La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Microsoft ISA Server 2004: Stanislas Quastana Microsoft France - Consultant Pare-feu applicatif contre les attaques internes et externes.

Présentations similaires


Présentation au sujet: "Microsoft ISA Server 2004: Stanislas Quastana Microsoft France - Consultant Pare-feu applicatif contre les attaques internes et externes."— Transcription de la présentation:

1 Microsoft ISA Server 2004: Stanislas Quastana Microsoft France - Consultant Pare-feu applicatif contre les attaques internes et externes

2 Agenda Partie 1 : Présentation générale ISA Server 2004 (5 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (10 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (25 minutes) Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) Synthèse Questions / Réponses (10 minutes)

3 Agenda Partie 1 : Présentation générale ISA Server 2004 (5 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (10 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (25 minutes) Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) Synthèse Questions / Réponses (10 minutes)

4 ISA Server 2004 en quelques mots 2 ème génération de pare-feu Microsoft Pare-feu multicouches (3,4 et 7) Capacité de filtrage extensible Proxy applicatif Nouvelle architecture Intégration des fonctionnalités de VPN

5 Tableau de bord de supervision Visualisation des journaux temps réel Assistant de définition des relations entre les différents réseaux Support de scénarios complexes Stratégie de sécurité Pare-feu/VPN unifiée Import-export de configuration (XML) Nombre de réseaux illimité Stratégie de filtrage définie par réseau Règles de routage / NAT inter réseaux Topologies réseau type Éditeur de stratégies Architecture multi réseau Outils de diagnostique ISA Server 2004 Facilité de mise en oeuvre

6 Windows, RADIUS et RSA SecurID Délégation dauthentification Filtre applicatif RPC (MAPI et autres) Sécurité Outlook Web Access accrue Méthodes: POST, HEAD... Signatures: mots clés ou chaînes de caractères dans URL, En-tête, Corps Filtres applicatifs HTTP et SMTP Stratégies riches et flexibles Protection des serveurs de messagerie Filtrage HTTP évolué Inspection de contenu avancée Authentification flexible ISA Server 2004 Protection avancée

7 PolicyEngine NDIS TCP/IP Stack ISA Server 2004 Architecture Firewall Engine Firewallservice Firewall service Application Filter API App Filter Web Proxy Filter Web Filter API (ISAPI) Web filter Web filter User Mode Kernel Mode SMTPFilterRPCFilter DNS Filter Policy Store Packet layer filtering 1 Protocol layer filtering 2 Application layer filtering 3 Kernel mode data pump: Performance optimization 4

8 Structure des règles de pare-feu ISA Server 2004 Allow Block Source network Source IP Originating user Destination network Destination IP Destination site Protocol IP Port / Type Published server Published web site Schedule Filtering properties action on traffic from user from source to destination with conditions User Ensemble de règles ordonnées Plus logique et plus facile à comprendre (vs ISA Server 2000 notamment)

9 Agenda Partie 1 : Présentation générale ISA Server 2004 (5 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (10 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (25 minutes) Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) Synthèse Questions / Réponses (10 minutes)

10 Les besoins des entreprises connectées vus par ladministrateur « Je veux contrôler les protocoles réseaux utilisés par mes utilisateurs » « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) » « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux » « Je veux quInternet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »

11 Contrôle des protocoles ISA Server 2004 propose en standard une liste des protocoles les plus utilisés Il est possible de compléter celle-ci en créant les définitions des protocoles utilisés par vos applications. Les règles de pare-feu permette une grande granularité dans leur définition

12 Contrôle des contenus ISA Server 2004 permet de filtrer les contenus des requêtes HTTP et FTP Plusieurs catégories sont prédéfinies et peuvent être personnalisées ou complétées.

