La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurisation de la connexion à Internet avec ISA Server 2000 Stanislas Quastana – Consultant Microsoft Consulting Services.

Présentations similaires


Présentation au sujet: "Sécurisation de la connexion à Internet avec ISA Server 2000 Stanislas Quastana – Consultant Microsoft Consulting Services."— Transcription de la présentation:

1 Sécurisation de la connexion à Internet avec ISA Server 2000 Stanislas Quastana – Consultant Microsoft Consulting Services

2 Agenda Partie 1 : Présentation générale ISA Server 2000 Feature Pack 1 (10 minutes) Partie 2 : Sécuriser laccès vers Internet depuis les réseaux locaux pour les utilisateurs de lentreprise (25 minutes) Partie 3 : protection des serveurs et des réseaux dentreprise vis-à-vis dInternet. Exemple avec Exchange Server (45 minutes) Questions / Réponses (10 minutes)

3 Partie 1 : Présentation ISA Server Pare-feu niveaux 3,4 & 7 –Barrière entre le réseau Internet et le réseau de lentreprise –Protection des serveurs visibles depuis Internet (serveur Web, de messagerie…) –Filtrage dynamique des paquets –Analyse applicative des flux –Fonctions daudit et de détection dintrusion 4- ISA Server 2000 est bien plus quun simple proxy web !!! –Certes, il optimise la bande passante avec ses mécanismes de mise en cache –Mais : Ce nest pas Proxy Server 3.0 ! 3- Contrôle du contenu –Restriction daccès à des sites web –Restriction daccès à des contenus (http, smtp…) 2- Proxy applicatif –Passerelle filtrant les communications entre les réseaux internes & externes –Contrôle des protocoles à laide de règles granulaires permettant un suivi de lutilisation de la connexion Internet

4 Beaucoup plus que Proxy Server 3.0 Véritable Firewall niveau 7 Support transparent de tous les clients et serveurs Intégration Active Directory Stratégies dEnterprise / de groupes Publication de serveurs Filtres applications extensibles Filtre SMTP Démultiplication de flux media Passerelle H.323 Interface dadministration MMC Task Pads, assistants Administration à distance Ne nécessite pas IIS (nest pas une application ISAPI comme Proxy Server 2.0) Nouveau mode de stockage du cache (RAM + disque) Téléchargement de contenu planifiable Intégration VPN Détection dintrusion Double saut SSL Alertes configurables Journaux: plusieurs formats, sélection des champs Génération de rapports intégré Contrôle de bande passante (QoS) Nouvelles APIs Installation modulaire …

5 Microsoft ISA Server 2000 Laccès Internet sécurisé et rapide Les ressources de lentreprise des attaques et intrusions via un pare- feu multicouches certifié ICSA, Common Criteria EAL2 Les temps daccès à linformation et la bande passante utilisée via un cache haute performance Laccès à Internet et au réseau interne via une gestion centralisée des stratégies. Intégration parfaite avec Windows 2000 / 2003 Protéger Optimiser Administrer Adapter Adapter Le produit aux besoins spécifiques via un kit de développement (SDK) et des produits compagnons

6 ISA Server Feature Pack 1 Sécurisation des serveurs Web et Exchange Outlook Web Access Sécurisation des serveurs de messagerie Mise en œuvre facilité pour les administrateurs Extension des fonctionnalités du filtre SMTP Extension des fonctionnalités du filtre RPC Exchange (RPC = Remote Procedure Call) Filtrage applicatif des requêtes Http en mode publication (Reverse Proxy) avec URLScan 2.5 Support de l'authentification Web pour RSA SecurID Support de la délégation d'authentification basique et RSA SecurID Assistant de publication pour Outlook Web Access Assistant de configuration du filtre RPC Translation des URLS en mode publication (Reverse Proxy) pour la redirection des requêtes vers des sites internes Le Feature Pack 1 pour ISA Server 2000 apporte une sécurité accrue par rapport aux pare-feu traditionnels pour le déploiement des serveurs de messagerie et des serveurs Web.

