ISA Server 2004 Firewall de Aplicacin

1
ISA Server 2004Firewall de Aplicación

• Chema Alonso
• MS MVP Windows Server Security
• Informatica64
• Juan Luis Rambla
• Consultor de Seguridad y de Sistemas
• Informática64

2
Firewalls

• Se introducen entre redes para cortar tráfico.
• Implican la separación física de las redes para
  permitir que pasen o no los mensajes.
• Pueden inspeccionar la torre completa de
  comunicaciones y reconocer sesiones.

3
Firewalls.

• Firewall de Red
• Filtrado de direcciones IP, puertos, tipo de
  protocolos y flags de cabeceras.
• Filtrado discreto de paquetes.
• Implementados en Routers de conexión.
• Implementados por Software en protocolos de
  comunicaciones.

4
Firewalls

• Firewall Nivel de Aplicación
• Inspeccionan y reconocen el protocolo utilizado
  en una sesión.
• Pueden utilizar para la toma de decisiones todos
  los objetos de seguridad de una red integrándolos
  en un árbol LDAP.
• Reglas complejas que pueden requerir el
  establecimiento de sesiones completas entre
  firewall y el cliente.

5
ISA Server EE

• Álvaro Morón
• Jefe de Producto

6
ISA Server Novedades

• Enterprise Edition
• Gestión Empresarial
• Arrays
• Network Load Balancing
• ISA Server 2004 Appliance
• Pre-configurado y Pre-testeado
• Configuración bastionada para reducir la
  superficie de ataque
• Sencillez
• ISA Server SE 2004 SP1

7
Contacto

• Álvaro Morón
• alvaromo_at_microsoft.com

jparada_at_microsoft.com
8
Introducción
9
Arquitectura ISA Server 2004

• Firewall multired
• Nivel de Red.
• Nivel de Aplicación.
• Servidor VPN
• Túneles.
• Clientes.
• Servidor Caché.

10
Soporte Multired

• ISA Server 2004 divide los sistemas de red en
  función de las necesidades planteadas en el marco
  de la seguridad.
• Definición de redes y grupos de redes.
• Definición de la interconexión entre redes
  mediante NAT o enrutamiento.
• Permite gestión independiente.
• Presenta soporte para redes.
• Internas.
• Perimetrales.
• Externas.
• Interconexión sitios VPN.
• VPN de Cuarentena

11
Características de seguridad.

• Filtros IP.
• Reglas de acceso.
• Publicación de servicios.
• Filtros de aplicación.

12
Filtros IP

• Filtrado IP a nivel de paquetes.
• Inspección de parámetros en cabeceras.
• Bloqueos de fragmentos IP.

13
Reglas de acceso

• Controlan el tráfico de información a través de
  las redes.
• Determinan la configuración de origen, destino,
  protocolos y usuarios que realizan la conexión.
• La aplicación de las reglas se determinan en un
  orden, quedando predefinida una regla que deniega
  cualquier tráfico de red.

14
Reglas de acceso

• ISA Server 2004 proporciona una serie de reglas
  con los que se puede controlar la información que
  circula por la red en función de
• Protocolos.
• Usuarios.
• Tipos de contenido.
• Franjas de tiempo.
• Objetos de red.

15
Reglas de Publicación

• Se utilizan para publicar servidores.
• Asistentes de publicación
• Web Server.
• Secure Web Server.
• Mail Server.
• Definición de servidores por servicios.

16
Firewall de aplicación
17
Necesidades

• Inspeccionar el tráfico al nivel de aplicación.
• Permitir o denegar el paso de datos a
  determinados contenidos o aplicaciones.
• Proporcionan controles sobre determinados
  ataques.
• Sistema extensible sobre filtrados de conexiones.

18
Métodos de implementación

• Implementadas directamente sobre las reglas de
  acceso y las publicaciones.
• Como un añadido sobre reglas y publicaciones.
• Como funcionalidad sobre ISA a nivel Firewall.

19
Filtro HTTP

• Las necesidades de la empresa permiten el tráfico
  a través del puerto 80.
• Por el puerto 80 no solo viaja tráfico HTTP puro,
  sino que puede disfrazar otras comunicaciones.
• Malware.
• P2P.
• Servicios de mensajería
• Determinados ataques contra Servicios Web pueden
  ser controlados a este nivel.

20
Controles HTTP

• Mediante el filtro HTTP pueden ser controlados
  estos aspectos de la comunicación
• Técnicas de Buffer Overflow.
• Denegación de servicio.
• Subida de datos en escenarios de publicación.
• Control de métodos.
• Control de cabeceras.

21
Filtro contenido HTTP

• Controlan el tráfico de datos a través de firmas.
• En transmisión de datos.
• En recepción de datos.
• Impedir tráfico a palabras claves.
• Control de acceso a sitios web.
• Detención de comunicaciones de aplicaciones por
  firma y cabecera.

22
Control de aplicaciones HTTP
23
Filtro Proxyweb

• Se aplica de forma directa sobre HTTP.
• Permite la extensión del filtro HTTP y de
  autentificación sobre otros protocolos.
• Garantiza el control sobre comunicaciones en
  entornos propietarios.

24
Protocolos RPC

• Un número considerables de servicios se
  establecen mediante RPC.
• Problemática de las transmisiones RPC.
• Inicio de comunicación sobre 135 para localizar
  el puerto de comunicación.
• Establece comunicación en puertos por encima de
  1024.
• El administrador no debería abrir todos los
  puertos por encima del 1024.

25
Filtro RPC

• Las comunicaciones RPC se pueden parametrizar por
  el UUID.
• Identificador del servicio RPC.
• Identificador del interface.
• ISA Server 2004 presenta un asistente para la
  creación de protocolos RPC basados en UUID.
• Manual.
• Automáticamente conectando a un servidor y
  seleccionando sus UUID correspondientes.
• El servicio de Firewall aplica con posterioridad
  los filtros para permitir la transferencia de
  datos a UUID determinados.

