Mobile Anwendungen und starke Authentifizierung{ Terminalservices, sicher! }Thorsten Rood

Principal Architect, MCITP, MCSE-M/-S, CCIA

net.workers AG (Controlware Gruppe)

Sichere mobile AnwendungenAgenda

Fallstudie

• Situationsbeschreibung• Die neue Ära des Central Computing

Komponenten

• Zweifaktoren-Authentifizierung• Windows Server 2008 Terminaldienste• ISA Server 2006

Systemlösung

• Architektur• Demo

Sichere mobile AnwendungenEine typische Konstellation

Hr. Barnes, Leiter der NetzwerkabteilungWeb 2.0 Verfechter/Enthusiast,Keine VPN-Anbindung für unbekannte Endgeräte

Hr. Schneider, Vertriebsleiter DirektkundengeschäftDie Aufgabe: Zugriff auf neues CRM-Modul für Vertriebsaußen-dienst und freie Makler binnen einer 1 Woche (#350 Benutzer)

Fr. Piepenbrink, Leiterin Benutzerservice und IT-LogistikKeine Strategie für Softwarebereitstellung an Heimarbeitsplätzen, Versorgung der Firmen-Laptops benötigt Vorlauf und ZeitHr. Scott, Sicherheitsbeauftragter im KonzernstabDas ist mehr als nur OWA: keine Replikation vertraulicher Kundendaten auf entfernte Systeme, starke Authentifizierung für den Zugriff auf Konzerneigentum

Sichere mobile AnwendungenDer InteressenkonfliktKurze Reaktionszeiten, hohe Erwartungshaltung (SOA)

Häufige Anwendungsaktualisierungen (Updates)Systemvoraussetzungen (Rüstkosten)Netzlastige Client-/Serverprotokolle (Bandbreite)Funktional begrenzte Web-BenutzerschnittstellenReplizierte vertrauliche Daten (Diebstahl, Komplexität)Schwache Benutzerkennwörter und RichtlinienFreie Gerätewahl (Laptops, Heimarbeitsplätze, Kooperationsrechner, öffentliche Terminals)Branchenspezifische formale Anforderungen

Hr. Klein, Anwendungs- und InfrastrukturexperteTerminalservices sind erwachsen geworden: Mit WS08 können wir alle Grundfunktionen in wenigen Tagen realisieren – mit Bordmitteln!

Sichere mobile AnwendungenGrobarchitektur: Der Weg zum Ziel

Sichere mobile Anwendungen

ISA2006

WS2008

2F/OTP

Funktionalität

Schutz

Authentizität

Integrität

Mobilität

ad-hoc Bereitstellung

{ Zweifaktoren-Authentifizierung }

Schritt 1

Zweifaktoren-AuthentifizierungEinführung

Starke eindeutige IdentifikationKombination aus Besitz und WissenBeide Faktoren nur zusammen nutzbarErlaubt schwache Windows-Anmeldeinformationen, wenn als Primärschutz eingesetzt

BeispieleBankkarten (Magnetstreifen & PIN)Smartcard (Chip & PIN)USB-Token („Smartcard über USB“ & PIN)Schlüsselanhänger, PDA-Software(Eigenständige HW & PIN)

Keine Voraussetzungen für das Endgerät!

Hybride Produktlösungen

Zweifaktoren-AuthentifizierungEinmalpassworte (Einführung)

Wählbare Geräte-PIN in BenutzerbesitzGerätespezifische Tokencode-SequenzEinmalpasswort (OTP): Verkettung vonPIN und Tokencode2741 + 467132 = 2741467132

Jedes OTP verfällt nach AuthentifizierungJeder Tokencode verfällt bei Anmeldeversuch

Zentraler Serverdienst entscheidetüber Benutzer, Token(code)s und PINs

Zweifaktoren-AuthentifizierungEinmalpassworte (Implementierung)

Verschiedene Patentgrundlagen

IntegrationsvoraussetzungenRADIUS-Schnittstelle (100% aller Hersteller)RSA SecurID „New PIN“ und „Next Token“ erfordert API-Konformität

