Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas...

52
Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP Stanislas Quastana, CISSP Architecte Infrastructure Architecte Infrastructure Microsoft France Microsoft France

Transcript of Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas...

Page 1: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif

Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif

Stanislas Quastana, CISSPStanislas Quastana, CISSPArchitecte InfrastructureArchitecte InfrastructureMicrosoft FranceMicrosoft France

Page 2: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

AgendaAgenda

IntroductionIntroduction

Présentation d’ISA Server 2004Présentation d’ISA Server 2004

Protection des accès sortantsProtection des accès sortants

Protections des accès entrantsProtections des accès entrants

Protections des réseaux internes et VPNProtections des réseaux internes et VPN

SynthèseSynthèse

Ressources utilesRessources utiles

Questions / RéponsesQuestions / Réponses

Page 3: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

IntroductionIntroductionIntroductionIntroduction

Page 4: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Quelques chiffresQuelques chiffres

95% de toutes les failles évitables avec une configuration alternative (CERT 2002)

Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group)

Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp)

De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)

Page 5: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Attaques au niveau de la Attaques au niveau de la couche applicationcouche application

Attaques au niveau de la Attaques au niveau de la couche applicationcouche application

Usurpation d’identité Site web défiguré Accès non autorisés Modification des données

et journaux Vol d’informations

propriétaire Interruption de service

ImplicationsImplicationsImplicationsImplications

Mise en conformité ISO 17799 Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US)

Litiges Partage de fichiers illicites

Piratage Responsabilités juridiques

des entreprises et des RSSI En France le RSSI a

obligation de moyens

Impact sur les entreprisesImpact sur les entreprises

Page 6: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Défense en profondeurDéfense en profondeur

Données et Ressources

Défenses des applications

Défenses des machines

Défenses du réseau

Défenses du périmètre

L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures.

Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche 

La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure

Les pare-feu sont un élément de protection du périmètre et du réseau

Sécurité physique

Politiques de sécurité

Page 7: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Application Layer Application Layer ContentContent

????????????????????????????????????????

Un paquet IP vu par un pare-Un paquet IP vu par un pare-feu « traditionnel »feu « traditionnel »

Seul l’entête du paquet est analyséSeul l’entête du paquet est analyséLe contenu au niveau de la couche application est comme une “boite Le contenu au niveau de la couche application est comme une “boite noire”noire”

IP HeaderIP HeaderSource Address,Dest. Address,

TTL, Checksum

TCP HeaderTCP HeaderSequence Number

Source Port,Destination Port,

Checksum

La décision de laisser passer est basée sur les numéros de portsLa décision de laisser passer est basée sur les numéros de portsLe trafic légitime et les attaques applicatives utilisent les mêmes Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80)ports (ex : 80)

Internet Trafic HTTP attendu

Trafic HTTP non prévu

Attaques

Trafic non-HTTP

Réseau d’entreprise

Page 8: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Top 10 des attaques : 80% Top 10 des attaques : 80% d’attaques au niveau de la d’attaques au niveau de la couche 7couche 7

DCOM RPC

HTTP

SQL Server

SMTP

Top attacks (source : Symantec Corporation)

Page 9: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Le problèmeLe problème

Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles

Les pare-feux traditionnels se focalisent sur le filtrage de Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspectionpaquets et le statefull inspection

Aujourd’hui, la plupart des attaques contournent ce type Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : de protection. Quelques exemples :

Code RedCode Red & & NimdaNimda sur les serveurs IIS 4 et 5 sur les serveurs IIS 4 et 5

OpenSSL/OpenSSL/SlapperSlapper

BlasterBlaster, , WelchiaWelchia sur le RPC Endpoint Mapper de Windows sur le RPC Endpoint Mapper de Windows

SlammerSlammer sur les serveurs SQL (ou MSDE) sur les serveurs SQL (ou MSDE)

Santy-ASanty-A sur les forums phpBB (Linux et Windows) sur les forums phpBB (Linux et Windows)Le premier ver dans la nature (in the wild) à exploiter une Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Webvulnérabilité d’une application Web

