sec003 - o que há de novo no isa server...

Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM

2007 Microsoft Corporation. All rights reserved.

This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1

SEC003

O que há de novo no ISA Server 2006Ricardo [email protected], Microsoft Consulting Services

Patrocinadores Agenda

Acesso seguro a aplicações

Gateway para locais remotos

Protecção no acesso à Internet





Segurança integrada

Autenticação com múltiplos factores

Integração com Active Directory e LDAP

Pré-autenticação com formulárioscostumizáveis

Melhorias na delegação de autenticação

Melhorias na gestão de sessões


Gestão eficiente

Balanceamento na publicação de aplicaçõesWeb

Ferramentas de automação para Exchange, Sharepoint e outros servidores Web

Melhorias na gestão de certificados


Acesso rápido e seguro

Mais escolhas de autenticação single sign-on

Tradução automática de links


Gestão Eficiente

Automação da criação de ligações VPN

Utilização de answer files em removable media

Propagação mais eficiente da Enterprise Policy





Acesso rápido e seguro

Compressão de tráfego HTTP

Suporte para marcação diffserv

BITS Caching

BITS caching, Compressão HTTP e o suporte DiffServ são

idênticos ao existênte no ISA Server 2004 service pack 2

Protecção no acesso Internet

Segurança Integrada

Maior resistência a Flooding attacks

Maior resistência a Worm attacks

Melhorias na geração de alertas

Gestão eficiente

Maior eficiência na gestão de recursos do sistema operativo

ACESSO SEGURO A APLICAÇÕES

Os números

Crescimento de ocorrências de acessosnão autorizados a recursos TI

Rácio de ataques internos/externos é de 1:1

CSI/FBI 2005 report




Mais Wizards

Web based

Outlook Web Access

Sharepoint

Web Servers

Outros

Servidores SMTP

Exchange RPC

Regras Costumizadas

Os Wizards criam todos os network elements e configuram a

tradução de links conforme seja necessário

Web Listener Wizard

Autenticação

Gestão de certificados

Compressão HTTP

AutenticaçãoAtributos

User ID Group

membership

Protocol

usageSchedule

AutenticaçãoCliente para o ISA

Form HTML

Radius

One Time Password

SecurID

HTTP Basic

Client Side SSL

Nenhuma

Soluções de terceiros




AutenticaçãoISA para o validador

Active Directory

Kerberos

LDAP

RADIUS

RADIUS OTP

SecurID

Fluxo de autenticação

Client requests

web site

Authentication

on listener?Query for

credentials

Find matching

publishing rule

Is “All users”

on rule?Query for

credentials

AuthN required

on backend?Query for

credentials

Dis

pla

y p

ub

lish

ed

co

nte

nt

Sim

Não

Não

Sim

Sim

Não

Delegação de credenciais

URL

URL +

basic creds

Win

Lo

go

n

data

data

AD

IIS

ISA Server

401

OWA formURL + basic creds

form variables

RA

DIU

S

WinLogon

token

tok

en

browser

cookie

Single Sign-on

Ocorreautomáticamenteentre todas as aplicações publicadasnum único listener

O listener age comoum agregador de autenticação paratodos os sites publicados nele




Fluxo do Single Sign-on

eng

dev

mktg

sup

example.com

www.domain.com

Identificação ?sup.example.comÉs

conhecidoeng.example.com

Identificação ?

www.domain.com

Não atravessa domínios

mesmo se os listeners

partilharemo mesmo

perfirl de autenticação e

o SSO estiver activo

dev.example.comID+pass

Certificados

Obrigatórios

Front-end – Autentica o ISA Server e permiteo establecimento de Sessões SSL com clientes

Back-end – Autentica o servidor publicado e establece uma Sessão SSL com o ISA Server

