Responsables EPSI’LAB EPSI Arras 3ème Année

Slides:



Advertisements
Présentations similaires
3/25/2017 1:04 AM Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP Architecte Infrastructure.
Advertisements

Rick Claus Conseiller professionnel en TI Microsoft Canada Rodney Buike Conseillère professionnelle en TI Microsoft Canada
Les protocoles réseau.
Page d accueil.
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Hygiène de la messagerie chez Microsoft
ForeFront Edge Protection: ISA Server 2006
Protection du réseau périphérique avec ISA 2004
Stanislas Quastana Microsoft France - Consultant
3/26/2017 3:55 PM Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Architecte Infrastructure Microsoft.
Botnet, défense en profondeur
Protection de Exchange Server 2003
Protection contre les attaques applicatives avec ISA Server
Sécurisation de la connexion à Internet avec ISA Server 2000
Une solution personnalisable et extensible
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
- Couche 7 - Couche application. Sommaire 1)Introduction 1)DNS 1)FTP et TFTP 1)HTTP 1)SNMP 1)SMTP 1)Telnet.
Firewall sous Linux Netfilter / iptables.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
DIAS PEREIRA Maxime & AIMEUR Amar vous présentent
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels
Exposé : Prise de contrôle à distance
INF4420: Éléments de Sécurité Informatique
SECURITE DU SYSTEME D’INFORMATION (SSI)
Forefront Threat Management Gateway
Amélioration de la sécurité des données à l'aide de SQL Server 2005
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Applications Chapitre B17 et C18
INTRANET au service du système d’information
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Mise en place d'un serveur SSL
Les relations clients - serveurs
802.1x Audric PODMILSAK 13 janvier 2009.
Module 3 : Création d'un domaine Windows 2000
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Novembre – Décembre 2005 Version Conclusion État de lart de la sécurité informatique Auteurs : Stéphan GUIDARINI – Consultant Senior Sébastien DESSE.
1 Micro Informatique au Cellier Joseph HOHN vidéogramme séance 3 du 29 février 2012 deuxième partie principe de fonctionnement de lInternet.
Christophe Dubos Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Mise en œuvre de la sécurité de votre périmètre et de votre réseau
Expose sur « logiciel teamviewer »
Jean-Luc Archimbaud CNRS/UREC
Institut Supérieur d’Informatique
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Application de la cryptologie Sécurisations des réseaux Wi-Fi.
Introduction à la sécurité des interconnexions Internet
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
Développement d’application Web.  Internet  WWW  Client/Serveur  HTTP.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
Module 3 : Création d'un domaine Windows 2000
Portail Tech Digora présentation février 2011.
22 Retour d’expérience sur le ver Conficker 8 février 2010 Jean Gautier Security Support Engineer Microsoft France.
IPSec Formation.
Sécurité : Architecture et Firewall
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
ANNEE SCOLAIRE 2005 / FONCTIONNEMENT DU RESEAU DU COLLEGE Tous les ordinateurs du collèges, portables et fixes sont dans un réseau. Cela signifie.
Pare-feu applicatif contre les attaques internes et externes
Introduction aux outils de supervision
V- Identification des ordinateurs sur le réseau
Comprendre le Catalogue de Données Métier Utiliser le Catalogue de Données Métier Développer avec le Catalogue de Données Métier Conclusion.
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
1 Démo SoftGrid. Le Séquenceur SoftGrid Utilisation d’un « packageur » SoftGrid Possibilité de “séquencer” en ligne de commande (CLI) Existence d’outils.
Damien Caro Architecte Infrastructure
9 février 2010 Enrique Ruiz Mateos Architecte avant-vente Microsoft
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Transcription de la présentation:

Responsables EPSI’LAB EPSI Arras 3ème Année epsilab@epsi.fr 4/13/2017 4:23 PM EPSILAB0602: Protéger son réseau : filtrage applicatif avec ISA Server 2004 Arnaud LHEUREUX Vincent MAKOWSKI Responsables EPSI’LAB EPSI Arras 3ème Année epsilab@epsi.fr Culminis Alliance EMEA Member Organization © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sécurité de mon réseau ?

