3/26/2017 3:55 PM Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Architecte Infrastructure Microsoft.

Slides:



Advertisements
Présentations similaires
3/25/2017 1:04 AM Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP Architecte Infrastructure.
Advertisements

Rick Claus Conseiller professionnel en TI Microsoft Canada Rodney Buike Conseillère professionnelle en TI Microsoft Canada
L’Essentiel sur… La sécurité de la VoIP
Sécurisez votre information Quelle sécurité pour votre cabinet comptable?
Hygiène de la messagerie chez Microsoft
ForeFront Edge Protection: ISA Server 2006
Protection du réseau périphérique avec ISA 2004
Stanislas Quastana Microsoft France - Consultant
Botnet, défense en profondeur
Protection de Exchange Server 2003
Protection contre les attaques applicatives avec ISA Server
Sécurisation de la connexion à Internet avec ISA Server 2000
Sécurité du Réseau Informatique du Département de l’Équipement
Projet extranet My.Eolas
Une solution personnalisable et extensible
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
DUDIN Aymeric MARINO Andrès
Patrick PROY Sébastien MATHON DESS Réseaux - promotion 1999/2000
Conception de la sécurité pour un réseau Microsoft
ISP/ASP ISP ASP Conclusion DESS Réseaux 2000/2001
D2 : Sécurité de l'information et des systèmes d'information
Vue d'ensemble Présentation multimédia : Rôle du routage dans l'infrastructure réseau Activation et configuration du service Routage et accès distant Configuration.
Vue d'ensemble Implémentation de la sécurité IPSec
Présentation CLUSIR 8 janvier 2002
Réseaux Privés Virtuels
La politique de Sécurité
Les réseaux informatiques
FLSI602 Génie Informatique et Réseaux
Département de physique/Infotronique
Sécurité Informatique Module 01
Organisation du système d’information comptable et de gestion
INF4420: Éléments de Sécurité Informatique
SECURITE DU SYSTEME D’INFORMATION (SSI)
Forefront Threat Management Gateway
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Analyse des protocoles de la couche application
INTRANET au service du système d’information
Le filtrage IP Ahmed Serhrouchni ENST’Paris CNRS.
Le protocole FTP.
Mise en place d'un serveur SSL
Les relations clients - serveurs
802.1x Audric PODMILSAK 13 janvier 2009.
RE161 IDS : Intrusion Detection System Le trafic habituel qui entre dans votre réseau sert à : Résoudre des requêtes DNS Accéder à des pages web La messagerie.
Actualité messagerie Fabrice Meillon. Exchange Outils sur le Web mis à disposition Storage sizing assistance SMTP configuration diagnosis Best.
Les NAC Network Access Control
1 Introduction aux réseaux Ordinateurs serveurs et ordinateurs clients Intranet et Internet Logiciels serveurs et logiciels clients Dossiers et fichiers.
Mise en œuvre de la sécurité de votre périmètre et de votre réseau
SECURITE DES RESEAUX WIFI
Expose sur « logiciel teamviewer »
Jean-Luc Archimbaud CNRS/UREC
Institut Supérieur d’Informatique
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
Introduction à la sécurité des interconnexions Internet
Groupe 3 De Greef Didier Oozeer Tommy Piette Marc Renard Guy
Développement d’application Web.  Internet  WWW  Client/Serveur  HTTP.
FTP : File Transfer Protocol (protocole de transfert de fichier ) est un protocole de communication destiné à l'échange informatique de fichiers sur.
Présence et communication peer-to-peer Diplômant : Yves Bresson Professeur responsable : Yves Dennebouy EIVD Septembre - Décembre 2003.
Module 3 : Création d'un domaine Windows 2000
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
Responsables EPSI’LAB EPSI Arras 3ème Année
IPSec Formation.
JeanDo Lénard – Fondamentaux de l'Internet – Hetic –30 Janvier 2007 page 1 Fondamentaux de l'Internet (FDI) JeanDo Lénard
Pare-feu applicatif contre les attaques internes et externes
V- Identification des ordinateurs sur le réseau
LE SERVEUR PROXY Un serveur proxy (traduction française de «proxy server», appelé aussi «serveur mandataire») est à l'origine une machine faisant fonction.
Sécurité des Web Services
ANNEHEIM Geoffrey21/03/ Protocole de communication Socket TCP/IP Afin que MyCrawler fonctionne de façon optimale, une configuration de deux machines.
Le marché de la messagerie
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
M2.22 Réseaux et Services sur réseaux
Transcription de la présentation:

