Christophe Dubos [email protected] Architecte Système Microsoft France Microsoft Internet...

53
Christophe Christophe Dubos Dubos [email protected] [email protected] Architecte Système Architecte Système Microsoft France Microsoft France Microsoft Internet Security Microsoft Internet Security & Acceleration Server 2004 & Acceleration Server 2004

Transcript of Christophe Dubos [email protected] Architecte Système Microsoft France Microsoft Internet...

Page 1: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

ChristopheChristophe Dubos Dubos

[email protected]@MICROSOFT.COM

Architecte SystèmeArchitecte SystèmeMicrosoft FranceMicrosoft France

Microsoft Internet Security & Microsoft Internet Security & Acceleration Server 2004Acceleration Server 2004Microsoft Internet Security & Microsoft Internet Security & Acceleration Server 2004Acceleration Server 2004

Page 2: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Agenda Agenda

IntroductionIntroduction

ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation

Pare-feu de périphériePare-feu de périphérie

Protection des applications et réseaux Protection des applications et réseaux internesinternes

Accès sécurisé à InternetAccès sécurisé à Internet

Réseaux multi sitesRéseaux multi sites

Questions & RéponsesQuestions & Réponses

Page 3: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Les fonctionnalités du produit à des Les fonctionnalités du produit à des besoins spécifiques via un SDK et une besoins spécifiques via un SDK et une offre de produits compagnons richeoffre de produits compagnons riche

Les temps d’accès à l’information et la Les temps d’accès à l’information et la bande passante utilisée via un cache bande passante utilisée via un cache haute performancehaute performance

L’accès à Internet et au ressources L’accès à Internet et au ressources interne via la mise en œuvre interne via la mise en œuvre centralisée de stratégiescentralisée de stratégies

Les ressources de l’entreprise des Les ressources de l’entreprise des attaques et intrusions attaques et intrusions via un pare-feuvia un pare-feu permettant le filtrage applicatifpermettant le filtrage applicatif

Microsoft ISA Server 2004Microsoft ISA Server 2004Protéger, Contrôler, Optimiser et EtendreProtéger, Contrôler, Optimiser et Etendre

ContrôlerContrôler

OptimiserOptimiser

ProtégerProtéger

EtendreEtendre

Page 4: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Scenarii de mise en oeuvreScenarii de mise en oeuvrePare feu de périphériePare feu de périphérie

Multi réseauxMulti réseauxDMZDMZ

Protection des applications et réseaux internesProtection des applications et réseaux internesPasserelle de filtrage applicatifPasserelle de filtrage applicatif

Serveurs WebServeurs WebServeurs de messagerieServeurs de messagerie

Protection des réseaux internesProtection des réseaux internes

Accès sécurisé et optimisé à InternetAccès sécurisé et optimisé à InternetStratégies d’accèsStratégies d’accèsCache WebCache Web

Réseaux multi sitesRéseaux multi sitesSécurisation sites distantsSécurisation sites distantsIntégration du VPNIntégration du VPNIPSec Tunnel ModeIPSec Tunnel Mode

Page 5: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Agenda Agenda

IntroductionIntroduction

ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation

Pare-feu de périphériePare-feu de périphérie

Protection des applications et réseaux Protection des applications et réseaux internesinternes

Accès sécurisé à InternetAccès sécurisé à Internet

Réseaux multi sitesRéseaux multi sites

Questions & RéponsesQuestions & Réponses

Page 6: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Tableau de bord de supervisionTableau de bord de supervision

Visualisation des journaux temps réelVisualisation des journaux temps réel

Assistant de définition des relations Assistant de définition des relations entre les différents réseauxentre les différents réseaux

Support de scénario complexesSupport de scénario complexes

Stratégie de sécurité Pare-feu/VPN Stratégie de sécurité Pare-feu/VPN unifiéeunifiée

Import-export de configuration (XML)Import-export de configuration (XML)

Nombre de réseaux illimitéNombre de réseaux illimité

Stratégie de filtrage et d’accès Stratégie de filtrage et d’accès (routage/translation)(routage/translation) définiedéfinie par réseaupar réseau

Topologies Topologies réseau typeréseau type

Editeur de Editeur de stratégiesstratégies

Architecture Architecture multi réseaumulti réseau

Outils de Outils de diagnostiquediagnostique

ISA Server 2004ISA Server 2004Facilité de mise en oeuvre et d’administrationFacilité de mise en oeuvre et d’administration