7 Architecture ISA Server 2000 Client Proxy HTTP Client Secure NAT Client ISA Firewall Service Web Proxy ServiceFirewall Filtre WEB Filtrage des paquets Filtre tierce partie Filtre Streaming Filtre SMTP Filtre H.323 Filtre FTP Cache PiloteNAT RedirecteurHTTP Internet

8 Partie 2 - Sécuriser laccès vers Internet des utilisateurs internes

9 Les besoins des entreprises connectées vus par ladministrateur « Je veux contrôler les protocoles réseaux utilisés par mes utilisateurs » « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure Windows (domaines NT, Active Directory) » « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux » « Je veux quInternet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »

10 Requête refusée Oui Non Oui Non Oui Non Oui Non Évaluation de la stratégie avec ISA Server 2000 Récupérer lobjet Router vers un serveur upstream Requête client interne Y a t-il une règle Protocole qui autorise Ia requête ? Y a-t-il une règle Protocole qui interdise Ia requête ? Y a t-il une règle Site et Contenu qui autorise Ia requête ? Y a t-il une règle Site et Contenu qui interdise Ia requête ? Y a t-il un filtre de paquet IP qui interdise Ia requête ? Est-ce quune règle de routage spécifie un serveur upstream ?

11 Stratégie daccès & Règles Une stratégie daccès = des règles de protocoles + des règles de sites & contenu + des filtres de paquets IP. Ces règles se construisent à partir des éléments de stratégie disponibles : – Destination(s): domaine(s), adresse(s) IP – Planning(s) – Action(s) – Client(s): utilisateur(s)/groupe(s) ou adresse(s) IP – Type(s) de contenu HTTP (mime) – Type(s) de protocole – Bande passante utilisable – Connexion(s) utilisables

12 Permet le filtrage des requêtes liées aux protocoles http et https Le filtrage se fait en fonction de –La destination: adresse IP (ou plage) ou noms de domaines et chemins –Le planning –Lorigine: (utilisateur/groupe ou adresse IP) –Le type de contenu: (extension de fichiers ou type MIME) Types de filtres –Autoriser –Bloquer Par défaut, tout accès est bloqué (Secure by default) Règles de site et contenu

13

14 Les différents types de clients Client SecureNAT –Nom bizarre : ne nécessite pas de logiciel client ou de configuration spéciale –Géré par le service Firewall Les requêtes HTTP peuvent être redirigées vers le service Web Proxy si le redirecteur est activé Client Firewall –Géré par le service Firewall Les requêtes HTTP peuvent être redirigées vers le service Web Proxy si le redirecteur est activé Client Web proxy –Géré par le service Web Proxy Exemple de client Web proxy : Internet Explorer

15 Authentification Client Proxy Web Authentification dépendante du navigateur et de lOS. Client Firewall Authentification basée sur les crédentiels Windows Client SecureNAT Pas dauthentification basée sur lutilisateur. Serveur ISA

16 Résolution DNS Web proxy client –ISA Server soccupe de la requête DNS Client SecureNAT –Doit avoir accès à un serveur DNS – ISA Server ne va pas « proxyser » les requêtes DNS Firewall client –ISA Server ou le client font la requête DNS ISA Server Dépend des paramètres du fichiers de configuration MSPCLNT.INI

17 Tableau récapitulatif Service Pare-feuService Web proxy

18 Création de règles de protocoles pour différents groupes dutilisateurs Création de règles de sites et de contenu pour différents profils dutilisateurs. Démonstration

19

20 Partie 3 - protection des serveurs et des réseaux dentreprise vis-à-vis dInternet La problématique des pare-feu traditionnels Le besoin des pare-feu niveau applicatifs (niveau 7) Le modèle ISA Server : pare-feu multicouches La détection dintrusion ISA Server : la publication de serveur la publication Web Exemple avec Exchange Server –Publication Web : protection dOutlook Web Access (OWA) –Publication de serveur : RPC sur Internet et SMTP

21 Le problème Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques daujourdhui ! Les pare-feu traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourdhui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, openssl/Slapper…). Les ports et protocoles ne suffisent plus à contrôler ce que font les utilisateurs –Hier, les port 80 et 443 était utilisées pour surfer sur le Web –Aujourdhui, ces ports sont utilisés pour la navigation sur le Web, les Webmail, les messageries instantanées, les Web Services, les logiciels P2P…

22 Internet Vers réseau interne Firewall niveau Application Firewall traditionnel Les Firewalls niveau Application Sont nécessaires pour se protéger des attaques daujourdhui… …, ils permettent une analyse approfondie du contenu des paquets réseaux… …car comprendre ce quil y a dans le Payload est désormais un pré requis

23 Filtrage de paquets & stateful inspection Filtrage au niveau de la couche application (analyse approfondie du contenu) Architecture proxy avancée Produit évolutif et extensible –Plus de 30 partenaires ISA Server = pare-feu multi couches Un des meilleurs pare-feu pour les environnements Microsoft.