3/26/2017 3:55 PM Protection des ressources de l'entreprise : périmètre, VPN et réseau local Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Introduction Protection des ressources grâce au filtrage applicatif Pourquoi le filtrage applicatif est-il nécessaire ? Présentation d’ISA Server 2004 Protection des accès aux réseaux Accès distants (VPN) avec ISA 2004 et NAP Accès aux réseaux locaux avec NAP (Network Access Protection) Synthèse Ressources utiles Questions / Réponses

Introduction

Quelques chiffres 95% de toutes les failles évitables avec une configuration alternative (CERT 2002) Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group) Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp) De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)

Top 10 des attaques : 80% d’attaques au niveau de la couche 7 3/26/2017 3:55 PM Top 10 des attaques : 80% d’attaques au niveau de la couche 7 SQL Server DCOM RPC SMTP HTTP Top attacks (source : Symantec Corporation) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Augmentation des risques avec le développement de la mobilité Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise Postes personnels mais connectés sur le réseau de l’entreprise Postes des intervenants externes Points d’accès Wi-fi non déclarés Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale… Connexion à des réseaux tiers « inconnus » (hot spot wifi, clients, partenaires…) Accès VPN nomades Réseaux sans fils

Impact sur les entreprises 3/26/2017 3:55 PM Impact sur les entreprises Attaques au niveau de la couche application Implications Usurpation d’identité Site web défiguré Accès non autorisés Modification des données et journaux Vol d’informations propriétaire Interruption de service Mise en conformité ISO 17799 Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US) Litiges Partage de fichiers illicites Piratage Responsabilités juridiques des entreprises et des RSSI En France le RSSI a obligation de moyens © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Défense en profondeur Défenses du périmètre Défenses du réseau 3/26/2017 3:55 PM Défense en profondeur L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures. Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche  La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure Les pare-feu sont un élément de protection du périmètre et du réseau Défenses du périmètre Défenses du réseau Défenses des machines Défenses des applications Les pare-feu sont des lignes de défense Filtrage de paquets Stateful Inspection Détection d’intrusion Les pare-feu applicatifs deviennent indispensables car Encapsulation HTTP Chiffrement SSL Connexions anonymes Données et Ressources Sécurité physique Politiques de sécurité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protection des ressources grâce au filtrage applicatif

