Transcript of Sécurisation de la connexion à Internet avec ISA Server 2000 Stanislas Quastana – Consultant...
- Page 1
- Scurisation de la connexion Internet avec ISA Server 2000
Stanislas Quastana Consultant Microsoft Consulting Services
- Page 2
- Agenda Partie 1 : Prsentation gnrale ISA Server 2000 Feature
Pack 1 (10 minutes) Partie 2 : Scuriser laccs vers Internet depuis
les rseaux locaux pour les utilisateurs de lentreprise (25 minutes)
Partie 3 : protection des serveurs et des rseaux dentreprise
vis--vis dInternet. Exemple avec Exchange Server (45 minutes)
Questions / Rponses (10 minutes)
- Page 3
- Partie 1 : Prsentation ISA Server 2000 1- Pare-feu niveaux 3,4
& 7 Barrire entre le rseau Internet et le rseau de lentreprise
Protection des serveurs visibles depuis Internet (serveur Web, de
messagerie) Filtrage dynamique des paquets Analyse applicative des
flux Fonctions daudit et de dtection dintrusion 4- ISA Server 2000
est bien plus quun simple proxy web !!! Certes, il optimise la
bande passante avec ses mcanismes de mise en cache Mais : Ce nest
pas Proxy Server 3.0 ! 3- Contrle du contenu Restriction daccs des
sites web Restriction daccs des contenus (http, smtp) 2- Proxy
applicatif Passerelle filtrant les communications entre les rseaux
internes & externes Contrle des protocoles laide de rgles
granulaires permettant un suivi de lutilisation de la connexion
Internet
- Page 4
- Beaucoup plus que Proxy Server 3.0 Vritable Firewall niveau 7
Support transparent de tous les clients et serveurs Intgration
Active Directory Stratgies dEnterprise / de groupes Publication de
serveurs Filtres applications extensibles Filtre SMTP
Dmultiplication de flux media Passerelle H.323 Interface
dadministration MMC Task Pads, assistants Administration distance
Ne ncessite pas IIS (nest pas une application ISAPI comme Proxy
Server 2.0) Nouveau mode de stockage du cache (RAM + disque)
Tlchargement de contenu planifiable Intgration VPN Dtection
dintrusion Double saut SSL Alertes configurables Journaux:
plusieurs formats, slection des champs Gnration de rapports intgr
Contrle de bande passante (QoS) Nouvelles APIs Installation
modulaire
- Page 5
- Microsoft ISA Server 2000 Laccs Internet scuris et rapide Les
ressources de lentreprise des attaques et intrusions via un pare-
feu multicouches certifi ICSA, Common Criteria EAL2 Les temps daccs
linformation et la bande passante utilise via un cache haute
performance Laccs Internet et au rseau interne via une gestion
centralise des stratgies. Intgration parfaite avec Windows 2000 /
2003 Protger Optimiser Administrer Adapter Adapter Le produit aux
besoins spcifiques via un kit de dveloppement (SDK) et des produits
compagnons
- Page 6
- ISA Server Feature Pack 1 Scurisation des serveurs Web et
Exchange Outlook Web Access Scurisation des serveurs de messagerie
Mise en uvre facilit pour les administrateurs Extension des
fonctionnalits du filtre SMTP Extension des fonctionnalits du
filtre RPC Exchange (RPC = Remote Procedure Call) Filtrage
applicatif des requtes Http en mode publication (Reverse Proxy)
avec URLScan 2.5 Support de l'authentification Web pour RSA SecurID
Support de la dlgation d'authentification basique et RSA SecurID
Assistant de publication pour Outlook Web Access Assistant de
configuration du filtre RPC Translation des URLS en mode
publication (Reverse Proxy) pour la redirection des requtes vers
des sites internes Le Feature Pack 1 pour ISA Server 2000 apporte
une scurit accrue par rapport aux pare-feu traditionnels pour le
dploiement des serveurs de messagerie et des serveurs Web.
- Page 7
- Architecture ISA Server 2000 Client Proxy HTTP Client Secure
NAT Client ISA Firewall Service Web Proxy ServiceFirewall Filtre
WEB Filtrage des paquets Filtre tierce partie Filtre Streaming
Filtre SMTP Filtre H.323 Filtre FTP Cache PiloteNAT RedirecteurHTTP
Internet
- Page 8
- Partie 2 - Scuriser laccs vers Internet des utilisateurs
internes
- Page 9
- Les besoins des entreprises connectes vus par ladministrateur
Je veux contrler les protocoles rseaux utiliss par mes utilisateurs
Je veux administrer les accs de manire centralise et intgre avec
mon infrastructure Windows (domaines NT, Active Directory) Je veux
empcher mes utilisateurs de tlcharger des fichiers illgaux ou
dangereux Je veux quInternet soit un outil de travail et empcher
mes utilisateurs de surfer sur le Web l o ils veulent.
