Christophe Dubos Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004

Agenda Introduction ISA Server Scénarii d’utilisation Pare-feu de périphérie Protection des applications et réseaux internes Accès sécurisé à Internet Réseaux multi sites Questions & Réponses

Les fonctionnalités du produit à des besoins spécifiques via un SDK et une offre de produits compagnons riche Les temps d’accès à l’information et la bande passante utilisée via un cache haute performance L’accès à Internet et au ressources interne via la mise en œuvre centralisée de stratégies Les ressources de l’entreprise des attaques et intrusions via un pare-feu permettant le filtrage applicatif Microsoft ISA Server 2004 Protéger, Contrôler, Optimiser et Etendre Contrôler Optimiser Protéger Etendre

Scenarii de mise en oeuvre Pare feu de périphérie Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies d’accès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec Tunnel Mode

Agenda Introduction ISA Server Scénarii d’utilisation Pare-feu de périphérie Protection des applications et réseaux internes Accès sécurisé à Internet Réseaux multi sites Questions & Réponses

Tableau de bord de supervision Visualisation des journaux temps réel Assistant de définition des relations entre les différents réseaux Support de scénario complexes Stratégie de sécurité Pare-feu/VPN unifiée Import-export de configuration (XML) Nombre de réseaux illimité Stratégie de filtrage et d’accès (routage/translation) définie par réseau Topologies réseau type Editeur de stratégies Architecture multi réseau Outils de diagnostique ISA Server 2004 Facilité de mise en oeuvre et d’administration

DMZ 1 Réseau A Le VPN comme réseau à part entière Modèle réseau ISA Server 2004 DMZ 2 Réseau B RéseauVPN Nombre de réseaux non limité Type d’accès NAT/Routage spécifique à chaque réseau Isolation de la machine pare feu Stratégie de filtrage par réseau

Permet une mise en œuvre initiale plus simple ISA Server 2004 Interface utilisateur - Configuration réseau

Autoriser Interdire Réseau(x) Adresse(s) IP Machine(s) Réseau(x) Adresse(s) IP Site(s) Protocole IP Port(s) TCP/UDP Serveur publié Site Web publié Planning Filtre applicatif action sur trafic de source vers destination pour utilisateur avec conditions Utilisateur(s) Groupe(s) Les stratégies ISA Server 2004

Un seul ensemble de règles Définition de l’ordre d’évaluation des règles Support des configurations multi réseau Intégration avec le filtrage applicatif Définition au sein de chaque règle Des règles système pour la configuration initiale Masquées par défaut Un ensemble de composants riche Machines (groupes), Plages d’adresses IP, Sous réseaux, URL (groupes), Noms de domaines (groupes) Protocoles, Types de contenus (MIME) Plannings Utilisateurs (groupes) Les stratégies ISA Server 2004

Vision globale de la configuration ISA Server 2004 Interface utilisateur - Stratégies

ISA Server 2004 Interface utilisateur - Ergonomie et richesse Tableau de bord Boite à outils et liste de taches contextuelles Modèles de configuration réseau Création/édition des règles via Drag & Drop Assistants Tableau de bord Stratégies Boite à outils Config réseau Liste de taches

Intégration de l’ensemble des fonctionnalités de supervision AlertesSessions Etat des services Etats Test de connectivité JournauxPerformances ISA Server 2004 Interface utilisateur - Tableau de bord/supervision

Vision globale du fonctionnement ISA Server 2004 Interface utilisateur - Tableau de bord/supervision

Accès interactif aux journaux ISA Server 2004 Interface utilisateur - Visualisation des journaux

Les erreurs de configuration sont la principale cause de mise en défaut des pare-feux L’utilisation d’assistants permet de réduire le risque d’erreur L’utilisation du mécanisme d’Import/Export permet Un passage simple et sans risque d’erreur des plates- formes de test aux plates-formes de production Un retour rapide et sur à une configuration précédente en cas de problème ISA Server 2004 Interface utilisateur - Assistants et Import/Export