Page 7: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

DMZ 1DMZ 1

Réseau ARéseau A

Le VPN comme réseau Le VPN comme réseau à part entièreà part entière

Modèle réseau ISA Server 2004Modèle réseau ISA Server 2004

DMZ 2DMZ 2Réseau BRéseau B

RéseauRéseauVPNVPN

Nombre de réseaux non limitéNombre de réseaux non limité

Type d’accès NAT/RoutageType d’accès NAT/Routagespécifique à chaque réseauspécifique à chaque réseau

Isolation de la machine Isolation de la machine pare feupare feu

Stratégie de filtrage par réseauStratégie de filtrage par réseau

Page 8: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Permet une mise en œuvre initiale plus simplePermet une mise en œuvre initiale plus simple

ISA Server 2004ISA Server 2004Interface utilisateur - Configuration réseauInterface utilisateur - Configuration réseau

Page 9: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

• Autoriser• Interdire

• Réseau(x)• Adresse(s) IP• Machine(s)

• Réseau(x)• Adresse(s) IP• Site(s)

• Protocole IP• Port(s) TCP/UDP

• Serveur publié• Site Web publié• Planning• Filtre applicatif

actionaction sursur trafictrafic de de sourcesource versvers destinationdestination pourpour utilisateurutilisateur avecavec conditionsconditions

• Utilisateur(s)• Groupe(s)

Les stratégies ISA Server 2004Les stratégies ISA Server 2004

Page 10: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Un seul ensemble de règlesUn seul ensemble de règles

Définition de l’ordre d’évaluation des règlesDéfinition de l’ordre d’évaluation des règles

Support des configurations multi réseauSupport des configurations multi réseau

Intégration avec le filtrage applicatifIntégration avec le filtrage applicatifDéfinition au sein de chaque règleDéfinition au sein de chaque règle

Des règles système pour la configuration initialeDes règles système pour la configuration initialeMasquées par défautMasquées par défaut

Un ensemble de composants richeUn ensemble de composants richeMachines (groupes), Plages d’adresses IP, Sous Machines (groupes), Plages d’adresses IP, Sous réseaux, URL (groupes), Noms de domaines (groupes)réseaux, URL (groupes), Noms de domaines (groupes)Protocoles, Types de contenus (MIME)Protocoles, Types de contenus (MIME)PlanningsPlanningsUtilisateurs (groupes)Utilisateurs (groupes)

Les stratégies ISA Server 2004Les stratégies ISA Server 2004

Page 11: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Vision globale de la configurationVision globale de la configuration

ISA Server 2004ISA Server 2004Interface utilisateur - StratégiesInterface utilisateur - Stratégies

Page 12: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

ISA Server 2004ISA Server 2004Interface utilisateur - Ergonomie et richesseInterface utilisateur - Ergonomie et richesse

Tableau de bordTableau de bord

Boite à outils et liste de taches contextuellesBoite à outils et liste de taches contextuelles

Modèles de configuration réseauModèles de configuration réseau

Création/édition des règles via Drag & DropCréation/édition des règles via Drag & Drop

AssistantsAssistants

Tableau de bord Tableau de bord StratégiesStratégies Boite à outilsBoite à outilsConfig réseauConfig réseau Liste de tachesListe de taches

Page 13: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Intégration de l’ensemble des fonctionnalités de Intégration de l’ensemble des fonctionnalités de supervisionsupervision

AlertesAlertes

SessionsSessions

Etat des servicesEtat des services

EtatsEtats

Test de connectivitéTest de connectivité

JournauxJournaux

PerformancesPerformances

ISA Server 2004ISA Server 2004Interface utilisateur - Tableau de bord/supervisionInterface utilisateur - Tableau de bord/supervision

Page 14: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Vision globale du fonctionnementVision globale du fonctionnement

ISA Server 2004ISA Server 2004Interface utilisateur - Tableau de bord/supervisionInterface utilisateur - Tableau de bord/supervision

Page 15: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Accès interactif aux journauxAccès interactif aux journaux

ISA Server 2004ISA Server 2004Interface utilisateur - Visualisation des journauxInterface utilisateur - Visualisation des journaux

Page 16: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Les erreurs de configuration sont la principale Les erreurs de configuration sont la principale cause de mise en défaut des pare-feuxcause de mise en défaut des pare-feux

L’utilisation d’assistants permet de réduire le L’utilisation d’assistants permet de réduire le risque d’erreurrisque d’erreur

