Skip to main content
Sign In |
  Help (new window)

Tietoturva

Go SearchAdvanced Search
ITpro.fi
Asiantuntijaryhmät
IT-Wikistö
Keskustelut
Materiaalit
Jäsenyys
Jäsenyhteisöt
Hakusivu
ITpro ry
TechNet 110 videotallenteet
  

 Ryhmän
  Kuvaus
  Keskustelut
  IT-Wikit
  Dokumentit
  Linkit
  Jäsenet
  Kuvat
ITpro.fi > Asiantuntijaryhmät > Tietoturva

 Tietoturvan asiantuntijaryhmä

 Ryhmän vetäjänä toimii Petri Ala-Annala, allaolevaa blogia ylläpitävät ryhmän jäsenet.

14.1.2010

Forefront Edge -tuotteiden ja Network Monitor 3:n dokumentaatiota
Microsoft Forefront -tuoteperheen verkon reunan suojaustuotteet, Threat Management Gateway (TMG) 2010 (ex-ISA Server) ja Unified Access Gateway (UAG) 2010 (ex-IAG) ovat nyt saatavilla ja niiden dokumentaatio paranee myös koko ajan. TMG-tuoteryhmän blogissa oli hyvä kooste TMG:n dokumentaatiosta jota löytyy Technetistä. Vaikka Technetissä on esim. laitevaatimukset, kannattaa tuota tuoteryhmän blogia myös seurata, siitä esimerkkinä viesti, jossa käyttäjämääriin suhteuttuja suosituksia. On vaan nuo käyttäjämäärät sellaisia, että PK-sektorille eivät juuri osu... UAG:n dokumentaatio on myös saatu Technetiin. Vielä kun tulisivat nuo dokumentit saataville myös Word-muodossa lukukokemuksen ja offline-käytettävyyden parantamiseksi, niin hyvä.
 
Aika usein tulee kursseilla näytettyä Network Monitor 3:a, joka useimmille asiantuntijoille tuntuu olevan uusi tuttavuus. TMG:stä on ensi kuussa tulossa Microsoft Pressin kirja, Forefront TMG 2010 Administrator’s Companion, ja nyt olivat laittaneet tarjolle kaksi kappaletta (+sisällysluettelon). Näistä kappaleista jälkimmäinen käsittelee Network Monitorin kolmoversiota TMG:n vianselvityksen apuna. Tuo on kuitenkin sen verran geneerinen asia, että parinkymmenen sivun kappaleen voi lukaista ja samalla nähdä muutamia esimerkkejä siitä, kuinka TMG:n muutamassa skenaariossa työkalua hyödynnetään. Lisäinfoa löytyy Network Monitorin tuoteryhmän blogista. Ja kuulemma joillekin Wireshark on sitten tutumpi... Loistavana esimerkkinä Adrian Dimcev:in blogi, jossa hän käy läpi ISA/TMG-juttuja jokseenkin seikkaperäisesti :)
Posted at 7:11 by Mika Seitsonen | Permalink | Email this Post | Comments (0)

18.12.2009

UAG 2010 testiversio vihdoin ladattavana
Microsoft julkisti pari viikkoa sitten Forefront -tuoteperheen kaksi "verkon reunan" tuotetta: Threat Management Gateway (TMG) 2010 ja Unified Access Gateway (UAG) 2010. Tuolloin kerrottiin, että UAG menisi tuotantoon kuun puolessa välissä ja aika liki onnistuivat :) Testiversio tuli tänään ladattavaksi ja lopullisen version pitäisi olla Volume License -sivustolla tammikuun alussa. TMG:n osalta kävi samoin eli ns. evaluation-versio tuli ensin ladattavaksi ja muutama viikko myöhemmin tuote tuli myös MSDN, Technet ja VL-sivustoille.
 
TMG on ISA Server 2006:n uusi versio ja UAG puolestaan korvaa IAG:n (Intelligent Application Gateway) 2007:n.
 
UAG:stä lyhyt kuvaus esim.: http://isaserver.org/tutorials/Microsoft-Forefront-UAG-Overview-Microsoft-Forefront-UAG.html. UAG:n asennuksessa asentuu TMG, joka ei kuitenkaan ole tuettu kaikissa skenaarioissa.
 
UAG:n käyttöönottoa kannattaa harkita erityisesti DirectAccess-käyttöönoton yhteydessä, mutta myös muissa julkaisuissa (exim. Exchange ja Sharepoint).
 