La sécurité … commençons par le début 

Agenda Introduction Présentation d’ISA Server 2004 Protection des accès sortants Protections des accès entrants Protections des réseaux internes et VPN Synthèse Ressources utiles Questions / Réponses

Introduction

Quelques chiffres 95% de toutes les failles évitables avec une configuration alternative (CERT 2002) Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group) Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp) De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)

Impact sur les entreprises 4/13/2017 4:23 PM Impact sur les entreprises Attaques au niveau de la couche application Implications Usurpation d’identité Site web défiguré Accès non autorisés Modification des données et journaux Vol d’informations propriétaire Interruption de service Mise en conformité ISO 17799 Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US) Litiges Partage de fichiers illicites Piratage Responsabilités juridiques des entreprises et des RSSI En France le RSSI a obligation de moyens © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Défense en profondeur Défenses du périmètre Défenses du réseau 4/13/2017 4:23 PM Défense en profondeur L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures. Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche  La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure Les pare-feu sont un élément de protection du périmètre et du réseau Défenses du périmètre Défenses du réseau Défenses des machines Défenses des applications Données et Ressources Sécurité physique Politiques de sécurité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Un paquet IP vu par un pare-feu « traditionnel » 4/13/2017 4:23 PM Un paquet IP vu par un pare-feu « traditionnel » Seul l’entête du paquet est analysé Le contenu au niveau de la couche application est comme une “boite noire” IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content ???????????????????????????????????????? La décision de laisser passer est basée sur les numéros de ports Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80) Internet Trafic HTTP attendu Trafic HTTP non prévu Attaques Trafic non-HTTP Réseau d’entreprise © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Top 10 des attaques : 80% d’attaques au niveau de la couche 7 (2004) 4/13/2017 4:23 PM Top 10 des attaques : 80% d’attaques au niveau de la couche 7 (2004) SQL Server DCOM RPC SMTP HTTP Top attacks (source : Symantec Corporation) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Top 10 des attaques : 50% d’attaques au niveau de la couche 7 (2005) 4/13/2017 4:23 PM Top 10 des attaques : 50% d’attaques au niveau de la couche 7 (2005) SMTP SQL Server SMTP HTTP SMTP Top attacks Healthcare Industry Jan-Juin 2005(source : Symantec Corporation) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/13/2017 4:23 PM Le problème Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : Code Red & Nimda sur les serveurs IIS 4 et 5 OpenSSL/Slapper Blaster, Welchia sur le RPC Endpoint Mapper de Windows Slammer sur les serveurs SQL (ou MSDE) Santy-A sur les forums phpBB (Linux et Windows) Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Web Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateurs OPenSSL/Slapper http://www.kb.cert.org/vuls/id/102795 Versions of OpenSSL servers prior to 0.9.6e and pre-release version 0.9.7-beta2 contain a remotely exploitable buffer overflow vulnerability. This vulnerability can be exploited by a client using a malformed key during the handshake process with an SSL server connection using the SSLv2 communication process Source : Symantec (Tread Report VII) Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pare-feu niveau Application Pare-feu traditionnel 4/13/2017 4:23 PM Quel pare-feu utiliser ? Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux. Comprendre ce qu’il y a dans la partie données est désormais un pré requis Néanmoins, le remplacement n’est pas forcément la meilleure solution Réseau public Pare-feu niveau Application Pare-feu traditionnel Vers réseau interne, DMZ, … © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Présentation d’ISA Server 2004

ISA Server 2004 en quelques mots 2ème génération de pare-feu de Microsoft Pare-feu multicouches (3,4 et 7) Capacité de filtrage extensible Proxy applicatif Nouvelle architecture Intégration des fonctionnalités de VPN

La vue d’un paquet IP par ISA 4/13/2017 4:23 PM La vue d’un paquet IP par ISA Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP) Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Les décisions de laisser passer sont basées sur le contenu Seul le trafic légitime et autorisé est traité Internet Trafic HTTP Attendu Trafic HTTP non attendu Attacks Trafic non HTTP Réseau d’entreprise © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture d’ISA Server 2004 Packet layer filtering 1 Protocol layer filtering 2 Application layer filtering 3 Kernel mode data pump: Performance optimization 4 Policy Store Policy Engine Web filter Web filter Web Proxy Filter Web Filter API (ISAPI) SMTP Filter RPC Filter DNS Filter App Filter Application Filter API Firewall service User Mode Firewall Engine TCP/IP Stack Kernel Mode NDIS