24 Détection dintrusion

25 Publication de serveur 1.Le paquet arrive sur linterface externe SADR = client Règle pour créer une socket sur linterface externe 2.Le Payload est extrait (et analysé si un filtre applicatif est présent) 3.Le nouveau paquet est créé sur linterface interne numéro de séquence différent 4.Rajout dun nouvel entête IP, le paquet est envoyé SADR = client (également possible : SADR = IP interne ISA) Internet ISA Server Serveur publié IPnppayld IPnppayldIPnppayld

26 Publication de plusieurs serveurs Rappel : socket = {IPAddr, port, protocol} Différents protocoles –Peuvent utiliser la même adresse IP externe; les numéros de ports seront différents –{IPAddr, port1, protA} {IPAddr, port2, protB} Les mêmes protocoles –Nécessite des adresses IP externes supplémentaires; les numéros de port sont les mêmes –{IPAddr1, port, protA} {IPAddr2, port, protA}

27 Publication Web (http/https) 1.Le paquet arrives sur linterface externe SADR = client Le listener crée une socket sur linterface externe 2.Le Payload est extrait 4.Le nouveau paquet est créé sur linterface interne numéro de séquence différent 5. Un nouvel entête IP est ajouté. Le paquet est envoyé SADR = adresse IP interne dISA Server 3.LURL est examinée pour déterminer la destination. Le contenu est analysé. Internet ISA Server Serveur Web publié IPnppayld IPnppayldIPnppayld URL

28 URLScan 2.5 pour ISA Server Permet de filtrer les requêtes Web (http et https) entrantes selon des règles définies Améliore la protection des attaques basées sur des requêtes web: –Présentant des actions non usuelles (ex: appel dun.exe) –Contenant un grand nombre de caractères (pour Buffer Overflow) –Encodées avec des caractères alternatifs Peut être utilisé en conjonction de linspection SSL pour détecter les attaques au dessus de SSL

29 Web server ISA Server Internet clientclient Client demande au serveur Web laccès à du contenu protégé ISA Server transmet les crédentiels au serveur protégé ou OWA Délégation de lauthentification Pour lauthentification basique et SecurID Lauthentification se déroule sur ISA Server –Élimine les multiples boîtes de dialogues dauthentification –Seul le trafic autorisé passe ISA Server –Utilisable par règle de publication Web ISA Server pré-authentifie les utilisateurs et journalise leur activité

30 Publication Web & SSL Gestion du SSL Trois options 1.Passthrough ou tunneling 2.Terminaison 3.Regénération Les options 2 and 3 font références à une fonctionnalité appelé Bridging

31 Gestion du SSL Passthrough (Publication de serveur) Internet ISAServer Serveurpublié IPnppayldIPnppayldIPnppayld La charge utile reste chiffrée Aucune analyse du contenu ici Peut être utilisé si la politique favorise la confidentialité par rapport à linspection

32 Gestion du SSL Terminaison (Publication Web) Internet ISAServer Serveurpublié IPnppayldIPnppayldIPnppayld La charge utile est déchiffrée Lanalyse du contenu est donc possible Utilisée si la politique privilégie linpection Non sécurisé: données non chiffrées dans le réseau interne

33 Gestion du SSL Regénération (Publication Web) Internet ISAServer Serveurpublié IPnppayldIPnppayldIPnppayld La charge utile est déchiffrée Lanalyse du contenu est possible Utilisée si la politique privilégie linpection La charge utile est re-chiffrée Sécurisé: données chiffrées même dans le réseau interne

34 Stratégie daccès – Filtrage de paquets Les filtres de paquets permettent dautoriser les trafics depuis ou à destination des interfaces externes Ils sont indépendants des règles de protocoles et des règles de publication Ce filtrage de paquet doit toujours être activé pour protéger le serveur ISA. Le paramétrage par défaut –Bloque tout sauf… –…certaines requêtes ICMP, et les requêtes DNS sortantes