Les ports et protocoles ne permettent plus de contrôler Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateursce que font les utilisateurs

Page 10: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Réseau public

Réseau public Vers réseau interne, Vers réseau interne,

DMZ, …DMZ, …Vers réseau interne, Vers réseau interne,

DMZ, …DMZ, …

Pare-feu niveau Pare-feu niveau ApplicationApplication

Pare-feu niveau Pare-feu niveau ApplicationApplication

Pare-feu Pare-feu traditionneltraditionnel

Pare-feu Pare-feu traditionneltraditionnel

Quel pare-feu utiliser ?Quel pare-feu utiliser ?

Les pare-feu applicatif sont aujourd’hui nécessaires pour Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des attaques évoluées car ils permettent une se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux.analyse approfondie du contenu des paquets réseaux.

Comprendre ce qu’il y a dans la partie données est désormais un pré requis

Néanmoins, le remplacement n’est pas forcément la meilleure solution

Page 11: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Présentation d’ISA Server Présentation d’ISA Server 20042004

Présentation d’ISA Server Présentation d’ISA Server 20042004

Page 12: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

►2ème génération de pare-feu de Microsoft►Pare-feu multicouches (3,4 et 7) ►Capacité de filtrage extensible►Proxy applicatif►Nouvelle architecture ►Intégration des fonctionnalités de VPN

ISA Server 2004 en quelques ISA Server 2004 en quelques motsmots

Page 13: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

La vue d’un paquet IP par ISALa vue d’un paquet IP par ISA

Les entêtes du paquet et le contenu sont inspectésLes entêtes du paquet et le contenu sont inspectésSous réserve de la présence d’un filtre applicatif (comme le Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)filtre HTTP)

Application Layer ContentApplication Layer Content<html><head><meta http-

quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet"

IP HeaderIP Header

Source Address,Dest. Address,

TTL, Checksum

TCP HeaderTCP Header

Sequence NumberSource Port,

Destination Port,Checksum

Les décisions de laisser passer sont basées sur le contenuLes décisions de laisser passer sont basées sur le contenuSeul le trafic légitime et autorisé est traitéSeul le trafic légitime et autorisé est traité

Internet Trafic HTTP Attendu

Trafic HTTP non attendu

Attacks

Trafic non HTTP

Réseau d’entreprise

Page 14: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

PolicyPolicyEngineEngine

NDIS

TCP/IP Stack

Architecture d’ISA Server Architecture d’ISA Server 2004 2004

Firewall EngineFirewall Engine

FirewallFirewall serviceservice

Application Filter API

AppAppFilterFilter

Web Proxy FilterWeb Proxy Filter

Web Filter API (ISAPI)

Webfilter

Webfilter

User Mode

Kernel Mode

SMTPSMTPFilterFilter

RPCRPCFilterFilter

DNSDNSFilterFilter

PolicyStore

Packet layer filtering

1

Protocol layer filtering

2

Application layer filtering

3

Kernel mode data pump:

Performanceoptimization

4

Page 15: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Les filtres d’ISA Server 2004Les filtres d’ISA Server 2004

Filtres applicatifsFiltres applicatifsFTP FTP : : permet de bloquer les envoisSMTP SMTP : : gestion des commandes et filtrage des messages (contenu, gestion des commandes et filtrage des messages (contenu, extension, taille…)extension, taille…)POP3 POP3 : : détection d’intrusiondétection d’intrusionRTSP, MMS, PNM, H.323RTSP, MMS, PNM, H.323: Streaming: StreamingDNS: DNS: détection d’intrusions, transfert de zonesdétection d’intrusions, transfert de zonesRPC: RPC: publication de serveurs, filtrage sur les interfacespublication de serveurs, filtrage sur les interfacesPPTP : PPTP : permet la traversée de connexions VPN (Tunneling)permet la traversée de connexions VPN (Tunneling)SOCKS V4SOCKS V4Web Proxy Web Proxy : gestion de HTTP, HTTPs (filtres web…): gestion de HTTP, HTTPs (filtres web…)