26
Transmisión RPC
27
Filtro SMTP

• ISA Server 2004 para el protocolo SMTP presenta
  un filtro que realiza el control de los comandos
  SMTP.
• Se puede ampliar la funcionalidad del filtro SMTP
  mediante Message Screener.

28
Message Screener

• Message Screener se instala como un componente
  adicional de MS ISA 2004.
• Puede ser instalado sobre cualquier servidor que
  ejecute IIS 5.0 o 6.0 y tenga instalado el
  Servidor SMTP.
• No se recomienda su implementación sobre el
  servidor MS Exchange Server 2003, ya que podría
  interferir en los filtros propios.

29
Implicaciones de Implantación

• En función de los escenarios de implantación,
  habrá que tener en cuenta las siguientes medidas
• Publicar DNS para reconocer los Servidores de
  correo Internos.
• Publicar o crear las reglas de acceso necesarias
  para los servidores SMTP.
• Establecer conexiones entre servidores SMTP.

30
Message Screener

• Message Screener aporta mayores funcionalidades
  que el filtro smtp controlando
• Palabras en cabecera o cuerpo del mensaje.
• Permite parar Virus difundidos por e-mail cuando
  aún no hay vacunas.
• Bloqueos de remitente y dominios.
• Correos con attachments.

31
(No Transcript)
32
Message Screener

• Cuando se aplica una regla de filtrado se pueden
  establecer 3 acciones diferentes
• Eliminar el mensaje.
• Retener el mensaje para inspeccionarlo
  posteriormente.
• Enviar una notificación a una dirección de correo.

33
Filtro FTP

• Controla la conexión a través de los puertos
  dinámicos FTP.
• Realiza la conversión de las direcciones para los
  clientes SecureNat.
• Controla los procesos de escritura,
  prioritariamente en entornos de publicación.

34
Filtros de autentificación

• ISA Server 2004 presenta una serie de mecanismos
  para garantizar los procedimientos de
  autentificación.
• Integración con Directorio Activo.
• Filtro Web RSA para autentificación de usuarios
  SecurID.
• Filtro de autentificación Radius.
• Filtros de formulario de autentificación para OWA.

35
DemoFiltro HTTPMessage Screener
36
Bridging HTTP-s con ISA Server 2004
37
Problemática HTTP-s

• Conexiones HTTP-s ofrecen
• Autenticación mediante certificados.
• Cifrado mediante tuneles SSL.
• Conexiónes HTTP-s condicionan
• Transmisión datos extremo-extremo.
• Paso a través de sistemas de protección de forma
  oculta.

38
Problemática HTTP-s

• Conexiones HTTP-s
• Firewalls e IDS no pueden inspeccionar tráfico.
• Ataques pasan sin ser detectados por firewalls
• SQL Injections.
• Cross-Site Scripting (XSS)
• Red Code.
• Unicode.

39
Problemática HTTP-s

• Cifrado y autenticado es útil contra
• Sniffers.
• Man In The Middle.
• Pero hay que dejar que los sistemas de protección
  inspeccionen el contenido.
• Firewalls.
• IDS.

40
Bridging HTTP-s

• El proceso de Bridging en conexiones HTTP-s
  permite que las conexiones se cifren en dos
  tramos.
• Entre cliente y Firewall.
• Entre Firewall y Servidor.

41
Bridging HTTP-s

• Ventajas
• El Firewall puede inspeccionar el contenido.
• Se pueden aplicar reglas mediante filtros.
• Se pueden detectar ataques.
• No se pierde seguridad.
• Si se desea, se puede dejar descifrado para
  inspecciones NIDS.

42
Bridging HTTP-s

• MS ISA Server 2004 permite
• Tunneling HTTPS por cualquier puerto.
• MS ISA Server 2000 hay que configurar puertos
  SSL.
• Bridging HTTPS con
• Cifrado entre cliente-firewall y firewall
  servidor.
• Cifrado entre cliente-firewall.
• Cifrado entre firewall-Servidor.

43
DemoBridging HTTPS
44
Sistema de detección de intrusos
45
Detección de Intrusos

• El servicio proporciona un mecanismo para
  identificar cuando se está produciendo un ataque.
• ISA Server compara el tráfico de red con
  registros y patrones de ataques bien conocidos.
• Cuando un ataque es reconocido se genera una
  alerta.

46
Controles

• Ataques Winnuke.
• Ataques tipo Land.
• Ping de la muerte.
• Ataques Half-Scan.
• Bombas UDP.
• Escaneo de puertos.

47
Detección de ataques DNS

• Desbordamiento de nombres de HOST sobre DNS.
• Desbordamiento de longitud DNS.
• Control de trasferencias de zona.

48
Addons
49
Addons

• ISA Server 2004 presenta una arquitectura abierta
  para
• Desarrollar (SDK ISA Server).
• Implementar nuevas herramientas.
• Software de terceros amplían las funcionalidades
  de ISA Server 2004.

50
Tipos de Addons

• Implementaciones de antivirus para ISA Server.
• Gestión de tráfico web. Websense.
• Gestión de tráfico y aplicación de cuotas.
• Ampliación de los componentes Sockets.
• Mejoras en sistemas de detección de intrusos.

51
Contacto

• Guía de la consolidación de Seguridad de ISA
  Server 2004.
• http//www.microsoft.com/spain/technet/recursos/a
  rticulos/securityhardeningguide.mspx
• Chema Alonso
• jmalonso_at_informatica64.com
• Juan Luis G. Rambla
• jlrambla_at_informatica64.com
• http//www.informatica64.com