Page 1

Scurisation de la connexion Internet avec ISA Server 2000 Stanislas Quastana Consultant Microsoft Consulting Services

Page 2

Agenda Partie 1 : Prsentation gnrale ISA Server 2000 Feature Pack 1 (10 minutes) Partie 2 : Scuriser laccs vers Internet depuis les rseaux locaux pour les utilisateurs de lentreprise (25 minutes) Partie 3 : protection des serveurs et des rseaux dentreprise vis--vis dInternet. Exemple avec Exchange Server (45 minutes) Questions / Rponses (10 minutes)

Page 3

Partie 1 : Prsentation ISA Server 2000 1- Pare-feu niveaux 3,4 & 7 Barrire entre le rseau Internet et le rseau de lentreprise Protection des serveurs visibles depuis Internet (serveur Web, de messagerie) Filtrage dynamique des paquets Analyse applicative des flux Fonctions daudit et de dtection dintrusion 4- ISA Server 2000 est bien plus quun simple proxy web !!! Certes, il optimise la bande passante avec ses mcanismes de mise en cache Mais : Ce nest pas Proxy Server 3.0 ! 3- Contrle du contenu Restriction daccs des sites web Restriction daccs des contenus (http, smtp) 2- Proxy applicatif Passerelle filtrant les communications entre les rseaux internes & externes Contrle des protocoles laide de rgles granulaires permettant un suivi de lutilisation de la connexion Internet

Page 4

Beaucoup plus que Proxy Server 3.0 Vritable Firewall niveau 7 Support transparent de tous les clients et serveurs Intgration Active Directory Stratgies dEnterprise / de groupes Publication de serveurs Filtres applications extensibles Filtre SMTP Dmultiplication de flux media Passerelle H.323 Interface dadministration MMC Task Pads, assistants Administration distance Ne ncessite pas IIS (nest pas une application ISAPI comme Proxy Server 2.0) Nouveau mode de stockage du cache (RAM + disque) Tlchargement de contenu planifiable Intgration VPN Dtection dintrusion Double saut SSL Alertes configurables Journaux: plusieurs formats, slection des champs Gnration de rapports intgr Contrle de bande passante (QoS) Nouvelles APIs Installation modulaire

Page 5

Microsoft ISA Server 2000 Laccs Internet scuris et rapide Les ressources de lentreprise des attaques et intrusions via un pare- feu multicouches certifi ICSA, Common Criteria EAL2 Les temps daccs linformation et la bande passante utilise via un cache haute performance Laccs Internet et au rseau interne via une gestion centralise des stratgies. Intgration parfaite avec Windows 2000 / 2003 Protger Optimiser Administrer Adapter Adapter Le produit aux besoins spcifiques via un kit de dveloppement (SDK) et des produits compagnons

Page 6

ISA Server Feature Pack 1 Scurisation des serveurs Web et Exchange Outlook Web Access Scurisation des serveurs de messagerie Mise en uvre facilit pour les administrateurs Extension des fonctionnalits du filtre SMTP Extension des fonctionnalits du filtre RPC Exchange (RPC = Remote Procedure Call) Filtrage applicatif des requtes Http en mode publication (Reverse Proxy) avec URLScan 2.5 Support de l'authentification Web pour RSA SecurID Support de la dlgation d'authentification basique et RSA SecurID Assistant de publication pour Outlook Web Access Assistant de configuration du filtre RPC Translation des URLS en mode publication (Reverse Proxy) pour la redirection des requtes vers des sites internes Le Feature Pack 1 pour ISA Server 2000 apporte une scurit accrue par rapport aux pare-feu traditionnels pour le dploiement des serveurs de messagerie et des serveurs Web.

Page 7

Architecture ISA Server 2000 Client Proxy HTTP Client Secure NAT Client ISA Firewall Service Web Proxy ServiceFirewall Filtre WEB Filtrage des paquets Filtre tierce partie Filtre Streaming Filtre SMTP Filtre H.323 Filtre FTP Cache PiloteNAT RedirecteurHTTP Internet

Page 8

Partie 2 - Scuriser laccs vers Internet des utilisateurs internes

Page 9

Les besoins des entreprises connectes vus par ladministrateur Je veux contrler les protocoles rseaux utiliss par mes utilisateurs Je veux administrer les accs de manire centralise et intgre avec mon infrastructure Windows (domaines NT, Active Directory) Je veux empcher mes utilisateurs de tlcharger des fichiers illgaux ou dangereux Je veux quInternet soit un outil de travail et empcher mes utilisateurs de surfer sur le Web l o ils veulent.

