Microsoft® ISA Server 2006
Recursos Avançados
Alberto Oliveira
MVP ISA Server
MCSA/MCSE: Security
Security Engineer
Agenda
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
Tipos de Firewall
- Packet Filtering
- Stateful Inspection
- Full inspection
Tipos de Firewall
- Packet Filtering
Firewall de primeira geração. Checa apenas
portas (protocolos), origem e destino.
Tipos de Firewall
- Stateful Inspection
Firewall de segunda geração. Checa portas
(protocolos), origem , destino e inspeciona o
estado da conexão.
Tipos de Firewall
- Full Inspection
Firewall de última geração. Checa portas
(protocolos), origem , destino , inspeciona o
estado da conexão e checa diversos
protocolos na camada de aplicação.
Como um firewall tradicional vê
um pacote
•
Apenas o cabeçalho é inspecionado
–

O conteúdo da camada de aplicação é uma “caixa preta”
IP Header
TCP Header
Source Address,
Dest. Address,
TTL,
Checksum
Sequence Number
Source Port,
Destination Port,
Checksum
Application Layer
Content
??????????????????????
??????????????????????
As decisões de permissão são baseadas em portas

Tráfego legítimo e ataques na camada de aplicação utilizam as mesmas portas!!!
Internet
Expected HTTP Traffic
Unexpected HTTP Traffic
Attacks
Non-HTTP Traffic
Corporate
Network
Como o ISA vê um pacote
•
Cabeçalho e conteúdo são inspecionados
IP Header
Source Address,
Dest. Address,
TTL,
Checksum

TCP Header
Sequence Number
Source Port,
Destination Port,
Checksum
Application Layer Content
<html><head><meta httpquiv="content-type"
content="text/html; charset=UTF8"><title>MSNBC - MSNBC Front
Page</title><link rel="stylesheet"
Decisões de permissão definidas pelo conteúdo. Não só pelas portas!

Apenas tráfego legítimo e permitido é liberado
Internet
Expected HTTP Traffic
Unexpected HTTP Traffic
Attacks
Non-HTTP Traffic
Corporate
Network
Agenda
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
Firewall Policy
2 Tipos básicos de ação
- Permitir
- Negar
Firewall Policy
Regra de acesso: Permitir
Firewall Policy
Regra de acesso: Negar
Firewall Policy
Filtros Avançados: HTTP Filter
Firewall Policy
Filtros Avançados: HTTP Filter
Listas com várias assinaturas disponível em:
http://www.applicationsignatures.com/backend/index.php
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/com
monapplicationsignatures.mspx
Agenda
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
VPN (Virtual Private Network)
Tipos:
- Site to Site
- Client to Site
- Quarentined VPN Clients
VPN (Virtual Private Network)
Tipos:
- Site to Site
VPN (Virtual Private Network)
Tipos:
- Client to Site
Quarentined VPN Clients
1 Conexão do cliente
2 ISA coloca o usuário na
rede isolada de
quarentena
3 O script no cliente verifica
se a estação está de
acordo com os padrões.
4 O script envia a notificação de
sucesso para o ISA
5 ISA Server designa o
usuário à rede de VPN
Clients para prover
acesso
VPN (Virtual Private Network)
Protocolos disponíveis:
- Site to Site:
PPTP, L2TP e IPSec
- Client to Site
PPTP e L2TP
Agenda
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
Troubleshooting
Problemas comuns:
- ISA Server não autentica usuários
- Bloqueios do ISA não são efetivos
- Acesso negado ao invés de permitido
Troubleshooting
Problemas comuns:
- ISA Server não autentica usuários
Causas mais comuns:
DNS incorretamente configurado, Active Directory com
Problemas, ordem de consulta dos binds das placas de rede
Incorreto.
Troubleshooting
Problemas comuns:
- ISA Server não autentica usuários
Ações corretivas:
Verificar resolução de nomes interna à partir do ISA;
Verificar a configuração da system policy;
Verificar ordem dos binds de consulta das placas de rede.
Troubleshooting
Problemas comuns:
- Bloqueios do ISA não são efetivos
Causas mais comuns:
Ordem das regras incorreta
HTTP Filter desabilitado
Regra criada incorretamente
Troubleshooting
Problemas comuns:
- Bloqueios do ISA não são efetivos
Ações corretivas:
Verificar ordem das regras. Bloquear vem antes de liberar!
Verificar filtro HTTP
Verificar ação da regra
Troubleshooting
Problemas comuns:
- Acesso negado ao invés de permitido
Causas mais comuns:
Regras incorretamente posicionadas
Usuário/Grupo presente em mais de uma regra
Regra criada incorretamente
Troubleshooting
Problemas comuns:
- Acesso negado ao invés de permitido
Ações corretivas:
Verificar posicionamento das regras
Verificar a presença do usuário em vários grupos e regras
Verificar os objetos utilizados na criação da regra
Troubleshooting
Dica final:
Utilize SEMPRE a
guia de monitoração
do ISA Server!!
Conclusão
• Teoria dos firewalls
• Firewall Policy
• VPN
• Troubleshooting
Para maiores informações…
• Visite o www.technetbrasil.com.br
Informações sobre ISA Server:
www.microsoft.com/isaserver
www.isaserver.org
www.isastools.org
Seu potencial. Nossa inspiração.
© 2006 Microsoft Corporation. Todos os direitos reservados.
O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação.
MR
Download

Tipos de Firewall