Strategie Ereignissynchrone Produkte

Zeitsynchrone Produkte

Tokencode-ablauf

Bei Benutzung („inkrementell")

Definiertes Zeitfenster

Schutz gegen Brute-force

Kurzfristige Zurückweisung

Prüfung auf nächsten Token

{ Windows Server 2008 Terminaldienste }

Schritt 2

WS08 TerminaldiensteErweiterte Funktionen der Plattform

≤WS03R2

Alle bekannt

en TS Plattfor

m-funktion

en

Lastver-teilung

Integrierte

Farmlogik

Sitzungs-

verzeichnis

(TSSD)

Remote App

Kein Desktop-design

TSEasy Print

TS Web Access (TSWA)

Web-browser-oberfläc

he

An-wendun

gs-portal

TS Gateway

(TSG)

Sicherer externer Zugriff

Richtlinien

WS08 TerminaldiensteErweiterte Funktionen der Plattform

IE &RDP 6.x

TSSD

DC

Last-verteile

r

TSG

TSWA

TS-Farm

PerimeterInternet Backbone

https

LDAP

TLS RDP

WMI

WS08 TerminaldiensteLastverteilung

FarmlogikKernbestandteil der TerminalservicesIntegrierte WartungsfunktionKeine Enterprise Serverlizenzen erforderlichKein NLB erforderlichHardware-Unterstützung optional

Sitzungsverzeichnis speichert nun Serverlasten und getrennte Verbindungen

WS08 TerminaldiensteRemote App

Umgebender Desktop entfälltIntuitive Benutzerführung bei „Rich Client“

Größendynamische, verschiebbare FensterInfobereichTS Easy Print (treiberloses Drucken,alle clientseitigen Sonderfunktionen)Desktop Composition Support (Areo) für Vista

Anwendungsliste für MSI und TSWA

WS08 TerminaldiensteRemote App

Terminal-server

Gestern Heute

RDP≤5.2

RDP6.1

WS08 TerminaldiensteTS Web Access (TSWA)

IIS7: dynamische Anwendungsliste(ASP.NET Webpart)Grundsicherheit

Standard https VerschlüsselungWindows AuthentifizierungKein Download von .rdp Dateien(Instanziierung durch JavaScript)Signierter .rdp Inhalt (vertrauenswürdige, unmodifizierte Parametrisierung)

Startet direkt die RemotedesktopverbindungDesktop-Zugriffsszenario frei anpassbar

WS08 TerminaldiensteTS Web Access (TSWA)

WS08 TerminaldiensteTS Gateway (TSG)

IIS7 PlugIn: TLS-Verschlüsselung für Remotedesktopverbindung

RDP-über-httpsWeiterentwicklung der „Outlook Anywhere“- ArchitekturStandardprotokoll und PortKeine statische öffentliche IP erforderlich

Verbindungs- und RessourcenrichtlinienNAP-Prüfung optionalErlaubt Zugang zu mehreren Terminalservern,-farmen und PC-Desktops über eine einzigeIP-Adresse

WS08 TerminaldiensteTS Gateway (TSG)

TSG Resource Authoritzation Policy Benutzerausschlüsse Serverausschlüsse Ports

Terminal-server

RpcProxy.dll

ConnectionAuthorization Policy SoH (NAP) Authentifizierungstyp Geräteumleitung Benutzerausschlüsse ClientausschlüsseIIS7

Bei öffentlichen Clients SoH

ggf. sparsam einsetzen!