Filtres WebFiltres WebFiltre HTTP Filtre HTTP : analyse du contenu : analyse du contenu

des requêtes web (entêtes et données)des requêtes web (entêtes et données)Authentification RSA SecureIDAuthentification RSA SecureIDAuthentification RadiusAuthentification RadiusAuthentification OWA Web FormsAuthentification OWA Web FormsTranslateur de liens Translateur de liens : : réécriture d’URLréécriture d’URL

Page 16: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

ISA Server 2004 : un produit ISA Server 2004 : un produit évolutifévolutif

Filtrage applicatifFiltrage applicatif

Haute disponibilitéHaute disponibilité

AntivirusAntivirus

Détection d’intrusionDétection d’intrusion

ReportingReporting

Accélérateurs SSLAccélérateurs SSL

Contrôle d’URLsContrôle d’URLs

AuthentificationAuthentification

Plus de partenaires sur :http://www.microsoft.com/isaserver/partners/default.asp

+ d’une trentaine de partenaires !!!

Page 17: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

DMZ_1

Modèle réseau ISA Server Modèle réseau ISA Server 20042004

Nombre de réseaux Nombre de réseaux illimitéillimité

Type d’accès Type d’accès NAT/RoutageNAT/Routagespécifique à chaque spécifique à chaque réseauréseau

Les réseaux VPN sont Les réseaux VPN sont considérés comme des considérés comme des réseaux à part entièreréseaux à part entière

La machine ISA est La machine ISA est considéré comme un considéré comme un réseau (LocalHost)réseau (LocalHost)

Stratégie de filtrage par Stratégie de filtrage par réseauréseau

Filtrage de paquet sur Filtrage de paquet sur toutes les interfacestoutes les interfaces

InternetVPN

ISA 2004

Toutes topologies / stratégiesToutes topologies / stratégies

CorpNet_1DMZ_n

Local AreaNetwork CorpNet_n

VPN Quarantaine

Page 18: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

actionaction sur traffictraffic pour utilisateurutilisateur depuis sourcesource vers destinationdestination avec conditions conditions

Structure des règles de pare-Structure des règles de pare-feu ISAfeu ISA

• Autoriser• Interdire

• Protocole IP• Port(s) TCP/UDP

• Réseau(x)• Adresse(s) IP• Machine(s)

• Réseau(x)• Adresse(s) IP• Machine(s)

• Serveur publié• Site Web publié• Planning• Filtre applicatif

• Utilisateur(s)• Groupe(s)

• Ensemble de règles ordonnées•Règles systèmes puis règles utilisateur

• Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment)

Page 19: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Scénarios de mise en œuvre Scénarios de mise en œuvre d’ISA Server 2004d’ISA Server 2004

Pare feu de périmètrePare feu de périmètreMulti réseauxMulti réseauxDMZDMZ

Protection des applications et réseaux internesProtection des applications et réseaux internesPasserelle de filtrage applicatifPasserelle de filtrage applicatif

Serveurs WebServeurs WebServeurs de messagerieServeurs de messagerie

Protection des réseaux internesProtection des réseaux internes

Accès sécurisé et optimisé à InternetAccès sécurisé et optimisé à InternetStratégies d’accèsStratégies d’accèsCache WebCache Web

Réseaux multi sitesRéseaux multi sitesSécurisation sites distantsSécurisation sites distantsIntégration du VPNIntégration du VPNIPSec en mode TunnelIPSec en mode Tunnel

Page 20: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Les versions d’ISA Server Les versions d’ISA Server 20042004Édition StandardÉdition Standard

Inclus toutes les Inclus toutes les fonctionnalités de :fonctionnalités de :

Pare-feu (niveaux Pare-feu (niveaux 3,4,7)3,4,7)