Page 10

Requte refuse Oui Non Oui Non Oui Non Oui Non valuation de la stratgie avec ISA Server 2000 Rcuprer lobjet Router vers un serveur upstream Requte client interne Y a t-il une rgle Protocole qui autorise Ia requte ? Y a-t-il une rgle Protocole qui interdise Ia requte ? Y a t-il une rgle Site et Contenu qui autorise Ia requte ? Y a t-il une rgle Site et Contenu qui interdise Ia requte ? Y a t-il un filtre de paquet IP qui interdise Ia requte ? Est-ce quune rgle de routage spcifie un serveur upstream ?

Page 11

Stratgie daccs & Rgles Une stratgie daccs = des rgles de protocoles + des rgles de sites & contenu + des filtres de paquets IP. Ces rgles se construisent partir des lments de stratgie disponibles : Destination(s): domaine(s), adresse(s) IP Planning(s) Action(s) Client(s): utilisateur(s)/groupe(s) ou adresse(s) IP Type(s) de contenu HTTP (mime) Type(s) de protocole Bande passante utilisable Connexion(s) utilisables

Page 12

Permet le filtrage des requtes lies aux protocoles http et https Le filtrage se fait en fonction de La destination: adresse IP (ou plage) ou noms de domaines et chemins Le planning Lorigine: (utilisateur/groupe ou adresse IP) Le type de contenu: (extension de fichiers ou type MIME) Types de filtres Autoriser Bloquer Par dfaut, tout accs est bloqu (Secure by default) Rgles de site et contenu

Page 13

Page 14

Les diffrents types de clients Client SecureNAT Nom bizarre : ne ncessite pas de logiciel client ou de configuration spciale Gr par le service Firewall Les requtes HTTP peuvent tre rediriges vers le service Web Proxy si le redirecteur est activ Client Firewall Gr par le service Firewall Les requtes HTTP peuvent tre rediriges vers le service Web Proxy si le redirecteur est activ Client Web proxy Gr par le service Web Proxy Exemple de client Web proxy : Internet Explorer

Page 15

Authentification Client Proxy Web Authentification dpendante du navigateur et de lOS. Client Firewall Authentification base sur les crdentiels Windows Client SecureNAT Pas dauthentification base sur lutilisateur. Serveur ISA

Page 16

Rsolution DNS Web proxy client ISA Server soccupe de la requte DNS Client SecureNAT Doit avoir accs un serveur DNS ISA Server ne va pas proxyser les requtes DNS Firewall client ISA Server ou le client font la requte DNS ISA Server Dpend des paramtres du fichiers de configuration MSPCLNT.INI

Page 17

Tableau rcapitulatif Service Pare-feuService Web proxy

Page 18

Cration de rgles de protocoles pour diffrents groupes dutilisateurs Cration de rgles de sites et de contenu pour diffrents profils dutilisateurs. Dmonstration

Page 19

Page 20

Partie 3 - protection des serveurs et des rseaux dentreprise vis--vis dInternet La problmatique des pare-feu traditionnels Le besoin des pare-feu niveau applicatifs (niveau 7) Le modle ISA Server : pare-feu multicouches La dtection dintrusion ISA Server : la publication de serveur la publication Web Exemple avec Exchange Server Publication Web : protection dOutlook Web Access (OWA) Publication de serveur : RPC sur Internet et SMTP

Page 21

Le problme Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protger des attaques daujourdhui ! Les pare-feu traditionnels se focalisent sur le filtrage de paquets et le statefull inspection Aujourdhui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, openssl/Slapper). Les ports et protocoles ne suffisent plus contrler ce que font les utilisateurs Hier, les port 80 et 443 tait utilises pour surfer sur le Web Aujourdhui, ces ports sont utiliss pour la navigation sur le Web, les Webmail, les messageries instantanes, les Web Services, les logiciels P2P

Page 22

Internet Vers rseau interne Firewall niveau Application Firewall traditionnel Les Firewalls niveau Application Sont ncessaires pour se protger des attaques daujourdhui , ils permettent une analyse approfondie du contenu des paquets rseaux car comprendre ce quil y a dans le Payload est dsormais un pr requis

Page 23

Filtrage de paquets & stateful inspection Filtrage au niveau de la couche application (analyse approfondie du contenu) Architecture proxy avance Produit volutif et extensible Plus de 30 partenaires http://www.microsoft.com/isaserver/partners/default.asp ISA Server = pare-feu multi couches Un des meilleurs pare-feu pour les environnements Microsoft.

