P. 1
ISA Server 2004 Petizme

ISA Server 2004 Petizme

5.0

|Views: 604|Likes:
Published by gabsanfer

More info:

Published by: gabsanfer on Sep 05, 2008
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PPT, PDF, TXT or read online from Scribd
See more
See less

10/18/2011

pdf

text

original

Conhecendo o ISA Server 2004

Eduardo Petizme
MCP petizme@hotmail.com

Agenda
Gerenciando riscos
ISA Server 2004, novidades e melhorias

Novos Recursos
Proteção da VPN e Quarentena Modelo de Rede e Políticas

Cenários de uso
OWA, Firewall Interno, outros cenários

Mais informações

Gerenciando os riscos …
Os Riscos
• • • • 14B de equipamentos na Internet em 2010 1 35M de usuários remotos em 2005 2 65% de aumentos nos Web Sites dinâmicos 3 De 2000 a 2002 incidentes reportados subiram de 21756 para 82094 4 • Quase 80% das 445 pessoas pesquisados disseram que a Internet foi um ponto freqüente de ataque, contra 57% há quatro anos atrás 5

Os Pontos Fracos

• • •

90% tiveram incidentes de segurança 6 85% foram infectados por vírus de computador 6 95% de todos os incidentes seriam evitados com o uso de uma outra configuração 7 • Aproximadamente 70% de todos os ataques na Web ocorrem na camada de aplicação 8
1 Fonte: Forrester Research 2 Fonte: Information Week, 26 Novembro 2001 3 Fonte: Netcraft 4 Fonte: CERT, 2003 5 Fonte: CSI/FBI Computer Crime and Security Survey 6 Fonte: Computer Security Institute (CSI) Computer Crime and Security Survey 2002 7 Fonte: CERT, 2002 8 Fonte: Gartner Group

ISA 2004
Novidades
Bloqueio de acesso a todos os arquivos .EXE

Melhorias
Firewall Rules Wizard

Controle de download HTTP baseado no tipo do arquivo

Authentication

Garante a segurança da publicação de servidores Exchange Server - RPC FTP Policy

OWA Publishing Wizard

Secure WEB Publishing

Link Translator

Port redirection for FTP Server

Firewall user groups

Firewall Rules ordered list

Firewalls Tradicionais
Aberto aos ataques mais avançados Difícil de gerenciar Escolha Performance X Segurança Capacidade de crescimento limitada
Code Red, Nimda  Ataques usando SSL

Segurança é complexa  Área de TI já sobrecarregada

Banda de rede muito cara  Muitas “partes móveis”

Upgrade difícil  Não escala junto com a demanda

Evolução da Segurança de Perímetro
Aberto aos ataques mais avançados Difícil de gerenciar Escolha Performance X Segurança Capacidade de crescimento limitada

Proteção em camada de aplicação Mais fácil de usar Segurança e performance Extensibilidade e escalabilidade

ISA Server 2004
A solução de firewall de camada de aplicação, VPN e cache Web que permite a você maximizar os seu investimento, melhorando a segurança de rede com alta performance

Proteção avançada
Segurança em Camada de Aplicação desenhada para proteger sites Web e aplicativos Microsoft

Fácil de usar
Implemente, gerencie e habilite novos cenários de uso de forma eficiente

Acesso rápido e seguro
Permite você conectar os usuários e dar acesso aos recursos da sua rede de uma maneira segura e eficiente

Novos Recursos ISA Server 2004
Arquitetura de Segurança Atualizada

Proteção Avançada
Segurança avançada em camada de aplicação

Inspeção profunda do conteúdo Integração com o Exchange Server VPN totalmente integrados IIS e Sharepoint seguros

• Filtros avançados de HTTP e outros protoc. • Políticas completas e flexíveis • Inspeção com estado para todo o tráfego • Suporte para RPC sobre HTTP do Outlook • Segurança avançada para OWA • Wizard de configuração para o cenário • Filtragem unificada VPN-Firewall • Suporte nativo para IPSec site-site (Tunel) • Integrado com a Quarentena Windows • Bridging SSL para IIS e Sharepoint • Wizards para publicação de sites • Autenticação AD, RADIUS, SecurID

Filtragem Camada de Aplicação
Ameaças modernas exigem uma inspeção mais aprofundada
Protege os recursos da rede contra ataques de camada de aplicação: Nimda, Slammer... Provê a abilidade de definir uma política mais específica e granular, em camada de aplicação Melhor proteção para aplicações Microsoft

Modelo de inspeção de aplicações
Filtros incluídos para protocolos mais comuns
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media

Wizards de customização para os diversos cenários Arquitetura extensível por plug-ins

Proteção VPN
Tráfego tunelado também é inspecionado
Colocado de volta na pilha TCP/IP ISA Server consegue enxergar todo o tráfego