Un paquet IP vu par un pare-feu « traditionnel » 3/26/2017 3:55 PM Un paquet IP vu par un pare-feu « traditionnel » Seul l’entête du paquet est analysé Le contenu au niveau de la couche application est comme une “boite noire” IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content ???????????????????????????????????????? La décision de laisser passer est basée sur les numéros de ports Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80) Internet Trafic HTTP attendu Trafic HTTP non prévu Attaques Trafic non-HTTP Réseau d’entreprise © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:55 PM Le problème Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : Code Red & Nimda sur les serveurs IIS 4 et 5 OpenSSL/Slapper Blaster, Welchia sur le RPC Endpoint Mapper de Windows Slammer sur les serveurs SQL (ou MSDE) Santy-A sur les forums phpBB (Linux et Windows) Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Web Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateurs OPenSSL/Slapper http://www.kb.cert.org/vuls/id/102795 Versions of OpenSSL servers prior to 0.9.6e and pre-release version 0.9.7-beta2 contain a remotely exploitable buffer overflow vulnerability. This vulnerability can be exploited by a client using a malformed key during the handshake process with an SSL server connection using the SSLv2 communication process Source : Symantec (Tread Report VII) Traditionally, network intrusion detection systems have provided adequate coverage of network-borne threats. However, the increasing use of Web application attacks and client-side exploitation, particularly through browser attacks and through malformed files such as images, are proving problematic for traditional intrusion detection systems Santy-A was also the first worm in the wild to exploit a vulnerability in a Web application rather than the underlying operating system or the Web server itself. Symantec expects that Santy is likely just the first in a new trend of worms exploiting these types of vulnerabilities. Another new development in bot communication is the use of POP3 to send commands. This was seen in Sconato,74 a bot that also contained keystroke-logging functionality. The bot would connect to a predefined mail server to retrieve email messages containing attachments. Embedded within the attachments were commands that were able to direct the bot to manipulate various aspects of the compromised computer. Additionally, Sconato is able to respond to commands by sending email messages to the mail server. Since POP3 communication is not uncommon on most networks, this traffic would be more likely to go undetected than a connection to an IRC server. Additionally, ports used for POP3 communication are less likely to be filtered or blocked at the network perimeter. The top 50 malicious code reported to Symantec saw an increase in malicious code containing SMTP relays, which seems to confirm that this activity is increasing Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Plateforme Web classique et risques associés 3/26/2017 3:55 PM Plateforme Web classique et risques associés 2 zones réseau (Front End et Back End) + 2 pare-feu …mais toujours des risques en cas d’absence de filtrage applicatif Le risque ici est principalement l’attaque applicative. Par exemple : injections HTML injections SQL Injections PHP …. TCP 80 (HTTP) TCP 443 (HTTPS) Attacks targeting Web servers and Web applications continue to be feasible methods of compromising information; however, as noted by the significant presence of TCP ports 445 and 135, the majority of attacks remain attempts to compromise and control both desktop computers and servers alike. The Perl.Santy24 worm shows that widespread scanning for a port is not necessary for a worm to successfully target a Web technology. Vulnerabilities are design or implementation errors in information systems that can result in a compromise of the confidentiality, integrity, or availability of information stored upon or transmitted by the affected system. They are most often found in software, although they exist in all layers of information systems, from design or protocol specifications to physical hardware implementations. The vulnerabilities classified as easy to exploit are nearly all input validation errors in Web-based applications. This includes cross-site scripting, HTML injection, and SQL injection. The proportion of vulnerabilities for which no exploit is required has been steadily increasing with the proportion of Web application vulnerabilities TCP 1433 (MS-SQL) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Pare-feu niveau Application Pare-feu traditionnel 3/26/2017 3:55 PM Quel pare-feu utiliser ? Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux. Comprendre ce qu’il y a dans la partie données est désormais un pré requis Néanmoins, le remplacement n’est pas forcément la meilleure solution Effet entonnoir Réseau public Pare-feu niveau Application Pare-feu traditionnel Vers réseau interne, DMZ, … © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Quand pare-feu te bloquera HTTP tu utiliseras…

Http : le protocole universel… … pour outrepasser un pare-feu ou un proxy Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode d’encapsulation des protocoles propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants : Messageries instantanées : MSN Messenger, Yahoo Messenger, ICQ… Logiciels P2P : Kazaa, Emule, Bitorrent, Exeem… Messagerie : Outlook 2003 (RPC sur HTTP)… Adware, Spyware : Gator… Chevaux de Troie