35 Exemple de publication de site Web : Outlook Web Access Accès universel car : –Tous les ordinateurs disposent dun navigateur Web –Interface familière aux utilisateurs –OWA 2003 ressemble à Outlook 2003 Contraintes de sécurité –HTTPS est le protocole Détection dintrusion? Conforme à la politique sécurité de messagerie? –OWA 2000 ne propose pas de timeout de session Corrigé avec OWA 2003

36 Architecture classique OWA Bon points –Distinction entre les protocoles utilisés vers le front End et vers le Back End - Segmentation et protection des réseaux Mauvais points –Tunnel HTTPS traversant le pare- feu externe : pas dinspection HTTPS est LE protocole universel pour outrepasser et traverser les pare-feu !!! –Nombreux ports ouverts, sur le pare-feu interne, car nécessaire pour lauthentification –Connexion initiale sur OWA possible en anonyme ExBE AD OWA Pare-feu traditionnel traditionnelexterne Pare-feuinterne Internet

37 Améliorer la sécurité dOWA Objectifs de sécurité –Inspecter le trafic SSL –Maintenir la confidentialité –Vérifier la conformité des requêtes HTTP –Autoriser uniquement la construction et le traitement dURL connues Bloquer les attaques par URLs Optionnel –Pré authentifier les connections entrantes

38 Protéger OWA avec ISA – mécanismes (1/2) ISA Server devient le bastion host –Le service Web proxy termine toutes les connexions –Déchiffrer HTTPS –Inspecte le contenu –Inspecte lURL (avec URLScan) Optionnel –Ré encrypte pour envoyer au serveur OWA OWA ISA Server Exchange AD x36dj23s2oipn49v

39 Protéger OWA avec ISA – mécanismes (2/2) Authentification facile avec Active Directory Pré authentification –ISA Server demande à lutilisateur ses crédentiels –Vérifie auprès de lActive Directory (ou du domaine NT) –Encapsule les informations dans lentête HTTP à destination dOWA Évite une seconde saisie ! –Nécessite ISA FP1 OWA ISA Server Exchange AD Internet

40 Le traffic inspecté peut être envoyé au serveur interne re-chiffré ou en clair. URLScan for ISA Server URLScan pour ISA Server peut stopper les attaques Web à la bordure du réseau, même pour celles chiffrées avec SSL Protéger Outlook Web Access Firewall Traditionnel OWAOWA clientclient Le serveur OWA demande une authentification tout utilisateur Internet peut accéder à cet invite SSLSSL Le tunnel SSL traverse le firewall traditionnel car le flux est chiffré… …ce qui permet au virus et aux vers de traverser sans être détectés… …et dinfecter les serveurs internes! Délégation de lauthentification basique ISA Server pré-authentifie les utilisateurs, éliminant les boîtes de dialogues multiples et autorise uniquement le trafic valide URLScan pour ISA Server SSL ou HTTP SSLSSL ISA Server peut déchiffrer et inspecter le trafic SSL InternetInternet ISA Server avec Feature Pack 1

41 Démonstration : publication OWA

42 Exchange RPC sur Internet Mais pourquoi ??? –Beaucoup dutilisateurs souhaitent ou ont besoin dutiliser lensemble des fonctionnalités dOutlook : Produits tiers additionnels Synchronisation de la boîte au lettres Règles côté client Carnet dadresses complet –La solution VPN est souvent trop coûteuse si il faut satisfaire uniquement ce besoin

43 Serveur RPC (Exchange) Client RPC (Outlook) ServiceUUIDPort Exchange{ …4402 Réplication AD{ …3544 MMC{ …9233 Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table RPC Exchange - Concepts135/tcp Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connait lUUID du service quil souhaite utiliser { …} Le client accède à lapplication via le port reçu Le client demande quel port est associé à lUUID ? Le serveur fait correspondre lUUID avec le port courant… 4402 Le portmapper répond avec le port et met fin à la connexion 4402/tcp Du fait de la nature aléatoire des ports utilisés par les RPC, limplémentation est difficile via Internet –Lensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnels

44 Attaques RPC potentielles Reconnaissance –NETSTAT –RPCDump Denis de service contre le portmapper Elévation de privilèges ou attaques sur dautres services Blaster !!!!!

