Conhecendo o
ISA Server 2004
Eduardo Petizme
MCP
[email protected]
Agenda
Gerenciando riscos
ISA Server 2004, novidades e melhorias
Novos Recursos
Proteção da VPN e Quarentena
Modelo de Rede e Políticas
Cenários de uso
OWA, Firewall Interno, outros cenários
Mais informações
Gerenciando os riscos …
Os Riscos
Os Pontos
Fracos
•
•
•
•
14B de equipamentos na Internet em 2010 1
35M de usuários remotos em 2005 2
65% de aumentos nos Web Sites dinâmicos 3
De 2000 a 2002 incidentes reportados subiram de
21756 para 82094 4
• Quase 80% das 445 pessoas pesquisados
disseram que a Internet foi um ponto freqüente de
ataque, contra 57% há quatro anos atrás 5
• 90% tiveram incidentes de segurança 6
• 85% foram infectados por vírus de computador 6
• 95% de todos os incidentes seriam evitados com
o uso de uma outra configuração 7
• Aproximadamente 70% de todos os ataques na
Web ocorrem na camada de aplicação 8
1 Fonte: Forrester Research
2 Fonte: Information Week, 26 Novembro 2001
3 Fonte: Netcraft
4 Fonte: CERT, 2003
5 Fonte: CSI/FBI Computer Crime and Security Survey
6 Fonte: Computer Security Institute (CSI) Computer Crime and Security Survey 2002
7 Fonte: CERT, 2002
8 Fonte: Gartner Group
ISA 2004
Novidades
Melhorias
Bloqueio de acesso a
todos os arquivos .EXE
Firewall Rules Wizard
Controle de download
HTTP baseado no tipo do
arquivo
Authentication
Garante a segurança da
publicação de servidores
Exchange Server - RPC
OWA Publishing Wizard
FTP Policy
Secure WEB Publishing
Link Translator
Port redirection for FTP
Server
Firewall user groups
Firewall Rules ordered list
Firewalls Tradicionais
Aberto aos ataques
mais avançados
Difícil de gerenciar
Escolha
Performance X
Segurança
Capacidade de
crescimento
limitada
Code Red, Nimda
 Ataques usando SSL

Segurança é complexa
 Área de TI já sobrecarregada

Banda de rede muito cara
 Muitas “partes móveis”

Upgrade difícil
 Não escala junto com a demanda

Evolução da Segurança de
Perímetro
Aberto aos ataques
mais avançados
Proteção em camada de aplicação
Difícil de gerenciar
Mais fácil de usar
Escolha
Performance X
Segurança
Segurança e performance
Capacidade de
crescimento
limitada
Extensibilidade e escalabilidade
ISA Server 2004
A solução de firewall de camada de aplicação, VPN e cache Web
que permite a você maximizar os seu investimento, melhorando
a segurança de rede com alta performance
Proteção avançada
Segurança em Camada de Aplicação desenhada para proteger sites
Web e aplicativos Microsoft
Fácil de usar
Implemente, gerencie e habilite novos cenários de uso de forma eficiente
Acesso rápido e seguro
Permite você conectar os usuários e dar acesso aos recursos da
sua rede de uma maneira segura e eficiente
Novos Recursos ISA Server 2004
Arquitetura de Segurança Atualizada
Proteção Avançada
Segurança avançada em camada de aplicação
Inspeção profunda
do conteúdo
• Filtros avançados de HTTP e outros protoc.
• Políticas completas e flexíveis
• Inspeção com estado para todo o tráfego
Integração com o
Exchange Server
• Suporte para RPC sobre HTTP do Outlook
• Segurança avançada para OWA
• Wizard de configuração para o cenário
VPN totalmente
integrados
• Filtragem unificada VPN-Firewall
• Suporte nativo para IPSec site-site (Tunel)
• Integrado com a Quarentena Windows
IIS e Sharepoint
seguros
• Bridging SSL para IIS e Sharepoint
• Wizards para publicação de sites
• Autenticação AD, RADIUS, SecurID
Filtragem Camada de Aplicação
Ameaças modernas exigem uma inspeção
mais aprofundada
Protege os recursos da rede contra ataques de camada
de aplicação: Nimda, Slammer...
