Professional Documents
Culture Documents
Eduardo Petizme
MCP
petizme@hotmail.com
Agenda
Gerenciando riscos
ISA Server 2004, novidades e melhorias
Novos Recursos
Proteção da VPN e Quarentena
Modelo de Rede e Políticas
Cenários de uso
OWA, Firewall Interno, outros cenários
Mais informações
Gerenciando os riscos …
• 14B de equipamentos na Internet em 2010 1
• 35M de usuários remotos em 2005 2
• 65% de aumentos nos Web Sites dinâmicos 3
• De 2000 a 2002 incidentes reportados subiram de
Os Riscos 21756 para 82094 4
• Quase 80% das 445 pessoas pesquisados
disseram que a Internet foi um ponto freqüente de
ataque, contra 57% há quatro anos atrás 5
Segurança é complexa
Difícil de gerenciar Área de TI já sobrecarregada
Escolha
Performance X Segurança e performance
Segurança
Capacidade de
crescimento Extensibilidade e escalabilidade
limitada
ISA Server 2004
A solução de firewall de camada de aplicação, VPN e cache Web
que permite a você maximizar os seu investimento, melhorando a
segurança de rede com alta performance
Proteção avançada
Segurança em Camada de Aplicação desenhada para proteger sites
Web e aplicativos Microsoft
Fácil de usar
Implemente, gerencie e habilite novos cenários de uso de forma eficiente
Proteção Avançada
Segurança avançada em camada de aplicação
• Filtros avançados de HTTP e outros protoc.
Inspeção profunda • Políticas completas e flexíveis
do conteúdo • Inspeção com estado para todo o tráfego
• Suporte para RPC sobre HTTP do Outlook
Integração com o • Segurança avançada para OWA
Exchange Server • Wizard de configuração para o cenário
• Filtragem unificada VPN-Firewall
VPN totalmente • Suporte nativo para IPSec site-site (Tunel)
integrados • Integrado com a Quarentena Windows
• Bridging SSL para IIS e Sharepoint
IIS e Sharepoint • Wizards para publicação de sites
seguros • Autenticação AD, RADIUS, SecurID
Filtragem Camada de Aplicação
Ameaças modernas exigem uma inspeção
mais aprofundada
Protege os recursos da rede contra ataques de camada
de aplicação: Nimda, Slammer...
Provê a abilidade de definir uma política mais
específica e granular, em camada de aplicação
Melhor proteção para aplicações Microsoft
Modelo de inspeção de aplicações
Filtros incluídos para protocolos mais comuns
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media
Wizards de customização para os diversos cenários
Arquitetura extensível por plug-ins
Proteção VPN
Tráfego tunelado também é inspecionado
Colocado de volta na pilha TCP/IP
ISA Server consegue enxergar todo o tráfego
Tráfego VPN é segregado
Rede VPN: todos os endereços alocados para os usuários VPN
Endereços IP dinamicamente acrescentados/removidos
Rede VPN disponível na console do ISA Server
Suporte a IPSec em Tunnel Mode
Provê conectividade entre filiais e unidades com VPN
Ferramentas simplificadas de administração
Suporte a Quarentena de Acesso Remoto
Usuarios da quarentena são colocados na rede de quarentena
Endereços IP dos clientes adicionados/removidos dinamicamente
Rede de quarentena disponível nas regras do ISA Server
Quarentena de Acesso
Remoto
Quarentena de Acesso Remoto garante
que a configuração dos usuários remotos
está adequada à sua política de
segurança
Complementa a estratégia de patch
management
Ajuda a “ganhar tempo” para a aplicação de
patches
Habilita e força o patch management para fora
das fronteiras da rede
Exemplo: Quarentena de VPN
RRAS + ISA + Serviço Rede
Cliente de Controle da Interna
Quarentena Quarentena
Internet
Usuário Conexão VPN
REDE
QUARENTENA
Serviço de Polítca
Consiste de cinco componentes de Quarentena
NAT sempre
Filtragem estática da
DMZ para Internet
Rede Interna
Modelo de Rede ISA 2004
Qualquer quantidade
de redes
VPN como rede
Localhost como rede Internet VPN
Relações
ISA 2004
configuráveis
(NAT/Route)
CorpNet_1
Política por rede
DMZ_1
Filtro de pacotes em Rede Host CorpNet_n
todas as interfaces Local
Objetivo
Configuração de rede
simplificada
Recursos
• 5 templates
• Regras de roteamento
automáticas
• Customizável
Modelo de Política do ISA 2004
Conjunto de regras único, ordenado
Mais lógico e mais fácil de entender
Fácil de visualizar e auditar
Nova estrutura unificada de regras
Aplicável a todos os tipos de política
Três tipos principais de “templates” de regras
Regras de acesso
Regras de publicação de servidor
Regras de publicação Web
Propriedades de filtragem de aplicação são
parte da regra
Política default do sistema
Estrutura de uma Regra
Rede destino
Qualquer usuário
IP destino
Permitir Usuários autenticados
Site destino
Negar Grupo/usuário específico
Objetivo
Visão centralizada do
status do firewall
Recursos
• Tempo
• Dados consolidados
• Fácil de detectar
