Sécurisation de la connexion à Internet avec ISA Server 2000 Stanislas Quastana – Consultant Microsoft Consulting Services

Agenda Partie 1 : Présentation générale ISA Server 2000 Feature Pack 1 (10 minutes) Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise (25 minutes) Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server (45 minutes) Questions / Réponses (10 minutes)

Partie 1 : Présentation ISA Server 2000 1- Pare-feu niveaux 3,4 & 7 Barrière entre le réseau Internet et le réseau de l’entreprise Protection des serveurs visibles depuis Internet (serveur Web, de messagerie…) Filtrage dynamique des paquets Analyse applicative des flux Fonctions d’audit et de détection d’intrusion 2- Proxy applicatif Passerelle filtrant les communications entre les réseaux internes & externes Contrôle des protocoles à l’aide de règles granulaires permettant un suivi de l’utilisation de la connexion Internet 3- Contrôle du contenu Restriction d’accès à des sites web Restriction d’accès à des contenus (http, smtp…) 4- ISA Server 2000 est bien plus qu’un simple proxy web !!! Certes, il optimise la bande passante avec ses mécanismes de mise en cache Mais : Ce n‘est pas Proxy Server 3.0 !

Beaucoup plus que “Proxy Server 3.0” Véritable Firewall niveau 7 Support transparent de tous les clients et serveurs Intégration Active Directory Stratégies d’Enterprise / de groupes Publication de serveurs Filtres applications extensibles Filtre SMTP Démultiplication de flux media Passerelle H.323 Interface d’administration MMC Task Pads, assistants Administration à distance Ne nécessite pas IIS (n’est pas une application ISAPI comme Proxy Server 2.0) Nouveau mode de stockage du cache (RAM + disque) Téléchargement de contenu planifiable Intégration VPN Détection d’intrusion Double saut SSL Alertes configurables Journaux: plusieurs formats, sélection des champs Génération de rapports intégré Contrôle de bande passante (QoS) Nouvelles APIs Installation modulaire …

Microsoft ISA Server 2000 L’accès Internet sécurisé et rapide Administrer L’accès à Internet et au réseau interne via une gestion centralisée des stratégies. Intégration parfaite avec Windows 2000 / 2003 Protéger Les ressources de l’entreprise des attaques et intrusions via un pare-feu multicouches certifié ICSA, Common Criteria EAL2 Optimiser Les temps d’accès à l’information et la bande passante utilisée via un cache haute performance Adapter Le produit aux besoins spécifiques via un kit de développement (SDK) et des produits compagnons

ISA Server Feature Pack 1 Sécurisation des serveurs de messagerie Le Feature Pack 1 pour ISA Server 2000 apporte une sécurité accrue par rapport aux pare-feu traditionnels pour le déploiement des serveurs de messagerie et des serveurs Web. Extension des fonctionnalités du filtre SMTP Extension des fonctionnalités du filtre RPC Exchange (RPC = Remote Procedure Call) Filtrage applicatif des requêtes Http en mode publication (Reverse Proxy) avec URLScan 2.5 Support de l'authentification Web pour RSA SecurID Support de la délégation d'authentification basique et RSA SecurID Assistant de publication pour Outlook Web Access Assistant de configuration du filtre RPC Translation des URLS en mode publication (Reverse Proxy) pour la redirection des requêtes vers des sites internes Sécurisation des serveurs Web et Exchange Outlook Web Access Mise en œuvre facilité pour les administrateurs

Architecture ISA Server 2000 Internet Service Web Proxy Filtre WEB Client Proxy HTTP Cache Redirecteur HTTP Filtrage des paquets Pilote NAT Filtre tierce partie Filtre Streaming Client Secure NAT Service Firewall Filtre SMTP Filtre H.323 Filtre FTP Client ISA Firewall

Partie 2 - Sécuriser l’accès vers Internet des utilisateurs internes

Les besoins des entreprises connectées vus par l’administrateur « Je veux contrôler les protocoles réseaux utilisés par mes utilisateurs » « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure Windows (domaines NT, Active Directory) » « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux » « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »

Évaluation de la stratégie avec ISA Server 2000 Y a t-il une règle Protocole qui autorise Ia requête ? Y a t-il une règle Site et Contenu qui autorise Ia requête ? Requête client interne Est-ce qu’une règle de routage spécifie un serveur upstream ? Non Oui Non Non Oui Oui Non Non Non Y a-t-il une règle Protocole qui interdise Ia requête ? Y a t-il une règle Site et Contenu qui interdise Ia requête ? Y a t-il un filtre de paquet IP qui interdise Ia requête ? Oui Oui Oui Requête refusée Récupérer l’objet Router vers un serveur upstream

Stratégie d’accès & Règles Une stratégie d’accès = des règles de protocoles + des règles de sites & contenu + des filtres de paquets IP. Ces règles se construisent à partir des éléments de stratégie disponibles : Destination(s): domaine(s), adresse(s) IP Planning(s) Action(s) Client(s): utilisateur(s)/groupe(s) ou adresse(s) IP Type(s) de contenu HTTP (mime) Type(s) de protocole Bande passante utilisable Connexion(s) utilisables

Règles de site et contenu Permet le filtrage des requêtes liées aux protocoles http et https Le filtrage se fait en fonction de La destination: adresse IP (ou plage) ou noms de domaines et chemins Le planning L’origine: (utilisateur/groupe ou adresse IP) Le type de contenu: (extension de fichiers ou type MIME) Types de filtres Autoriser Bloquer Par défaut, tout accès est bloqué (Secure by default)

Règles de site et contenu

Les différents types de clients Client SecureNAT Nom bizarre  : ne nécessite pas de logiciel client ou de configuration spéciale Géré par le service Firewall Les requêtes HTTP peuvent être redirigées vers le service Web Proxy si le redirecteur est activé Client Firewall Client Web proxy Géré par le service Web Proxy Exemple de client Web proxy : Internet Explorer

Authentification Internet Client SecureNAT Client Proxy Web Serveur ISA Client SecureNAT Pas d’authentification basée sur l’utilisateur. Client Proxy Web Authentification dépendante du navigateur et de l’OS. Client Firewall Authentification basée sur les crédentiels Windows

Résolution DNS Web proxy client Client SecureNAT Firewall client ISA Server s’occupe de la requête DNS Client SecureNAT Doit avoir accès à un serveur DNS – ISA Server ne va pas « proxyser » les requêtes DNS Firewall client ISA Server ou le client font la requête DNS ISA Server Dépend des paramètres du fichiers de configuration MSPCLNT.INI

Tableau récapitulatif Service Pare-feu Service Web proxy

Démonstration Création de règles de protocoles pour différents groupes d’utilisateurs Création de règles de sites et de contenu pour différents profils d’utilisateurs.

Démonstration

Partie 3 - protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet La problématique des pare-feu traditionnels Le besoin des pare-feu niveau applicatifs (niveau 7) Le modèle ISA Server : pare-feu multicouches La détection d’intrusion ISA Server : la publication de serveur la publication Web Exemple avec Exchange Server Publication Web : protection d’Outlook Web Access (OWA) Publication de serveur : RPC sur Internet et SMTP

Le problème Les pare-feu traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourd’hui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, openssl/Slapper…). Les ports et protocoles ne suffisent plus à contrôler ce que font les utilisateurs Hier, les port 80 et 443 était utilisées pour surfer sur le Web Aujourd’hui, ces ports sont utilisés pour la navigation sur le Web, les Webmail, les messageries instantanées, les Web Services, les logiciels P2P… Statefull Inspection : Propriété d'un FireWall de mémoriser les sessions TCP et d appliquer automatiquement les mêmes règles sur les flux entrants et sortants de chaque session. Slapper : http://www.securityfocus.com/advisories/4496 Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques d’aujourd’hui !

Firewall niveau Application Firewall traditionnel Les Firewalls niveau Application Sont nécessaires pour se protéger des attaques d’aujourd’hui… …, ils permettent une analyse approfondie du contenu des paquets réseaux… …car comprendre ce qu’il y a dans le Payload est désormais un pré requis Internet Firewall niveau Application Firewall traditionnel Vers réseau interne

ISA Server = pare-feu multi couches Filtrage de paquets & stateful inspection Filtrage au niveau de la couche application (analyse approfondie du contenu) Architecture proxy avancée Produit évolutif et extensible Plus de 30 partenaires http://www.microsoft.com/isaserver/partners/default.asp  Un des meilleurs pare-feu pour les environnements Microsoft.