L’utilisation du mécanisme d’Import/Export L’utilisation du mécanisme d’Import/Export permetpermet

Un passage simple et sans risque d’erreur des plates-Un passage simple et sans risque d’erreur des plates-formes de test aux plates-formes de productionformes de test aux plates-formes de production

Un retour rapide et sur à une configuration précédente Un retour rapide et sur à une configuration précédente en cas de problème en cas de problème

ISA Server 2004ISA Server 2004Interface utilisateur - Assistants et Import/ExportInterface utilisateur - Assistants et Import/Export

Page 17: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Agenda Agenda

IntroductionIntroduction

ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation

Pare-feu de périphériePare-feu de périphérie

Protection des applications et réseaux Protection des applications et réseaux internesinternes

Accès sécurisé à InternetAccès sécurisé à Internet

Réseaux multi sitesRéseaux multi sites

Questions & RéponsesQuestions & Réponses

Page 18: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

RADIUS et RSA SecurIDRADIUS et RSA SecurID

Délégation d’authentificationDélégation d’authentification

Filtre applicatif RPC (MAPI et autres)Filtre applicatif RPC (MAPI et autres)

Sécurité Outlook Web Access accrueSécurité Outlook Web Access accrue

Méthodes: POST, HEAD...Méthodes: POST, HEAD...

Signatures: mots clés ou chaînes de Signatures: mots clés ou chaînes de caractères dans URL, En-tête, Corpscaractères dans URL, En-tête, Corps

Filtres applicatifs HTTP et SMTPFiltres applicatifs HTTP et SMTP

Stratégies riches et flexiblesStratégies riches et flexibles

Protection des Protection des serveurs de serveurs de messageriemessagerie

Filtrage HTTP Filtrage HTTP évoluéévolué

Inspection de Inspection de contenu avancéecontenu avancée

Authentification Authentification flexibleflexible

ISA Server 2004ISA Server 2004Protection avancéeProtection avancée

Page 19: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Pare-feuPare-feuQuels problèmes ?Quels problèmes ?

De nombreux pare feu déployés aujourd’hui…De nombreux pare feu déployés aujourd’hui…Se concentrent sur le filtrage et l’inspection de paquets Se concentrent sur le filtrage et l’inspection de paquets en fonction du contexte (SPI) - couches OSI 3 et 4en fonction du contexte (SPI) - couches OSI 3 et 4

De nombreuses attaques rencontrées De nombreuses attaques rencontrées aujourd’hui…aujourd’hui…

Sont au niveau applicatif et déjouent ces mesures sans Sont au niveau applicatif et déjouent ces mesures sans problèmes - couche OSI 7problèmes - couche OSI 7

Les ports et protocoles ne peuvent plus être Les ports et protocoles ne peuvent plus être utilisés comme garants des intentionsutilisés comme garants des intentions

Certains ports sont «sur utilisés» et peuvent être Certains ports sont «sur utilisés» et peuvent être facilement exploités pour contourner le filtragefacilement exploités pour contourner le filtrage

Port TCP 80 HierPort TCP 80 Hier -- Web (HTTP) uniquementWeb (HTTP) uniquement

Port TCP 80 Aujourd’huiPort TCP 80 Aujourd’hui -- Browsing Web, Web mail, Browsing Web, Web mail, Web Services XML (SOAP), HTTP-Tunnel …Web Services XML (SOAP), HTTP-Tunnel …

Le filtrage et d

e paquets et le

SPI ne so

nt pas

Le filtrage et d

e paquets et le

SPI ne so

nt pas

suffisants pour a

ssurer u

ne protection co

ntre le

s

suffisants pour a

ssurer u

ne protection co

ntre le

s

attaques d

’aujourd’hui !

attaques d

’aujourd’hui !

Page 20: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Filtres applicatifs ISA Server 2004Filtres applicatifs ISA Server 2004

Analyse du contenuAnalyse du contenuBlocage / modification / redirectionBlocage / modification / redirection

Filtres applicatifs pourFiltres applicatifs pourInternet: HTTP, FTP, SMTP, POPInternet: HTTP, FTP, SMTP, POPStreaming: RTSP, MMS, PNM, H.323Streaming: RTSP, MMS, PNM, H.323DNS: Détection d’intrusionsDNS: Détection d’intrusionsRPC: Publication de serveursRPC: Publication de serveursPPTPPPTPSOCKS V4SOCKS V4

