Conhecendo o

ISA Server 2004

Eduardo Petizme
MCP

petizme@hotmail.com
 Agenda
Gerenciando riscos
ISA Server 2004, novidades e melhorias
Novos Recursos
Proteção da VPN e Quarentena
Modelo de Rede e Políticas
Cenários de uso
OWA, Firewall Interno, outros cenários
Mais informações
 Gerenciando os riscos …
• 14B de equipamentos na Internet em 2010 1
• 35M de usuários remotos em 2005 2
• 65% de aumentos nos Web Sites dinâmicos 3
• De 2000 a 2002 incidentes reportados subiram de
Os Riscos 21756 para 82094 4
• Quase 80% das 445 pessoas pesquisados
disseram que a Internet foi um ponto freqüente de
ataque, contra 57% há quatro anos atrás 5

• 90% tiveram incidentes de segurança 6

• 85% foram infectados por vírus de computador 6
Os Pontos • 95% de todos os incidentes seriam evitados com
Fracos o uso de uma outra configuração 7
• Aproximadamente 70% de todos os ataques na
Web ocorrem na camada de aplicação 8
1 Fonte: Forrester Research
2 Fonte: Information Week, 26 Novembro 2001
3 Fonte: Netcraft
4 Fonte: CERT, 2003
5 Fonte: CSI/FBI Computer Crime and Security Survey
6 Fonte: Computer Security Institute (CSI) Computer Crime and Security Survey 2002
7 Fonte: CERT, 2002
8 Fonte: Gartner Group
 ISA 2004
Novidades Melhorias
Bloqueio de acesso a todos Firewall Rules Wizard
os arquivos .EXE

Controle de download HTTP Authentication

baseado no tipo do arquivo

Garante a segurança da OWA Publishing Wizard

publicação de servidores
Exchange Server - RPC

FTP Policy Secure WEB Publishing

Link Translator Port redirection for FTP

Server

Firewall user groups Firewall Rules ordered list

 Firewalls Tradicionais
Aberto aos ataques  Code Red, Nimda
mais avançados  Ataques usando SSL

 Segurança é complexa
Difícil de gerenciar  Área de TI já sobrecarregada

Escolha  Banda de rede muito cara

Performance X  Muitas “partes móveis”
Segurança
Capacidade de  Upgrade difícil
crescimento  Não escala junto com a demanda
limitada
 Evolução da Segurança de
Perímetro
Aberto aos ataques
mais avançados Proteção em camada de aplicação

Difícil de gerenciar Mais fácil de usar

Escolha
Performance X Segurança e performance
Segurança
Capacidade de
crescimento Extensibilidade e escalabilidade
limitada
 ISA Server 2004
A solução de firewall de camada de aplicação, VPN e cache Web
que permite a você maximizar os seu investimento, melhorando a
segurança de rede com alta performance

Proteção avançada
Segurança em Camada de Aplicação desenhada para proteger sites
Web e aplicativos Microsoft

Fácil de usar
Implemente, gerencie e habilite novos cenários de uso de forma eficiente

Acesso rápido e seguro

Permite você conectar os usuários e dar acesso aos recursos da
sua rede de uma maneira segura e eficiente
Novos Recursos ISA Server 2004
Arquitetura de Segurança Atualizada