Passerelle VPNPasserelle VPN

Proxy cache Proxy cache

sur un même serveursur un même serveur

Disponible depuis Mai Disponible depuis Mai 20042004

1 licence par 1 licence par processeur physiqueprocesseur physique

Également disponible Également disponible sous la forme sous la forme d’applianced’appliance

Édition EntrepriseÉdition Entreprise

Ajoute la haute Ajoute la haute disponibilité et la disponibilité et la tolérance de pannetolérance de panne

Ajoute la capacité à Ajoute la capacité à monter en charge en monter en charge en utilisant plusieurs utilisant plusieurs serveurs (groupes)serveurs (groupes)

Ajoute l’administration Ajoute l’administration centralisée au niveau centralisée au niveau entrepriseentreprise

Disponible depuis Mars Disponible depuis Mars 20052005

1 licence par 1 licence par processeur physiqueprocesseur physique

SBS 2003SBS 2003

Le Service Le Service Pack 1 de Pack 1 de Windows Windows 2003 2003 SSmall mall BBusiness usiness SServer 2003 erver 2003 met à jour met à jour les version les version Premium Premium avec ISA avec ISA Server 2004 Server 2004 Standard Standard SP1SP1

DisponibleDisponible depuis Mai depuis Mai 20052005

Page 21: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Disponible en applianceDisponible en applianceRimApp ROADBLOCKRimApp ROADBLOCK FirewallFirewall http://www.rimapp.com/roadblock.htmhttp://www.rimapp.com/roadblock.htm

HP ProLiant DL320 Firewall/VPN/Cache HP ProLiant DL320 Firewall/VPN/Cache ServerServer http://h18004.www1.hp.com/products/servers/softwarehttp://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.html/microsoft/ISAserver/index.html

Network Engines NS AppliancesNetwork Engines NS Appliances http://www.networkengines.com/sol/nsapplianceseries.http://www.networkengines.com/sol/nsapplianceseries.aspx aspx

Celestix Application-Layer Firewall, VPN Celestix Application-Layer Firewall, VPN and Caching Appliance and Caching Appliance http://www.celestix.com/products/isa/index.htmhttp://www.celestix.com/products/isa/index.htm

Pyramid Computer ValueServer Security Pyramid Computer ValueServer Security 20042004 http://www.pyramid.de/e/produkte/server/isa_2004.php http://www.pyramid.de/e/produkte/server/isa_2004.php

► Avantis ISAwallAvantis ISAwall http://www.avantisworld.com/02_securityappliances.asp http://www.avantisworld.com/02_securityappliances.asp

► Corrent Corrent http://www.corrent.com/Products/products_sr225.htmlhttp://www.corrent.com/Products/products_sr225.html

Page 22: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Contrôle des accès Contrôle des accès sortantssortants

Contrôle des accès Contrôle des accès sortantssortants

Page 23: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Les besoins des entreprises Les besoins des entreprises connectées vus par connectées vus par l’administrateurl’administrateur

« Je veux contrôler (limiter) les protocoles « Je veux contrôler (limiter) les protocoles réseaux utilisés par mes utilisateurs »réseaux utilisés par mes utilisateurs »

« Je veux administrer les accès de manière « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) »(domaines NT, Active Directory, RADIUS) »

« Je veux empêcher mes utilisateurs de « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux »télécharger des fichiers illégaux ou dangereux »

« Je veux qu’Internet soit un outil de travail et « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »là où ils veulent. »

Page 24: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Contrôle des flux et Contrôle des flux et contenuscontenus

Les pare-feu permettent une grande granularité Les pare-feu permettent une grande granularité dans la définition des règles d’accèsdans la définition des règles d’accès

Filtrage spécifique sur un protocoleFiltrage spécifique sur un protocole

Authentification des postes ou utilisateursAuthentification des postes ou utilisateurs

Certains protocoles comme HTTP, FTP ou SMTP Certains protocoles comme HTTP, FTP ou SMTP peuvent être restreints sur le contenu (MIME, peuvent être restreints sur le contenu (MIME, extension de fichiers, pièce jointe…)extension de fichiers, pièce jointe…)