 
Posted at 15:30 by Mika Seitsonen | Permalink | Email this Post | Comments (1)

6.11.2009

Varmennepalvelulle staattinen portti
Kb-artikkeli 832017 kertoo varmenne (sertifikaatti) palvelun käyttävän RPC-portin 135 lisäksi dynaamisia yläportteja. Joskus voi olla tarvetta rajoittaa liikenne esim. palomuurista johtuen staattiseen porttiin. Tämä onnistui vielä Windows Server 2003 -varmennepalvelimessa suoraan, mutta Windows Server 2008/R2:ssa DCOM:in käyttöoikeuksia joutuu muuttamaan rekisteristä ennen kuin muutoksen pääsee tekemään.
Posted at 7:55 by Mika Seitsonen | Permalink | Email this Post | Comments (1)

20.11.2008

Miltä kuulostaisi sähköposti ilman roskapostia?
Kuluneen viikon aikana olen itpro.fi sähköpostissani saanut nauttia erinomaisen hiljaisesta roskapostiliikenteestä. ITviikon uutisessa viitataan CERT-FI kirjoitukseen Roskapostin määrä notkahti merkittävästi jossa arvioidaan jopa kahteen kolmasosaan "normaalista". Henkilökohtaiset kokemukseni ovat jopa 1/6 osaan tippunut roskapostin määrä joka vaikuttaa positiivisesti ylläpitäjän ja postin lukijan jokapäiväiseen elämään ja suojaukseen käytettyihin resursseihin. Aika paljon vaikutusta on siis yhden toimijan palveluiden blokkaamisella ja botnetverkkojen isännän yhteyksien loppumisella.
 
Miettikää millainen maailma olisi ilman roskapostia ja loputtomalta tuntuvaa torjuntaa?
Posted at 20:42 by Petri Ala-Annala | Permalink | Email this Post | Comments (1)

15.11.2008

WPA TKIP suojattujen langattomien verkkojen liitokset narisevat
Viime ja tällä viikolla on käyty vilkasta keskustelua WPA suojauksen murentumisesta tai ainakin uusia tutkimusalueita ja murtovektoreita on löytynyt. Saksalaiset opiskelijat julkistivat viime viikolla tutkimustuloksia WEP ja WPA suojauksien heikkouksista, joka löytyy täältä: Practical attacks against WEP and WPA.
 
WPA on laajalti käytössä, ja vaikka suoranaista, automatisoitua hyökäystä ei ole vielä olemassa, on ko. tutkimus avannus uusia tapoja hyökätä WPA ja TKIP salattua langatonta liikennettä vasten, hyödyntäen ARP protokollan heikkouksia. Tämä mahdollistaa IP liikenteen uudelleenassosioinnin eri langattomaan sovittimeen tai verkkoon suhteellisen helposti.
 
WPA ja AES sekä hyvät jaetut salasanat (yli 20 merkkiä, vahvoja salasanoja tai lauseita, jotka eivät helpolla brute forcella avaudu) suojaavat edelleen langattomia verkkoja - WPA2, AES ja varmenteet ovat vahvemmissa yritysverkoissa tavoittelun arvoisia lujuutensa vuoksi.
Posted at 19:59 by Petri Ala-Annala | Permalink | Email this Post | Comments (2)

26.9.2007

ISA Server -päivityksiä
Sekä ISA Server 2004 että 2006 -versioiden konfiguraation tarkistustyökalu ISA Server Best Practice Analyzerin versio 5.5 tuli saataville heinäkuussa. Tuotteessa nyt mukana mm. BPA2Visio, jolla saa luotua Visiolla kaavion oman ISA-palvelimen yhteyksistä ja verkoista.
 
ISA Server 2004 SP3 tuli jo kesän kynnyksellä saataville ja samaa toiminnallisuutta (mm. Exchange Server 2007 -palveluiden julkaisu) sisältävä ISA Server 2006 Supportability Update tuli vihdoin tarjolle pari viikkoa sitten. Molemmissa on korjausten lisäksi mm. seuraavia parannuksia:
  • Parannuksia ISA Server hallintakonsoliin
    • Troubleshooting-noodi
  • Parantunut lokien seuranta
    • Eri tyyppisten lokitapahtumien näyttäminen väreillä
  • Parannettu lokien suodatus
    • Tallennettavat suodattimet
  • Diagnostiikkalokien keräys
    • Yli 200 uutta tapahtumaa
    • Keräys Event Viewerin uuteen lokiin
ISA Server 2006 -päivityspaketista tarkemmin kb-artikkelissa http://support.microsoft.com/kb/939455.
Posted at 21:50 by Mika Seitsonen | Permalink | Email this Post | Comments (2)

20.2.2007

Intelligent Application Gateway 2007 ja Demonstration Toolkit
Kuten jo syksyllä oli arvattavissa, Microsoft julkaisi helmikuussa Whale Communicationin SSL VPN ratkaisun integroituna ISA 2006, ja nimesi uuden tuotteet nimellä Intelligent Application Gateway 2007.
 