Page 24

Dtection dintrusion

Page 25

Publication de serveur 1.Le paquet arrive sur linterface externe SADR = client Rgle pour crer une socket sur linterface externe 2.Le Payload est extrait (et analys si un filtre applicatif est prsent) 3.Le nouveau paquet est cr sur linterface interne numro de squence diffrent 4.Rajout dun nouvel entte IP, le paquet est envoy SADR = client (galement possible : SADR = IP interne ISA) Internet ISA Server Serveur publi IPnppayld IPnppayldIPnppayld

Page 26

Publication de plusieurs serveurs Rappel : socket = {IPAddr, port, protocol} Diffrents protocoles Peuvent utiliser la mme adresse IP externe; les numros de ports seront diffrents {IPAddr, port1, protA} {IPAddr, port2, protB} Les mmes protocoles Ncessite des adresses IP externes supplmentaires; les numros de port sont les mmes {IPAddr1, port, protA} {IPAddr2, port, protA}

Page 27

Publication Web (http/https) 1.Le paquet arrives sur linterface externe SADR = client Le listener cre une socket sur linterface externe 2.Le Payload est extrait 4.Le nouveau paquet est cr sur linterface interne numro de squence diffrent 5. Un nouvel entte IP est ajout. Le paquet est envoy SADR = adresse IP interne dISA Server 3.LURL est examine pour dterminer la destination. Le contenu est analys. Internet ISA Server Serveur Web publi IPnppayld IPnppayldIPnppayld URL

Page 28

URLScan 2.5 pour ISA Server Permet de filtrer les requtes Web (http et https) entrantes selon des rgles dfinies Amliore la protection des attaques bases sur des requtes web: Prsentant des actions non usuelles (ex: appel dun.exe) Contenant un grand nombre de caractres (pour Buffer Overflow) Encodes avec des caractres alternatifs Peut tre utilis en conjonction de linspection SSL pour dtecter les attaques au dessus de SSL

Page 29

Web server ISA Server Internet clientclient Client demande au serveur Web laccs du contenu protg ISA Server transmet les crdentiels au serveur protg ou OWA Dlgation de lauthentification Pour lauthentification basique et SecurID Lauthentification se droule sur ISA Server limine les multiples botes de dialogues dauthentification Seul le trafic autoris passe ISA Server Utilisable par rgle de publication Web ISA Server pr-authentifie les utilisateurs et journalise leur activit

Page 30

Publication Web & SSL Gestion du SSL Trois options 1.Passthrough ou tunneling 2.Terminaison 3.Regnration Les options 2 and 3 font rfrences une fonctionnalit appel Bridging

Page 31

Gestion du SSL Passthrough (Publication de serveur) Internet ISAServer Serveurpubli IPnppayldIPnppayldIPnppayld La charge utile reste chiffre Aucune analyse du contenu ici Peut tre utilis si la politique favorise la confidentialit par rapport linspection

Page 32

Gestion du SSL Terminaison (Publication Web) Internet ISAServer Serveurpubli IPnppayldIPnppayldIPnppayld La charge utile est dchiffre Lanalyse du contenu est donc possible Utilise si la politique privilgie linpection Non scuris: donnes non chiffres dans le rseau interne

Page 33

Gestion du SSL Regnration (Publication Web) Internet ISAServer Serveurpubli IPnppayldIPnppayldIPnppayld La charge utile est dchiffre Lanalyse du contenu est possible Utilise si la politique privilgie linpection La charge utile est re-chiffre Scuris: donnes chiffres mme dans le rseau interne

Page 34

Stratgie daccs Filtrage de paquets Les filtres de paquets permettent dautoriser les trafics depuis ou destination des interfaces externes Ils sont indpendants des rgles de protocoles et des rgles de publication Ce filtrage de paquet doit toujours tre activ pour protger le serveur ISA. Le paramtrage par dfaut Bloque tout sauf certaines requtes ICMP, et les requtes DNS sortantes

