Mobile Anwendungen und starke Authentifizierung { Terminalservices, sicher! }

1. Mobile Anwendungen und starke Authentifizierung{Terminalservices, sicher!} Thorsten Rood PrincipalArchitect, MCITP, MCSE-M/-S, CCIA net.workers AG (Controlware Gruppe)

2. Sichere mobile AnwendungenAgenda

3. Sichere mobile AnwendungenEine typische Konstellation Hr. Schneider, Vertriebsleiter DirektkundengeschäftDie Aufgabe: Zugriff auf neues CRM-Modul für Vertriebsaußen-dienst und freie Makler binnen einer 1 Woche (#350 Benutzer) Hr. Barnes, Leiter der NetzwerkabteilungWeb 2.0 Verfechter/Enthusiast,Keine VPN-Anbindung für unbekannte Endgeräte Fr. Piepenbrink, Leiterin Benutzerservice und IT-Logistik Keine Strategie für Softwarebereitstellung an Heimarbeitsplätzen, Versorgung der Firmen-Laptops benötigt Vorlauf und Zeit Hr. Scott, Sicherheitsbeauftragter im Konzernstab Das ist mehr als nur OWA: keine Replikation vertraulicher Kundendaten auf entfernte Systeme, starke Authentifizierung für den Zugriff auf Konzerneigentum

4. Sichere mobile AnwendungenDer Interessenkonflikt • Kurze Reaktionszeiten, hohe Erwartungshaltung (SOA) • Häufige Anwendungsaktualisierungen (Updates) • Systemvoraussetzungen (Rüstkosten) • Netzlastige Client-/Serverprotokolle (Bandbreite) • Funktional begrenzte Web-Benutzerschnittstellen • Replizierte vertrauliche Daten (Diebstahl, Komplexität) • Schwache Benutzerkennwörter und Richtlinien • Freie Gerätewahl (Laptops, Heimarbeitsplätze, Kooperationsrechner, öffentliche Terminals) • Branchenspezifische formale Anforderungen Hr. Klein, Anwendungs- und Infrastrukturexperte Terminalservices sind erwachsen geworden: Mit WS08 können wir alle Grundfunktionen in wenigen Tagen realisieren – mit Bordmitteln!

5. Sichere mobile AnwendungenGrobarchitektur: Der Weg zum Ziel Funktionalität Integrität Mobilität Authentizität ad-hoc Bereitstellung Schutz

6. {Zweifaktoren-Authentifizierung } Schritt 1

7. Zweifaktoren-AuthentifizierungEinführung • Starke eindeutige Identifikation • Kombination aus Besitz und Wissen • Beide Faktoren nur zusammen nutzbar • Erlaubt schwache Windows-Anmeldeinformationen, wenn als Primärschutz eingesetzt • Beispiele • Bankkarten (Magnetstreifen & PIN) • Smartcard (Chip & PIN) • USB-Token („Smartcard über USB“ & PIN) • Schlüsselanhänger, PDA-Software(Eigenständige HW & PIN) • Keine Voraussetzungen für das Endgerät! • Hybride Produktlösungen

8. Zweifaktoren-AuthentifizierungEinmalpassworte (Einführung) • Wählbare Geräte-PIN in Benutzerbesitz • Gerätespezifische Tokencode-Sequenz • Einmalpasswort (OTP): Verkettung vonPIN und Tokencode2741 + 467132 = 2741467132 • Jedes OTP verfällt nach Authentifizierung • Jeder Tokencode verfällt bei Anmeldeversuch • Zentraler Serverdienst entscheidetüber Benutzer, Token(code)s und PINs

9. Zweifaktoren-AuthentifizierungEinmalpassworte (Implementierung) • Verschiedene Patentgrundlagen • Integrationsvoraussetzungen • RADIUS-Schnittstelle (100% aller Hersteller) • RSA SecurID „New PIN“ und „Next Token“ erfordert API-Konformität

10. {Windows Server 2008 Terminaldienste } Schritt 2

11. WS08 TerminaldiensteErweiterte Funktionen der Plattform

12. WS08 TerminaldiensteErweiterte Funktionen der Plattform LDAP https IE &RDP 6.x WMI DC TSWA RDP TLS TS-Farm TSG Last-verteiler TSSD Internet Perimeter Backbone

13. WS08 TerminaldiensteLastverteilung • Farmlogik • Kernbestandteil der Terminalservices • Integrierte Wartungsfunktion • Keine Enterprise Serverlizenzen erforderlich • Kein NLB erforderlich • Hardware-Unterstützung optional • Sitzungsverzeichnis speichert nun Serverlasten und getrennte Verbindungen

14. WS08 TerminaldiensteRemote App • Umgebender Desktop entfällt • Intuitive Benutzerführung bei „Rich Client“ • Größendynamische, verschiebbare Fenster • Infobereich • TS Easy Print (treiberloses Drucken,alle clientseitigen Sonderfunktionen) • Desktop Composition Support (Areo) für Vista • Anwendungsliste für MSI und TSWA

15. WS08 TerminaldiensteRemote App Gestern Heute RDP≤5.2 RDP6.1 Terminal-server

16. WS08 TerminaldiensteTS Web Access (TSWA) • IIS7: dynamische Anwendungsliste(ASP.NET Webpart) • Grundsicherheit • Standard https Verschlüsselung • Windows Authentifizierung • Kein Download von .rdp Dateien(Instanziierung durch JavaScript) • Signierter .rdp Inhalt (vertrauenswürdige, unmodifizierte Parametrisierung) • Startet direkt die Remotedesktopverbindung • Desktop-Zugriffsszenario frei anpassbar