Opcionais

ISA Server como cliente – Autentica o ISA Server perante o servidor publicado

Cliente – Autentica um cliente perante o ISA Server

CertificadosRevisão

CertificadosGestão

Múltiplos certificados porlistener

Elimina a necessidade de wilcard certificates

Uma única configuração de autenticação

Um certificado por cadaservidor em array

SSL offload hardware é recomendado




CertificadosEstado

Identifica certificadosincorrectamenteinstalados

Verifica a presença no store correcto

Verifica a presença dachave privada

Valida o estado em cadamembro do array

Aviso caso o certificadotenha expirado

CertificadosAlertas

Problemas com certificados geram alertas

Melhoria em relação aoerro genérico do ISA Server 2004

Autenticação c/ Forms HTML

Funciona com qualquer site publicado

3 niveis de funcionalidade (Premium, Basic e Mobile)

Forms para Logon, Logoff e SecurID

Selecciona a lingua através da configuraçãodo browser ou listener

Tipos de forms

Username e password

Username e passcode

Combinado

ID+passcode para SecurID ou RADIUS One Time Password

ID+Password para delegação e validação no backend

Froms prédefinidos

ISA Server genérico

Exchange




Form genérico ISA Server Costumização de forms

Um form por listener

As regras de publicação podemsubstituir o form utilizado no listener

Gestão de sessõesCookies

Persistentes

Sessão

Expiração da sessão

Tempo idle

Duração de sessão

Apenas a actividade do utilizador reinicia o cookie timer

Logoff

Adicionar o logoff url à regrade publicação

Apaga o cookie e adiciona à lista de revogação

Regista a identidade do utilizador no log

Tradução de linksRevisão

http://www.example.com

<HREF=http://teams/eng>

?




Tradução de linksRevisão

http://www.example.com

<HREF=http://teams.example.com/eng

Tradução de links

Para que serve?

Mantém os detalhesinternos privados

Permite a utilizadoresexternos o acesso semnecessidade de reescrever aplicações

O que é novo?

Ligado automaticamente

Motor de tradução maiseficiente

Suporte para múltiplosalfabetos

Tradução de links em arrays

Tradução mesmose o conteúdo é publicado por outroarray

Melhoria de disponibilidade emcaso de falha de um array

Server farms

Define um network object, utilizado emqualquer regra de publicação




Server Farms

Mecanismos de verificação

HTTP/S “GET”

Ping

Ligação TCP a um port especifico

Balanceamento de cargaServer farms

Utiliza uma web server farm

Preserva o contextoaplicacional

Elimina a necessidade de NLB nos servidorespublicados

Elimina problemas com NAT ou routing

Tipo de distribuição

Cookie (Default OWA)

Source IP (RPC/HTTP)

Balanceamento de cargaGestão do estado

Active

Draining

Removed

Out of service

Balanceamento de cargaGestão do estado

Active – Estado normal, aceita pedidos

Draining – Termina os pedidos recebidos, não aceita novos pedidos

Out of Service – Estado determinado peloISA Server caso o servidor não responda

Removed – Removido da server farm, nãoaceita pedidos




Reverse CachingCache

emmemória

Tenhoesse

pedido

Passa o tempo…

Transferepara disco

Transferepara

memória

Publicação de servidores de email

Acesso Web

Outlook Web Access

RCP/HTTPS

Outlook Mobile Access

Exhange Active Sync

Outros protocolos

SMTP

RPC

POP3

IMAP4

Integração com Exchange

Selecção da versão

Selecção de método de acesso

Com Exchange 2007, permite o acesso total a Sharepoint Libraries e Shares de rede

KB925403 – Update parasuportar Exchange 2007 RTM

Criação de um Listener HTTPS




Publicação de Exchange Server

GATEWAY PARA LOCAISREMOTOS

Os números

30% dos negócios com locais remotos

Consomem 33% do budget IT

$25.000.000.000 é gasto em WAN’s por empresas com 1000 ou mais funcionários

55% dos funcionários em empresas com mais de 1000 funcionários estão em locais remotos