Tráfego VPN é segregado
Rede VPN: todos os endereços alocados para os usuários VPN Endereços IP dinamicamente acrescentados/removidos Rede VPN disponível na console do ISA Server

Suporte a IPSec em Tunnel Mode
Provê conectividade entre filiais e unidades com VPN Ferramentas simplificadas de administração

Suporte a Quarentena de Acesso Remoto
Usuarios da quarentena são colocados na rede de quarentena Endereços IP dos clientes adicionados/removidos dinamicamente Rede de quarentena disponível nas regras do ISA Server

Quarentena de Acesso Remoto
Quarentena de Acesso Remoto garante que a configuração dos usuários remotos está adequada à sua política de segurança Complementa a estratégia de patch management
Ajuda a “ganhar tempo” para a aplicação de patches Habilita e força o patch management para fora das fronteiras da rede

Exemplo: Quarentena de VPN
Cliente Quarentena RRAS + ISA + Serviço Rede Interna de Controle da Quarentena Internet Usuário Conexão VPN
REDE QUARENTENA

Consiste de cinco componentes

Serviço de Polítca de Quarentena

Serviço de Política da Quarentena – Servidor Serviço de Controle da Quarentena – Servidor QuarantineClient.EXE – Cliente Configuração do ISA
ISA Server 2004 – Regras do Firewall + Implementação RRAS – Integrado com o ISA

Novos Recursos ISA Server 2004
Novas ferramentas de gerência e interface gráfica

Fácil de Usar
Implemente e gerencie cenários de uso de forma fácil e eficiente

Arquitetura MultiRede Templates e wizards de configuração Editor gráfico de políticas Diagnóstico e monitoração

• Definições e tipos de rede sem limite • Política de firewall válida para todo o tráfego • Relações de roteamento entre redes • Wizard automatiza configuração das redes • Suporta 5 topologias mais comuns • Facilmente customizável para outros cenários • Política unificada firewall/VPN com único conjunto de regras • Edição drag n’ drop com wizardsb • Novo dashboard de gerência • Visualizador de log em tempo teal • Painel de atividades sensível ao contexto

Modelo de Rede (velho) do ISA 2000
Zonas fixas
“IN” = LAT “OUT” = DMZ, Internet
Internet Filtro Estático

Filtro de pacotes somente na interface externa Única política de saída
NAT sempre

ISA 2000

DMZ 1

Filtragem estática da DMZ para Internet
Rede Interna

Modelo de Rede ISA 2004
 Qualquer quantidade de redes  VPN como rede  Localhost como rede  Relações configuráveis (NAT/Route)  Política por rede  Filtro de pacotes em todas as interfaces  Suporte para PnP & DoD  Qualquer topologia, qualquer política
VPN
ISA 2004

Internet

CorpNet_1 DMZ_1
Rede Host Local

CorpNet_n Net A

DMZ_n

Templates de Rede

Objetivo
Configuração de rede simplificada

Recursos
• 5 templates • Regras de roteamento automáticas • Customizável

Modelo de Política do ISA 2004
Conjunto de regras único, ordenado
Mais lógico e mais fácil de entender Fácil de visualizar e auditar

Nova estrutura unificada de regras
Aplicável a todos os tipos de política Três tipos principais de “templates” de regras
Regras de acesso Regras de publicação de servidor Regras de publicação Web

Propriedades de filtragem de aplicação são parte da regra

Política default do sistema

Estrutura de uma Regra
 Permitir  Negar  Qualquer usuário  Usuários autenticados  Grupo/usuário específico  Rede destino  IP destino  Site destino

ação sobre tráfego do usuário de origem para destino sob condições
 Rede origem  IP origem  Usuário origem •Servidor publicado •Site web publicado •Horário •Propriedades filtragem

 Protocolo  Porta / Tipo IP

Regras básicas ISA 2004:
Regras de protocolo Regras de sites e conteúdo Filtros de pacote estáticos Regras de publicação de servidor Regras de publicação web Configurações de filtragem específicas

Política firewall

Outras regras ISA 2004:
Regras de tradução de endereço Regras de roteamento web

Política configuração

Editor de Regras ISA 2004

Visão “Dashboard”

Objetivo
Visão centralizada do status do firewall

Recursos
• Tempo • Dados consolidados • Fácil de detectar problemas

Alertas

Objetivo
Um único local para todos os problemas

Recursos
• Histório dos alertas • Gerência dos alertas • Severidade e categoria

Sessões

Objetivo
Visualiza sessões ativas

Recursos
• Mecanismo poderoso de consultas • Sessões VPN • Possibilidade de desconectar uma sessão

Serviços

Objetivo
Status do ISA e serviços dependentes

Recursos
• Parar e iniciar os serviços

Relatórios

Objetivo
Conjunto completo de relatórios de atividade

Recursos
• Relatórios periódicos • Notificação por email • Publicação dos relatórios