SMTP: VRFY *

ServeurServeur

DNS: Attaque de zone

HTTP: Encapsulation

HTTP: Site interdit

HTTP: Attaque/Vers

ClientClient

Page 21: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Des messages non désirés envahissent les Des messages non désirés envahissent les réseaux d’entrepriseréseaux d’entreprise

SPAM, pièces jointes non autoriséesSPAM, pièces jointes non autorisées

Vers et VirusVers et Virus

Fournir un accès externe à la messagerie Fournir un accès externe à la messagerie complique les stratégies d’accès et compromet complique les stratégies d’accès et compromet la sécuritéla sécurité

L’utilisation de clients de messagerie différents ou de L’utilisation de clients de messagerie différents ou de clients VPN en cas de mobilité accroît la complexité et clients VPN en cas de mobilité accroît la complexité et réduit la productivitéréduit la productivité

La configuration de la sécurité au niveau des La configuration de la sécurité au niveau des pare-feux pour la messagerie est trop complexepare-feux pour la messagerie est trop complexe

Serveurs de messagerieServeurs de messagerieProblématiques de sécuritéProblématiques de sécurité

Page 22: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Protection des serveurs SMTP Protection des serveurs SMTP

Filtre applicatif SMTPFiltre applicatif SMTPUtilise les capacités de filtrage applicatif de ISA Utilise les capacités de filtrage applicatif de ISA ServerServer

Filtrage des messages avec une fiabilité et une Filtrage des messages avec une fiabilité et une sécurité accrue en fonction de plusieurs attributssécurité accrue en fonction de plusieurs attributs

ExpéditeurExpéditeur

DomaineDomaine

Mots cléMots clé

Pièces jointes (extension, nom, taille)Pièces jointes (extension, nom, taille)

Commandes SMTP (y compris taille)Commandes SMTP (y compris taille)

Page 23: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

ServiceService UUIDUUID PortPort

ExchangeExchange {12341234-1111…{12341234-1111… 44024402

Réplication ADRéplication AD {01020304-4444…{01020304-4444… 35443544

MMCMMC {19283746-7777…{19283746-7777… 92339233

Les services RPC obtiennent des port aléatoires (> 1024) Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une tablelors de leur démarrage, le serveur maintient une table

RPC RPC ConceptsConcepts

135/tcp135/tcp

1. Le client se connecte au portmapper 1. Le client se connecte au portmapper sur le serveur (port tcp 135)sur le serveur (port tcp 135)

Le client connait l’UUID du Le client connait l’UUID du service qu’il souhaite utiliserservice qu’il souhaite utiliser

{12341234-1111…}{12341234-1111…}

5. Le client accède à 5. Le client accède à l’application via le port reçul’application via le port reçu

2. Le client demande quel 2. Le client demande quel port est associé à l’UUID ?port est associé à l’UUID ?

3. Le serveur fait correspondre 3. Le serveur fait correspondre l’UUID avec le port courant…l’UUID avec le port courant…

44024402

4. Le portmapper répond avec le 4. Le portmapper répond avec le port et met fin à la connexionport et met fin à la connexion

4402/tcp4402/tcp

Page 24: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Serveur Serveur ExchangeExchangeISA ServerISA Server

Seul le port TCP 135 (portmapper) est ouvertSeul le port TCP 135 (portmapper) est ouvertLes ports > 1024 sont ouverts/fermés dynamiquement Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients Outlook en fonction des besoinspour les clients Outlook en fonction des besoins

Inspection du trafic vers le portmapper au niveau Inspection du trafic vers le portmapper au niveau applicatifapplicatif

Seuls les UUID définis sont autorisés à l’exception Seuls les UUID définis sont autorisés à l’exception de tout autrede tout autre

Filtre applicatif RPCFiltre applicatif RPCAccès distant Outlook sans mise en place de VPNAccès distant Outlook sans mise en place de VPN

Client Client OutlookOutlook

Page 25: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Reconnaissance ?Reconnaissance ?NETSTAT ne montre que 135/tcpNETSTAT ne montre que 135/tcp

RPCDump ne fonctionne pasRPCDump ne fonctionne pas

Déni de service contre le portmapper ?Déni de service contre le portmapper ?Les attaques connues échouentLes attaques connues échouent

Exchange est protégé des attaquesExchange est protégé des attaques

Attaques des services de Exchange ?Attaques des services de Exchange ?L’obtention d’information n’est plus possibleL’obtention d’information n’est plus possible

Les connexions entre ISA Server et Exchange vont Les connexions entre ISA Server et Exchange vont échouer tant que les connexions entre ISA et le client échouer tant que les connexions entre ISA et le client ne sont pas correctement formatéesne sont pas correctement formatées

Oui!Oui!