13 Filtrage applicatif : filtre HTTP Le filtre HTTP peut être défini sur toutes les règles de pare- feu qui utilisent HTTP. Les options suivantes sont disponibles: Limiter la taille maximale des entêtes (header) dans les requêtes HTTP Limiter la taille de la charge utile (payload) dans les requêtes Limiter les URLs qui peuvent être spécifiées dans une requête Bloquer les réponses qui contiennent des exécutables Windows Bloquer des méthodes HTTP spécifiques Bloquer des extensions HTTP spécifiques Bloquer des entêtes HHTP spécifiques Spécifier comment les entêtes HTTP sont retournés Spécifier comment les entêtes HTTP Via sont transmis ou retournés Bloquer des signatures HTTP spécifiques

14 Utilisation du filtre HTTP Le filtre applicatif HTTP peut être utilisé pour bloquer les applications utilisant HTTP comme méthode dencapsulation pour dautres protocoles : Messageries instantanées : MSN Messenger, Yahoo Messenger… Logiciels P2P : Kazaa, Emule… Spyware : Gator… Chevaux de Troie

15 Filtre applicatif HTTP Exemple de filtrage en fonction du contenu de len-tête POST HTTP/1.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;.NET CLR ; MSN Messenger ) Host: Proxy-Connection: Keep-Alive Connection: Keep-Alive Pragma: no-cache Content-Type: application/x-msn-messenger Content-Length: 7

16 Démonstration : utilisation du filtre applicatif HTTP

17 Agenda Partie 1 : Présentation générale ISA Server 2004 (5 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (10 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (25 minutes) Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) Synthèse Questions / Réponses (10 minutes)

18 Partie 3 - protection des serveurs et des réseaux dentreprise vis-à-vis dInternet La problématique des pare-feux traditionnels Le besoin des pare-feux niveau applicatifs (niveau 7) Le modèle ISA Server : pare-feu multicouches Quelques filtres applicatifs dISA 2004 Le filtre HTTP Le filtre SMTP Exemple avec Exchange Server Publication Web : protection dOutlook Web Access (OWA) Publication de serveur : SMTP

19 Le problème Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques daujourdhui ! Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourdhui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, openssl/Slapper…). Les ports et protocoles ne suffisent plus à contrôler ce que font les utilisateurs Hier, les port 80 et 443 était utilisées pour surfer sur le Web Aujourdhui, ces ports sont utilisés pour la navigation sur le Web, les Webmail, les messageries instantanées, les Web Services, les logiciels P2P…

20 Internet Vers réseau interne Pare-feu niveau Application Pare-feu traditionnel Les Pare-feu niveau Application Sont nécessaires pour se protéger des attaques daujourdhui… …, ils permettent une analyse approfondie du contenu des paquets réseaux… …car comprendre ce quil y a dans le Payload est désormais un pré requis

21 Filtrage de paquets & statefull inspection Filtrage au niveau de la couche application (analyse approfondie du contenu) Architecture proxy avancée Produit évolutif et extensible Partenaires certifiés sur la version bêta : ISA Server = pare-feu multi couches Un des meilleurs pare-feux pour les environnements Microsoft.

22 ISA Server 2004 Filtres applicatifs Analyse du contenu Blocage / modification / redirection Filtres applicatifs pour Internet: HTTP, FTP, SMTP, POP3 Streaming: RTSP, MMS, PNM, H.323 DNS: Détection dintrusions, transfert de zones RPC: Publication de serveurs, filtrage sur les UUIDs PPTP SOCKS V4 SMTP: VRFY * Serveur HTTP: Virus HTTP: Site interdit HTTP: Attaque/Vers Client DNS: Attaque de zone

23 ISA Server 2004 Protection des serveurs Web - Filtre applicatif HTTP Filtre les requêtes entrantes en fonction dun ensemble de règles Permet de se protéger des attaques qui Demandent des actions inhabituelles Comportent un nombre important de caractères Sont encodés avec un jeu de caractères spécifique Peut être utilisé en conjonction avec linspection de SSL pour détecter les attaques sur SSL

24 Protection des serveurs OWA Pare-feu traditionnel OWA Client Le serveur OWA fait une demande dauthentification - tout utilisateur sur Internet peut accéder à cette demande SSLSSL SSL passe au travers des pare- feu traditionnels sans contrôle du fait du chiffrement… …ce qui permet aux virus et aux vers de se propager sans être détectés… …et dinfecter les serveurs internes ! ISA Server Délégation dauthentification Basic ISA Server pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et nautorise que le trafic valide à passer URLScan pour ISA Server SSL or HTTP SSLSSL ISA Server peut déchiffrer et inspecter le trafic SSL Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. Analyse URL par ISA Server Lanalyse des URL par ISA Server peut stopper les attaques Web au périmètre du réseau, y compris en cas dutilisation de SSL Internet