Plus fort que http : https  3/26/2017 3:55 PM Plus fort que http : https  Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. De nombreuses logiciels utilisent déjà cette solution. Exemple : Outlook 2003 (RPC over https) Comment réduire le risque ? Limiter les accès https : utilisation de listes blanches Bloquer les requêtes dans la phase de négociation Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité Chiffre : Clusif 2004 FBI 2004 Ernst & Young 2004 Source : ETUDE DES SOLUTIONS DE FILTRAGE DES ECHANGES DE MUSIQUE SUR INTERNET DANS LE DOMAINE DU PEER TO PEER La mise en place de cryptages pourrait rendre inopérante (ou complexifier) la détection de trames P2P. Ce cryptage pourrait être mis en place : • Soit par la modification des protocoles peer-to-peer (en faisant par exemple évoluer les trames de connexion ou le suffixe des fichiers) – ce qui suppose à la fois une modification des applications clientes installées sur les postes de travail des internautes et des serveurs (serveurs Kazaa, eDonkey ou trackers Bittorrent) ; • Soit par la mise en place de protocole de tunneling de type SSL/HTTPS ou SSH, par exemple. Certains protocoles peer-to-peer sont déjà encryptés, notamment : • FreeNet (Winny) ; • SSL (SoftEther, EarthStation5, Filetopia) ; • SSH (SoftEther). SoftEther  http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453078890 SoftEther emulates a LAN Card and LAN Hub. Two or more computers with SoftEther installed and connected to the Internet can assemble a Virtual Private Network. One computer with a Global IP Address has to be the virtual hub. The other computer with a SoftEther LAN card installed could connect to the virtual hub. Communication between Virtual Hub and Virtual LAN Card is based on the SoftEther protocol. Connection can be directedr through a Proxy Server, SOCK Server or SSH Server. Even with strict firewall settings, connection can be made as Port usage can be easily changed. http://vdb.dragonsoft.com/detail.php?id=1915 SoftEther is a  clinet/server software, clinet is a virtual ethernet card, when clinet connect to server(virtual hub), will useing https's tunneling and bridging, to bypass firewall and build a VPN Filetopia : http://www.filetopia.org/home.htm Earthstation : http://www.earthstation5.com/ http://www.earthstation5.com/benefits.html 2)  If you are a university student behind a school firewall preventing you from using p2p programs, then you will be excited to use ES5 because ES5 penetrates university firewalls and nobody will know you are file sharing! http://www.isaserver.org/articles/2004pubts.html So what happens when a user uses the HTTP protocol to "tunnel" other application protocols? The popular GoToMyPC is a remote access application that the vendor claims "does not compromise the integrity of your firewall" (https://www.gotomypc.com/ourTechnology.tmpl). Oh really? As a firewall administrator, I open outbound HTTPS to selected users so that they can go to secure Web sites. I do not open outbound access to HTTPS (SSL) so that they can use remote access technologies that enable them to connect to their home computer and then transfer virus infected files from their home computer (which isn’t under our administrative control). And because the GoToMyPC application runs in an SSL tunnel, virtually no firewall on the market today (including the ISA firewall) can inspect the contents of the SSL stream once SSL session is negotiated. GoToMyPC is just one example of HTTP tunneling of non-Web applications. If you do a Google search of "HTTP tunnel" and you’ll come up with a slew of applications that allow users to subvert firewall policy by tunneling dangerous applications through an HTTP connection. For example, near the top of the list on the Google search is HTTP-Tunnel. You can see a list of applications your users can use with this software at http://www.http-tunnel.com/html/support/user_guides.asp. As a firewall administrator, you enable users access to applications they have permission to access and they should not be able to use applications that they are not permitted to access. The HTTP tunneling software subverts firewall policy and security, and potentially violates corporate network access policies. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

ISA Server 2004 en quelques mots 2ème génération de pare-feu de Microsoft Pare-feu multicouches (3,4 et 7) Capacité de filtrage extensible Proxy applicatif Nouvelle architecture Intégration des fonctionnalités de VPN

La vue d’un paquet IP par ISA 3/26/2017 3:55 PM La vue d’un paquet IP par ISA Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP) Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Les décisions de laisser passer sont basées sur le contenu Seul le trafic légitime et autorisé est traité Internet Trafic HTTP Attendu Trafic HTTP non attendu Attacks Trafic non HTTP Réseau d’entreprise © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Architecture d’ISA Server 2004 Packet layer filtering 1 Protocol layer filtering 2 Application layer filtering 3 Kernel mode data pump: Performance optimization 4 Policy Store Policy Engine Web filter Web filter Web Proxy Filter Web Filter API (ISAPI) SMTP Filter RPC Filter DNS Filter App Filter Application Filter API Firewall service User Mode Firewall Engine TCP/IP Stack Kernel Mode NDIS