Agenda Introduction ISA Server Scénarii d’utilisation Pare-feu de périphérie Protection des applications et réseaux internes Accès sécurisé à Internet Réseaux multi sites Questions & Réponses

RADIUS et RSA SecurID Délégation d’authentification Filtre applicatif RPC (MAPI et autres) Sécurité Outlook Web Access accrue Méthodes: POST, HEAD... Signatures: mots clés ou chaînes de caractères dans URL, En-tête, Corps Filtres applicatifs HTTP et SMTP Stratégies riches et flexibles Protection des serveurs de messagerie Filtrage HTTP évolué Inspection de contenu avancée Authentification flexible ISA Server 2004 Protection avancée

Pare-feu Quels problèmes ? De nombreux pare feu déployés aujourd’hui… Se concentrent sur le filtrage et l’inspection de paquets en fonction du contexte (SPI) - couches OSI 3 et 4 De nombreuses attaques rencontrées aujourd’hui… Sont au niveau applicatif et déjouent ces mesures sans problèmes - couche OSI 7 Les ports et protocoles ne peuvent plus être utilisés comme garants des intentions Certains ports sont «sur utilisés» et peuvent être facilement exploités pour contourner le filtrage Port TCP 80 Hier - Web (HTTP) uniquement Port TCP 80 Aujourd’hui - Browsing Web, Web mail, Web Services XML (SOAP), HTTP-Tunnel … Le filtrage et de paquets et le SPI ne sont pas suffisants pour assurer une protection contre les attaques d’aujourd’hui !

Filtres applicatifs ISA Server 2004 Analyse du contenu Blocage / modification / redirection Filtres applicatifs pour Internet: HTTP, FTP, SMTP, POP Streaming: RTSP, MMS, PNM, H.323 DNS: Détection d’intrusions RPC: Publication de serveurs PPTP SOCKS V4 SMTP: VRFY * Serveur DNS: Attaque de zone HTTP: Encapsulation HTTP: Site interdit HTTP: Attaque/Vers Client

Des messages non désirés envahissent les réseaux d’entreprise SPAM, pièces jointes non autorisées Vers et Virus Fournir un accès externe à la messagerie complique les stratégies d’accès et compromet la sécurité L’utilisation de clients de messagerie différents ou de clients VPN en cas de mobilité accroît la complexité et réduit la productivité La configuration de la sécurité au niveau des pare-feux pour la messagerie est trop complexe Serveurs de messagerie Problématiques de sécurité

Protection des serveurs SMTP Filtre applicatif SMTP Utilise les capacités de filtrage applicatif de ISA Server Filtrage des messages avec une fiabilité et une sécurité accrue en fonction de plusieurs attributs ExpéditeurDomaine Mots clé Pièces jointes (extension, nom, taille) Commandes SMTP (y compris taille)

ServiceUUIDPortExchange{ …4402 Réplication AD { …3544 MMC{ …9233 Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table RPC Concepts 135/tcp 1. Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connait l’UUID du service qu’il souhaite utiliser { …} 5. Le client accède à l’application via le port reçu 2. Le client demande quel port est associé à l’UUID ? 3. Le serveur fait correspondre l’UUID avec le port courant… Le portmapper répond avec le port et met fin à la connexion 4402/tcp

Serveur Exchange ISA Server Seul le port TCP 135 (portmapper) est ouvert Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients Outlook en fonction des besoins Inspection du trafic vers le portmapper au niveau applicatif Seuls les UUID définis sont autorisés à l’exception de tout autre Filtre applicatif RPC Accès distant Outlook sans mise en place de VPN Client Outlook

Reconnaissance ? NETSTAT ne montre que 135/tcp RPCDump ne fonctionne pas Déni de service contre le portmapper ? Les attaques connues échouent Exchange est protégé des attaques Attaques des services de Exchange ? L’obtention d’information n’est plus possible Les connexions entre ISA Server et Exchange vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées Oui! Oui! Oui! Filtre applicatif RPC Protection contre les attaques

