ISA Server 2004 Firewall de Aplicacin - PowerPoint PPT Presentation

1 / 51
About This Presentation
Title:

ISA Server 2004 Firewall de Aplicacin

Description:

AOL Messenger (and Gecko browsers) MSMSGS. User-Agent: Request headers. Windows Messenger. Firma. Cabecera HTTP. Petici n. Aplicaci n. Filtro Proxyweb ... – PowerPoint PPT presentation

Number of Views:160
Avg rating:3.0/5.0
Slides: 52
Provided by: josparad
Category:

less

Transcript and Presenter's Notes

Title: ISA Server 2004 Firewall de Aplicacin


1
ISA Server 2004Firewall de Aplicación
  • Chema Alonso
  • MS MVP Windows Server Security
  • Informatica64
  • Juan Luis Rambla
  • Consultor de Seguridad y de Sistemas
  • Informática64

2
Firewalls
  • Se introducen entre redes para cortar tráfico.
  • Implican la separación física de las redes para
    permitir que pasen o no los mensajes.
  • Pueden inspeccionar la torre completa de
    comunicaciones y reconocer sesiones.

3
Firewalls.
  • Firewall de Red
  • Filtrado de direcciones IP, puertos, tipo de
    protocolos y flags de cabeceras.
  • Filtrado discreto de paquetes.
  • Implementados en Routers de conexión.
  • Implementados por Software en protocolos de
    comunicaciones.

4
Firewalls
  • Firewall Nivel de Aplicación
  • Inspeccionan y reconocen el protocolo utilizado
    en una sesión.
  • Pueden utilizar para la toma de decisiones todos
    los objetos de seguridad de una red integrándolos
    en un árbol LDAP.
  • Reglas complejas que pueden requerir el
    establecimiento de sesiones completas entre
    firewall y el cliente.

5
ISA Server EE
  • Álvaro Morón
  • Jefe de Producto

6
ISA Server Novedades
  • Enterprise Edition
  • Gestión Empresarial
  • Arrays
  • Network Load Balancing
  • ISA Server 2004 Appliance
  • Pre-configurado y Pre-testeado
  • Configuración bastionada para reducir la
    superficie de ataque
  • Sencillez
  • ISA Server SE 2004 SP1

7
Contacto
  • Álvaro Morón
  • alvaromo_at_microsoft.com

jparada_at_microsoft.com
8
Introducción
9
Arquitectura ISA Server 2004
  • Firewall multired
  • Nivel de Red.
  • Nivel de Aplicación.
  • Servidor VPN
  • Túneles.
  • Clientes.
  • Servidor Caché.

10
Soporte Multired
  • ISA Server 2004 divide los sistemas de red en
    función de las necesidades planteadas en el marco
    de la seguridad.
  • Definición de redes y grupos de redes.
  • Definición de la interconexión entre redes
    mediante NAT o enrutamiento.
  • Permite gestión independiente.
  • Presenta soporte para redes.
  • Internas.
  • Perimetrales.
  • Externas.
  • Interconexión sitios VPN.
  • VPN de Cuarentena

11
Características de seguridad.
  • Filtros IP.
  • Reglas de acceso.
  • Publicación de servicios.
  • Filtros de aplicación.

12
Filtros IP
  • Filtrado IP a nivel de paquetes.
  • Inspección de parámetros en cabeceras.
  • Bloqueos de fragmentos IP.

13
Reglas de acceso
  • Controlan el tráfico de información a través de
    las redes.
  • Determinan la configuración de origen, destino,
    protocolos y usuarios que realizan la conexión.
  • La aplicación de las reglas se determinan en un
    orden, quedando predefinida una regla que deniega
    cualquier tráfico de red.

14
Reglas de acceso
  • ISA Server 2004 proporciona una serie de reglas
    con los que se puede controlar la información que
    circula por la red en función de
  • Protocolos.
  • Usuarios.
  • Tipos de contenido.
  • Franjas de tiempo.
  • Objetos de red.

15
Reglas de Publicación
  • Se utilizan para publicar servidores.
  • Asistentes de publicación
  • Web Server.
  • Secure Web Server.
  • Mail Server.
  • Definición de servidores por servicios.