Hélas, beaucoup de ces mécanismes deviennent Hélas, beaucoup de ces mécanismes deviennent insuffisants/obsolètesinsuffisants/obsolètes face aux méthodes face aux méthodes d’encapsulation…d’encapsulation…

Page 25: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Quand pare-feu te Quand pare-feu te bloquerabloquera

HTTP tu utiliseras…HTTP tu utiliseras…

Page 26: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Http : le protocole Http : le protocole universel…universel…

… … pour pour outrepasser un pare-feu ou un proxyoutrepasser un pare-feu ou un proxy

Aujourd’hui, de nombreuses applications utilisent Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode HTTP comme méthode d’encapsulation des protocolesd’encapsulation des protocoles propriétaires afin de s’affranchir des propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants :ouvertures de ports spécifiques sur les équipements filtrants :

Messageries instantanées :Messageries instantanées :

MSN Messenger, Yahoo MSN Messenger, Yahoo

Messenger, ICQ…Messenger, ICQ…

Logiciels P2P : Kazaa, Emule, Logiciels P2P : Kazaa, Emule,

Bitorrent, Exeem…Bitorrent, Exeem…

Messagerie : Outlook 2003Messagerie : Outlook 2003

(RPC sur HTTP)…(RPC sur HTTP)…

Adware, Spyware : Gator…Adware, Spyware : Gator…

Chevaux de TroieChevaux de Troie

Page 27: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Protection des accès sortantsProtection des accès sortants

ClientClientISA Server 2004ISA Server 2004Pare feu Pare feu

traditionneltraditionnel

InternetHTTP http, https, FTP

IM, P2P, MS RPC…HTTP, https, FTP…

IM

P2P

MS RPC…

IM, P2P, MS RPC…

Analyse HTTP Analyse HTTP (URL, entêtes, (URL, entêtes,

contenu…)contenu…)

Exemples de signature d’applications :http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

Page 28: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Filtre applicatif HTTPFiltre applicatif HTTPExemple de filtrage en fonction du contenu de l’en-têteExemple de filtrage en fonction du contenu de l’en-tête

POST http://64.4.1.18/gtw/gtw.dll?SessID=1POST http://64.4.1.18/gtw/gtw.dll?SessID=1HTTP/1.1HTTP/1.1Accept: */*Accept: */*Accept-Language: en-usAccept-Language: en-usAccept-Encoding: gzip, deflateAccept-Encoding: gzip, deflateUser-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT Mozilla/4.0 (compatible; MSIE 6.0; Windows NT

5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133)5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133)Host: 64.4.1.18Host: 64.4.1.18Proxy-Connection: Keep-AliveProxy-Connection: Keep-AliveConnection: Keep-AliveConnection: Keep-AlivePragma: no-cachePragma: no-cacheContent-Type: Content-Type: application/x-msn-messengerapplication/x-msn-messengerContent-Length: 7Content-Length: 7

Common Application Signatureshttp://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

Page 29: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Démonstration : filtre HTTPDémonstration : filtre HTTP

Analyse HTTP Analyse HTTP (URL, entêtes, (URL, entêtes,

contenu…)contenu…)

Page 30: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Une fois la session SSL établie, les proxies ou les pare-Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. feu sont incapables de voir les données échangée. De nombreuses logiciels utilisent déjà cette solution.De nombreuses logiciels utilisent déjà cette solution.