Oui!Oui!

Oui!Oui!

Filtre applicatif RPCFiltre applicatif RPCProtection contre les attaquesProtection contre les attaques

Page 26: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Filtre Applicatif HTTPFiltre Applicatif HTTPProtection des serveurs WebProtection des serveurs Web

Filtre les requêtes en fonction d’un ensemble de Filtre les requêtes en fonction d’un ensemble de règlesrègles

Permet de se protéger contre les phases de Permet de se protéger contre les phases de reconnaissance ou attaquesreconnaissance ou attaques

Récupération de bannièreRécupération de bannière

Navigation dans les arborescencesNavigation dans les arborescences

Commandes HTTP spécifiquesCommandes HTTP spécifiques

Nombre important de caractères dans les en-tête ou le Nombre important de caractères dans les en-tête ou le corps des messagescorps des messages

Encodage spécifiqueEncodage spécifique

Peut être utilisé en conjonction avec l’inspection Peut être utilisé en conjonction avec l’inspection de SSL pour détecter les attaques sur SSLde SSL pour détecter les attaques sur SSL

Page 27: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Contrôler l’encapsulation HTTPContrôler l’encapsulation HTTP

P2PP2P

IMIM

……

ISA Server 2004ISA Server 2004

Il n’y a pas si longtemps, les applicationsIl n’y a pas si longtemps, les applications

utilisaient des ports fixesutilisaient des ports fixes

Et votre pare-feu pouvait bloquer ses portsEt votre pare-feu pouvait bloquer ses ports

Et tout allait pour le mieux...Et tout allait pour le mieux...

Puis les applications ont utiliséPuis les applications ont utilisé

l’encapsulation dans HTTPl’encapsulation dans HTTP

Pare-feu couches Pare-feu couches 3 et 43 et 4

Et votre pare-feu ne peut plus les bloquerEt votre pare-feu ne peut plus les bloquer

ISA Server 2004 perm

et de contrô

ler et d

e filtre

r les

ISA Server 2004 perm

et de contrô

ler et d

e filtre

r les

applications utili

sant l’encapsulatio

n HTTP

applications utili

sant l’encapsulatio

n HTTP

Page 28: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Le protocole HTTPLe protocole HTTPFiltrage en fonction du contenu de l’en-têteFiltrage en fonction du contenu de l’en-tête

POST http://64.4.1.18/gtw/gtw.dll?SessID=1POST http://64.4.1.18/gtw/gtw.dll?SessID=1HTTP/1.1HTTP/1.1Accept: */*Accept: */*Accept-Language: en-usAccept-Language: en-usAccept-Encoding: gzip, deflateAccept-Encoding: gzip, deflateUser-Agent: User-Agent: MSMSGSMSMSGSHost: 64.4.1.18Host: 64.4.1.18Proxy-Connection: Keep-AliveProxy-Connection: Keep-AliveConnection: Keep-AliveConnection: Keep-AlivePragma: no-cachePragma: no-cacheContent-Type: Content-Type: application/x-msn-messengerapplication/x-msn-messengerContent-Length: 7Content-Length: 7

Page 29: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Il faut être capable d’aller au delà des Il faut être capable d’aller au delà des informations disponibles au sein des en-têtesinformations disponibles au sein des en-têtes

Ex: Yahoo IM utilise l’en-tête User Agent: Mozilla 4.01Ex: Yahoo IM utilise l’en-tête User Agent: Mozilla 4.01

ISA permet de définir des signatures basées sur ISA permet de définir des signatures basées sur le contenu des en-têtes HTTP et le corps des le contenu des en-têtes HTTP et le corps des messagesmessages

Le protocole HTTPLe protocole HTTPFiltrage en fonction de contenu du corps Filtrage en fonction de contenu du corps

Page 30: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

isa.internal.microsoft.com

www.internal.microsoft.com

Permet la consolidation de multiples sites Permet la consolidation de multiples sites derrière une identité communederrière une identité commune

Permet de protéger les sites publiésPermet de protéger les sites publiésSeule l’URL (FQDN & répertoire) publiée est accessibleSeule l’URL (FQDN & répertoire) publiée est accessible

Filtrage applicatif HTTPFiltrage applicatif HTTP

La redirection du host header permet de co-héberger La redirection du host header permet de co-héberger des sitesdes sites