17. WS08 TerminaldiensteTS Web Access (TSWA)

18. WS08 TerminaldiensteTS Gateway (TSG) • IIS7 PlugIn: TLS-Verschlüsselung für Remotedesktopverbindung • RDP-über-https • Weiterentwicklung der „Outlook Anywhere“- Architektur • Standardprotokoll und Port • Keine statische öffentliche IP erforderlich • Verbindungs- und Ressourcenrichtlinien • NAP-Prüfung optional • Erlaubt Zugang zu mehreren Terminalservern,-farmen und PC-Desktops über eine einzigeIP-Adresse

19. WS08 TerminaldiensteTS Gateway (TSG) Bei öffentlichen Clients SoH ggf. sparsam einsetzen! Connection AuthorizationPolicy  SoH (NAP) Authentifizierungstyp Geräteumleitung  Benutzerausschlüsse Clientausschlüsse RpcProxy.dll IIS7 ResourceAuthoritzationPolicy Benutzerausschlüsse Serverausschlüsse Ports TSG Terminal-server

20. {ISA Server 2006 (Forefront Edge) } Schritt 3

21. ISA Server 2006Webveröffentlichung • Vollständige http(s) Behandlung auf Layer 7 • Geht weit über NAT/PAT hinaus: „Reverse Proxying“ • Komplexe Protokollprüfung auf Ebene von URL, Methode und Inhalt • Automatische Hyperlink-Anpassung: einzelne externe Hostadresse für den Zugriff auf verteilte interne Webdienste im Backend • SSL-Terminierung und/oder -Überbrückung, Kostenreduktion bei öffentlichen Zertifikaten • Erlaubt den Umzug von Domänenmitgliedern aus dem Perimeter (TSWA und TSG) in das Backbone

22. ISA Server 2006Webveröffentlichung /* WSS/SPS www.meinefirma.de /ts/*/rpc/* TSWA/TSG Client /owa/*/public/*/exchange/*/exchweb/* ISA Filter: http(s) Überbrückung, Inhalt, Methode, Pfad, … MSX Perimeter/Backbone Internet

23. ISA Server 2006Authentifizierung (Forms) • Identitätsprüfung vor Inhaltszugriff • Drittanbieteroptionen: LDAP, RADIUS, OTP-RADIUSund nativ RSA SecurID • Individuelle Anpassung des Anmelde-Layout möglich • Nur eine einzige anonyme URL: CookieAuth.dll • Alle relevanten Anfragen werden vom ISA geprüft • Identitätserzwingung am Backend ermöglicht SSO („Credentialdelegation“) • Verifikation des Benutzerstatus über temporären Cookie • ISA Hotfix 933869 erlaubt skriptbasierten Zugriff auf Cookie („RDP ActiveX in bridgedscenarios“)cscript DisableHttpOnlyAuthCookies.vbs /WebListener:NameofWebListener /Value:False

24. ISA Server 2006Authentifizierung (Forms) RADIUS/RSA DC 1 2 4 CookieAuth.dll Cookie-Prüfung, Identitäts-erzwingung Anfrage 3 Client ISA TSWA Perimeter/Backbone Internet

25. {Wie allesineinander greift… } Systemlösung

26. Sichere mobile AnwendungenArchitektur Auch WS03 möglich RADIUS/LDAP LDAP DC & IAS LDAP https/RPC-over-https https/TLS WMI/RDP RPC Client ISA TSWA/TSGTSSD TS-Farm Backbone Internet

27. Sichere mobile AnwendungenLeistungsmerkmale der Systemlösung • Härtung • Strenge Begrenzung der zulässigen http(s) Anfragen • Kein direkter Zugriff mehr auf TSWA und insbesondere TSG (unterstützt keine 3rd-Party Authentifizierung) • Sicherheit • Zugang nur mit OTP und Domänenanmeldung • Keine zusätzlichen Domänenmitgliedsserver im Perimeter-Bereich • Nebeneffekt: ein Perimeternetzwerk ist nicht mehr zwingend erforderlich • Ergonomie und Funktion • Inline-Login im TSWA-Stil, keine Anmeldedialogboxen • Anwendungszugriff von Systemen mit RDP 6.1 Client ohne Vorbereitungen • Nebeneffekt: auch OWA nun OTP-befähigt

28. {Wie allesineinander greift…} Demo Thorsten Rood Principal Architect net.workers AG

29. Sichere mobile AnwendungenMaterialien • Whitepaper: Einmalpasswortschutz für WS08-TSWA http://www.lonewolf-productions.de/specials/TSWA-OTP.pdf • ISA Server 2006 form: Inline Anmeldung für WS08-TSWA http://www.lonewolf-productions.de/specials/TSWA-OTP.zip • WS08: TS Session Broker Lastverteilung http://technet2.microsoft.com/windowsserver2008/en/library/f9fe9c74-77f5-4bba-a6b9-433d823bbfbd1033.mspx • WS08: TS Remote App…/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx • WS08: TS Einrichtung von NLB…/library/6e3fc3a6-ef42-41cf-afed-602a60f562001033.mspx • ISA2K6: skriptbasierter Zugriff auf Cookies http://support.microsoft.com/kb/933718http://support.microsoft.com/kb/933869http://msdn2.microsoft.com/en-us/library/ms533046.aspxhttp://msdn2.microsoft.com/en-us/library/aa384710.aspx • Kontaktmailto:thorsten@rood.cc / mailto:rood@networkers.de

30. {Was nochnicht gesagt wurde…} Fragen? Bitte! Thorsten Rood Principal Architect net.workers AG

31. Danke! Thorsten Rood Principal Architect net.workers AG

32. Windows Server 2008weitere Ressourcen • Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx • Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx • Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx • Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx

33. AsktheExperts Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

34. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.