16
Firewall de aplicación
17
Necesidades
  • Inspeccionar el tráfico al nivel de aplicación.
  • Permitir o denegar el paso de datos a
    determinados contenidos o aplicaciones.
  • Proporcionan controles sobre determinados
    ataques.
  • Sistema extensible sobre filtrados de conexiones.

18
Métodos de implementación
  • Implementadas directamente sobre las reglas de
    acceso y las publicaciones.
  • Como un añadido sobre reglas y publicaciones.
  • Como funcionalidad sobre ISA a nivel Firewall.

19
Filtro HTTP
  • Las necesidades de la empresa permiten el tráfico
    a través del puerto 80.
  • Por el puerto 80 no solo viaja tráfico HTTP puro,
    sino que puede disfrazar otras comunicaciones.
  • Malware.
  • P2P.
  • Servicios de mensajería
  • Determinados ataques contra Servicios Web pueden
    ser controlados a este nivel.

20
Controles HTTP
  • Mediante el filtro HTTP pueden ser controlados
    estos aspectos de la comunicación
  • Técnicas de Buffer Overflow.
  • Denegación de servicio.
  • Subida de datos en escenarios de publicación.
  • Control de métodos.
  • Control de cabeceras.

21
Filtro contenido HTTP
  • Controlan el tráfico de datos a través de firmas.
  • En transmisión de datos.
  • En recepción de datos.
  • Impedir tráfico a palabras claves.
  • Control de acceso a sitios web.
  • Detención de comunicaciones de aplicaciones por
    firma y cabecera.

22
Control de aplicaciones HTTP
23
Filtro Proxyweb
  • Se aplica de forma directa sobre HTTP.
  • Permite la extensión del filtro HTTP y de
    autentificación sobre otros protocolos.
  • Garantiza el control sobre comunicaciones en
    entornos propietarios.

24
Protocolos RPC
  • Un número considerables de servicios se
    establecen mediante RPC.
  • Problemática de las transmisiones RPC.
  • Inicio de comunicación sobre 135 para localizar
    el puerto de comunicación.
  • Establece comunicación en puertos por encima de
    1024.
  • El administrador no debería abrir todos los
    puertos por encima del 1024.

25
Filtro RPC
  • Las comunicaciones RPC se pueden parametrizar por
    el UUID.
  • Identificador del servicio RPC.
  • Identificador del interface.
  • ISA Server 2004 presenta un asistente para la
    creación de protocolos RPC basados en UUID.
  • Manual.
  • Automáticamente conectando a un servidor y
    seleccionando sus UUID correspondientes.
  • El servicio de Firewall aplica con posterioridad
    los filtros para permitir la transferencia de
    datos a UUID determinados.

26
Transmisión RPC
27
Filtro SMTP
  • ISA Server 2004 para el protocolo SMTP presenta
    un filtro que realiza el control de los comandos
    SMTP.
  • Se puede ampliar la funcionalidad del filtro SMTP
    mediante Message Screener.

28
Message Screener
  • Message Screener se instala como un componente
    adicional de MS ISA 2004.
  • Puede ser instalado sobre cualquier servidor que
    ejecute IIS 5.0 o 6.0 y tenga instalado el
    Servidor SMTP.
  • No se recomienda su implementación sobre el
    servidor MS Exchange Server 2003, ya que podría
    interferir en los filtros propios.

29
Implicaciones de Implantación
  • En función de los escenarios de implantación,
    habrá que tener en cuenta las siguientes medidas
  • Publicar DNS para reconocer los Servidores de
    correo Internos.
  • Publicar o crear las reglas de acceso necesarias
    para los servidores SMTP.
  • Establecer conexiones entre servidores SMTP.

30
Message Screener
  • Message Screener aporta mayores funcionalidades
    que el filtro smtp controlando
  • Palabras en cabecera o cuerpo del mensaje.
  • Permite parar Virus difundidos por e-mail cuando
    aún no hay vacunas.
  • Bloqueos de remitente y dominios.
  • Correos con attachments.

31
(No Transcript)
32
Message Screener
  • Cuando se aplica una regla de filtrado se pueden
    establecer 3 acciones diferentes
  • Eliminar el mensaje.
  • Retener el mensaje para inspeccionarlo
    posteriormente.
  • Enviar una notificación a una dirección de correo.