problemas
Alertas
Objetivo
Um único local para todos
os problemas
Recursos
• Histório dos alertas
• Gerência dos alertas
• Severidade e categoria
Sessões
Objetivo
Visualiza sessões ativas
Recursos
• Mecanismo poderoso de
consultas
• Sessões VPN
• Possibilidade de
desconectar uma sessão
Serviços
Objetivo
Status do ISA e serviços
dependentes
Recursos
• Parar e iniciar os
serviços
Relatórios
Objetivo
Conjunto completo de
relatórios de atividade
Recursos
• Relatórios periódicos
• Notificação por email
• Publicação dos relatórios
Conectividade
Objetivo
Monitora conectividade
aos serviços críticos
Recursos
• Tipos de requisição
• Tempo de resposta &
limites para alerta
• Agrupamento
Logs e Histórico
Objetivo
Visualizar o tráfego
passando pelo ISA
Recursos
• Modo “tempo real”
• Histórico
• Mecanismo poderoso de
consulta
Novos Recursos ISA Server 2004
Compromisso continuado com a integração
Acesso Rápido e Seguro
Permite a você conectar usuários a Internet com segurança
• Transporte de dados com alta performance
Arquitetura • Aproveita o hardware e software mais novo
Melhorada • Bridging SSL alivia carga de servidores web
• Regras atualizadas de política
Cache Web • Enviam o conteúdo localmente
• Busca conteúdo fora dos horários de pico
• Controle de uso da web baseado em
Controle de Acesso usuários e grupos
Internet • Extensível por plug-ins de terceiros
• Suporte para RADIUS e RSA SecurID
Modelo Completo • Política de acesso por usuários e grupos
de Autenticação • Extensível por plug-ins de terceiros
Controle de Acesso de Usuários
Bloqueando aplicações com HTTP
Aplicação Procura na Cabeçalho HTTP Assinatura
MSN Messenger Requisição User-Agent: MSN Messenger
Windows Messenger Requisição User-Agent: MSMSGS
AOL Messenger (and Requisição User-Agent: Gecko/
Gecko browsers)
Yahoo Messenger Requisição Host msg.yahoo.com
Kazaa Requisição P2P-Agent Kazaa, Kazaaclient:
Kazaa Requisição User-Agent: KazaaClient
Kazaa Requisição X-Kazaa-Network: KaZaA
Gnutella Requisição User-Agent: Gnutella
Gnucleus
Edonkey Requisição User-Agent: e2dk
Morpheus Resposta Server Morpheus
Firewall Client Atualizado
O que é o ISA Firewall Client?
Habilita / desabilita conectividade Winsock para a Internet
Proporciona acesso a rede por meio do ISA para aplicações
compatíveis com Winsock
Toma decisões inteligentes sobre o destino do tráfego baseado no
endereço de destino.
Detecta automaticamente o firewall disponível na rede
O que tem de novo no ISA Firewall Client 2004?
Usa um canal seguro encriptado com o ISA Server 2004
Suporta vários perfis de configuração de usuário
Permite que o usuário crie dois perfis diferentes para configurar o
Firewall Client para usar servidores proxy diferentes
Versão Enterprise Edition
Diferenças em relação à versão Standard
Maior escalabilidade e disponibilidade
Gerência distribuída: implementações em larga escala
com uso de arrays e políticas corporativas
Principais recursos
Suporte a NLB bi-direcional para uso em arrays
Gerência e distribuição corporativa das políticas
Console de monitoração para todo o array
Armazenamento das políticas usando AD/AM
CARP e cache hierárquico
Sem limite de processadores
Integração com o MOM (MOM pack)
Configuração automática de arrays / wizards
Log e alertas em nível de array
Cenários de Uso:
Proteção do OWA
Desenho Típico - OWA
Bom: performance
Separa o servidor de
protocolo do servidor de
caixas-postais
Proteção de rede
Ruim: segurança
Túnel passando pelo firewall
externo: sem inspeção
OWA
Muitos buracos no firewall
interno para autenticação
Conexão inicial para OWA
feita anonimamente
ExBE AD
Proteção do OWA com ISA
Maior segurança em camada de aplicação
Internet
cliente Firewall2004
ISA Server W
tradicional ebSr
Conexões SSL passam v/
pelos firewalls tradicionais OWA
…e infecta servidores internos!
porque elas estão
encriptadas
Proteção do OWA com ISA
Melhor autenticação dos usuários
404
Fácil autenticação com o
Active Directory
Pré-autentica a
ISA
Server
comunicação
ISA Server pede as
credenciais do usuário
Verifica com o AD
ISA Server deve fazer parte
(ou confiar) no domínio
OWA Exchange AD Inclui autenticação no
cabeçalho HTTP para
OWA
Evita segundo pedido de
autenticação!
Cenários de Uso:
Microsoft
Web Server Exchange
Firewall ISA Externo
Funcionário trabalhando de
casa com conexão ADSL
ISA Server 2004 Server atua como
um firewall externo com uma
interface na Internet e um interface
Laptop com na rede corporativa
cesso discado
DMZ
Conexão banda larga hotel
Servidores Web
Funcionário trabalhando de Externos
casa com conexão ADSL
Usuários Matriz
Usuários Filial
Firewall ISA
Firewall ISA Matriz
Filial
Internet