Détection d’intrusion

Règle pour créer une socket sur l’interface externe Publication de serveur Règle pour créer une socket sur l’interface externe Serveur publié ISA Server Internet IP np payld IP np payld IP np payld Le paquet arrive sur l’interface externe SADR = client Le Payload est extrait (et analysé si un filtre applicatif est présent) Le nouveau paquet est créé sur l’interface interne numéro de séquence différent Rajout d’un nouvel entête IP, le paquet est envoyé SADR = client (également possible : SADR = IP interne ISA)

Publication de plusieurs serveurs Rappel : socket = {IPAddr, port, protocol} Différents protocoles Peuvent utiliser la même adresse IP externe; les numéros de ports seront différents {IPAddr, port1, protA} {IPAddr, port2, protB} Les mêmes protocoles Nécessite des adresses IP externes supplémentaires; les numéros de port sont les mêmes {IPAddr1, port, protA} {IPAddr2, port, protA}

Le listener crée une socket sur l’interface externe Publication Web (http/https) Le listener crée une socket sur l’interface externe Serveur Web publié ISA Server Internet IP np payld IP np payld URL IP np payld Le paquet arrives sur l’interface externe SADR = client Le Payload est extrait L’URL est examinée pour déterminer la destination. Le contenu est analysé. 4. Le nouveau paquet est créé sur l’interface interne numéro de séquence différent 5. Un nouvel entête IP est ajouté. Le paquet est envoyé SADR = adresse IP interne d’ISA Server

URLScan 2.5 pour ISA Server Permet de filtrer les requêtes Web (http et https) entrantes selon des règles définies Améliore la protection des attaques basées sur des requêtes web: Présentant des actions non usuelles (ex: appel d’un .exe) Contenant un grand nombre de caractères (pour Buffer Overflow) Encodées avec des caractères alternatifs Peut être utilisé en conjonction de l’inspection SSL pour détecter les attaques au dessus de SSL

Délégation de l’authentification Pour l’authentification basique et SecurID L’authentification se déroule sur ISA Server Élimine les multiples boîtes de dialogues d’authentification Seul le trafic autorisé passe ISA Server Utilisable par règle de publication Web ISA Server pré-authentifie les utilisateurs et journalise leur activité Client demande au serveur Web l’accès à du contenu protégé ISA Server transmet les crédentiels au serveur protégé ou OWA Internet client ISA Server Web server

Publication Web & SSL Gestion du SSL Trois options “Passthrough” ou “tunneling” “Terminaison” “Regénération” Les options 2 and 3 font références à une fonctionnalité appelé Bridging

Gestion du SSL Passthrough (Publication de serveur) ISA Server Serveur publié Internet IP np payld IP np payld IP np payld La charge utile reste chiffrée Aucune analyse du contenu ici Peut être utilisé si la politique favorise la confidentialité par rapport à l’inspection

Gestion du SSL Terminaison (Publication Web) ISA Server Serveur publié Internet IP np payld IP np payld IP np payld La charge utile est déchiffrée L’analyse du contenu est donc possible Utilisée si la politique privilégie l’inpection Non sécurisé: données non chiffrées dans le réseau interne

Gestion du SSL Regénération (Publication Web) ISA Server Serveur publié Internet IP np payld IP np payld IP np payld La charge utile est déchiffrée L’analyse du contenu est possible Utilisée si la politique privilégie l’inpection La charge utile est re-chiffrée Sécurisé: données chiffrées même dans le réseau interne

Stratégie d’accès – Filtrage de paquets Les filtres de paquets permettent d’autoriser les trafics depuis ou à destination des interfaces externes Ils sont indépendants des règles de protocoles et des règles de publication Ce filtrage de paquet doit toujours être activé pour protéger le serveur ISA. Le paramétrage par défaut Bloque tout sauf… …certaines requêtes ICMP, et les requêtes DNS sortantes