/isaserver//isaserver/

//

Publication de sites WebPublication de sites WebReverse ProxyReverse Proxy

www.microsoft.com/isaserver/

www.microsoft.com/

ISA ServerISA Server

Page 31: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

http://http://

Link translatorLink translatorFacilite la publication des sites intranetFacilite la publication des sites intranetTraduction des hyperlinks au sein des réponses Traduction des hyperlinks au sein des réponses

Noms des ordinateurs Intranet vers ceux des Noms des ordinateurs Intranet vers ceux des ordinateurs disponibles sur Internetordinateurs disponibles sur Internet

HTTPHTTP HTTPS; SharePoint Portal ServerHTTPS; SharePoint Portal Server

ISA ServerISA ServerServeur WebServeur Web

(www.example.com)(www.example.com)

Server WEBServer WEB (int-mktg)(int-mktg)http://

http://int-mktg/http://int-mktg/sales.htmlsales.htmlint-mktg/int-mktg/mktg.example.com/mktg.example.com/LINK TRANSLATORLINK TRANSLATOR

http://http://mktg.example.com/http://mktg.example.com/sales.htmlsales.html

ClientClient

Requête cliente Requête cliente www.example.com/index.htmlwww.example.com/index.html

Page 32: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

1.1. Le paquet arrive sur l’interface externeLe paquet arrive sur l’interface externeSource ADR = IP clientSource ADR = IP client

2.2. Le contenu est extraitLe contenu est extrait

4.4. Le nouveau paquet est créé sur l’interface interneLe nouveau paquet est créé sur l’interface internenuméro de séquence différentnuméro de séquence différent

5.5. Un nouvel en-tête IP est ajouté. Le paquet est envoyéUn nouvel en-tête IP est ajouté. Le paquet est envoyéSADR = adresse IP interne d’ISA Server ou IP SourceSADR = adresse IP interne d’ISA Server ou IP Source

ISA ServerISA Server Serveur WebServeur Web

IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayldURLURL

Publication de serveurs webPublication de serveurs web

3.3. L’URL est examinée pour déterminer la destination. Le L’URL est examinée pour déterminer la destination. Le contenu est analysécontenu est analysé

Page 33: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld

Le contenu reste chiffréLe contenu reste chiffréAucune analyse ne peut être réaliséeAucune analyse ne peut être réalisée

Peut être utilisé si la politique favorise la Peut être utilisé si la politique favorise la confidentialité par rapport à l’inspectionconfidentialité par rapport à l’inspection

Tunneling SSLTunneling SSLPassthroughPassthrough

BrowserBrowser ISA ServerISA Server ServeurServeur

Page 34: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld

Bridging SSLBridging SSLTerminaisonTerminaison

Le contenu est déchiffréLe contenu est déchiffréL’analyse peut être réaliséeL’analyse peut être réalisée

Peut être utilisé si la politique favorise l’inspection Peut être utilisé si la politique favorise l’inspection par rapport à la confidentialitépar rapport à la confidentialité

Le contenu n’est pas re-chiffréLe contenu n’est pas re-chiffréLes données ne sont pas chiffrées dans le réseau interneLes données ne sont pas chiffrées dans le réseau interne

BrowserBrowser ISA ServerISA Server ServeurServeur

Page 35: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld

Le contenu est déchiffréLe contenu est déchiffréL’analyse peut être réaliséeL’analyse peut être réalisée

Peut être utilisé si la politique favorise l’inspection par Peut être utilisé si la politique favorise l’inspection par rapport à la confidentialitérapport à la confidentialité

Le contenu est re-chiffréLe contenu est re-chiffréLes données sont chiffrées dans le réseau interneLes données sont chiffrées dans le réseau interne

Bridging SSLBridging SSLRégénérationRégénération

BrowserBrowser ISA ServerISA Server ServeurServeur

Page 36: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Agenda Agenda

IntroductionIntroduction

ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation

Pare-feu de périphériePare-feu de périphérie

Protection des applications et réseaux Protection des applications et réseaux internesinternes

Accès sécurisé à InternetAccès sécurisé à Internet

Réseaux multi sitesRéseaux multi sites

Questions & RéponsesQuestions & Réponses

Page 37: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Délégation d’administrationDélégation d’administration

Listes de tâches contextuellesListes de tâches contextuelles

Flexibilité accrue des règles (filtrage Flexibilité accrue des règles (filtrage HTTP sur toutes les règles)HTTP sur toutes les règles)