Les filtres d’ISA Server 2004 Filtres applicatifs FTP : permet de bloquer les envois SMTP : gestion des commandes et filtrage des messages (contenu, extension, taille…) POP3 : détection d’intrusion RTSP, MMS, PNM, H.323: Streaming DNS: détection d’intrusions, transfert de zones RPC: publication de serveurs, filtrage sur les interfaces PPTP : permet la traversée de connexions VPN (Tunneling) SOCKS V4 Web Proxy : gestion de HTTP, HTTPs (filtres web…) Filtres Web Filtre HTTP : analyse du contenu des requêtes web (entêtes et données) Authentification RSA SecureID Authentification Radius Authentification OWA Web Forms Translateur de liens : réécriture d’URL

ISA Server 2004 : un produit évolutif Filtrage applicatif Haute disponibilité Antivirus Détection d’intrusion Reporting Accélérateurs SSL Contrôle d’URLs Authentification + d’une trentaine de partenaires !!! Plus de partenaires sur : http://www.microsoft.com/isaserver/partners/default.asp

Modèle réseau ISA Server 2004 Nombre de réseaux illimité Type d’accès NAT/Routage spécifique à chaque réseau Les réseaux VPN sont considérés comme des réseaux à part entière La machine ISA est considéré comme un réseau (LocalHost) Stratégie de filtrage par réseau Filtrage de paquet sur toutes les interfaces Internet VPN VPN Quarantaine DMZ_1 Local Area Network CorpNet_n ISA 2004 DMZ_n CorpNet_1 Toutes topologies / stratégies

Structure des règles de pare-feu ISA Ensemble de règles ordonnées Règles systèmes puis règles utilisateur Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment) Réseau(x) Adresse(s) IP Machine(s) Utilisateur(s) Groupe(s) Autoriser Interdire action sur traffic pour utilisateur depuis source vers destination avec conditions Réseau(x) Adresse(s) IP Machine(s) Serveur publié Site Web publié Planning Filtre applicatif Protocole IP Port(s) TCP/UDP

Scénarios de mise en œuvre d’ISA Server 2004 4/13/2017 4:23 PM Scénarios de mise en œuvre d’ISA Server 2004 Pare feu de périmètre Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies d’accès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec en mode Tunnel © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les versions d’ISA Server 2004 Édition Standard Inclus toutes les fonctionnalités de : Pare-feu (niveaux 3,4,7) Passerelle VPN Proxy cache sur un même serveur Disponible depuis Mai 2004 1 licence par processeur physique Également disponible sous la forme d’appliance Édition Entreprise Ajoute la haute disponibilité et la tolérance de panne Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes) Ajoute l’administration centralisée au niveau entreprise Disponible depuis Mars 2005 1 licence par processeur physique SBS 2003 Le Service Pack 1 de Windows 2003 Small Business Server 2003 met à jour les version Premium avec ISA Server 2004 Standard SP1 Disponible depuis Mai 2005

Disponible en appliance RimApp ROADBLOCK Firewall http://www.rimapp.com/roadblock.htm HP ProLiant DL320 Firewall/VPN/Cache Server http://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.html Network Engines NS Appliances http://www.networkengines.com/sol/nsapplianceseries.aspx Celestix Application-Layer Firewall, VPN and Caching Appliance http://www.celestix.com/products/isa/index.htm Pyramid Computer ValueServer Security 2004 http://www.pyramid.de/e/produkte/server/isa_2004.php Avantis ISAwall http://www.avantisworld.com/02_securityappliances.asp Corrent http://www.corrent.com/Products/products_sr225.html

Contrôle des accès sortants

Les besoins des entreprises connectées vus par l’administrateur « Je veux contrôler (limiter) les protocoles réseaux utilisés par mes utilisateurs » « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) » « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux » « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »

Contrôle des flux et contenus Les pare-feu permettent une grande granularité dans la définition des règles d’accès Filtrage spécifique sur un protocole Authentification des postes ou utilisateurs Certains protocoles comme HTTP, FTP ou SMTP peuvent être restreints sur le contenu (MIME, extension de fichiers, pièce jointe…) Hélas, beaucoup de ces mécanismes deviennent insuffisants/obsolètes face aux méthodes d’encapsulation…

Quand pare-feu te bloquera HTTP tu utiliseras…

Http : le protocole universel… … pour outrepasser un pare-feu ou un proxy Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode d’encapsulation des protocoles propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants : Messageries instantanées : MSN Messenger, Yahoo Messenger, ICQ… Logiciels P2P : Kazaa, Emule, Bitorrent, Exeem… Messagerie : Outlook 2003 (RPC sur HTTP)… Adware, Spyware : Gator… Chevaux de Troie

SSH/HTTP/HTTPS : La foire The Firewall UFBP SUFBP SSH VPN Remote Control 443/tcp (SUFBP) 80/tcp (UFBP) Network and Transport Layers

Protection des accès sortants Analyse HTTP (URL, entêtes, contenu…) IM P2P MS RPC… ISA Server 2004 Pare feu traditionnel HTTP, https, FTP… IM, P2P, MS RPC… HTTP IM, P2P, MS RPC… http, https, FTP Internet Client Exemples de signature d’applications : http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

Filtre applicatif HTTP Exemple de filtrage en fonction du contenu de l’en-tête POST http://64.4.1.18/gtw/gtw.dll?SessID=1 HTTP/1.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133) Host: 64.4.1.18 Proxy-Connection: Keep-Alive Connection: Keep-Alive Pragma: no-cache Content-Type: application/x-msn-messenger Content-Length: 7 Common Application Signatures http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

Démonstration : Proxy et filtre HTTP

Plus fort que http : https  4/13/2017 4:23 PM Plus fort que http : https  Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. De nombreuses logiciels utilisent déjà cette solution. Exemple : Outlook 2003 (RPC over https) Comment réduire le risque ? Limiter les accès https : utilisation de listes blanches Bloquer les requêtes dans la phase de négociation Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

DNS : un futur « standard » pour l’encapsulation ? LA question : « Est il possible pour le DNS de faire des choses plus intéressantes que la résolution de noms qualifiés en adresse IP ? » La réponse est OUI  droute: DNS Stream Router TCP Streaming over DNS Utilisable pour du Shell ou de la messagerie instantanée uniquement NSTX: Uniquement sur Linux Informations complémentaires : Attacking Distributed Systems: The DNS Case Study by Dan Kaminsky. http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Kaminsky.pdf

Contrôle des accès entrants Ressources exposées

Plateforme Web classique et risques associés 4/13/2017 4:23 PM Plateforme Web classique et risques associés 2 zones réseau (Front End et Back End) + 2 pare-feu …mais toujours des risques en cas d’absence de filtrage applicatif Le risque ici est principalement l’attaque applicative. Par exemple : injections HTML injections SQL Injections PHP …. TCP 80 (HTTP) TCP 443 (HTTPS) TCP 1433 (MS-SQL) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Augmentation des risques sur les applications Web 4/13/2017 4:23 PM Augmentation des risques sur les applications Web Augmentation des vulnérabilités documentées sur les applications Web depuis 18 mois ( Source : Symantec Corporation : http://ses.symantec.com/pdf/ThreatReportVII.pdf ) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protection des serveurs Web 4/13/2017 4:23 PM Protection des serveurs Web Filtrage avancé de HTTP Délégation d’authentification ISA pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer …ce qui permet aux attaques applicatives, virus ou autres vers de se propager sans être détectés… ISA peut déchiffrer et inspecter le trafic SSL L’analyse des URL par ISA 2004 peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL Si le serveur Web fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse HTTP (URL, contenu…) SSL SSL SSL ou HTTP Internet ISA Server 2004 Pare-feu traditionnel Web Client Certificat « Public » + sa clé privée Certificat « Privé » + sa clé privée SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… …et d’infecter les serveurs internes ! Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Démonstration : publication FTP Serveur FTP

Démonstration : publication OWA

Délégation avec ISA - Exchange Client Web access-request 401 OWA form URL RADIUS access-accept group attribs URL + basic creds form variables cookie data WinLogon token AD WinLogon URL + basic creds token ISA Server data OWA (IIS)