Filtre Applicatif HTTP Protection des serveurs Web Filtre les requêtes en fonction d’un ensemble de règles Permet de se protéger contre les phases de reconnaissance ou attaques Récupération de bannière Navigation dans les arborescences Commandes HTTP spécifiques Nombre important de caractères dans les en-tête ou le corps des messages Encodage spécifique Peut être utilisé en conjonction avec l’inspection de SSL pour détecter les attaques sur SSL

Contrôler l’encapsulation HTTP P2P IM … ISA Server 2004 Il n’y a pas si longtemps, les applications utilisaient des ports fixes Et votre pare-feu pouvait bloquer ses ports Et tout allait pour le mieux... Puis les applications ont utilisé l’encapsulation dans HTTP Pare-feu couches 3 et 4 Et votre pare-feu ne peut plus les bloquer ISA Server 2004 permet de contrôler et de filtrer les applications utilisant l’encapsulation HTTP

Le protocole HTTP Filtrage en fonction du contenu de l’en-tête POST HTTP/1.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: MSMSGS Host: Proxy-Connection: Keep-Alive Connection: Keep-Alive Pragma: no-cache Content-Type: application/x-msn-messenger Content-Length: 7

Il faut être capable d’aller au delà des informations disponibles au sein des en-têtes Ex: Yahoo IM utilise l’en-tête User Agent: Mozilla 4.01 ISA permet de définir des signatures basées sur le contenu des en-têtes HTTP et le corps des messages Le protocole HTTP Filtrage en fonction de contenu du corps

isa.internal.microsoft.com Permet la consolidation de multiples sites derrière une identité commune Permet de protéger les sites publiés Seule l’URL (FQDN & répertoire) publiée est accessible Filtrage applicatif HTTP La redirection du host header permet de co-héberger des sites /isaserver/ / / Publication de sites Web Reverse Proxy ISA Server

Link translator Facilite la publication des sites intranet Traduction des hyperlinks au sein des réponses Noms des ordinateurs Intranet vers ceux des ordinateurs disponibles sur Internet HTTPHTTPS; SharePoint Portal Server ISA Server Serveur Web ( Server WEB (int-mktg) int-mktg/ mktg.example.com/ LINK TRANSLATOR Client Requête cliente

1. Le paquet arrive sur l’interface externe Source ADR = IP client 2. Le contenu est extrait 4. Le nouveau paquet est créé sur l’interface interne numéro de séquence différent 5. Un nouvel en-tête IP est ajouté. Le paquet est envoyé SADR = adresse IP interne d’ISA Server ou IP Source ISA Server Serveur Web IPnppayld IPnppayldIPnppayld URL Publication de serveurs web 3. L’URL est examinée pour déterminer la destination. Le contenu est analysé

IPnppayldIPnppayldIPnppayld Le contenu reste chiffré Aucune analyse ne peut être réalisée Peut être utilisé si la politique favorise la confidentialité par rapport à l’inspection Tunneling SSL Passthrough Browser ISA Server Serveur

IPnppayldIPnppayldIPnppayld Bridging SSL Terminaison Le contenu est déchiffré L’analyse peut être réalisée Peut être utilisé si la politique favorise l’inspection par rapport à la confidentialité Le contenu n’est pas re-chiffré Les données ne sont pas chiffrées dans le réseau interne Browser ISA Server Serveur

IPnppayldIPnppayldIPnppayld Le contenu est déchiffré L’analyse peut être réalisée Peut être utilisé si la politique favorise l’inspection par rapport à la confidentialité Le contenu est re-chiffré Les données sont chiffrées dans le réseau interne Bridging SSL Régénération Browser ISA Server Serveur

Agenda Introduction ISA Server Scénarii d’utilisation Pare-feu de périphérie Protection des applications et réseaux internes Accès sécurisé à Internet Réseaux multi sites Questions & Réponses

Délégation d’administration Listes de tâches contextuelles Flexibilité accrue des règles (filtrage HTTP sur toutes les règles) Exécutables: blocage téléchargement En fonction de la destination, du type de contenu et du type de protocole HTTP/HTTPS Intégration des moteurs de Pare-feu et de Proxy HTTP Performances accrues Contrôle d’accès plus riche Contrôle de la mise en cache plus fine Optimisation de l’architecture Administration ISA Server 2004 Fonctionnalité de Proxy et de Cache intégrées