Provê a abilidade de definir uma política mais
específica e granular, em camada de aplicação
Melhor proteção para aplicações Microsoft
Modelo de inspeção de aplicações
Filtros incluídos para protocolos mais comuns
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media
Wizards de customização para os diversos cenários
Arquitetura extensível por plug-ins
Proteção VPN
Tráfego tunelado também é inspecionado
Colocado de volta na pilha TCP/IP
ISA Server consegue enxergar todo o tráfego
Tráfego VPN é segregado
Rede VPN: todos os endereços alocados para os usuários VPN
Endereços IP dinamicamente acrescentados/removidos
Rede VPN disponível na console do ISA Server
Suporte a IPSec em Tunnel Mode
Provê conectividade entre filiais e unidades com VPN
Ferramentas simplificadas de administração
Suporte a Quarentena de Acesso Remoto
Usuarios da quarentena são colocados na rede de quarentena
Endereços IP dos clientes adicionados/removidos dinamicamente
Rede de quarentena disponível nas regras do ISA Server
Quarentena de Acesso
Remoto
Quarentena de Acesso Remoto garante
que a configuração dos usuários remotos
está adequada à sua política de segurança
Complementa a estratégia de patch
management
Ajuda a “ganhar tempo” para a aplicação de
patches
Habilita e força o patch management para fora
das fronteiras da rede
Exemplo: Quarentena de VPN
Cliente
Quarentena
RRAS + ISA + Serviço Rede
Interna
de Controle da
Quarentena
Internet
Usuário
Conexão VPN
REDE
QUARENTENA
Consiste de cinco componentes
Serviço de Polítca
de Quarentena
Serviço de Política da Quarentena – Servidor
Serviço de Controle da Quarentena – Servidor
QuarantineClient.EXE – Cliente
Configuração do ISA
ISA Server 2004 – Regras do Firewall + Implementação
RRAS – Integrado com o ISA
Novos Recursos ISA Server 2004
Novas ferramentas de gerência e interface gráfica
Fácil de Usar
Implemente e gerencie cenários de uso de forma fácil e eficiente
Arquitetura MultiRede
• Definições e tipos de rede sem limite
• Política de firewall válida para todo o tráfego
• Relações de roteamento entre redes
Templates e wizards
de configuração
• Wizard automatiza configuração das redes
• Suporta 5 topologias mais comuns
• Facilmente customizável para outros cenários
Editor gráfico de
políticas
• Política unificada firewall/VPN com único
conjunto de regras
• Edição drag n’ drop com wizardsb
Diagnóstico e
monitoração
• Novo dashboard de gerência
• Visualizador de log em tempo teal
• Painel de atividades sensível ao contexto
Modelo de Rede (velho) do ISA 2000
Zonas fixas
“IN” = LAT
“OUT” = DMZ, Internet
Filtro de pacotes
somente na interface
externa
Única política de saída
Internet
Filtro Estático
ISA 2000
NAT sempre
Filtragem estática da
DMZ para Internet
Rede Interna
DMZ 1
Modelo de Rede ISA 2004
Qualquer quantidade
de redes
VPN como rede
Localhost como rede
Relações
configuráveis
(NAT/Route)
Política por rede
Filtro de pacotes em
todas as interfaces
Suporte para PnP &
DoD
Qualquer topologia,
qualquer política
VPN
Internet
ISA 2004
CorpNet_1
DMZ_1
Rede Host
Local
DMZ_n
CorpNet_n
Net A
Templates de Rede
Objetivo
Configuração de rede
simplificada
Recursos
• 5 templates
• Regras de roteamento
automáticas
• Customizável
Modelo de Política do ISA 2004
Conjunto de regras único, ordenado
Mais lógico e mais fácil de entender
Fácil de visualizar e auditar
Nova estrutura unificada de regras
Aplicável a todos os tipos de política