Exemple : Outlook 2003 (RPC over https)Exemple : Outlook 2003 (RPC over https)

Comment réduire le risque ?Comment réduire le risque ?Limiter les accès https : utilisation de listes blanchesLimiter les accès https : utilisation de listes blanchesBloquer les requêtes dans la phase de négociationBloquer les requêtes dans la phase de négociationDéchiffrer le SSL en sortie au niveau du Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) proxy/firewall (Man In The Middle)

Concept intéressant en terme de sécurité mais pas vraiment Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialitéen terme de confidentialité

Plus fort que http : https Plus fort que http : https

Page 31: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

DNS : un futur « standard » DNS : un futur « standard » pour l’encapsulation ?pour l’encapsulation ?LA question :« Est il possible pour le DNS de faire des choses plus intéressantes que la résolution de noms qualifiés en adresse IP ? »La réponse est OUI

• droute: DNS Stream Router• TCP Streaming over DNS• Utilisable pour du Shell ou de la messagerie instantanée uniquement

• NSTX:

• Uniquement sur Linux

Informations complémentaires : Attacking Distributed Systems: The DNS Case Study by Dan Kaminsky. http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Kaminsky.pdf

Page 32: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Contrôle des accès Contrôle des accès entrantsentrants

Contrôle des accès Contrôle des accès entrantsentrants

Ressources exposéesRessources exposées

Page 33: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Plateforme Web classique Plateforme Web classique et risques associéset risques associés

2 zones réseau (Front 2 zones réseau (Front End et Back End) + 2 End et Back End) + 2 pare-feupare-feu……mais toujours des mais toujours des risques en cas d’absence risques en cas d’absence de filtrage applicatifde filtrage applicatif

Le risque ici est Le risque ici est principalement l’attaque principalement l’attaque applicative. Par exemple applicative. Par exemple : :

injections HTMLinjections HTMLinjections SQLinjections SQLInjections PHPInjections PHP……..

Internet

Front Office

Serveur Web

Back Office

Pare feu interne

Pare feu externe (périphérie)

Serveur de base de données

Poste client

TCP 80 (HTTP)

TCP 443 (HTTPS)

TCP 1433 (MS-SQL)

Page 34: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Augmentation des risques Augmentation des risques sur les applications Websur les applications Web

Augmentation des vulnérabilités documentées sur les applications Web depuis 18 mois

( Source : Symantec Corporation : http://ses.symantec.com/pdf/ThreatReportVII.pdf )

Page 35: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Certificat « Privé »+ sa clé privée

Certificat « Public »+ sa clé privée

L’analyse des URL par ISA 2004 L’analyse des URL par ISA 2004 peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en

cas d’utilisation de SSLcas d’utilisation de SSL

Protection des serveurs WebProtection des serveurs Web

Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu

traditionneltraditionnelWebWeb

ClientClient

Si le serveur Web fait une demande Si le serveur Web fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande

SSLSSLSSLSSL

SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle

du fait du chiffrement…du fait du chiffrement…

……ce qui permet aux attaques ce qui permet aux attaques applicatives, virus ou autres applicatives, virus ou autres

vers de se propager sans vers de se propager sans être détectés…être détectés…

……et d’infecter les serveurs internes !et d’infecter les serveurs internes !

ISA Server 2004ISA Server 2004

Délégation d’authentificationDélégation d’authentificationISA pré authentifie les utilisateurs, ISA pré authentifie les utilisateurs, éliminant les boites de dialogues éliminant les boites de dialogues redondantes et n’autorise que le redondantes et n’autorise que le

trafic valide à passertrafic valide à passer

Filtrage avancé de HTTPFiltrage avancé de HTTP

SSL or SSL or HTTPHTTP

SSL or SSL or HTTPHTTP

SSLSSLSSLSSL

ISA peut déchiffrer et ISA peut déchiffrer et inspecter le trafic SSLinspecter le trafic SSL

Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.