45 Les RPC à nu sur Internet Bons points –Facile à mettre en oeuvre Mauvais points –Facile à compromettre! –Le pare-feu doit autoriser tous les trafics sur les ports élevés –Le pare-feu traditionnel ne peut distinguer ce qui est du trafic Exchange et ce qui nen est pas. Aucune protection contre RPCDump par exemple Internet Exchange Firewalltraditionnel

46 Fixer les ports RPC Bons points –Toujours facile à implémenter –Ouverture limitée de ports sur le pare-feu 135/tcp + 3 ports élevés Mauvais points –Toujours facile à attaquer Ne stoppe pas les attaques décrites précédemment –Le pare-feu ne peut toujours pas distinguer ce qui est du trafic Exchange et ce qui nen est pas Internet Exchange Firewalltraditionnel

47 Assistant filtre RPC Accès granulaire aux services RPC 2 méthodes supplémentaires de création des définitions des services RPC peuvent être utilisés dans les règles de publication –Lassistant énumère les services disponibles sur un serveur –Les UUIDs peuvent aussi être saisis manuellement ISA Server: ISA Server avec Feature Pack 1:

48 Exchange Server Outlook ISA Server Internet Filtre RPC Exchange Filtre RPC Exchange pour ISA Server Seul le port 135 est ouvert (Portmapper) –Les ports élevés sont ouverts et fermés quand cest nécessaire pour les clients Outlook –Inspection au niveau de la couche application du trafic portmapper Seuls lUUID Exchange est autorisé

49 Exchange Server OutlookOutlook RPCRPC Réseau interne Réseau interne Réseau externe Réseau externe Filtre RPC Exchange Impose un chiffrement RPC –Le chiffrement des RPC Outlook est imposé de manière centralisée Permet également des connexions sortantes RPC –Les clients Outlook derrière ISA Server peuvent désormais accéder à des serveurs Exchange externes ISA Server avec le Feature Pack 1

50 Protection contre les attaques RPC Reconnaissance? –NETSTAT net montre que 135/tcp –RPCDump ne fonctionne pas simplement DoS contre le portmapper? –Les attaques connues échouent –Les attaques qui fonctionnent laissent Exchange protégé Attaques de service sur Exchange? –Lobtention dinformation nest plus possible –Les connexions entre ISA Server et Exchange vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées Oui!

51 Protection du service SMTP : le filtre SMTP Utilise les capacités de filtrage applicatif de ISA Server Filtre les messages avec une fiabilité et une sécurité accrue en fonction de plusieurs attributs –Expéditeur –Domaine –Mots clé –Pièces jointes (extension, nom, taille) –Commandes SMTP (y compris taille)

52 Filtre SMTP

53 Rappel sur une architecture typique ExFESMTP ExBEAD Internet

54 Nouveaux besoins, nouveau design Déplacer les serveurs critiques vers lintérieur pour une meilleure protection Ajouter ISA Server à votre DMZ existante Augmenter la sécurité en publiant: –OWA sur HTTPS –RPC Exchange –SMTP (filtre de contenu) ExFESMTP ExBEAD ISA Server Internet

55 Aucun déploiement Exchange ou IIS nest complet sans la protection dISA Server! Evaluer –La sécurité de votre architecture Exchange et/ou de vos serveurs Internet –ISA Server Version dévaluation disponible gratuitement sur Télécharger le Feature Pack 1 dISA Server Intègrer ISA 2000 dans vos architectures en place Utiliser les nouvelles sécurités pare-feu conçues pour aider à protéger Exchange Server et IIS Que pouvez-vous faire aujourdhui ?

56 Questions / Réponses

57 Pour aller plus loin… Informations générales: Pare-feu: Certification ICSA ors/microsoft/index.shtml ors/microsoft/index.shtml Pare-feu : Certification Common Criteria Evaluation Assurance Level 2 (EAL 2) ncrit.asp ncrit.asp Produits complémentaires: Sites partenaires:

58


Télécharger ppt "Sécurisation de la connexion à Internet avec ISA Server 2000 Stanislas Quastana – Consultant Microsoft Consulting Services."

Présentations similaires


Annonces Google