ISA Server 2004 : un produit évolutif Filtrage applicatif Haute disponibilité Antivirus Détection d’intrusion Reporting Accélérateurs SSL Contrôle d’URLs Authentification + d’une trentaine de partenaires !!! Plus de partenaires sur : http://www.microsoft.com/isaserver/partners/default.asp

Modèle réseau ISA Server 2004 Nombre de réseaux illimité Type d’accès NAT/Routage spécifique à chaque réseau Les réseaux VPN sont considérés comme des réseaux à part entière La machine ISA est considéré comme un réseau (LocalHost) Stratégie de filtrage par réseau Filtrage de paquet sur toutes les interfaces Internet VPN VPN Quarantaine DMZ_1 Local Area Network CorpNet_n ISA 2004 DMZ_n CorpNet_1 Toutes topologies / stratégies

Structure des règles de pare-feu ISA Ensemble de règles ordonnées Règles systèmes puis règles utilisateur Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment) Réseau(x) Adresse(s) IP Machine(s) Utilisateur(s) Groupe(s) Autoriser Interdire action sur traffic pour utilisateur depuis source vers destination avec conditions Réseau(x) Adresse(s) IP Machine(s) Serveur publié Site Web publié Planning Filtre applicatif Protocole IP Port(s) TCP/UDP

Scénarios de mise en œuvre d’ISA Server 2004 3/26/2017 3:55 PM Scénarios de mise en œuvre d’ISA Server 2004 Pare feu de périmètre Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies d’accès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec en mode Tunnel © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protection des serveurs Web 3/26/2017 3:55 PM Protection des serveurs Web Filtrage avancé de HTTP Délégation d’authentification ISA pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer …ce qui permet aux attaques applicatives, virus ou autres vers de se propager sans être détectés… ISA peut déchiffrer et inspecter le trafic SSL L’analyse des URL par ISA 2004 peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL Si le serveur Web fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse HTTP (URL, contenu…) SSL SSL SSL or HTTP Internet ISA Server 2004 Pare-feu traditionnel Web Client Certificat « Public » + sa clé privée Certificat « Privé » + sa clé privée SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… …et d’infecter les serveurs internes ! Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Protection des accès sortants Analyse HTTP (URL, entêtes, contenu…) IM P2P MS RPC… ISA Server 2004 Pare feu traditionnel HTTP, https, FTP… IM, P2P, MS RPC… HTTP IM, P2P, MS RPC… http, https, FTP Internet Client Exemples de signature d’applications : http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

Les versions d’ISA Server 2004 Édition Standard Inclus toutes les fonctionnalités de : Pare-feu (niveaux 3,4,7) Passerelle VPN Proxy cache sur un même serveur Disponible depuis Mai 2004 1 licence par processeur physique Également disponible sous la forme d’appliance Édition Entreprise Ajoute la haute disponibilité et la tolérance de panne Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes) Ajoute l’administration centralisée au niveau entreprise Disponible depuis Mars 2005 1 licence par processeur physique

Nouveautés de la version Entreprise Groupes de serveurs Un ensemble de serveurs (entité d’administration) configurés de la même façon Jusqu’à 31 serveurs !!! Stratégies d’Entreprise Équilibrage de charge réseau Assistant de configuration dans la console d’ISA 2004 Surveillance des services NLB (Network Load Balancing) Cache Web distribué Support de CARP (Cache Array Routing Protocol) Deux nouveaux rôles d’administration Au niveau entreprise 5 au total (dont 3 au niveau groupe) Supervision centralisée et globale Serveur de configuration Configuration Storage Server (CSS)

Disponible en appliance RimApp ROADBLOCK Firewall http://www.rimapp.com/roadblock.htm HP ProLiant DL320 Firewall/VPN/Cache Server http://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.html Network Engines NS Appliances http://www.networkengines.com/sol/nsapplianceseries.aspx Celestix Application-Layer Firewall, VPN and Caching Appliance http://www.celestix.com/products/isa/index.htm Pyramid Computer ValueServer Security 2004 http://www.pyramid.de/e/produkte/server/isa_2004.php Avantis ISAwall http://www.avantisworld.com/02_securityappliances.asp Corrent http://www.corrent.com/Products/products_sr225.html

