EAP/TLS (certificato utente sul VPN client e certificato macchina sul server IAS) Cisco VPN Concentrator 3000

50 Francesca Del Corso – INFN Firenze Documentazione Microsoft Windows Server 2003 deployment kit: Microsoft Windows Server 2003 deploying network services - Microsoft Corporation Microsoft Windows Server 2003 Network Access Quarantine Control - ine.mspx ine.mspx ine.mspx Arrest Suspect Clients with Windows 2003’s New Quarantine Feature - Allen Jones, Ottobre 2003 Step-by-Step Guide for Creating and Testing Connection Manager Profiles in a Test Lab - Microsoft Corporation, Aprile 2003 Step-by-Step Guide for Setting Up Network Quarantine and Remote Access Certificate Provisioning in a Test Lab - Microsoft Corporation, Luglio 2003


Scaricare ppt "La nuova funzionalità di quarantena in Windows 2003 III Workshop sulle problematiche di Calcolo e Reti nell’INFN Castiadas (CA), 24-29 Maggio 2004 Francesca."

Presentazioni simili


Annunci Google