Pari päivää sitten julkaistiin varsin tuhti (jopa 1Gb!) ja teknisesti monipuolinen virtuaalinen demoympäristö nimeltä Forefront Edge Security and Access Demonstration Toolkit mukana on 9 virtuaalikonetta ja 4 erilaista käyttöskenaariota, jotka kannattaa ajaa VPC2007 päällä ; )

Etäkäyttö ja IAG 007
• SSL VPN
• Politiikkapohjainen etäkäyttö
• Tietoturvan hallinta holistisesti

Turvallinen etäkäyttö ja ISA Server 2006
ISA Server 2006 käyttö Antigen for Exchange, Antigen for SharePoint ja Windows Rights Management Services käyttö suojauksessa
• HTML lomaketunnistus
• Kertakirjautuminen
• SSL siltaus

Sivukonttorin tietoturva ja ISA Server 2006
Windows Server 2003 R2 ja ISA 2006 tehokkaassa tietoliikenteen käytössä
• HTTP pakkaus(ISA)
• BITS Cachetus (ISA)
• DiffServ priorisointi (ISA)
• Distributed File System Replication (R2)
• Remote Differential Compression (R2)

Turvallisempi Internetkäyttö ja ISA Server 2006
• Sovellustason sisällöntarkistus
• IDS/IPS piirteet
Posted at 21:27 by Petri Ala-Annala | Permalink | Email this Post | Comments (2)

8.2.2007

Tietokoneen tutkinnan perusteet
Tietokoneiden tutkinta tulee haastavammaksi päivä päivältä, tietoa ja liikennettä salataan ja salauksien vahvuuksia sekä valtuutuksia tiukennetaan. Perinteisiä, vapaita ohjeita ovat mm.
Forensic Examination of Digital Evidence: A Guide for Law Enforcement by the National Institute of Justice, an agency of the U.S. Department of Justice.
Guide to Integrating Forensic Techniques into Incident Response PDF document by the National Institute of Standards and Technology.
• "RFC3227 - Guidelines for Evidence Collection and Archiving" by D. Brezinski and T. Killalea.
 
Tammikuun puolivälissä Microsoft julkaisi oman ohjeensa Fundamental Computer Investigation Guide For Windows, Windowsin tutkinnan perusteista, jossa käytetään runsaasti syksyllä hankitun Sysinternalsin työkaluja. Muutaman sivun yhteenveto on tasokas ja perusteisiin sekä työkaluihin pureutuva yhteenveto. Todellinen fanaatikkohan skannaa tarkistussummat koneestaan tasaiseen tahtiin vaikka File Checksum Integrity Verifier (FCIV) työkalulla.
 
USB-tikkujen ja DVD asemien aikana erilaiset LiveCDt ovat varsinkin Linux jakeluissa tuttuja, ja Windows puolellekin saatavilla on jopa BartPEtä (tai itseasiassa siitä johdettuna) nerokkaampi ja monipuolisempi paketointi eli Reatogo-X-PE Boot CD. Suostittelen kokeilemaan USB tukea ja pluginseja.
Posted at 9:29 by Petri Ala-Annala | Permalink | Email this Post | Comments (1)

2.2.2007

RDC 6.0 ladattavissa suomenkielisenä
Posted at 15:15 by Petri Ala-Annala | Permalink | Email this Post | Comments (2)

26.12.2006

RDC 6.0 parantaa tietoturvaa ja käytettävyyttä
Uusittu RemoteDesktopClient eli RDC aka RDP client aka TerminalServerClient 6.0 toimii hyvin myös XP/WS2003 ympäristöissä ja uusia ominaisuuksia voi hyödyntää vaikkei Vistoja tai Longhorneja olisikaan tuotannossa. Parannukset graafisiin siirto-ominaisuuksiin (mm. täysi värituki, ja moninäyttötuki) sekä tunnistuksen logiikkaparannukset (esim. Client autentikoi ennen graafisen yhteyden avaamista) voivat olla kriittisen tarpeellisia jossain etäyhteystilanteissa joita käytetään enenevässä määrin.
 
Englanninkielinen versio on ladattavissa ja suomenkielinenkin on aikanaan tulossa. Asennusohjelma ei anna asentaa clientteja ristiin vaikka eri versioiden binääreitäkin pystyy ajamaan samassa koneessa, esim. muistitikulta.
 