Exemple de publication de site Web : Outlook Web Access Accès universel car : Tous les ordinateurs disposent d’un navigateur Web Interface familière aux utilisateurs OWA 2003 ressemble à Outlook 2003 Contraintes de sécurité HTTPS est le protocole Détection d’intrusion? Conforme à la politique sécurité de messagerie? OWA 2000 ne propose pas de timeout de session Corrigé avec OWA 2003

“Architecture classique” OWA Bon points Distinction entre les protocoles utilisés vers le front End et vers le Back End - Segmentation et protection des réseaux Mauvais points Tunnel HTTPS traversant le pare-feu externe : pas d’inspection HTTPS est LE protocole universel pour outrepasser et traverser les pare-feu !!! Nombreux ports ouverts, sur le pare-feu interne, car nécessaire pour l’authentification Connexion initiale sur OWA possible en anonyme Internet Pare-feu traditionnel externe Pare-feu interne OWA ExBE AD

Améliorer la sécurité d’OWA Objectifs de sécurité Inspecter le trafic SSL Maintenir la confidentialité Vérifier la conformité des requêtes HTTP Autoriser uniquement la construction et le traitement d’URL connues Bloquer les attaques par URLs Optionnel Pré authentifier les connections entrantes

Protéger OWA avec ISA – mécanismes (1/2) ISA Server devient le “bastion host” Le service Web proxy termine toutes les connexions Déchiffrer HTTPS Inspecte le contenu Inspecte l’URL (avec URLScan) Optionnel Ré encrypte pour envoyer au serveur OWA Internet <a href… x36dj23s 2oipn49v http://... ISA Server OWA Exchange AD

Protéger OWA avec ISA – mécanismes (2/2) Authentification facile avec Active Directory Pré authentification ISA Server demande à l’utilisateur ses crédentiels Vérifie auprès de l’Active Directory (ou du domaine NT) Encapsule les informations dans l’entête HTTP à destination d’OWA Évite une seconde saisie ! Nécessite ISA FP1 Internet ISA Server OWA Exchange AD

Protéger Outlook Web Access URLScan pour ISA Server Délégation de l’authentification basique ISA Server peut déchiffrer et inspecter le trafic SSL URLScan pour ISA Server peut stopper les attaques Web à la bordure du réseau, même pour celles chiffrées avec SSL …ce qui permet au virus et aux vers de traverser sans être détectés… ISA Server pré-authentifie les utilisateurs, éliminant les boîtes de dialogues multiples et autorise uniquement le trafic valide Le serveur OWA demande une authentification — tout utilisateur Internet peut accéder à cet invite URLScan for ISA Server SSL SSL SSL ou HTTP Internet ISA Server avec Feature Pack 1 Firewall Traditionnel OWA client Le tunnel SSL traverse le firewall traditionnel car le flux est chiffré… Le traffic inspecté peut être envoyé au serveur interne re-chiffré ou en clair. …et d’infecter les serveurs internes!

Démonstration : publication OWA

Exchange RPC sur Internet Mais pourquoi ??? Beaucoup d’utilisateurs souhaitent ou ont besoin d’utiliser l’ensemble des fonctionnalités d’Outlook : Produits tiers additionnels Synchronisation de la boîte au lettres Règles côté client Carnet d’adresses complet La solution VPN est souvent trop coûteuse si il faut satisfaire uniquement ce besoin

Serveur RPC (Exchange) RPC Exchange - Concepts Le portmapper répond avec le port et met fin à la connexion Le client accède à l’application via le port reçu Le client demande quel port est associé à l’UUID ? Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connait l’UUID du service qu’il souhaite utiliser 4402/tcp 135/tcp 4402 {12341234-1111…} Serveur RPC (Exchange) Client RPC (Outlook) Le serveur fait correspondre l’UUID avec le port courant… Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation est difficile via Internet L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnels Service UUID Port Exchange {12341234-1111… 4402 Réplication AD {01020304-4444… 3544 MMC {19283746-7777… 9233 Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table

Attaques RPC potentielles Reconnaissance NETSTAT RPCDump Denis de service contre le portmapper Elévation de privilèges ou attaques sur d’autres services Blaster !!!!!