Contrôler l’accès à Internet Objectifs Définition de stratégies d’accès permettant De limiter les usages abusifs De protéger d’un point de vue légal et sécurité Contrôler l’accès aux services via authentification

Contrôler l’accès à Internet Fonctionnalités Filtrage évolué, permettant de définir une stratégie d’accès en fonction Du type de protocole: FTP, HTTP, HTTPS De la destination: liste des domaines, URLs, adresses IP Du type de contenu: MIME, extensions Des personnes: utilisateurs, groupes Intégration avec le module de reporting

Optimisation des accès à Internet Réduction des temps d’accès Réduction de la bande passante consommée Optimiser l’accès à Internet Objectifs

Cache évolué Cache en RAM: contenu le plus utilisé stocké en RAM Téléchargement pro actif de contenu avant expiration Gestion de la mise en cache en fonction de la destination Téléchargement de contenu planifiable Cache distribué Cache Array Routing Protocol (CARP) Cache hiérarchique et routage Optimiser l’accès à Internet Fonctionnalités

HTTP et mise en cache des objets En têtes utilisés pour contrôler la mise en cache Cache-Control: no-cache, public, private, must-revalidate, proxy-revalidate Pragma: nocache, www- authenticate ou set cookie En têtes utilisés pour contrôler la durée de vie des objets age: max-age et s-maxage: date:expires: Response Code HTTP/ OK Headers Server: … Date: … Contenu

Agenda Introduction ISA Server Scénarii d’utilisation Pare-feu de périphérie Protection des applications et réseaux internes Accès sécurisé à Internet Réseaux multi sites Questions & Réponses

Service de Quarantaine IPsec Tunnel Mode L2TP/IPSec Définies de manière centralisée dans Active Directory Filtrage Pare-feu et VPN unifié VPN site à site Intégration avec les stratégies d’accès Intégration complète du VPN Contrôle de la configuration des clients ISA Server 2004 Intégration du VPN

Architectures VPN Séparation FW - VPN Intégration FW - VPN Passerelle VPN Ce qu’il ne faut pas faire Ce qu’il faut faire

ISA Server 2004 Intégration FW - VPN Publication des serveurs VPN PPTP NAT-T L2TP/IPSec Gestion dynamique des réseaux Clients VPN Clients VPN Clients VPN en quarantaine Stratégies d’accès applicables à ces réseaux « virtuels » Mise en quarantaine Accès VPN pour des clients sûrs (AV, patch…) Sinon, comment les sécuriser !

Support de IPSec tunnel mode Support du service de quarantaine ISA Server 2004 Intégration du VPN

ISA Server 2004 Service de quarantaine Réseaux Internes Clients VPN DMZ Clients VPN en Quarantaine Lors de la connexion initiale, les clients VPN sont automatiquement placés sur le réseau « Clients VPN en quarantaine » Une fois la vérification d’intégrité passée, les clients VPN sont alors placés sur le réseau « Clients VPN »

Client :Connexion Serveur: Ajouté au réseau de Quarantaine Client :Lance les scripts de vérification de la sécurité Client: Sécurisé? Client :Envoi “Clear Quarantine” au serveur Serveur: déplace le client vers le réseau “VPN clients” Client : Notifie l’utilisateur qu’une correction doit être effectuée Yes No ISA Server 2004 Algorithme de quarantaine

Un pare-feu plus riche Support d’un grand nombre de scénarii Pare-feu VPN, Proxy & Cache Un pare-feu plus simple à mettre en oeuvre Installation et configuration via assistants Configuration intuitive des stratégies Réduction du risque d’erreurs de configuration Un pare-feu offrant une protection au niveau applicatif Filtres applicatifs Défense en profondeur En résumé… Microsoft ISA Server Bénéfices

Agenda Introduction ISA Server Scénarii d’utilisation Pare-feu de périphérie Protection des applications et réseaux internes Accès sécurisé à Internet Réseaux multi sites Questions & Réponses