Tunnistuksen työasema- ja palvelinpuolen parannukset
Kirjautumisikkunan Vista väritys viittaa uusien ominaisuuksien linkittymiseen myös tuleviin päivityksiin, muuten tähän ei ole tullut muutoksia, mutta avattuna
uusi Client kertookin ettei käyttäjätunnuksia tai salasanoja enää pystykään kirjoittamaan RDP Clientiin, vaan ne kysytään yhteyttä avattaessa. Nämä muutokset ovat aiheuttaneet eniten keskustelua ja edes-takaisin vääntöä onko muutos hyvä. Itse ole tyytyväinen muutokseen, sillä yhteysiin on usein tallennettu turhankin vahvoja salasanoja.
Nyt kirjautumisen toimialue\käyttäjätunnus sekä salasanat kysytään käyttäjän työasemassa, jonka jälkeen ne siirretään avattavaan RDP sessioon. Aiemmilla versioilla pystyi ilman mitään käyttäjätunnistusta avaamaan yhteyden ja esim. kirjautumisikkunaa vatkaamalla nostamaan prosessikuormaa tai kokeilemaan kirjautumista sekä tarkastelmaan mahdollisia toimialuetietoja.
 
Vaikka tällä hetkellä WS2003 palvelin ei kykene estämään vanhojen RDP clienttien yhteydenottoja, tulevat versiot tähän varmasti kykenevät, siirtymäaikana hyötyjen erot ovat kiinni käyttäjästä.
 
WS2003 SP1/R2 -palvelimen RDP-yhteyden asetuksissa voi salaustasoksi voidaan valita joko RDP tai Negotiate, jolloin TLS 1.0 käytetään, jos Client sitä tukee. (Kiitos Mika)
Kuvassa WS2003 sp1 client, palvelimen tunnistusvaihtoehdot.
 
Lisäasetukset tuovatkin päivitetyt ja aukikirjoitetut määritykset tunnistukselle, jolloin Client voi hylätä yhteydenmuodotukset ellei palvelin pysty vahvistamaan identiteettiään varmenteella. Uutena ko. välilehdellä on Longhornin TerminalServices Gateway palvelu, joka käytännössä mahdollistaa RDP over HTTPS yhteydet. Eli vakio 3389 TCP protokollan SSL putkeen siirtämisen, joka usein on auki sisäänpäin liikennöitäessä palomuureissa.
 
Luonnollisesti kehitys tullee olemaan sellainen että ISA palomuureilla pystytyään terminoimaan ja avaamaan ko. putkitus ja tarkistamaan mahdollisesti tunnistustiedot ennen TS yhteyksien avaamisia sekä RDP protokollan oikeellisuus sovellustasolla.
 
Kuvassa vielä TS Gatewayn tunnistusvaihtoehdot.
 
Käytettävyyden parannukset
Tietoturvan lisäksi hyviä ja kaivattujan parannuksia on tullut myös graafisiin ominaisuuksiin. 32-bittinen värituki takaa paremman kokemuksen etäyhteyksissä.
Mielenkiintoisin uusi ominaisuus ei löydy kumminkaan graafisesta käyttöliittymästä vaan komennon mstsc /span takaa, vaivan kuten aikanaan console 0 sessiokin löytyi vain mstsc /console komennolta Clienttia ajettaessa.
Avautuva RDP Client ei näytä aluksi mitenkään erovan normaalista mutta komento mahdollistaa moninäyttötuen käyttämisen eli jos käytössäsi on vaikkapa kaksi näyttöä samalla resoluutiolla ja vierekkäin aseteltuna on lopputulos hämästyttävän loistava.
Tuki on rajoitettu 4096 x 2048 pikselin kokoon, joten näyttöjä voi olla enemmänkin, kunhan ruudut ovat identtisiä ja rinnakkain.
 
Kannattaa kokeilla ja testata uusia ominaisuuksia "vanhassakin" ympäristössäkin.
Posted at 1:27 by Petri Ala-Annala | Permalink | Email this Post | Comments (311)
1 - 10 Next

 Jäsenet
Ala-AnnalaPetri
BergiusHeikki
ErikssonJarkko
FlinckAntti
HeinäaroTapio
KoskinenTero-Jukka
LundbergJonas
PerälampiJussi

 ‭(Hidden)‬ Toiminnot

 Linkit
  ISA Server tuoteryhmän blogi
  Windows Vistan tietoturvablogi
  F-Secure Labran WebBlog
  Steve Rileyn blogi
  Jesper Johanssonin blogi