- Page 10
- Requte refuse Oui Non Oui Non Oui Non Oui Non valuation de la
stratgie avec ISA Server 2000 Rcuprer lobjet Router vers un serveur
upstream Requte client interne Y a t-il une rgle Protocole qui
autorise Ia requte ? Y a-t-il une rgle Protocole qui interdise Ia
requte ? Y a t-il une rgle Site et Contenu qui autorise Ia requte ?
Y a t-il une rgle Site et Contenu qui interdise Ia requte ? Y a
t-il un filtre de paquet IP qui interdise Ia requte ? Est-ce quune
rgle de routage spcifie un serveur upstream ?
- Page 11
- Stratgie daccs & Rgles Une stratgie daccs = des rgles de
protocoles + des rgles de sites & contenu + des filtres de
paquets IP. Ces rgles se construisent partir des lments de stratgie
disponibles : Destination(s): domaine(s), adresse(s) IP Planning(s)
Action(s) Client(s): utilisateur(s)/groupe(s) ou adresse(s) IP
Type(s) de contenu HTTP (mime) Type(s) de protocole Bande passante
utilisable Connexion(s) utilisables
- Page 12
- Permet le filtrage des requtes lies aux protocoles http et
https Le filtrage se fait en fonction de La destination: adresse IP
(ou plage) ou noms de domaines et chemins Le planning Lorigine:
(utilisateur/groupe ou adresse IP) Le type de contenu: (extension
de fichiers ou type MIME) Types de filtres Autoriser Bloquer Par
dfaut, tout accs est bloqu (Secure by default) Rgles de site et
contenu
- Page 13
- Page 14
- Les diffrents types de clients Client SecureNAT Nom bizarre :
ne ncessite pas de logiciel client ou de configuration spciale Gr
par le service Firewall Les requtes HTTP peuvent tre rediriges vers
le service Web Proxy si le redirecteur est activ Client Firewall Gr
par le service Firewall Les requtes HTTP peuvent tre rediriges vers
le service Web Proxy si le redirecteur est activ Client Web proxy
Gr par le service Web Proxy Exemple de client Web proxy : Internet
Explorer
- Page 15
- Authentification Client Proxy Web Authentification dpendante du
navigateur et de lOS. Client Firewall Authentification base sur les
crdentiels Windows Client SecureNAT Pas dauthentification base sur
lutilisateur. Serveur ISA
- Page 16
- Rsolution DNS Web proxy client ISA Server soccupe de la requte
DNS Client SecureNAT Doit avoir accs un serveur DNS ISA Server ne
va pas proxyser les requtes DNS Firewall client ISA Server ou le
client font la requte DNS ISA Server Dpend des paramtres du
fichiers de configuration MSPCLNT.INI
- Page 17
- Tableau rcapitulatif Service Pare-feuService Web proxy
- Page 18
- Cration de rgles de protocoles pour diffrents groupes
dutilisateurs Cration de rgles de sites et de contenu pour
diffrents profils dutilisateurs. Dmonstration
- Page 19
- Page 20
- Partie 3 - protection des serveurs et des rseaux dentreprise
vis--vis dInternet La problmatique des pare-feu traditionnels Le
besoin des pare-feu niveau applicatifs (niveau 7) Le modle ISA
Server : pare-feu multicouches La dtection dintrusion ISA Server :
la publication de serveur la publication Web Exemple avec Exchange
Server Publication Web : protection dOutlook Web Access (OWA)
Publication de serveur : RPC sur Internet et SMTP
- Page 21
- Le problme Le filtrage de paquets & le statefull inspection
ne sont plus suffisants pour se protger des attaques daujourdhui !
Les pare-feu traditionnels se focalisent sur le filtrage de paquets
et le statefull inspection Aujourdhui, la plupart des attaques
contournent ce type de protection (ex: Nimda, Code Red,
openssl/Slapper). Les ports et protocoles ne suffisent plus
contrler ce que font les utilisateurs Hier, les port 80 et 443 tait
utilises pour surfer sur le Web Aujourdhui, ces ports sont utiliss
pour la navigation sur le Web, les Webmail, les messageries
instantanes, les Web Services, les logiciels P2P
- Page 22
- Internet Vers rseau interne Firewall niveau Application
Firewall traditionnel Les Firewalls niveau Application Sont
ncessaires pour se protger des attaques daujourdhui , ils
permettent une analyse approfondie du contenu des paquets rseaux
car comprendre ce quil y a dans le Payload est dsormais un pr
requis
- Page 23
- Filtrage de paquets & stateful inspection Filtrage au
niveau de la couche application (analyse approfondie du contenu)
Architecture proxy avance Produit volutif et extensible Plus de 30
partenaires http://www.microsoft.com/isaserver/partners/default.asp
ISA Server = pare-feu multi couches Un des meilleurs pare-feu pour
les environnements Microsoft.