Les RPC à nu sur Internet Bons points Facile à mettre en oeuvre Mauvais points Facile à compromettre! Le pare-feu doit autoriser tous les trafics sur les ports élevés Le pare-feu traditionnel ne peut distinguer ce qui est du trafic Exchange et ce qui n’en est pas. Aucune protection contre RPCDump par exemple Internet Firewall traditionnel Exchange

Fixer les ports RPC Bons points Mauvais points Toujours facile à implémenter Ouverture limitée de ports sur le pare-feu 135/tcp + 3 ports élevés Mauvais points Toujours facile à attaquer  Ne stoppe pas les attaques décrites précédemment Le pare-feu ne peut toujours pas distinguer ce qui est du trafic Exchange et ce qui n’en est pas Internet Firewall traditionnel Exchange

Assistant filtre RPC Accès granulaire aux services RPC 2 méthodes supplémentaires de création des définitions des services RPC peuvent être utilisés dans les règles de publication L’assistant énumère les services disponibles sur un serveur Les UUID’s peuvent aussi être saisis manuellement ISA Server: ISA Server avec Feature Pack 1:

Filtre RPC Exchange Filtre RPC Exchange pour ISA Server Internet ISA Server Outlook Exchange Server Filtre RPC Exchange pour ISA Server Seul le port 135 est ouvert (Portmapper) Les ports élevés sont ouverts et fermés quand c’est nécessaire pour les clients Outlook Inspection au niveau de la couche application du trafic portmapper Seuls l’UUID Exchange est autorisé

ISA Server avec le Feature Pack 1 Filtre RPC Exchange Impose un chiffrement RPC Le chiffrement des RPC Outlook est imposé de manière centralisée Permet également des connexions sortantes RPC Les clients Outlook derrière ISA Server peuvent désormais accéder à des serveurs Exchange externes RPC Réseau externe Réseau interne Exchange Server ISA Server avec le Feature Pack 1 Outlook

Protection contre les attaques RPC Reconnaissance? NETSTAT net montre que 135/tcp RPCDump ne fonctionne pas simplement DoS contre le portmapper? Les attaques connues échouent Les attaques qui fonctionnent laissent Exchange protégé Attaques de service sur Exchange? L’obtention d’information n’est plus possible Les connexions entre ISA Server et Exchange vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées Oui! Oui! Oui!

Protection du service SMTP : le filtre SMTP Utilise les capacités de filtrage applicatif de ISA Server Filtre les messages avec une fiabilité et une sécurité accrue en fonction de plusieurs attributs Expéditeur Domaine Mots clé Pièces jointes (extension, nom, taille) Commandes SMTP (y compris taille)

Filtre SMTP

Rappel sur une architecture typique Internet ExFE SMTP ExBE AD

Nouveaux besoins, nouveau design Déplacer les serveurs critiques vers l’intérieur pour une meilleure protection Ajouter ISA Server à votre DMZ existante Augmenter la sécurité en publiant: OWA sur HTTPS RPC Exchange SMTP (filtre de contenu) Internet ExFE SMTP ISA Server ExBE AD

Que pouvez-vous faire aujourd’hui ? Evaluer La sécurité de votre architecture Exchange et/ou de vos serveurs Internet ISA Server 2000. Version d’évaluation disponible gratuitement sur http://toolstore.microsoft.fr/gpub/product.asp?dept%5Fid=2&sku=56 Télécharger le Feature Pack 1 d’ISA Server Intègrer ISA 2000 dans vos architectures en place Utiliser les nouvelles sécurités pare-feu conçues pour aider à protéger Exchange Server et IIS Aucun déploiement Exchange ou IIS n’est complet sans la protection d’ISA Server!

Questions / Réponses

Pour aller plus loin… Informations générales: http://www.microsoft.com/isaserver/ Pare-feu: Certification ICSA www.icsalabs.com/html/communities/firewalls/certification/vendors/microsoft/index.shtml Pare-feu : Certification Common Criteria Evaluation Assurance Level 2 (EAL 2) http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.asp Produits complémentaires: http://www.microsoft.com/isaserver/partners Sites partenaires: http://www.isaserver.org http://www.isatools.org