microsoft® isa server 2006 recursos avançados alberto oliveira mvp isa server mcsa/mcse: security...
TRANSCRIPT
![Page 1: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/1.jpg)
Microsoft® ISA Server 2006 Recursos Avançados
Alberto OliveiraAlberto OliveiraMVP ISA ServerMVP ISA ServerMCSA/MCSE: SecurityMCSA/MCSE: SecuritySecurity EngineerSecurity Engineer
![Page 2: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/2.jpg)
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
Agenda
![Page 3: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/3.jpg)
Tipos de Firewall
- Packet Filtering
- Stateful Inspection
- Full inspection
![Page 4: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/4.jpg)
Tipos de Firewall
- Packet Filtering
Firewall de primeira geração. Checa apenas
portas (protocolos), origem e destino.
![Page 5: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/5.jpg)
Tipos de Firewall
- Stateful Inspection
Firewall de segunda geração. Checa portas
(protocolos), origem , destino e inspeciona o
estado da conexão.
![Page 6: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/6.jpg)
Tipos de Firewall
- Full Inspection
Firewall de última geração. Checa portas
(protocolos), origem , destino , inspeciona o
estado da conexão e checa diversos
protocolos na camada de aplicação.
![Page 7: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/7.jpg)
Application Layer Application Layer ContentContent
????????????????????????????????????????????
Como um firewall tradicional vê um pacote
• Apenas o cabeçalho é inspecionado
– O conteúdo da camada de aplicação é uma “caixa preta”
IP HeaderIP HeaderSource Address,Dest. Address,
TTL, Checksum
TCP TCP HeaderHeaderSequence Number
Source Port,Destination Port,
Checksum
As decisões de permissão são baseadas em portas Tráfego legítimo e ataques na camada de aplicação utilizam as mesmas portas!!!
Internet Expected HTTP Traffic
Unexpected HTTP Traffic
Attacks
Non-HTTP Traffic
Corporate Network
![Page 8: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/8.jpg)
Como o ISA vê um pacote
• Cabeçalho e conteúdo são inspecionados
Application Layer ContentApplication Layer Content<html><head><meta http-
quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet"
IP HeaderIP Header
Source Address,Dest. Address,
TTL, Checksum
TCP TCP HeaderHeader
Sequence NumberSource Port,
Destination Port,Checksum
Decisões de permissão definidas pelo conteúdo. Não só pelas portas! Apenas tráfego legítimo e permitido é liberado
Internet Expected HTTP Traffic
Unexpected HTTP Traffic
Attacks
Non-HTTP Traffic
Corporate Network
![Page 9: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/9.jpg)
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
Agenda
![Page 10: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/10.jpg)
Firewall Policy
2 Tipos básicos de ação
- Permitir
- Negar
![Page 11: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/11.jpg)
Firewall Policy
Regra de acesso: Permitir
![Page 12: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/12.jpg)
Firewall Policy
Regra de acesso: Negar
![Page 13: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/13.jpg)
Firewall Policy
Filtros Avançados: HTTP Filter
![Page 14: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/14.jpg)
Firewall Policy
Filtros Avançados: HTTP Filter
Listas com várias assinaturas disponível em:
http://www.applicationsignatures.com/backend/index.php
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/com
monapplicationsignatures.mspx
![Page 15: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/15.jpg)
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
Agenda
![Page 16: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/16.jpg)
VPN (Virtual Private Network)
Tipos:
- Site to Site
- Client to Site
- Quarentined VPN Clients
![Page 17: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/17.jpg)
VPN (Virtual Private Network)
Tipos:
- Site to Site
![Page 18: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/18.jpg)
VPN (Virtual Private Network)
Tipos:
- Client to Site
![Page 19: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/19.jpg)
Quarentined VPN Clients
Conexão do cliente1
ISA coloca o usuário na rede isolada de quarentena
2
O script no cliente verifica se a estação está de acordo com os padrões.
3
O script envia a notificação de sucesso para o ISA
4
ISA Server designa o usuário à rede de VPN Clients para prover acesso
5
![Page 20: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/20.jpg)
VPN (Virtual Private Network)
Protocolos disponíveis:
- Site to Site:
PPTP, L2TP e IPSec
- Client to Site
PPTP e L2TP
![Page 21: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/21.jpg)
• Tipos de Firewall
• Regras de acesso (Firewall Policy)
• VPN (Virtual Private Network)
• Troubleshooting
Agenda
![Page 22: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/22.jpg)
Troubleshooting
Problemas comuns:
- ISA Server não autentica usuários
- Bloqueios do ISA não são efetivos
- Acesso negado ao invés de permitido
![Page 23: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/23.jpg)
Troubleshooting
Problemas comuns:
- ISA Server não autentica usuários
Causas mais comuns:
DNS incorretamente configurado, Active Directory com
Problemas, ordem de consulta dos binds das placas de rede
Incorreto.
![Page 24: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/24.jpg)
Troubleshooting
Problemas comuns:
- ISA Server não autentica usuários
Ações corretivas:
Verificar resolução de nomes interna à partir do ISA;
Verificar a configuração da system policy;
Verificar ordem dos binds de consulta das placas de rede.
![Page 25: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/25.jpg)
Troubleshooting
Problemas comuns:
- Bloqueios do ISA não são efetivos
Causas mais comuns:
Ordem das regras incorreta
HTTP Filter desabilitado
Regra criada incorretamente
![Page 26: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/26.jpg)
Troubleshooting
Problemas comuns:
- Bloqueios do ISA não são efetivos
Ações corretivas:
Verificar ordem das regras. Bloquear vem antes de liberar!
Verificar filtro HTTP
Verificar ação da regra
![Page 27: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/27.jpg)
Troubleshooting
Problemas comuns:
- Acesso negado ao invés de permitido
Causas mais comuns:
Regras incorretamente posicionadas
Usuário/Grupo presente em mais de uma regra
Regra criada incorretamente
![Page 28: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/28.jpg)
Troubleshooting
Problemas comuns:
- Acesso negado ao invés de permitido
Ações corretivas:
Verificar posicionamento das regras
Verificar a presença do usuário em vários grupos e regras
Verificar os objetos utilizados na criação da regra
![Page 29: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/29.jpg)
Troubleshooting
Dica final:
Utilize SEMPRE a
guia de monitoração
do ISA Server!!
![Page 30: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/30.jpg)
Conclusão
• Teoria dos firewalls
• Firewall Policy
• VPN
• Troubleshooting
![Page 31: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/31.jpg)
• Visite o www.technetbrasil.com.br
Informações sobre ISA Server:
www.microsoft.com/isaserver
www.isaserver.org
www.isastools.org
Para maiores informações…
![Page 32: Microsoft® ISA Server 2006 Recursos Avançados Alberto Oliveira MVP ISA Server MCSA/MCSE: Security Security Engineer](https://reader035.vdocuments.us/reader035/viewer/2022062623/552fc0fa497959413d8b8f43/html5/thumbnails/32.jpg)
© 2006 Microsoft Corporation. Todos os direitos reservados.© 2006 Microsoft Corporation. Todos os direitos reservados.O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação.O propósito desta apresentação é apenas informativa. Microsoft não faz nenhuma garantia expressa ou implícita nesta apresentação.
Seu potencial. Nossa inspiração.Seu potencial. Nossa inspiração.MRMR