- Page 24
- Dtection dintrusion
- Page 25
- Publication de serveur 1.Le paquet arrive sur linterface
externe SADR = client Rgle pour crer une socket sur linterface
externe 2.Le Payload est extrait (et analys si un filtre applicatif
est prsent) 3.Le nouveau paquet est cr sur linterface interne numro
de squence diffrent 4.Rajout dun nouvel entte IP, le paquet est
envoy SADR = client (galement possible : SADR = IP interne ISA)
Internet ISA Server Serveur publi IPnppayld IPnppayldIPnppayld
- Page 26
- Publication de plusieurs serveurs Rappel : socket = {IPAddr,
port, protocol} Diffrents protocoles Peuvent utiliser la mme
adresse IP externe; les numros de ports seront diffrents {IPAddr,
port1, protA} {IPAddr, port2, protB} Les mmes protocoles Ncessite
des adresses IP externes supplmentaires; les numros de port sont
les mmes {IPAddr1, port, protA} {IPAddr2, port, protA}
- Page 27
- Publication Web (http/https) 1.Le paquet arrives sur linterface
externe SADR = client Le listener cre une socket sur linterface
externe 2.Le Payload est extrait 4.Le nouveau paquet est cr sur
linterface interne numro de squence diffrent 5. Un nouvel entte IP
est ajout. Le paquet est envoy SADR = adresse IP interne dISA
Server 3.LURL est examine pour dterminer la destination. Le contenu
est analys. Internet ISA Server Serveur Web publi IPnppayld
IPnppayldIPnppayld URL
- Page 28
- URLScan 2.5 pour ISA Server Permet de filtrer les requtes Web
(http et https) entrantes selon des rgles dfinies Amliore la
protection des attaques bases sur des requtes web: Prsentant des
actions non usuelles (ex: appel dun.exe) Contenant un grand nombre
de caractres (pour Buffer Overflow) Encodes avec des caractres
alternatifs Peut tre utilis en conjonction de linspection SSL pour
dtecter les attaques au dessus de SSL
- Page 29
- Web server ISA Server Internet clientclient Client demande au
serveur Web laccs du contenu protg ISA Server transmet les
crdentiels au serveur protg ou OWA Dlgation de lauthentification
Pour lauthentification basique et SecurID Lauthentification se
droule sur ISA Server limine les multiples botes de dialogues
dauthentification Seul le trafic autoris passe ISA Server
Utilisable par rgle de publication Web ISA Server pr-authentifie
les utilisateurs et journalise leur activit
- Page 30
- Publication Web & SSL Gestion du SSL Trois options
1.Passthrough ou tunneling 2.Terminaison 3.Regnration Les options 2
and 3 font rfrences une fonctionnalit appel Bridging
- Page 31
- Gestion du SSL Passthrough (Publication de serveur) Internet
ISAServer Serveurpubli IPnppayldIPnppayldIPnppayld La charge utile
reste chiffre Aucune analyse du contenu ici Peut tre utilis si la
politique favorise la confidentialit par rapport linspection
- Page 32
- Gestion du SSL Terminaison (Publication Web) Internet ISAServer
Serveurpubli IPnppayldIPnppayldIPnppayld La charge utile est
dchiffre Lanalyse du contenu est donc possible Utilise si la
politique privilgie linpection Non scuris: donnes non chiffres dans
le rseau interne
- Page 33
- Gestion du SSL Regnration (Publication Web) Internet ISAServer
Serveurpubli IPnppayldIPnppayldIPnppayld La charge utile est
dchiffre Lanalyse du contenu est possible Utilise si la politique
privilgie linpection La charge utile est re-chiffre Scuris: donnes
chiffres mme dans le rseau interne
- Page 34
- Stratgie daccs Filtrage de paquets Les filtres de paquets
permettent dautoriser les trafics depuis ou destination des
interfaces externes Ils sont indpendants des rgles de protocoles et
des rgles de publication Ce filtrage de paquet doit toujours tre
activ pour protger le serveur ISA. Le paramtrage par dfaut Bloque
tout sauf certaines requtes ICMP, et les requtes DNS sortantes
- Page 35
- Exemple de publication de site Web : Outlook Web Access Accs
universel car : Tous les ordinateurs disposent dun navigateur Web
Interface familire aux utilisateurs OWA 2003 ressemble Outlook 2003
Contraintes de scurit HTTPS est le protocole Dtection dintrusion?