Page 35

Exemple de publication de site Web : Outlook Web Access Accs universel car : Tous les ordinateurs disposent dun navigateur Web Interface familire aux utilisateurs OWA 2003 ressemble Outlook 2003 Contraintes de scurit HTTPS est le protocole Dtection dintrusion? Conforme la politique scurit de messagerie? OWA 2000 ne propose pas de timeout de session Corrig avec OWA 2003

Page 36

Architecture classique OWA Bon points Distinction entre les protocoles utiliss vers le front End et vers le Back End - Segmentation et protection des rseaux Mauvais points Tunnel HTTPS traversant le pare- feu externe : pas dinspection HTTPS est LE protocole universel pour outrepasser et traverser les pare-feu !!! Nombreux ports ouverts, sur le pare-feu interne, car ncessaire pour lauthentification Connexion initiale sur OWA possible en anonyme ExBE AD OWA Pare-feu traditionnel traditionnelexterne Pare-feuinterne Internet

Page 37

Amliorer la scurit dOWA Objectifs de scurit Inspecter le trafic SSL Maintenir la confidentialit Vrifier la conformit des requtes HTTP Autoriser uniquement la construction et le traitement dURL connues Bloquer les attaques par URLs Optionnel Pr authentifier les connections entrantes

Page 38

Protger OWA avec ISA mcanismes (1/2) ISA Server devient le bastion host Le service Web proxy termine toutes les connexions Dchiffrer HTTPS Inspecte le contenu Inspecte lURL (avec URLScan) Optionnel R encrypte pour envoyer au serveur OWA OWA ISA Server Exchange AD x36dj23s2oipn49v

Page 39

Protger OWA avec ISA mcanismes (2/2) Authentification facile avec Active Directory Pr authentification ISA Server demande lutilisateur ses crdentiels Vrifie auprs de lActive Directory (ou du domaine NT) Encapsule les informations dans lentte HTTP destination dOWA vite une seconde saisie ! Ncessite ISA FP1 OWA ISA Server Exchange AD Internet

Page 40

Le traffic inspect peut tre envoy au serveur interne re-chiffr ou en clair. URLScan for ISA Server URLScan pour ISA Server peut stopper les attaques Web la bordure du rseau, mme pour celles chiffres avec SSL Protger Outlook Web Access Firewall Traditionnel OWAOWA clientclient Le serveur OWA demande une authentification tout utilisateur Internet peut accder cet invite SSLSSL Le tunnel SSL traverse le firewall traditionnel car le flux est chiffr ce qui permet au virus et aux vers de traverser sans tre dtects et dinfecter les serveurs internes! Dlgation de lauthentification basique ISA Server pr-authentifie les utilisateurs, liminant les botes de dialogues multiples et autorise uniquement le trafic valide URLScan pour ISA Server SSL ou HTTP SSLSSL ISA Server peut dchiffrer et inspecter le trafic SSL InternetInternet ISA Server avec Feature Pack 1

Page 41

Dmonstration : publication OWA

Page 42

Exchange RPC sur Internet Mais pourquoi ??? Beaucoup dutilisateurs souhaitent ou ont besoin dutiliser lensemble des fonctionnalits dOutlook : Produits tiers additionnels Synchronisation de la bote au lettres Rgles ct client Carnet dadresses complet La solution VPN est souvent trop coteuse si il faut satisfaire uniquement ce besoin

Page 43

Serveur RPC (Exchange) Client RPC (Outlook) ServiceUUIDPort Exchange{12341234-11114402 Rplication AD{01020304-44443544 MMC{19283746-77779233 Les services RPC obtiennent des port alatoires (> 1024) lors de leur dmarrage, le serveur maintient une table RPC Exchange - Concepts135/tcp Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connait lUUID du service quil souhaite utiliser {12341234-1111} Le client accde lapplication via le port reu Le client demande quel port est associ lUUID ? Le serveur fait correspondre lUUID avec le port courant 4402 Le portmapper rpond avec le port et met fin la connexion 4402/tcp Du fait de la nature alatoire des ports utiliss par les RPC, limplmentation est difficile via Internet Lensemble des 64,512 ports suprieurs 1024 ainsi que le port 135 doivent tre ouverts sur des pare feu traditionnels