{ ISA Server 2006 (Forefront Edge) }

Schritt 3

ISA Server 2006Webveröffentlichung

Vollständige http(s) Behandlung auf Layer 7Geht weit über NAT/PAT hinaus: „Reverse Proxying“Komplexe Protokollprüfung auf Ebene von URL, Methode und InhaltAutomatische Hyperlink-Anpassung: einzelne externe Hostadresse für den Zugriff auf verteilte interne Webdienste im Backend

SSL-Terminierung und/oder -Überbrückung, Kostenreduktion bei öffentlichen ZertifikatenErlaubt den Umzug von Domänenmitgliedern aus dem Perimeter (TSWA und TSG) in das Backbone

ISA Server 2006Webveröffentlichung

Perimeter/BackboneInternet

ISA

MSX

TSWA/TSG

WSS/SPS/ts/*/rpc/*

/*

/owa/*/public/*/exchange/*/exchweb/*

www.meinefirma.de

Filter: http(s) Überbrückung

, Inhalt, Methode, Pfad, …

Client

ISA Server 2006Authentifizierung (Forms)

Identitätsprüfung vor InhaltszugriffDrittanbieteroptionen: LDAP, RADIUS, OTP-RADIUSund nativ RSA SecurIDIndividuelle Anpassung des Anmelde-Layout möglichNur eine einzige anonyme URL: CookieAuth.dll

Alle relevanten Anfragen werden vom ISA geprüftIdentitätserzwingung am Backend ermöglicht SSO („Credential delegation“)Verifikation des Benutzerstatus über temporären CookieISA Hotfix 933869 erlaubt skriptbasierten Zugriff auf Cookie („RDP ActiveX in bridged scenarios“)cscript DisableHttpOnlyAuthCookies.vbs /WebListener:NameofWebListener /Value:False

ISA Server 2006Authentifizierung (Forms)

ISA TSWAClient

DCRADIUS/RSA

CookieAuth.dll

Perimeter/BackboneInternet

Anfrage

Cookie-Prüfung, Identitäts-erzwingung

1 2 4

3

{ Wie allesineinander greift… }

Systemlösung

Sichere mobile AnwendungenArchitektur

DC & IAS

TSWA/TSGTSSD

TS-FarmISA

Internet Backbone

Client

WMI/RDP

RPC

https/RPC-over-https

LDAP

LDAP

RADIUS/LDAP

https/TLS

Auch WS03 möglich

Sichere mobile AnwendungenLeistungsmerkmale der Systemlösung

HärtungStrenge Begrenzung der zulässigen http(s) AnfragenKein direkter Zugriff mehr auf TSWA und insbesondere TSG (unterstützt keine 3rd-Party Authentifizierung)

SicherheitZugang nur mit OTP und DomänenanmeldungKeine zusätzlichen Domänenmitgliedsserver im Perimeter-BereichNebeneffekt: ein Perimeternetzwerk ist nicht mehr zwingend erforderlich

Ergonomie und FunktionInline-Login im TSWA-Stil, keine AnmeldedialogboxenAnwendungszugriff von Systemen mit RDP 6.1 Client ohne VorbereitungenNebeneffekt: auch OWA nun OTP-befähigt

{ Wie allesineinander greift… }

Thorsten RoodPrincipal Architectnet.workers AG

Demo

Sichere mobile AnwendungenMaterialienWhitepaper: Einmalpasswortschutz für WS08-TSWA

http://www.lonewolf-productions.de/specials/TSWA-OTP.pdf ISA Server 2006 form: Inline Anmeldung für WS08-TSWA http://www.lonewolf-productions.de/specials/TSWA-OTP.zip WS08: TS Session Broker Lastverteilung http://technet2.microsoft.com/windowsserver2008/en/library/f9fe9c74-77f5-4bba-a6b9-433d823bbfbd1033.mspxWS08: TS Remote App…/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspxWS08: TS Einrichtung von NLB…/library/6e3fc3a6-ef42-41cf-afed-602a60f562001033.mspxISA2K6: skriptbasierter Zugriff auf Cookies http://support.microsoft.com/kb/933718http://support.microsoft.com/kb/933869http://msdn2.microsoft.com/en-us/library/ms533046.aspxhttp://msdn2.microsoft.com/en-us/library/aa384710.aspx Kontaktmailto:thorsten@rood.cc / mailto:rood@networkers.de

{ Was nochnicht gesagt wurde… }

Thorsten RoodPrincipal Architectnet.workers AG

Fragen? Bitte!

Thorsten RoodPrincipal Architectnet.workers AG

Danke!

Windows Server 2008weitere Ressourcen

Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx

Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx

Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx

Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx

Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.