Conforme la politique scurit de messagerie? OWA 2000 ne propose pas
de timeout de session Corrig avec OWA 2003
- Page 36
- Architecture classique OWA Bon points Distinction entre les
protocoles utiliss vers le front End et vers le Back End -
Segmentation et protection des rseaux Mauvais points Tunnel HTTPS
traversant le pare- feu externe : pas dinspection HTTPS est LE
protocole universel pour outrepasser et traverser les pare-feu !!!
Nombreux ports ouverts, sur le pare-feu interne, car ncessaire pour
lauthentification Connexion initiale sur OWA possible en anonyme
ExBE AD OWA Pare-feu traditionnel traditionnelexterne
Pare-feuinterne Internet
- Page 37
- Amliorer la scurit dOWA Objectifs de scurit Inspecter le trafic
SSL Maintenir la confidentialit Vrifier la conformit des requtes
HTTP Autoriser uniquement la construction et le traitement dURL
connues Bloquer les attaques par URLs Optionnel Pr authentifier les
connections entrantes
- Page 38
- Protger OWA avec ISA mcanismes (1/2) ISA Server devient le
bastion host Le service Web proxy termine toutes les connexions
Dchiffrer HTTPS Inspecte le contenu Inspecte lURL (avec URLScan)
Optionnel R encrypte pour envoyer au serveur OWA OWA ISA Server
Exchange AD x36dj23s2oipn49v
- Page 39
- Protger OWA avec ISA mcanismes (2/2) Authentification facile
avec Active Directory Pr authentification ISA Server demande
lutilisateur ses crdentiels Vrifie auprs de lActive Directory (ou
du domaine NT) Encapsule les informations dans lentte HTTP
destination dOWA vite une seconde saisie ! Ncessite ISA FP1 OWA ISA
Server Exchange AD Internet
- Page 40
- Le traffic inspect peut tre envoy au serveur interne re-chiffr
ou en clair. URLScan for ISA Server URLScan pour ISA Server peut
stopper les attaques Web la bordure du rseau, mme pour celles
chiffres avec SSL Protger Outlook Web Access Firewall Traditionnel
OWAOWA clientclient Le serveur OWA demande une authentification
tout utilisateur Internet peut accder cet invite SSLSSL Le tunnel
SSL traverse le firewall traditionnel car le flux est chiffr ce qui
permet au virus et aux vers de traverser sans tre dtects et
dinfecter les serveurs internes! Dlgation de lauthentification
basique ISA Server pr-authentifie les utilisateurs, liminant les
botes de dialogues multiples et autorise uniquement le trafic
valide URLScan pour ISA Server SSL ou HTTP SSLSSL ISA Server peut
dchiffrer et inspecter le trafic SSL InternetInternet ISA Server
avec Feature Pack 1
- Page 41
- Dmonstration : publication OWA
- Page 42
- Exchange RPC sur Internet Mais pourquoi ??? Beaucoup
dutilisateurs souhaitent ou ont besoin dutiliser lensemble des
fonctionnalits dOutlook : Produits tiers additionnels
Synchronisation de la bote au lettres Rgles ct client Carnet
dadresses complet La solution VPN est souvent trop coteuse si il
faut satisfaire uniquement ce besoin
- Page 43
- Serveur RPC (Exchange) Client RPC (Outlook) ServiceUUIDPort
Exchange{12341234-11114402 Rplication AD{01020304-44443544
MMC{19283746-77779233 Les services RPC obtiennent des port
alatoires (> 1024) lors de leur dmarrage, le serveur maintient
une table RPC Exchange - Concepts135/tcp Le client se connecte au
portmapper sur le serveur (port tcp 135) Le client connait lUUID du
service quil souhaite utiliser {12341234-1111} Le client accde
lapplication via le port reu Le client demande quel port est associ
lUUID ? Le serveur fait correspondre lUUID avec le port courant
4402 Le portmapper rpond avec le port et met fin la connexion
4402/tcp Du fait de la nature alatoire des ports utiliss par les
RPC, limplmentation est difficile via Internet Lensemble des 64,512
ports suprieurs 1024 ainsi que le port 135 doivent tre ouverts sur
des pare feu traditionnels