Protection des accès aux réseaux de l’entreprise (VPN et Locaux) Gestion des accès distants et des équipements connectés

Augmentation des risques avec le développement de la mobilité Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise Postes personnels mais connectés sur le réseau de l’entreprise Postes des intervenants externes Points d’accès Wi-fi non déclarés Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale… Connexion à des réseaux tiers « inconnus » (hot spot wifi, clients, partenaires…) Accès VPN nomades, réseaux sans fils

Les attaques viennent aussi de l’interne 4/13/2017 4:23 PM Étude et statistiques sur la sinistralité informatique en France (2002) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

4/13/2017 4:23 PM Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou Sasser. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les connexions distantes peuvent également compromettre la sécurité 4/13/2017 4:23 PM Les connexions distantes peuvent également compromettre la sécurité Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPN © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Une approche de la segmentation En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internet Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs) La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du réseau de l’entreprise en intégrant l’analyse (jusqu’au niveau de la couche application) des flux

Principes de la segmentation Classification 4/13/2017 4:23 PM Principes de la segmentation Classification Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées. Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Fonctionnement des RPC DCE Le RPC End Portmapper répond avec le port et met fin à la connexion Le client accède à l’application via le port reçu Le client demande quel port est associé à l’UUID ? Le client connaît l’UUID du service qu’il souhaite utiliser Le client se connecte au portmapper sur le serveur (port tcp 135) 135/tcp 4402/tcp Service UUID Port Exchange {12341234-1111… 4402 AD replication {01020304-4444… 3544 MMC {19283746-7777… 9233 {12341234-1111…} 4402/tcp Client RPC (ex: Outlook) Serveur RPC (ex: Exchange) Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feu L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnels Le serveur fait correspondre l’UUID avec le port courant… Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table

Attaques RPC potentielles 4/13/2017 4:23 PM Attaques RPC potentielles Reconnaissance (Fingerprinting) RPCDump RPCScan (http://www.securityfriday.com) Déni de service contre le portmapper Élévation de privilèges ou attaques sur d’autres services Ver : Blaster, Welchia BotNet : GaoBot, Spybot, Randex © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Filtrage applicatif RPC - principe 4/13/2017 4:23 PM Filtrage applicatif RPC - principe Seul le port TCP 135 (RPC End Portmapper) est ouvert Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) en fonction des besoins Inspection du trafic vers le RPC End Portmapper au niveau applicatif Seuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autre ISA Server 2004 avec filtre RPC Serveur application RPC Application cliente RPC © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Synthèse Contrôle des flux applicatifs ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les infrastructures Microsoft et non Microsoft. Un pare-feu supportant un grand nombre de scénarios Protection des flux sortants vers Internet, des serveurs exposés sur Internet, des ressources internes par segmentation, filtrage des connexions VPN. Produit extensible Nombreux filtres complémentaires disponible auprès d’éditeurs tiers. Developpement de filtres adaptés à vos besoins grâce au SDK fourni.

Ressources utiles Site Web Microsoft 4/13/2017 4:23 PM Ressources utiles Site Web Microsoft www.microsoft.com/isaserver www.microsoft.com/france/isa Webcast et séminaires TechNet (Gratuits) Sites externes www.isaserver.org www.isaserverfr.org isatools.org Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement Blogs Blogs.msdn.com/squasta Kits d’évaluation ISA Server Version d’évaluation (120 jours) CD (livres blancs et guide déploiement) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

EPSILAB DAYS 3 journées de conférences au sein des EPSI de France! Migrer vers IPv6 Sécurité TCP/IP Protéger son réseau filtrage applicatif avec ISA Server 2004 Gestion centralisée de l’environnement utilisateur avec les stratégies de groupe (Active Directory) Architecture Exchange Bordeaux – 2 février 2006 Nantes – 8 février 2006 Montpellier – 10 février 2006 Rendez vous sur www.epsilab.com ! Powered by

Votre feedback est important! Donnez nous votre avis sur les sessions auxquelles vous venez d’assister

4/13/2017 4:23 PM www.epsilab.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.