0 é o número típico de staff dedicado para o suporte TI nestes locais

Harte-Hanks 2004; AMI Partners 2003

Configuration Storage Server

É uma instância ADAM

Acesso por LDAP

Não requer DNS nem domínio

Detalhes de instalação

NO ISA, num servidor em workgroup ou domínio

Replicação apenas em domínio

Gerido pelo ISA MMC snap-in

Propagação de uma alteração em menos de um minuto




Sede Local Remoto

Answerfile

1. Establece uma ligação site-tosite VPN

2. Associa o ISA com o Configuration Storage server central e sincroniza

3. Junta-se a um array

ISA Server VPN Wizard

BITS Caching

Regra built-in para cache das actualizações do Microsoft Update

Os cliente passam a fazer update a partir da cache

Poupa largura de banda e espaço em disco fazendo download apenas das versões necessárias das actualizações

BITS CachingConfiguração






Compressão HTTPSuporta métodos Gzip e Deflate, requer HTTP 1.1 configurado no cliente

Configurável por listener ou globalmente

Não é possível configurar por regra

Implementado através de um web filter

Alta prioridade

Tráfego é descomprimido antes de inspeccionado

Conteúdo já em cache é entregue comprimido caso o cliente o peça

Sucede, mesmo se o conteúdo em cache não está comprimido

Tem impacto na performance, limpar a cache é uma forma de mitigação

O tráfego HTTPS nunca é comprimido

Compressão HTTPConfiguração Global




Compressão HTTPCliente

Clientes HTTP 1.1 utilizam compressão HTTP

Configuração no browser tem que ser activada

Cache e Compressão

Comprimido

Não

comprimido

Cache e Compressão

Comprimido

Não

Comprimido

Não

comprimivél

Cache, Compressão e Inspecção

Comprimido

Inspecção

desligada

Inspecção

ligada

Comprimido




Suporte Diffserv

Política Global

Atribui prioridade com base em URL ou domínio

Configuração em conformidade com o presente nos routers

Funciona apenas com HTTP/S

Não adiciona diffserv bits a outros protocolos

Pode remover diffserv em tráfego não HTTP/S

Suporte DiffservConfiguração

Pedidos ou respostas que

excedam estes valores irãoreceber a prioridade seguinte

Suporte DiffservConfiguração

Aplica a todo o conteúdo

Não Funciona com HTTPS

Prioritização DiffservConfiguração

Funciona com HTTPS




Prioritização DiffservConfiguração

PROTECÇÃO NO ACESSOINTERNET

Os números

70% dos ataques são na application layer

95% são possibilitados por vulnerabilidades nas configurações

Orgulho é um motivo menos popular

Lucro é o motivo mais popular

Resistência a ataquesFlood resiliency

Protege o ISA Server contra:

Propagação de Worms

Syn Floods

Ataques DoS

Ataques DoS Distribuídos

HTTP bombing

Pode também proteger servidores atrás do ISA Server de forma indirecta




Resistência a ataquesMitigation defaults

Mitigação Default Excepção

Concurrent TCP connections allowed per source IPMitigates TCP flood attack where offending host maintains numerous

TCP connections with ISA or victim computers behind ISA

100 400

HTTP requests created per minute per source IPMitigates HTTP DoS attack where offending host sends numerous

HTTP requests to victim web sites

600 6000

Concurrent non-TCP connections allowed per IPMitigates non-TCP attack where offending host sends numerous

UDP or ICMP messages to victim computers behind ISA

100 400

Non-TCP sessions per minute per ruleMitigates non-TCP DDoS attacks where many zombie hosts

participate in attack or throttle network with numerous non-TCP packets

1000

Trigger event when denied packets per minute per

IP exceeds limitAlert notifies ISA administrator about offending IP

100

Resistência a ataquesConfiguração de mitigação

Resistência a ataquesMitigação - excepções

Controlo de recursos

Log throttling

Pára o logging de denied records após um valor pré-definido

Gestão de memória

Não aceita novas ligações caso o consumo da Non Paged Pool chegue a 90%

Continua a processar as ligações existentes

Processo automático e extremamente dificil de despoletar

Limita o número de pedidos ao DNS quando atinge umautilização de 80% das threads

Quando um cliente firewall requisita uma resolução de nome

Quando o ISA resolve um nome DNS existente numa regra




Cenários de mitigação de ataquesPropagação de worms

Host infectado na rede interna a enviar um elevado número de pedidos para múltiplosendereços IP, sempre no mesmo port.