Exécutables: blocage téléchargementExécutables: blocage téléchargement

En fonction de la destination, du type En fonction de la destination, du type de contenu et du type de protocole de contenu et du type de protocole HTTP/HTTPSHTTP/HTTPS

Intégration des moteurs de Pare-feu et Intégration des moteurs de Pare-feu et de Proxy HTTPde Proxy HTTP

Performances accruesPerformances accrues

Contrôle d’accès Contrôle d’accès plus richeplus riche

Contrôle de la Contrôle de la mise en cache mise en cache

plus fineplus fine

Optimisation de Optimisation de l’architecturel’architecture

AdministrationAdministration

ISA Server 2004ISA Server 2004Fonctionnalité de Proxy et de Cache intégréesFonctionnalité de Proxy et de Cache intégrées

Page 38: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Contrôler l’accès à InternetContrôler l’accès à InternetObjectifsObjectifs

Définition de stratégies d’accès permettantDéfinition de stratégies d’accès permettantDe limiter les usages abusifsDe limiter les usages abusifs

De protéger d’un point de vue légal et sécuritéDe protéger d’un point de vue légal et sécurité

Contrôler l’accès aux services via Contrôler l’accès aux services via authentification authentification

Page 39: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Contrôler l’accès à InternetContrôler l’accès à InternetFonctionnalitésFonctionnalités

Filtrage évolué, permettant de définir une Filtrage évolué, permettant de définir une stratégie d’accès en fonctionstratégie d’accès en fonction

Du type de protocole: FTP, HTTP, HTTPSDu type de protocole: FTP, HTTP, HTTPS

De la destination: liste des domaines, URLs, adresses De la destination: liste des domaines, URLs, adresses IPIP

Du type de contenu: MIME, extensionsDu type de contenu: MIME, extensions

Des personnes: utilisateurs, groupesDes personnes: utilisateurs, groupes

Intégration avec le module de reportingIntégration avec le module de reporting

Page 40: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Optimisation des accès à InternetOptimisation des accès à InternetRéduction des temps d’accèsRéduction des temps d’accès

Réduction de la bande passante consomméeRéduction de la bande passante consommée

Optimiser l’accès à InternetOptimiser l’accès à InternetObjectifsObjectifs

Page 41: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Cache évoluéCache évoluéCache en RAM: contenu le plus utilisé stocké en RAMCache en RAM: contenu le plus utilisé stocké en RAM

Téléchargement pro actif de contenu avant expirationTéléchargement pro actif de contenu avant expiration

Gestion de la mise en cache en fonction de la Gestion de la mise en cache en fonction de la destinationdestination

Téléchargement de contenu planifiableTéléchargement de contenu planifiable

Cache distribuéCache distribuéCache Array Routing Protocol (CARP)Cache Array Routing Protocol (CARP)

Cache hiérarchique et routageCache hiérarchique et routage

Optimiser l’accès à InternetOptimiser l’accès à InternetFonctionnalitésFonctionnalités

Page 42: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

HTTPHTTP etet misemise enen cachecache desdes objetsobjets

En têtes utilisés pour En têtes utilisés pour contrôler la mise en cachecontrôler la mise en cache

Cache-Control: no-cache, Cache-Control: no-cache, public, private, must-revalidate, public, private, must-revalidate, proxy-revalidateproxy-revalidatePragma: nocache, www-Pragma: nocache, www-authenticate ou set cookieauthenticate ou set cookie

En têtes utilisés pour En têtes utilisés pour contrôler la durée de vie des contrôler la durée de vie des objetsobjets

age:age:max-age et s-maxage:max-age et s-maxage:date:date:expires:expires:

Response CodeResponse CodeHTTP/1.1 200 OKHTTP/1.1 200 OK

HeadersHeadersServer: …Server: …Date: …Date: …

ContenuContenu

Page 43: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Agenda Agenda

IntroductionIntroduction

ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation

Pare-feu de périphériePare-feu de périphérie

Protection des applications et réseaux Protection des applications et réseaux internesinternes

Accès sécurisé à InternetAccès sécurisé à Internet

Réseaux multi sitesRéseaux multi sites

Questions & RéponsesQuestions & Réponses

Page 44: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Service de QuarantaineService de Quarantaine

IPsec Tunnel ModeIPsec Tunnel Mode

L2TP/IPSecL2TP/IPSec

Définies de manière centralisée dans Définies de manière centralisée dans Active DirectoryActive Directory