Analyse HTTP Analyse HTTP (URL, (URL,

contenu…)contenu…)

InternetInternet

Page 36: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Démonstration : publication Démonstration : publication OWAOWA

Page 37: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Démonstration : publication Démonstration : publication FTPFTP

Filtre FTPFiltre FTP

Serveur FTP

Page 38: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Protection des accès aux Protection des accès aux réseaux de l’entreprise (VPN réseaux de l’entreprise (VPN

et Locaux)et Locaux)

Protection des accès aux Protection des accès aux réseaux de l’entreprise (VPN réseaux de l’entreprise (VPN

et Locaux)et Locaux)Gestion des accès distants et Gestion des accès distants et des équipements connectésdes équipements connectés

Page 39: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Développement du marché des PC portables et du nombre de Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise systèmes non administrés dans les réseaux l’entreprise

Postes personnels mais connectés sur le réseau de l’entreprisePostes personnels mais connectés sur le réseau de l’entreprise

Postes des intervenants externesPostes des intervenants externes

Points d’accès Wi-fi non déclarésPoints d’accès Wi-fi non déclarés

Ordinateur portables qui ne sont pas à jour (du fait de leur Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature mobilité) au niveau de correctifs de sécurité, signature anti-virale…anti-virale…

Connexion à des réseaux tiers « inconnus » Connexion à des réseaux tiers « inconnus »

(hot spot wifi, clients, partenaires…)(hot spot wifi, clients, partenaires…)

Accès VPN nomades, réseaux sans filsAccès VPN nomades, réseaux sans fils

Augmentation des risques Augmentation des risques avec le développement de la avec le développement de la mobilitémobilité

Page 40: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Les attaques viennent Les attaques viennent aussiaussi de de l’internel’interne

Étude et statistiques sur la sinistralité informatique en France (2002)

Page 41: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Réseau de l’entreprise Réseau de l’entreprise

Le meilleur exemple est la propagation d’un ver Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou comme Blaster (exploitation d’une faille RPC) ou Sasser.Sasser.

InternetDimancheJour J de l’infection

LundiJour J+1 de l’infection

Les attaques internes ne sont pas Les attaques internes ne sont pas toujours déclenchées de manière toujours déclenchées de manière intentionnelleintentionnelle

Page 42: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Réseau de l’entreprise

Passerelle VPN

Le même exemple de propagation d’un ver comme Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPNBlaster ou Sasser au travers d’un VPN

InternetDimancheJour J de l’infection

LundiJour J+1 de l’infection

Les connexions distantes Les connexions distantes peuvent également peuvent également compromettre la sécuritécompromettre la sécurité

Tunnel VPN

Page 43: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Une approche de la Une approche de la segmentationsegmentation

En terme de sécurité, les pare-feux sont En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internetd’entreprise des réseaux publics comme Internet

Aujourd’hui, il est devenu nécessaire de procéder à Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs)delà de la simple segmentation réseau (VLANs)

La segmentation des réseaux internes revient à La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du implémenter le principe du pare-feu au cœur du réseau de l’entreprise réseau de l’entreprise en intégrant l’analyse en intégrant l’analyse (jusqu’au niveau de la couche application) des flux(jusqu’au niveau de la couche application) des flux

Page 44: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Principes de la segmentation Classification Classification

Réseau « publique »

Réseau de confiance

Réseau sensible

Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées.

Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise.

Page 45: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Fonctionnement des RPC DCEFonctionnement des RPC DCE

Serveur RPC Serveur RPC (ex: Exchange)(ex: Exchange)Serveur RPC Serveur RPC

(ex: Exchange)(ex: Exchange)Client RPC Client RPC

(ex: Outlook)(ex: Outlook)Client RPC Client RPC

(ex: Outlook)(ex: Outlook)

ServiceService UUIDUUID PortPort

ExchangeExchange {12341234-{12341234-1111…1111…

44044022

AD AD replicationreplication

{01020304-{01020304-4444…4444…

35435444

MMCMMC {19283746-{19283746-7777…7777…

92392333

Les services RPC Les services RPC obtiennent des port obtiennent des port aléatoires (> 1024) lors aléatoires (> 1024) lors de leur démarrage, le de leur démarrage, le serveur maintient une serveur maintient une tabletable

135/tcp135/tcp

Le client se Le client se connecte au connecte au

portmapper sur le portmapper sur le serveur (port tcp serveur (port tcp

135)135)

Le client connaît Le client connaît l’UUID du service l’UUID du service

qu’il souhaite qu’il souhaite utiliserutiliser

{12341234-1111…}{12341234-1111…}

Le client accède à Le client accède à l’application via l’application via le port reçule port reçu

Le client demande Le client demande quel port est quel port est associé à l’UUID ?associé à l’UUID ?