Conectividade

Objetivo
Monitora conectividade aos serviços críticos

Recursos
• Tipos de requisição • Tempo de resposta & limites para alerta • Agrupamento

Logs e Histórico

Objetivo
Visualizar o tráfego passando pelo ISA

Recursos
• Modo “tempo real” • Histórico • Mecanismo poderoso de consulta

Novos Recursos ISA Server 2004
Compromisso continuado com a integração

Acesso Rápido e Seguro

Permite a você conectar usuários a Internet com segurança

Arquitetura Melhorada Cache Web Controle de Acesso Internet Modelo Completo de Autenticação

• Transporte de dados com alta performance • Aproveita o hardware e software mais novo • Bridging SSL alivia carga de servidores web • Regras atualizadas de política • Enviam o conteúdo localmente • Busca conteúdo fora dos horários de pico • Controle de uso da web baseado em usuários e grupos • Extensível por plug-ins de terceiros • Suporte para RADIUS e RSA SecurID • Política de acesso por usuários e grupos • Extensível por plug-ins de terceiros

Controle de Acesso de Usuários
Bloqueando aplicações com HTTP
Procura na Requisição Requisição Requisição Requisição Requisição Requisição Requisição Requisição Requisição Resposta Cabeçalho HTTP User-Agent: User-Agent: User-Agent: Host P2P-Agent User-Agent: X-Kazaa-Network: User-Agent: User-Agent: Server MSMSGS Gecko/ msg.yahoo.com Kazaa, Kazaaclient: KazaaClient KaZaA Gnutella Gnucleus e2dk Morpheus Aplicação MSN Messenger Windows Messenger AOL Messenger (and Gecko browsers) Yahoo Messenger Kazaa Kazaa Kazaa Gnutella Edonkey Morpheus Assinatura MSN Messenger

Firewall Client Atualizado
O que é o ISA Firewall Client?
Habilita / desabilita conectividade Winsock para a Internet Proporciona acesso a rede por meio do ISA para aplicações compatíveis com Winsock
Toma decisões inteligentes sobre o destino do tráfego baseado no endereço de destino. Detecta automaticamente o firewall disponível na rede

O que tem de novo no ISA Firewall Client 2004?
Usa um canal seguro encriptado com o ISA Server 2004 Suporta vários perfis de configuração de usuário
Permite que o usuário crie dois perfis diferentes para configurar o Firewall Client para usar servidores proxy diferentes

Versão Enterprise Edition
Diferenças em relação à versão Standard
Maior escalabilidade e disponibilidade Gerência distribuída: implementações em larga escala com uso de arrays e políticas corporativas

Principais recursos
Suporte a NLB bi-direcional para uso em arrays Gerência e distribuição corporativa das políticas Console de monitoração para todo o array Armazenamento das políticas usando AD/AM CARP e cache hierárquico Sem limite de processadores Integração com o MOM (MOM pack) Configuração automática de arrays / wizards Log e alertas em nível de array

Cenários de Uso: Proteção do OWA

Desenho Típico - OWA
Bom:  performance
Separa o servidor de protocolo do servidor de caixas-postais Proteção de rede

Ruim:  segurança
OWA

Túnel passando pelo firewall externo: sem inspeção Muitos buracos no firewall interno para autenticação Conexão inicial para OWA feita anonimamente
AD

ExBE

Proteção do OWA com ISA
Maior segurança em camada de aplicação
<a href… x36dj23s https://... 2oipn49v ISA Server

ISA Server vira um “bastion host”
Proxy web recebe todas as conexões Decripta HTTPS Inspeciona conteúdo Inspeciona URL (com filtro HTTP) Re-encripta para conexão até o servidor OWA

OWA Exchange AD

ISA Server com Filtragem HTTP Delegação de Autenticação

Bridging de SSL

Tráfego inspecionado pode ser enviado para Servidor web pede ISAISA Server pode Server pré-autentica, Filtro HTTP pode parar ataques servidor decriptar e inspecionar eliminando os vários pedidos de autenticaçãovirus em claro ou re-encriptado …que permite que — qualquer tráfego e somente web na borda da rede, mesmo os pessoa na sem autenticaçãoSSL e wormsFiltro HTTPpor passem Internet encriptados com SSL chegar permitindo tráfego autenticado detecção… aqui

SSL

SSL

SSL ou HTTP

Internet

cliente
Conexões SSL passam pelos firewalls tradicionais porque elas estão encriptadas

Firewall ISA Server 2004 tradicional

W ebSr v/ OWA …e infecta servidores internos!

Proteção do OWA com ISA
Melhor autenticação dos usuários
404

ISA Server

Fácil autenticação com o Active Directory Pré-autentica a comunicação
ISA Server pede as credenciais do usuário Verifica com o AD
ISA Server deve fazer parte (ou confiar) no domínio

OWA Exchange AD

Inclui autenticação no cabeçalho HTTP para OWA
Evita segundo pedido de autenticação!