Verifica os connection thresholds

Verifica se o source IP não é mascarado

Bloqueia o IP

É a forma mais comum de Flood Attack

O ISA 2004 não protege na totalidade

Cenários de mitigação de ataquesConnection table exploit

Um ataque que usa múltiplos source IP’s paraefectuar um DoS ao ISA com um elevadonúmero de ligações TCP

Não despoleta os limites per-source

O ISA deixa de aceitar novas ligação quandoatinge 90% da non-paged memory pool

Limpa todas as ligações idle da connection table

Pode levar a um DoS permanente sobre o ISA 2004

Poucas firewall’s no mercado sobrevivem a estetipo de ataque

Cenários de mitigação de ataquesPending DNS exploit

O ISA Server é configurado para negar a ligações a um conjunto de domínios, ou para permitir apenas um conjunto específico

um número de hosts infectados tenta efectuar ligações a um conjunto aleatório de IP’s, forçando o ISA a efectuarDNS reverse lookup’s

O ISA bloqueia novos pedidos após utilizar 80% das threads disponiveis

Continua a servir pedidos que não necessitem de reverse DNS ou onde a resposta esteja em cache

Tipicamente causado pela propagação de worms

Pode levar a um DoS temporário no ISA 2004

Cenários de mitigação de ataquesSequencial TCP connection flood

Um ataque que abre e fecha ligações TCP de forma sequencial

O ISA usa o mecanismo de detecção de worms, detectando um elevado número de ligações do IP de origem

Bloqueia o IP

Não é um ataque comum





Cenários de mitigação de ataquesHTTP DoS over existing connection

Um atacante establece uma ligação válida a um servidor web

Utilizando esta ligação, envia um númeroelevado de pedidos HTTP, despoletando o threshold

O ISA detecta o ataque e limita o request rate do cliente

Este tipo de ataque está a crescer empopularidade


Alertas

Source IP nas

excepções?

Qual é o ataque?

Recursos Úteis

http://www.microsoft.com/security

http://www.microsoft.com/isaserver

http://blogs.technet.com/isablog/

http://www.isaserver.org

http://isatools.org/

Related Sessions/ParticipeNoutras Sessões

SEC005: DMZ-Ologia – Está viva, estámorta, qual é a verdade (Fred Baumhardt)

21/3, 13:30

SEC007: Publicação segura de aplicações

com o Intelligent Application Gateway

2007: Análise Técnica Detalhada

22/3, 11:15

http://www.microsoft.com/security

http://www.microsoft.com/isaserver

http://blogs.technet.com/isablog/

http://www.isaserver.org/

http://isatools.org/




ATE/Pergunte aosEspecialistasObtenha Respostas às Suas Questões

21/3, 12h-15h

Outros RecursosPara Profissionais de TI

TechNet Plus2 incidentes de suporte gratuito profissional

software exclusivo: Capacity Planner

software Microsoft para avaliação

actualizações de segurança e service packs

acesso privilegiado à knowledge base

formação gratuita

e muito mais.

www.microsoft.com/portugal/technet/subscricoes

Questionário de AvaliaçãoPassatempo!

Complete o questionário de avaliação e devolva-o no balcão da recepção.

Habilite-se a ganhar uma Xbox 360 por dia!

SEC003

O que há de novo no ISA Server 2006

sec003 - o que há de novo no isa server...

Documents