Le serveur fait Le serveur fait correspondre l’UUID correspondre l’UUID avec le port courant…avec le port courant…

4402/tcp4402/tcp

Le RPC End Le RPC End Portmapper répond Portmapper répond avec le port et met avec le port et met fin à la connexionfin à la connexion

4402/tcp4402/tcp

Du fait de la nature aléatoire des ports utilisés par Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est les RPC, l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feudifficile sur la majorité des pare-feu

L’ensemble des 64,512 ports supérieurs à 1024 ainsi que L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu le port 135 doivent être ouverts sur des pare feu traditionnelstraditionnels

Page 46: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Attaques RPC potentiellesAttaques RPC potentielles

Reconnaissance (Reconnaissance (FingerprintingFingerprinting))RPCDumpRPCDump

RPCScan (http://www.securityfriday.com)RPCScan (http://www.securityfriday.com)

Déni de service contre le portmapperDéni de service contre le portmapper

Élévation de privilèges ou attaques sur d’autres servicesÉlévation de privilèges ou attaques sur d’autres services

VerVer : : Blaster, Welchia Blaster, Welchia

BotNet : GaoBot, Spybot, RandexBotNet : GaoBot, Spybot, Randex

Page 47: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Serveur Serveur application RPCapplication RPC

ISA Server ISA Server 2004 avec 2004 avec filtre RPCfiltre RPC

Seul le port TCP 135 (RPC End Portmapper) est ouvertSeul le port TCP 135 (RPC End Portmapper) est ouvertLes ports > 1024 sont ouverts/fermés dynamiquement pour Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) en fonction des besoinsles clients (applications RPC) en fonction des besoins

Inspection du trafic vers le RPC End Portmapper au Inspection du trafic vers le RPC End Portmapper au niveau applicatifniveau applicatif

Seuls les UUIDs de l’application RPC sont autorisés à Seuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autrel’exception de tout autre

Filtrage applicatif RPC - principe

Application cliente RPCApplication cliente RPC

Page 48: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Démonstration filtrage RPCDémonstration filtrage RPC

Scan

RPC

Page 49: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

SynthèseSynthèse

Contrôle des flux applicatifsISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les

infrastructures Microsoft et non Microsoft.

Un pare-feu supportant un grand nombre de scénariosProtection des flux sortants vers Internet, des serveurs exposés

sur Internet, des ressources internes par segmentation, filtrage des connexions VPN.

Produit extensibleNombreux filtres complémentaires disponible auprès d’éditeurs tiers. Developpement de filtres adaptés à vos besoins grâce au SDK fourni.

Page 50: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Ressources utilesRessources utilesSite Web MicrosoftSite Web Microsoft

www.microsoft.com/isaserverwww.microsoft.com/isaserver

www.microsoft.com/france/isawww.microsoft.com/france/isa

Webcast et séminaires TechNetWebcast et séminaires TechNet (Gratuits) (Gratuits)

Sites externesSites externeswww.isaserver.orgwww.isaserver.org

www.isaserverfr.orgwww.isaserverfr.org

isatools.orgisatools.org

Newsgroup françaisNewsgroup françaisMicrosoft.public.fr.isaserverMicrosoft.public.fr.isaserver

Kits de déploiementKits de déploiement

BlogsBlogsBlogs.msdn.com/squastaBlogs.msdn.com/squasta

Kits d’évaluation ISA ServerKits d’évaluation ISA ServerVersion d’évaluation (120 jours)Version d’évaluation (120 jours)

CD (livres blancs et guide déploiemeCD (livres blancs et guide déploiement)nt)

Page 51: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Questions / RéponsesQuestions / Réponses

Page 52: Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP CISSP Architecte Infrastructure Microsoft France.

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

[email protected]@microsoft.com