Filtrage Pare-feu et VPN unifiéFiltrage Pare-feu et VPN unifié

VPN site à siteVPN site à site

Intégration avec Intégration avec les stratégies les stratégies

d’accèsd’accès

Intégration Intégration complète du VPNcomplète du VPN

Contrôle de la Contrôle de la configuration configuration

des clientsdes clients

ISA Server 2004ISA Server 2004Intégration du VPNIntégration du VPN

Page 45: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Architectures VPNArchitectures VPNSéparation FW - VPNSéparation FW - VPN

Intégration FW - VPNIntégration FW - VPN

Passerelle VPNPasserelle VPNCe qu’il n

e faut p

as faire

Ce qu’il ne fa

ut pas fa

ire

Ce qu’il faut fa

ire

Ce qu’il faut fa

ire

Page 46: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

ISA Server 2004ISA Server 2004Intégration FW - VPNIntégration FW - VPNPublication des serveurs VPNPublication des serveurs VPN

PPTPPPTP

NAT-T L2TP/IPSecNAT-T L2TP/IPSec

Gestion dynamique des réseauxGestion dynamique des réseauxClients VPN Clients VPN 

Clients VPN en quarantaineClients VPN en quarantaine

Stratégies d’accès applicables à ces Stratégies d’accès applicables à ces réseaux « virtuels »réseaux « virtuels »

Mise en quarantaineMise en quarantaineAccès VPN pour des clients sûrs (AV, patch…)Accès VPN pour des clients sûrs (AV, patch…)

Sinon, comment les sécuriser !Sinon, comment les sécuriser !

Page 47: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Support de IPSec tunnel modeSupport de IPSec tunnel mode

Support du service de quarantaineSupport du service de quarantaine

ISA Server 2004ISA Server 2004Intégration du VPNIntégration du VPN

Page 48: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

ISA Server 2004ISA Server 2004Service de quarantaineService de quarantaine

Réseaux Internes

Clients VPN

DMZ

Clients VPN en Quarantaine

Lors de la connexion Lors de la connexion initiale, les clients initiale, les clients VPN sont VPN sont automatiquement automatiquement placés sur le réseau placés sur le réseau « Clients VPN en « Clients VPN en quarantaine »quarantaine »

Une fois la Une fois la vérification vérification d’intégrité passée, d’intégrité passée, les clients VPN sont les clients VPN sont alors placés sur le alors placés sur le réseau « Clients réseau « Clients VPN »VPN »

Page 49: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Client :Connexion

Serveur: Ajouté au réseau de Quarantaine

Client :Lance les scripts de vérification de la sécurité

Client: Sécurisé?

Client :Envoi “Clear Quarantine” au serveur

Serveur: déplace le client vers le réseau “VPN clients”

Client : Notifie l’utilisateur qu’une correction doit être effectuée

Yes No

ISA Server 2004ISA Server 2004Algorithme de quarantaineAlgorithme de quarantaine

Page 50: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Un pare-feu plus richeUn pare-feu plus richeSupport d’un grand nombre de scénariiSupport d’un grand nombre de scénariiPare-feu VPN, Proxy & CachePare-feu VPN, Proxy & Cache

Un pare-feu plus simple à mettre en oeuvreUn pare-feu plus simple à mettre en oeuvreInstallation et configuration via assistantsInstallation et configuration via assistantsConfiguration intuitive des stratégiesConfiguration intuitive des stratégiesRéduction du risque d’erreurs de configurationRéduction du risque d’erreurs de configuration

Un pare-feu offrant une protection au Un pare-feu offrant une protection au niveau applicatifniveau applicatif

Filtres applicatifsFiltres applicatifsDéfense en profondeurDéfense en profondeur

En résumé…En résumé…Microsoft ISA Server 2004 - BénéficesMicrosoft ISA Server 2004 - Bénéfices

Page 51: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.

Agenda Agenda

IntroductionIntroduction

ISA Server 2004 - Scénarii d’utilisationISA Server 2004 - Scénarii d’utilisation

Pare-feu de périphériePare-feu de périphérie

Protection des applications et réseaux Protection des applications et réseaux internesinternes

Accès sécurisé à InternetAccès sécurisé à Internet

Réseaux multi sitesRéseaux multi sites

Questions & RéponsesQuestions & Réponses

Page 53: Christophe Dubos CHRISDU@MICROSOFT.COM Architecte Système Microsoft France Microsoft Internet Security & Acceleration Server 2004.