Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer Agenda • Tipos de Firewall • Regras de acesso (Firewall Policy) • VPN (Virtual Private Network) • Troubleshooting Tipos de Firewall - Packet Filtering - Stateful Inspection - Full inspection Tipos de Firewall - Packet Filtering Firewall de primeira geração. Checa apenas portas (protocolos), origem e destino. Tipos de Firewall - Stateful Inspection Firewall de segunda geração. Checa portas (protocolos), origem , destino e inspeciona o estado da conexão. Tipos de Firewall - Full Inspection Firewall de última geração. Checa portas (protocolos), origem , destino , inspeciona o estado da conexão e checa diversos protocolos na camada de aplicação. Como um firewall tradicional vê um pacote • Apenas o cabeçalho é inspecionado – O conteúdo da camada de aplicação é uma “caixa preta” IP Header TCP Header Source Address, Dest. Address, TTL, Checksum Sequence Number Source Port, Destination Port, Checksum Application Layer Content ?????????????????????? ?????????????????????? As decisões de permissão são baseadas em portas Tráfego legítimo e ataques na camada de aplicação utilizam as mesmas portas!!! Internet Expected HTTP Traffic Unexpected HTTP Traffic Attacks Non-HTTP Traffic Corporate Network Como o ISA vê um pacote • Cabeçalho e conteúdo são inspecionados IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content <html><head><meta httpquiv="content-type" content="text/html; charset=UTF8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" Decisões de permissão definidas pelo conteúdo. Não só pelas portas! Apenas tráfego legítimo e permitido é liberado Internet Expected HTTP Traffic Unexpected HTTP Traffic Attacks Non-HTTP Traffic Corporate Network Agenda • Tipos de Firewall • Regras de acesso (Firewall Policy) • VPN (Virtual Private Network) • Troubleshooting Firewall Policy 2 Tipos básicos de ação - Permitir - Negar Firewall Policy Regra de acesso: Permitir Firewall Policy Regra de acesso: Negar Firewall Policy Filtros Avançados: HTTP Filter Firewall Policy Filtros Avançados: HTTP Filter Listas com várias assinaturas disponível em: http://www.applicationsignatures.com/backend/index.php http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/com monapplicationsignatures.mspx Agenda • Tipos de Firewall • Regras de acesso (Firewall Policy) • VPN (Virtual Private Network) • Troubleshooting VPN (Virtual Private Network) Tipos: - Site to Site - Client to Site - Quarentined VPN Clients VPN (Virtual Private Network) Tipos: - Site to Site VPN (Virtual Private Network) Tipos: - Client to Site Quarentined VPN Clients 1 Conexão do cliente 2 ISA coloca o usuário na rede isolada de quarentena 3 O script no cliente verifica se a estação está de acordo com os padrões. 4 O script envia a notificação de sucesso para o ISA 5 ISA Server designa o usuário à rede de VPN Clients para prover acesso VPN (Virtual Private Network) Protocolos disponíveis: - Site to Site: PPTP, L2TP e IPSec - Client to Site PPTP e L2TP Agenda • Tipos de Firewall • Regras de acesso (Firewall Policy) • VPN (Virtual Private Network) • Troubleshooting Troubleshooting Problemas comuns: - ISA Server não autentica usuários - Bloqueios do ISA não são efetivos - Acesso negado ao invés de permitido Troubleshooting Problemas comuns: - ISA Server não autentica usuários Causas mais comuns: DNS incorretamente configurado, Active Directory com Problemas, ordem de consulta dos binds das placas de rede Incorreto. Troubleshooting Problemas comuns: - ISA Server não autentica usuários Ações corretivas: Verificar resolução de nomes interna à partir do ISA; Verificar a configuração da system policy; Verificar ordem dos binds de consulta das placas de rede. Troubleshooting Problemas comuns: - Bloqueios do ISA não são efetivos Causas mais comuns: Ordem das regras incorreta HTTP Filter desabilitado Regra criada incorretamente Troubleshooting Problemas comuns: - Bloqueios do ISA não são efetivos Ações corretivas: Verificar ordem das regras. Bloquear vem antes de liberar! Verificar filtro HTTP Verificar ação da regra Troubleshooting Problemas comuns: - Acesso negado ao invés de permitido Causas mais comuns: Regras incorretamente posicionadas Usuário/Grupo presente em mais de uma regra Regra criada incorretamente Troubleshooting Problemas comuns: - Acesso negado ao invés de permitido Ações corretivas: Verificar posicionamento das regras Verificar a presença do usuário em vários grupos e regras Verificar os objetos utilizados na criação da regra Troubleshooting Dica final: Utilize SEMPRE a guia de monitoração do ISA Server!! Conclusão • Teoria dos firewalls • Firewall Policy • VPN • Troubleshooting Para maiores informações… • Visite o www.technetbrasil.com.br Informações sobre ISA Server: www.microsoft.com/isaserver www.isaserver.org www.isastools.org Seu potencial. Nossa inspiração. © 2006 Microsoft Corporation. Todos os direitos reservados. O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação. MR