Cenários de Uso: ISA como Firewall Interno

ISA Server Melhora a InfraEstrutura Existente
ISA Server 2004 pode ser colocado atrás da DMZ para criar uma configuração de firewall “back-to-back” ISA Server 2004 pode ser colocado na rede corporativa ou DMZ como proxy web com uma única interface de rede ISA 2004 pode ser colocado em filiais como uma solução barata para firewall remoto e VPN IPSec entre localidades

ISA Server Melhora a InfraEstrutura Existente
ISA Server 2004 Firewall Interno
Web Server Firewall ISA Interno Mobile Information Server Microsoft Exchange

Rede banda larga de hotel

Firewalls externo de terceiros

Funcionário acessando de casa com conexão ADSL

Laptop com acesso discado Atacantes em localidades remotas

ISA Server 2004 atual como um firewall intero para prover filtragem avançada em camada de aplicação para os servidores internos, e controlando o acesso dos usuário a Internet. Outros firewall de terceiros fazerm a filtragem de pacotes tradicional na fronteira com a Internet

Cenários de Uso: ISA Server no Lugar do Firewall Atual

ISA Server 2004 provê filtragem em camada de aplicação avançada Filtragem em camada de aplicação pára worms, virus, e conteúdo malicioso na Web Firewalls de filtros de pacotes somente bloqueam portas e endereços IPs ISA Server 2004 permite a criação de DMZs isolando serviços externos e conexões VPN em redes separadas, com inspeção e filtragem entre as diversas redes

ISA Server no Lugar do Firewall Atual

ISA Server como Firewall Externo
ISA Server 2004 Firewall Externo
Microsoft Exchange

Firewall ISA Externo

Web Server

Mobile Information Server

Conexão banda larga hotel

Funcionário trabalhando de casa com conexão ADSL

Laptop com cesso discado Atacante conectando de lugar remoto

ISA Server 2004 Server atua como um firewall externo com uma interface na Internet e um interface na rede corporativa

ISA Server com DMZ
ISA Server 2004 Firewall Externo
Servidores Internos Microsoft Exchange

Firewall ISA Externo

Usuários Internos

Rede Interna DMZ
Conexão banda larga hotel

Funcionário trabalhando de casa com conexão ADSL

Servidores Web Externos

Laptop com cesso discado Atacante conectando de lugar remoto

ISA Server 2004 Server atua como um firewall externo com três interfaces, implementando uma DMZ com filtragem e controle de acesso entre todas as redes

VPN Entre Filiais e Matriz
ISA Server 2004 Firewall e VPN entre Filiais
Servidores Internos Microsoft Exchange

Usuários Filial

Usuários Matriz

Firewall ISA Filial

Firewall ISA Matriz

Internet

Firewall ISA Filial
Usuários Filial

ISA Server 2004 Server atua como firewakk protegendo a Matriz e cada uma das filiais, implementando VPN IPSEC entre as localidades e inspecionando tanto o tráfego vindo da Internet quanto o tráfego da VPN

Backup

Planejamento da Migração
ISA 2000 SE -> ISA 2004 SE
Ferramenta de migração de política Recomendada no entanto abordagem do zero

ISA 2000 EE -> ISA 2004 EE
Capacidade de migração da configuração

ISA 2004 EE Beta -> ISA 2004 EE RTM
Possibilidade de migração ainda a confirmar

ISA 2004 SE > ISA 2004 EE
Ferramenta de migração ainda a confirmar

Próximas Etapas
1. Conheça mais sobre o ISA Server 2004
 Faça gratuitamente o download da versão trial 120 dias
http://www.microsoft.com/isaserver/evaluation/trial (em inglês)

 Faça um laboratório virtual pela Internet:
http://www.microsoft.com/technet/traincert/virtuallab/isa.mspx (em inglês)

 Site do ISA Server dentro do Technet Brasil:
http://www.microsoft.com/brasil/technet/DocumentacaoTecnica/ISA

2. Obter treinamento adicional de segurança
 Encontrar seminários de treinamento online e no local:
http://www.technetbrasil.com.br/seguranca

 Encontrar um CTEC local para treinamento prático:
http://www.microsoft.com/brasil/certifique

 Academia Latino americana de segurança da Informação:
http://www.technetbrasil.com.br/academia

Para Obter Mais Informações
Site de segurança da Microsoft
http://www.microsoft.com/brasil/security

Site de segurança do TechNet
http://www.technetbrasil.com.br/seguranca

Site do ISA Server
http://www.microsoft.com/isaserver (inglês)

Site indicado
http://www.isaserver.org (inglês)

Colunas Technet
http://www.microsoft.com/brasil/technet/colunas

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->