Três tipos principais de “templates” de regras
Regras de acesso
Regras de publicação de servidor
Regras de publicação Web
Propriedades de filtragem de aplicação são
parte da regra
Política default do sistema
Estrutura de uma Regra
 Qualquer usuário
 Usuários autenticados
 Grupo/usuário específico
Permitir
Negar
Rede destino
IP destino
Site destino
ação sobre tráfego do usuário de origem para destino sob condições
Protocolo
Porta / Tipo IP
Rede origem
IP origem
Usuário origem
•Servidor publicado
•Site web publicado
•Horário
•Propriedades filtragem
Regras básicas ISA 2004:
Regras de protocolo
Regras de sites e conteúdo
Filtros de pacote estáticos
Regras de publicação de servidor
Regras de publicação web
Configurações de filtragem específicas
Outras regras ISA 2004:
Regras de tradução de endereço
Regras de roteamento web
Política firewall
Política configuração
Editor de Regras ISA 2004
Visão “Dashboard”
Objetivo
Visão centralizada do
status do firewall
Recursos
• Tempo
• Dados consolidados
• Fácil de detectar
problemas
Alertas
Objetivo
Um único local para
todos os problemas
Recursos
• Histório dos alertas
• Gerência dos alertas
• Severidade e categoria
Sessões
Objetivo
Visualiza sessões ativas
Recursos
• Mecanismo poderoso
de consultas
• Sessões VPN
• Possibilidade de
desconectar uma sessão
Serviços
Objetivo
Status do ISA e serviços
dependentes
Recursos
• Parar e iniciar os
serviços
Relatórios
Objetivo
Conjunto completo de
relatórios de atividade
Recursos
• Relatórios periódicos
• Notificação por email
• Publicação dos relatórios
Conectividade
Objetivo
Monitora conectividade
aos serviços críticos
Recursos
• Tipos de requisição
• Tempo de resposta &
limites para alerta
• Agrupamento
Logs e Histórico
Objetivo
Visualizar o tráfego
passando pelo ISA
Recursos
• Modo “tempo real”
• Histórico
• Mecanismo poderoso
de consulta
Novos Recursos ISA Server 2004
Compromisso continuado com a integração
Acesso Rápido e Seguro
Permite a você conectar usuários a Internet com segurança
Arquitetura
Melhorada
• Transporte de dados com alta performance
• Aproveita o hardware e software mais novo
• Bridging SSL alivia carga de servidores web
Cache Web
• Regras atualizadas de política
• Enviam o conteúdo localmente
• Busca conteúdo fora dos horários de pico
Controle de Acesso
Internet
Modelo Completo
de Autenticação
• Controle de uso da web baseado em
usuários e grupos
• Extensível por plug-ins de terceiros
• Suporte para RADIUS e RSA SecurID
• Política de acesso por usuários e grupos
• Extensível por plug-ins de terceiros
Controle de Acesso de Usuários
Bloqueando aplicações com HTTP
Aplicação
Procura na
Cabeçalho HTTP
Assinatura
MSN Messenger
Requisição
User-Agent:
MSN Messenger
Windows Messenger
Requisição
User-Agent:
MSMSGS
AOL Messenger (and
Gecko browsers)
Requisição
User-Agent:
Gecko/
Yahoo Messenger
Requisição
Host
msg.yahoo.com
Kazaa
Requisição
P2P-Agent
Kazaa, Kazaaclient:
Kazaa
Requisição
User-Agent:
KazaaClient
Kazaa
Requisição
X-Kazaa-Network:
KaZaA
Gnutella
Requisição
User-Agent:
Gnutella
Gnucleus
Edonkey
Requisição
User-Agent:
e2dk
Morpheus
Resposta
Server
Morpheus
Firewall Client Atualizado
O que é o ISA Firewall Client?
Habilita / desabilita conectividade Winsock para a Internet
Proporciona acesso a rede por meio do ISA para aplicações
compatíveis com Winsock
Toma decisões inteligentes sobre o destino do tráfego baseado no
endereço de destino.