Protection des accès aux réseaux de l’entreprise (VPN et Locaux) Gestion des accès distants et des équipements connectés

Les attaques viennent aussi de l’interne 3/26/2017 3:55 PM Étude et statistiques sur la sinistralité informatique en France (2002) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/26/2017 3:55 PM Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou Sasser. Source : Symantec Traditionally, the focus of security strategies has been on the network perimeter: servers, firewalls, and other assets with outward-facing exposure. However, a notable shift has occurred, with the security of client-side systems, primarily end-user desktop hosts, becoming increasingly important. This is because as administrators have become more effective in securing network perimeters, attackers have had to search for alternative entry points into targeted computing systems. As a result, vulnerability researchers and attackers are focusing more on client software installed on individual systems rather than on the underlying operating systems themselves. The Microsoft GDI+ Library JPEG Segment Length Integer Underflow Vulnerability89 is a good example of this. Symantec feels that the current shift towards client-side attacks will result in the use of worms as an initial propagation mechanism for attacks targeting specific vulnerabilities in client-side software. Viruses and worms are excellent ways for client-side attacks to propagate initially and Symantec believes that worms propagating by this method will become more common.90 This could mean that traditional security mechanisms and procedures will become less effective at protecting networks as a whole. Administrators and end users alike will have to exercise extra vigilance to ensure that these new infection vectors are adequately secured. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Les connexions distantes peuvent également compromettre la sécurité 3/26/2017 3:55 PM Les connexions distantes peuvent également compromettre la sécurité Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPN © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Une approche de la segmentation En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internet Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs) La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du réseau de l’entreprise en intégrant l’analyse (jusqu’au niveau de la couche application) des flux

Principes de la segmentation Classification 3/26/2017 3:55 PM Principes de la segmentation Classification Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées. Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise. © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Contrôle et mise en conformité des postes lors des connexions Les connexions distantes & les connexions au réseau local

Sécuriser les connexions VPN (1/2) Exiger une authentification forte à 2 voire 3 facteurs : Ce que je sais : mot de passe, code PIN Ce que je possède : SmartCard, jeton, calculette… Ce que je suis : reconnaissance biométrique Augmenter le niveau de chiffrement des communications 3DES AES Journaliser, surveiller et analyser l’activité des utilisateurs connectés en VPN

Sécuriser les connexions VPN (2/2) Vérifier lors de la connexion la conformité du poste client VPN: Mécanisme d’analyse Mise en quarantaine Limiter les accès autorisés pour les sessions VPN Seules les ressources nécessaires sont accessibles L’ensemble du réseau interne ne devrait pas être accessible Utiliser du filtrage applicatif pour analyser les communications à destination des ressources internes. Possibilité de faire de l’analyse antivirale Filtrage des flux RPC, http, FTP, SMTP, CIFS, DNS…

VPN et quarantaine avec ISA 2004

Network Access Protection (NAP) Network Access Protection (NAP) est une plateforme destinée à contrôler la mise en conformité par rapport à la politique IT de l’entreprise (Ex : politique de mise à jour des OS et des antivirus) des machines Windows connectés aux réseaux de l’entreprise Les mécanismes de NAP vont permettre de restreindre l’accès au réseau de l’entreprise pour les postes non conformes tant qu’ils ne respectent pas la stratégie imposée. La première version de NAP sera disponible dans Windows Server "Longhorn" la prochaine version du système d’exploitation Windows Server. La plateforme NAP (Network Access Protection) n’est pas la même technologie que la mise en quarantaine réseau (Network Access Quarantine Control), qui est une fonctionnalité déjà disponible avec Windows 2003 pour les connexions VPN nomades