25 Démonstration Publication dExchange 2003 – Outlook Web Access

26 Filtre applicatif SMTP ISA intercepte tout le trafic SMTP (Simple Mail Transfert Protocol) qui arrive sur le port 25 sur le serveur ISA. Le filtre SMTP accepte le trafic, lanalyse et le retransmet au vrai serveur SMTP publié uniquement si la règle de pare-feu lautorise. Enregistrement des mails bloqués : Si une commande SMTP est bloquée car elle viole une des conditions imposées par le filtre SMTP, le message bloqué est loggué. Cette journalisation nest effective que si lalerte SMTP Filter Event est activée (par défaut : désactivée)

27 Configuration du filtre SMTP

28 Agenda Partie 1 : Présentation générale ISA Server 2004 (5 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (10 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (25 minutes) Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) Synthèse Questions / Réponses (10 minutes)

29 Les attaques viennent aussi de linterne Étude et statistiques sur la sinistralité informatique en France (2002)

30 Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle Le meilleur exemple est la propagation dun ver comme Blaster (exploitation dune faille RPC) ou Sasser.

31 Fonctionnement des RPC DCE Serveur RPC (ex: Exchange) Client RPC (ex: Outlook) ServiceUUIDPortExchange{ …4402 AD replication { …3544 MMC{ …9233 Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table 135/tcp Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connaît lUUID du service quil souhaite utiliser { …} Le client accède à lapplication via le port reçu Le client demande quel port est associé à lUUID ? Le serveur fait correspondre lUUID avec le port courant… 4402/tcp Le RPC End Portmapper répond avec le port et met fin à la connexion 4402/tcp Du fait de la nature aléatoire des ports utilisés par les RPC, limplémentation et le filtrage des RPC est difficile sur la majorité des pare-feu Lensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnels

32 Attaques RPC potentielles Reconnaissance / Fingerprinting NETSTATRPCDump RPCScan (http://www.securityfriday.com) Déni de service contre le portmapper Élévation de privilèges ou attaques sur dautres services Blaster !!!!!

33 Serveur application RPC ISA Server Seul le port TCP 135 (RPC End Portmapper) est ouvert Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) en fonction des besoins Inspection du trafic vers le RPC End Portmapper au niveau applicatif Seuls les UUIDs de lapplication RPC sont autorisés à lexception de tout autre ISA Server 2004 Filtre applicatif RPC Application cliente RPC

34 Démonstration : Filtrage RPC Scan RPC (utilisation de RPCScan)

35 Protection contre les attaques RPC Reconnaissance? NETSTAT net montre que 135/tcp RPCDump, RPCScan ne fonctionnent pas simplement DoS contre le portmapper? Les attaques connues échouent Les attaques qui fonctionnent laissent Exchange, AD protégés Attaques de service sur Exchange, AD…? Lobtention dinformation nest plus possible Les connexions entre ISA Server et les applications RPC vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées Oui! Oui! Oui!

36 Agenda Partie 1 : Présentation générale ISA Server 2004 (5 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (10 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (25 minutes) Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) Synthèse Questions / Réponses (10 minutes)

37 En résumé ISA 2004 pour protéger vos ressources Un pare-feu qui permettant de concevoir un grand nombre de scénarii Protection des flux sortant vers Internet Protection des serveurs exposés sur Interne Protection des ressources internes par segmentation et filtrage applicatif … Défense en profondeur Analyse aux couches 3,4 et 7 Nombreux filtres applicatifs inclus en standard (HTTP, RPC, SMTP, DNS…) Nombreux filtres complémentaires disponible auprès déditeurs tiers Produit extensible adaptable à vos besoins De nouveaux filtres prévus dans des futures Feature Packs: XML, …

38 Agenda Partie 1 : Présentation générale ISA Server 2004 (5 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (10 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (20 minutes) Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) Synthèse Questions / Réponses (10 minutes)

39 Questions / Réponses

40


Télécharger ppt "Microsoft ISA Server 2004: Stanislas Quastana Microsoft France - Consultant Pare-feu applicatif contre les attaques internes et externes."

Présentations similaires


Annonces Google