Detecta automaticamente o firewall disponível na rede
O que tem de novo no ISA Firewall Client 2004?
Usa um canal seguro encriptado com o ISA Server 2004
Suporta vários perfis de configuração de usuário
Permite que o usuário crie dois perfis diferentes para configurar o
Firewall Client para usar servidores proxy diferentes
Versão Enterprise Edition
Diferenças em relação à versão Standard
Maior escalabilidade e disponibilidade
Gerência distribuída: implementações em larga escala
com uso de arrays e políticas corporativas
Principais recursos
Suporte a NLB bi-direcional para uso em arrays
Gerência e distribuição corporativa das políticas
Console de monitoração para todo o array
Armazenamento das políticas usando AD/AM
CARP e cache hierárquico
Sem limite de processadores
Integração com o MOM (MOM pack)
Configuração automática de arrays / wizards
Log e alertas em nível de array
Cenários de Uso:
Proteção do OWA
Desenho Típico - OWA
Bom:  performance
Separa o servidor de
protocolo do servidor de
caixas-postais
Proteção de rede
Ruim:  segurança
Túnel passando pelo firewall
externo: sem inspeção
Muitos buracos no firewall
interno para autenticação
Conexão inicial para OWA
feita anonimamente
OWA
ExBE
AD
Proteção do OWA com ISA
Maior segurança em camada de aplicação
ISA Server vira um
“bastion host”
https://...
x36dj23s
<a
href…
2oipn49v
ISA
Server
OWA Exchange
AD
Proxy web recebe todas
as conexões
Decripta HTTPS
Inspeciona conteúdo
Inspeciona URL (com
filtro HTTP)
Re-encripta para conexão
até o servidor OWA
Bridging de SSL
ISA
Server com
Filtragem HTTP
Delegação
de Autenticação
Tráfego
pode ser enviado
Server
pode
Servidorinspecionado
web pede
ISAISA
Server
pré-autentica,
Filtropara
HTTP
pode parar
ataques
servidor
em claro
ou re-encriptado
decriptar os
e inspecionar
autenticação
eliminando
vários pedidos
…que permite
que —
web na
borda da
rede, mesmo
os
tráfego SSL
Filtro
HTTP
qualquer
pessoa
na
de autenticação
e somente
virus e worms
passem
encriptados
com SSL
Internet
por chegar
aqui
permitindo tráfego autenticado
sem
detecção…
SSL
SSL
SSL ou
HTTP
Internet
cliente
ISA Firewall
Server 2004
tradicional
Conexões SSL passam
pelos firewalls tradicionais
porque elas estão
encriptadas
Web
Srv/
OWA
…e infecta servidores internos!
Proteção do OWA com ISA
Melhor autenticação dos usuários
404
ISA
Server
Fácil autenticação com o
Active Directory
Pré-autentica a
comunicação
ISA Server pede as
credenciais do usuário
Verifica com o AD
ISA Server deve fazer parte
(ou confiar) no domínio
OWA Exchange
AD
Inclui autenticação no
cabeçalho HTTP para
OWA
Evita segundo pedido de
autenticação!