Proteção Avançada
Segurança avançada em camada de aplicação
• Filtros avançados de HTTP e outros protoc.
Inspeção profunda • Políticas completas e flexíveis
do conteúdo • Inspeção com estado para todo o tráfego
• Suporte para RPC sobre HTTP do Outlook
Integração com o • Segurança avançada para OWA
Exchange Server • Wizard de configuração para o cenário
• Filtragem unificada VPN-Firewall
VPN totalmente • Suporte nativo para IPSec site-site (Tunel)
integrados • Integrado com a Quarentena Windows
• Bridging SSL para IIS e Sharepoint
IIS e Sharepoint • Wizards para publicação de sites
seguros • Autenticação AD, RADIUS, SecurID
Filtragem Camada de Aplicação
Ameaças modernas exigem uma inspeção
mais aprofundada
Protege os recursos da rede contra ataques de camada
de aplicação: Nimda, Slammer...
Provê a abilidade de definir uma política mais
específica e granular, em camada de aplicação
Melhor proteção para aplicações Microsoft
Modelo de inspeção de aplicações
Filtros incluídos para protocolos mais comuns
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media
Wizards de customização para os diversos cenários
Arquitetura extensível por plug-ins
 Proteção VPN
Tráfego tunelado também é inspecionado
Colocado de volta na pilha TCP/IP
ISA Server consegue enxergar todo o tráfego
Tráfego VPN é segregado
Rede VPN: todos os endereços alocados para os usuários VPN
Endereços IP dinamicamente acrescentados/removidos
Rede VPN disponível na console do ISA Server
Suporte a IPSec em Tunnel Mode
Provê conectividade entre filiais e unidades com VPN
Ferramentas simplificadas de administração
Suporte a Quarentena de Acesso Remoto
Usuarios da quarentena são colocados na rede de quarentena
Endereços IP dos clientes adicionados/removidos dinamicamente
Rede de quarentena disponível nas regras do ISA Server
 Quarentena de Acesso
Remoto
Quarentena de Acesso Remoto garante
que a configuração dos usuários remotos
está adequada à sua política de
segurança
Complementa a estratégia de patch
management
Ajuda a “ganhar tempo” para a aplicação de
patches
Habilita e força o patch management para fora
das fronteiras da rede
 Exemplo: Quarentena de VPN
RRAS + ISA + Serviço Rede
Cliente de Controle da Interna
Quarentena Quarentena

Internet
Usuário Conexão VPN

REDE
QUARENTENA
Serviço de Polítca
Consiste de cinco componentes de Quarentena

Serviço de Política da Quarentena – Servidor

Serviço de Controle da Quarentena – Servidor
QuarantineClient.EXE – Cliente
Configuração do ISA
ISA Server 2004 – Regras do Firewall + Implementação
RRAS – Integrado com o ISA
Novos Recursos ISA Server 2004
Novas ferramentas de gerência e interface gráfica
Fácil de Usar
Implemente e gerencie cenários de uso de forma fácil e eficiente
• Definições e tipos de rede sem limite
Arquitetura Multi- • Política de firewall válida para todo o tráfego
Rede • Relações de roteamento entre redes
• Wizard automatiza configuração das redes
Templates e wizards • Suporta 5 topologias mais comuns
de configuração • Facilmente customizável para outros cenários
• Política unificada firewall/VPN com único
Editor gráfico de
conjunto de regras
políticas • Edição drag n’ drop com wizardsb
• Novo dashboard de gerência
Diagnóstico e • Visualizador de log em tempo teal
monitoração • Painel de atividades sensível ao contexto
Modelo de Rede (velho) do ISA 2000
Zonas fixas
“IN” = LAT
“OUT” = DMZ, Internet Internet

Filtro de pacotes Filtro Estático

somente na interface
externa
DMZ 1
Única política de saída ISA 2000

NAT sempre
Filtragem estática da
DMZ para Internet
Rede Interna
 Modelo de Rede ISA 2004
 Qualquer quantidade
de redes
 VPN como rede
 Localhost como rede Internet VPN
 Relações
ISA 2004
configuráveis
(NAT/Route)
CorpNet_1
 Política por rede
DMZ_1
 Filtro de pacotes em Rede Host CorpNet_n
todas as interfaces Local