NAP : principe de fonctionnement 3/26/2017 3:55 PM NAP : principe de fonctionnement Réseau de l’entreprise Réseau restreint (quarantaine) Remediation Servers (antivirus, système de maj de correctifs…) System Health Servers (défini les pré requis du client) Les voici Puis je avoir les mises à jour ? Mise à jour du serveur IAS avec les politiques en cours Demande d’accès ? Voici mon nouveau status Puis je avoir accès ? Voici mon status actuel Est ce que le client doit être restreint en fonction de son status? System Health Agent = Declares health (patch state, virus signature, system configuration, etc.) System Health Validator = Certifies declarations made by health agents Quarantine Enforcer = Negotiates access with specific network access devices Network Access Device = Facilitates health reporting, enforces network restrictions Quarantine Agent = Reports client health status, coordinates between SHA and QES Quarantine Server = Restricts client’s network access based on what SHV certifies System Health Server = Defines health requirements for system components on the client Remediation Server = Installs necessary patches, configurations, applications; brings client to healthy state Statements of Health (SoH) Vous avez droit à un accès restreint tant que vous n’êtes pas à jour En accord avec la politique, le client n’est pas à jour. Mise en quarantaine et demande au client de se mettre à jour En accord avec la politique, le client est à jour Accès autorisé Client Network Access Device (DHCP, VPN) IAS Policy Server System Health Agents Microsoft et 3rd Parties (AV/Patch/FW/Other) System Health Validators Microsoft et 3rd Parties Quarantine Agent Quarantine Enforcement Client Microsoft et 3rd Parties DHCP/VPN/IPsec/802.1x Quarantine Server Le Client obtient l’accès complet à l’Intranet © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Scénarios d’utilisation de NAP Validation de la politique réseau Mise en conformité Avec la politique Isolation réseau Accès au réseau local (LAN)  Machine de l’entreprise Comme un portable ou un PC de bureau de la compagnie Machine non compatible NAP ou à un visiteur Comme le PC portable d’un intervenant externe Connexion à des réseaux distants  Machine de l’entreprise Comme un portable de la compagnie Machine non managée ou non compatible NAP Comme la machine personnelle d’un employé

Bénéfices de NAP Focus sur la mise en conformité des politiques d’entreprise Les professionnels IT définissent les stratégies de sécurité Le système NAP isole les clients qui ne respectent pas ces stratégies Les clients isolés ont un accès restreint à des services leur permettant de revenir en conformité Architecture extensible Extensible via des solutions d’éditeurs tierces Basée sur des standards ouverts (DHCP, IPSec, Radius…) Possibilité d’utilisation de scripts personnalisés pour faire des tests complémentaires Fonctionne avec les infrastructures réseau existantes Réduit le risque de compromission du réseau

3/26/2017 3:55 PM Les partenaires NAP 1- Antivirus 2- Management et Update Management 3- Networking (Cisco est également un partenaire) 4- VPN 5- hardware 6- endpoint policy management & enforcement http://www.microsoft.com/windowsserver2003/partners/nappartners.mspx © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Synthèse Contrôle des flux applicatifs ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les infrastructures Microsoft et non Microsoft. Contrôle des connexions distantes VPN Déjà disponible avec ISA Server 2004 et Windows 2003. Filtrage applicatif et mise en quarantaine Contrôle des accès à tous les réseaux (LAN, distants) Avec Network Access Protection disponible avec Windows Longhorn Server

Ressources utiles Site Web Microsoft 3/26/2017 3:55 PM Ressources utiles Site Web Microsoft www.microsoft.com/isaserver www.microsoft.com/france/isa www.microsoft.com/nap Webcast et séminaires TechNet (Gratuits) Sites externes www.isaserver.org www.isaserverfr.org isatools.org Newsgroup français Microsoft.public.fr.isaserver Kits de déploiement Blogs Blogs.msdn.com/squasta Kits d’évaluation ISA Server Version d’évaluation (120 jours) CD (livres blancs et guide déploiement) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Questions / Réponses

Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex 3/26/2017 3:55 PM Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.