Cenários de Uso:
ISA como Firewall Interno
ISA Server Melhora a InfraEstrutura Existente
ISA Server 2004 pode ser colocado atrás
da DMZ para criar uma configuração de
firewall “back-to-back”
ISA Server 2004 pode ser colocado na
rede corporativa ou DMZ como proxy web
com uma única interface de rede
ISA 2004 pode ser colocado em filiais
como uma solução barata para firewall
remoto e VPN IPSec entre localidades
ISA Server Melhora a InfraEstrutura Existente
ISA Server 2004
Firewall Interno
Web Server
Microsoft
Exchange
Firewall ISA Interno
Mobile Information Server
Rede banda larga de hotel
Funcionário acessando de
casa com conexão ADSL
Laptop com acesso
discado
Atacantes em localidades remotas
Firewalls externo de terceiros
ISA Server 2004 atual como um firewall
intero para prover filtragem avançada em
camada de aplicação para os servidores
internos, e controlando o acesso dos
usuário a Internet. Outros firewall de
terceiros fazerm a filtragem de pacotes
tradicional na fronteira com a Internet
Cenários de Uso:
ISA Server no Lugar do
Firewall Atual
ISA Server no Lugar do
Firewall Atual
ISA Server 2004 provê filtragem em
camada de aplicação avançada
Filtragem em camada de aplicação pára
worms, virus, e conteúdo malicioso na
Web
Firewalls de filtros de pacotes somente
bloqueam portas e endereços IPs
ISA Server 2004 permite a criação de
DMZs isolando serviços externos e
conexões VPN em redes separadas, com
inspeção e filtragem entre as diversas
redes
ISA Server como Firewall Externo
ISA Server 2004
Firewall Externo
Firewall ISA Externo
Web Server
Microsoft
Exchange
Mobile Information Server
Conexão banda larga hotel
Funcionário trabalhando de
casa com conexão ADSL
Laptop com
cesso discado
Atacante conectando de lugar remoto
ISA Server 2004 Server atua como
um firewall externo com uma
interface na Internet e um interface
na rede corporativa
ISA Server com DMZ
ISA Server 2004
Firewall Externo
Servidores Internos
Firewall ISA Externo
Microsoft
Exchange
Usuários Internos
Rede Interna
DMZ
Conexão banda larga hotel
Funcionário trabalhando de
casa com conexão ADSL
Laptop com
cesso discado
Atacante conectando de lugar remoto
Servidores Web
Externos
ISA Server 2004 Server atua como
um firewall externo com três
interfaces, implementando uma DMZ
com filtragem e controle de acesso
entre todas as redes
VPN Entre Filiais e Matriz
ISA Server 2004
Firewall e VPN
entre Filiais
Servidores Internos
Microsoft
Exchange
Usuários Matriz
Usuários Filial
Firewall ISA
Matriz
Firewall ISA
Filial
Internet
Firewall ISA
Filial
Usuários Filial
ISA Server 2004 Server atua como
firewakk protegendo a Matriz e cada
uma das filiais, implementando VPN
IPSEC entre as localidades e
inspecionando tanto o tráfego vindo
da Internet quanto o tráfego da VPN
Backup
Planejamento da Migração
ISA 2000 SE -> ISA 2004 SE
Ferramenta de migração de política
Recomendada no entanto abordagem do zero
ISA 2000 EE -> ISA 2004 EE
Capacidade de migração da configuração
ISA 2004 EE Beta -> ISA 2004 EE RTM
Possibilidade de migração ainda a confirmar
ISA 2004 SE > ISA 2004 EE
Ferramenta de migração ainda a confirmar
Próximas Etapas
1. Conheça mais sobre o ISA Server 2004
 Faça gratuitamente o download da versão trial 120 dias
http://www.microsoft.com/isaserver/evaluation/trial (em inglês)
 Faça um laboratório virtual pela Internet:
http://www.microsoft.com/technet/traincert/virtuallab/isa.mspx (em inglês)
 Site do ISA Server dentro do Technet Brasil:
http://www.microsoft.com/brasil/technet/DocumentacaoTecnica/ISA
2. Obter treinamento adicional de segurança
 Encontrar seminários de treinamento online e no local:
http://www.technetbrasil.com.br/seguranca
 Encontrar um CTEC local para treinamento prático:
http://www.microsoft.com/brasil/certifique
 Academia Latino americana de segurança da Informação:
http://www.technetbrasil.com.br/academia
Para Obter Mais Informações
Site de segurança da Microsoft
http://www.microsoft.com/brasil/security
Site de segurança do TechNet
http://www.technetbrasil.com.br/seguranca
Site do ISA Server
http://www.microsoft.com/isaserver (inglês)
Site indicado
http://www.isaserver.org (inglês)
Colunas Technet
http://www.microsoft.com/brasil/technet/colunas