 Suporte para PnP & DMZ_n

Net A
DoD
 Qualquer topologia,
qualquer política
 Templates de Rede

Objetivo
Configuração de rede
simplificada
Recursos
• 5 templates
• Regras de roteamento
automáticas
• Customizável
Modelo de Política do ISA 2004
Conjunto de regras único, ordenado
Mais lógico e mais fácil de entender
Fácil de visualizar e auditar
Nova estrutura unificada de regras
Aplicável a todos os tipos de política
Três tipos principais de “templates” de regras
Regras de acesso
Regras de publicação de servidor
Regras de publicação Web
Propriedades de filtragem de aplicação são
parte da regra
Política default do sistema
 Estrutura de uma Regra
 Rede destino
 Qualquer usuário
 IP destino
 Permitir  Usuários autenticados
 Site destino
 Negar  Grupo/usuário específico

ação sobre tráfego do usuário de origem para destino sob condições

 Protocolo  Rede origem •Servidor publicado

 Porta / Tipo IP  IP origem •Site web publicado
 Usuário origem •Horário
•Propriedades filtragem

Regras básicas ISA 2004:

Regras de protocolo
Regras de sites e conteúdo Política firewall
Filtros de pacote estáticos
Regras de publicação de servidor
Regras de publicação web
Configurações de filtragem específicas
Outras regras ISA 2004:
Regras de tradução de endereço Política configuração
Regras de roteamento web
Editor de Regras ISA 2004
Visão “Dashboard”

Objetivo
Visão centralizada do
status do firewall
Recursos
• Tempo
• Dados consolidados
• Fácil de detectar
problemas
Alertas

Objetivo
Um único local para todos
os problemas
Recursos
• Histório dos alertas
• Gerência dos alertas
• Severidade e categoria
Sessões

Objetivo
Visualiza sessões ativas
Recursos
• Mecanismo poderoso de
consultas
• Sessões VPN
• Possibilidade de
desconectar uma sessão
Serviços

Objetivo
Status do ISA e serviços
dependentes
Recursos
• Parar e iniciar os
serviços
Relatórios

Objetivo
Conjunto completo de
relatórios de atividade
Recursos
• Relatórios periódicos
• Notificação por email
• Publicação dos relatórios
Conectividade

Objetivo
Monitora conectividade
aos serviços críticos
Recursos
• Tipos de requisição
• Tempo de resposta &
limites para alerta
• Agrupamento
Logs e Histórico

Objetivo
Visualizar o tráfego
passando pelo ISA
Recursos
• Modo “tempo real”
• Histórico
• Mecanismo poderoso de
consulta
Novos Recursos ISA Server 2004
Compromisso continuado com a integração
Acesso Rápido e Seguro
Permite a você conectar usuários a Internet com segurança
• Transporte de dados com alta performance
Arquitetura • Aproveita o hardware e software mais novo
Melhorada • Bridging SSL alivia carga de servidores web
• Regras atualizadas de política
Cache Web • Enviam o conteúdo localmente
• Busca conteúdo fora dos horários de pico
• Controle de uso da web baseado em
Controle de Acesso usuários e grupos
Internet • Extensível por plug-ins de terceiros
• Suporte para RADIUS e RSA SecurID
Modelo Completo • Política de acesso por usuários e grupos
de Autenticação • Extensível por plug-ins de terceiros
 Controle de Acesso de Usuários
Bloqueando aplicações com HTTP
Aplicação Procura na Cabeçalho HTTP Assinatura
MSN Messenger Requisição User-Agent: MSN Messenger
Windows Messenger Requisição User-Agent: MSMSGS
AOL Messenger (and Requisição User-Agent: Gecko/
Gecko browsers)
Yahoo Messenger Requisição Host msg.yahoo.com
Kazaa Requisição P2P-Agent Kazaa, Kazaaclient:
Kazaa Requisição User-Agent: KazaaClient
Kazaa Requisição X-Kazaa-Network: KaZaA
Gnutella Requisição User-Agent: Gnutella
Gnucleus
Edonkey Requisição User-Agent: e2dk
Morpheus Resposta Server Morpheus
 Firewall Client Atualizado
O que é o ISA Firewall Client?
Habilita / desabilita conectividade Winsock para a Internet
Proporciona acesso a rede por meio do ISA para aplicações
compatíveis com Winsock
Toma decisões inteligentes sobre o destino do tráfego baseado no
endereço de destino.
Detecta automaticamente o firewall disponível na rede
O que tem de novo no ISA Firewall Client 2004?
Usa um canal seguro encriptado com o ISA Server 2004
Suporta vários perfis de configuração de usuário
Permite que o usuário crie dois perfis diferentes para configurar o
Firewall Client para usar servidores proxy diferentes
 Versão Enterprise Edition
Diferenças em relação à versão Standard
Maior escalabilidade e disponibilidade
Gerência distribuída: implementações em larga escala
com uso de arrays e políticas corporativas
Principais recursos
Suporte a NLB bi-direcional para uso em arrays
Gerência e distribuição corporativa das políticas
Console de monitoração para todo o array
Armazenamento das políticas usando AD/AM
CARP e cache hierárquico
Sem limite de processadores
Integração com o MOM (MOM pack)
Configuração automática de arrays / wizards
Log e alertas em nível de array
Cenários de Uso:

Proteção do OWA
 Desenho Típico - OWA
Bom:  performance
Separa o servidor de
protocolo do servidor de
caixas-postais
Proteção de rede
Ruim:  segurança
Túnel passando pelo firewall
externo: sem inspeção
OWA
Muitos buracos no firewall
interno para autenticação
Conexão inicial para OWA
feita anonimamente
ExBE AD
 Proteção do OWA com ISA
Maior segurança em camada de aplicação

ISA Server vira um

<a
x36dj23s
https://...
href…
“bastion host”
2oipn49v Proxy web recebe todas
ISA as conexões
Server
Decripta HTTPS
Inspeciona conteúdo
Inspeciona URL (com
filtro HTTP)
Re-encripta para conexão
OWA Exchange AD até o servidor OWA
 Bridging de SSL
ISA Server com
Delegação Filtragem HTTP
de Autenticação
Tráfego inspecionado
web pede pode ser enviado para
ISAISA Server
Server pode
pré-autentica, Servidor
decriptarose vários
inspecionar Filtro HTTP pode —parar
servidor emataques
claro ou re-encriptado
eliminando pedidos que autenticação
…de qualquer
permite que virus
tráfego SSL
autenticação
web na
e somente e worms Filtro
pessoa
passem HTTP
bordanada rede, mesmo
Internet
sem por os
encriptados com SSL
chegar aqui
permitindo tráfego autenticado detecção…

SSL SSL SSL ou

HTTP

Internet

cliente Firewall2004
ISA Server W
tradicional ebSr
Conexões SSL passam v/
pelos firewalls tradicionais OWA
…e infecta servidores internos!
porque elas estão
encriptadas
Proteção do OWA com ISA
Melhor autenticação dos usuários
404
Fácil autenticação com o
Active Directory
Pré-autentica a
ISA
Server
comunicação
ISA Server pede as
credenciais do usuário
Verifica com o AD
ISA Server deve fazer parte
(ou confiar) no domínio
OWA Exchange AD Inclui autenticação no
cabeçalho HTTP para
OWA
Evita segundo pedido de
autenticação!
 Cenários de Uso:

ISA como Firewall Interno

ISA Server Melhora a Infra-
Estrutura Existente
ISA Server 2004 pode ser colocado atrás
da DMZ para criar uma configuração de
firewall “back-to-back”
ISA Server 2004 pode ser colocado na
rede corporativa ou DMZ como proxy web
com uma única interface de rede
ISA 2004 pode ser colocado em filiais
como uma solução barata para firewall
remoto e VPN IPSec entre localidades
 ISA Server Melhora a Infra-
Estrutura Existente
ISA Server 2004
Firewall Interno
Web Server Microsoft
Exchange
Firewall ISA Interno

Mobile Information Server

Rede banda larga de hotel Firewalls externo de terceiros

Funcionário acessando de ISA Server 2004 atual como um firewall

casa com conexão ADSL intero para prover filtragem avançada em
camada de aplicação para os servidores
internos, e controlando o acesso dos
usuário a Internet. Outros firewall de
Laptop com acesso terceiros fazerm a filtragem de pacotes
discado tradicional na fronteira com a Internet