33
Filtro FTP
  • Controla la conexión a través de los puertos
    dinámicos FTP.
  • Realiza la conversión de las direcciones para los
    clientes SecureNat.
  • Controla los procesos de escritura,
    prioritariamente en entornos de publicación.

34
Filtros de autentificación
  • ISA Server 2004 presenta una serie de mecanismos
    para garantizar los procedimientos de
    autentificación.
  • Integración con Directorio Activo.
  • Filtro Web RSA para autentificación de usuarios
    SecurID.
  • Filtro de autentificación Radius.
  • Filtros de formulario de autentificación para OWA.

35
DemoFiltro HTTPMessage Screener
36
Bridging HTTP-s con ISA Server 2004
37
Problemática HTTP-s
  • Conexiones HTTP-s ofrecen
  • Autenticación mediante certificados.
  • Cifrado mediante tuneles SSL.
  • Conexiónes HTTP-s condicionan
  • Transmisión datos extremo-extremo.
  • Paso a través de sistemas de protección de forma
    oculta.

38
Problemática HTTP-s
  • Conexiones HTTP-s
  • Firewalls e IDS no pueden inspeccionar tráfico.
  • Ataques pasan sin ser detectados por firewalls
  • SQL Injections.
  • Cross-Site Scripting (XSS)
  • Red Code.
  • Unicode.

39
Problemática HTTP-s
  • Cifrado y autenticado es útil contra
  • Sniffers.
  • Man In The Middle.
  • Pero hay que dejar que los sistemas de protección
    inspeccionen el contenido.
  • Firewalls.
  • IDS.

40
Bridging HTTP-s
  • El proceso de Bridging en conexiones HTTP-s
    permite que las conexiones se cifren en dos
    tramos.
  • Entre cliente y Firewall.
  • Entre Firewall y Servidor.

41
Bridging HTTP-s
  • Ventajas
  • El Firewall puede inspeccionar el contenido.
  • Se pueden aplicar reglas mediante filtros.
  • Se pueden detectar ataques.
  • No se pierde seguridad.
  • Si se desea, se puede dejar descifrado para
    inspecciones NIDS.

42
Bridging HTTP-s
  • MS ISA Server 2004 permite
  • Tunneling HTTPS por cualquier puerto.
  • MS ISA Server 2000 hay que configurar puertos
    SSL.
  • Bridging HTTPS con
  • Cifrado entre cliente-firewall y firewall
    servidor.
  • Cifrado entre cliente-firewall.
  • Cifrado entre firewall-Servidor.

43
DemoBridging HTTPS
44
Sistema de detección de intrusos
45
Detección de Intrusos
  • El servicio proporciona un mecanismo para
    identificar cuando se está produciendo un ataque.
  • ISA Server compara el tráfico de red con
    registros y patrones de ataques bien conocidos.
  • Cuando un ataque es reconocido se genera una
    alerta.

46
Controles
  • Ataques Winnuke.
  • Ataques tipo Land.
  • Ping de la muerte.
  • Ataques Half-Scan.
  • Bombas UDP.
  • Escaneo de puertos.

47
Detección de ataques DNS
  • Desbordamiento de nombres de HOST sobre DNS.
  • Desbordamiento de longitud DNS.
  • Control de trasferencias de zona.

48
Addons
49
Addons
  • ISA Server 2004 presenta una arquitectura abierta
    para
  • Desarrollar (SDK ISA Server).
  • Implementar nuevas herramientas.
  • Software de terceros amplían las funcionalidades
    de ISA Server 2004.

50
Tipos de Addons
  • Implementaciones de antivirus para ISA Server.
  • Gestión de tráfico web. Websense.
  • Gestión de tráfico y aplicación de cuotas.
  • Ampliación de los componentes Sockets.
  • Mejoras en sistemas de detección de intrusos.

51
Contacto
  • Guía de la consolidación de Seguridad de ISA
    Server 2004.
  • http//www.microsoft.com/spain/technet/recursos/a
    rticulos/securityhardeningguide.mspx
  • Chema Alonso
  • jmalonso_at_informatica64.com
  • Juan Luis G. Rambla
  • jlrambla_at_informatica64.com
  • http//www.informatica64.com
Write a Comment
User Comments (0)
About PowerShow.com