Atacantes em localidades remotas

 Cenários de Uso:

ISA Server no Lugar do

Firewall Atual
 ISA Server no Lugar do
Firewall Atual
ISA Server 2004 provê filtragem em
camada de aplicação avançada
Filtragem em camada de aplicação pára
worms, virus, e conteúdo malicioso na
Web
Firewalls de filtros de pacotes somente
bloqueam portas e endereços IPs
ISA Server 2004 permite a criação de
DMZs isolando serviços externos e
conexões VPN em redes separadas, com
inspeção e filtragem entre as diversas
redes
ISA Server como Firewall Externo
ISA Server 2004
Firewall Externo

Microsoft
Web Server Exchange
Firewall ISA Externo

Mobile Information Server

Conexão banda larga hotel

Funcionário trabalhando de
casa com conexão ADSL
ISA Server 2004 Server atua como
um firewall externo com uma
interface na Internet e um interface
Laptop com na rede corporativa
cesso discado

Atacante conectando de lugar remoto

 ISA Server com DMZ
ISA Server 2004
Firewall Externo
Servidores Internos
Microsoft
Exchange

Firewall ISA Externo Usuários Internos

Rede Interna

DMZ
Conexão banda larga hotel

Servidores Web
Funcionário trabalhando de Externos
casa com conexão ADSL

ISA Server 2004 Server atua como

um firewall externo com três
interfaces, implementando uma DMZ
Laptop com
com filtragem e controle de acesso
cesso discado
entre todas as redes
Atacante conectando de lugar remoto
VPN Entre Filiais e Matriz
ISA Server 2004
Firewall e VPN
entre Filiais Microsoft
Servidores Internos
Exchange

Usuários Matriz
Usuários Filial
Firewall ISA
Firewall ISA Matriz
Filial

Internet

ISA Server 2004 Server atua como

Firewall ISA firewakk protegendo a Matriz e cada
Filial uma das filiais, implementando VPN
IPSEC entre as localidades e
Usuários Filial inspecionando tanto o tráfego vindo
da Internet quanto o tráfego da VPN
Backup
Planejamento da Migração
ISA 2000 SE -> ISA 2004 SE
Ferramenta de migração de política
Recomendada no entanto abordagem do zero
ISA 2000 EE -> ISA 2004 EE
Capacidade de migração da configuração
ISA 2004 EE Beta -> ISA 2004 EE RTM
Possibilidade de migração ainda a confirmar
ISA 2004 SE > ISA 2004 EE
Ferramenta de migração ainda a confirmar
 Próximas Etapas
1. Conheça mais sobre o ISA Server 2004
 Faça gratuitamente o download da versão trial 120 dias
http://www.microsoft.com/isaserver/evaluation/trial (em inglês)
 Faça um laboratório virtual pela Internet:
http://www.microsoft.com/technet/traincert/virtuallab/isa.mspx (em inglês)
 Site do ISA Server dentro do Technet Brasil:
http://www.microsoft.com/brasil/technet/DocumentacaoTecnica/ISA

2. Obter treinamento adicional de segurança

 Encontrar seminários de treinamento online e no local:
http://www.technetbrasil.com.br/seguranca
 Encontrar um CTEC local para treinamento prático:
http://www.microsoft.com/brasil/certifique
 Academia Latino americana de segurança da Informação:
http://www.technetbrasil.com.br/academia
Para Obter Mais Informações
Site de segurança da Microsoft
http://www.microsoft.com/brasil/security
Site de segurança do TechNet
http://www.technetbrasil.com.br/seguranca
Site do ISA Server
http://www.microsoft.com/isaserver (inglês)
Site indicado
http://www.isaserver.org (inglês)
Colunas Technet
http://www.microsoft.com/brasil/technet/colunas