1 / 56

Microsoft ISA Server 2006. Servicios de Firewalling y Caché

Código: HOL-ISA21. Microsoft ISA Server 2006. Servicios de Firewalling y Caché. Juan Luis García Rambla jlrambla@informatica64.com MVP Windows Security. Agenda. Introducción. Sistema de red. Administración de la seguridad. Firewall de aplicación. Sistema de detección de intrusos.

alyssa-duke
Download Presentation

Microsoft ISA Server 2006. Servicios de Firewalling y Caché

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Código: HOL-ISA21 Microsoft ISA Server 2006.Servicios de Firewalling y Caché Juan Luis García Rambla jlrambla@informatica64.com MVP Windows Security

  2. Agenda • Introducción. • Sistema de red. • Administración de la seguridad. • Firewall de aplicación. • Sistema de detección de intrusos. • Gestión de Caché. • Soporte y administración.

  3. Introducción

  4. Introducción • ISA Server se comporta como Firewall de Aplicación aunque puede hacer funcionalidades de Firewall de Red y de Host Bastión. • Evoluciona de ISA Server 2004. • Se incorporan nuevas características. • Aporta nuevas funcionalidades.

  5. Novedades ISA Server 2006 • Administración • Mejora de los asistentes. • Mejoras en la gestión de certificados. • Mejoras en la propagación de directivas. • Publicación de servidores: • Asistente publicación OWA mejorado. • Nuevo asistente de publicación de SPPS. • Soporte para Exchange 2007. • Mejoras en la traducción de enlaces. • Cache de bits. • Balanceo de carga para publicación web. • Calidad de servicio mediante el filtro Web Diffserv.

  6. Novedades ISA Server 2006 • Autentificación: • Autentificación LDAP. • Single Sign-On. • Autentificación basada en formularios para sitios web. • Mejoras de control de sesión. • Soporte Firewall: • Mejorados los asistentes de creación de reglas. • Resistencia a ataques por saturación. • Mejoras en la recuperación en caso de ataque.

  7. Arquitectura ISA Server 2006 • Firewall multired: • Nivel de Red. • Nivel de Aplicación. • Servidor VPN: • Clientes. • Branch Office • Servidor Caché.

  8. Arquitectura Firewall • Soporta múltiples redes de trabajo. • Establecimiento de política por red • Diseño de objetos para políticas. • Controlar el flujo de información entre las diferentes redes. • Soporta enrutamiento y NAT.

  9. Arquitectura Firewall • Solución extensible de filtrado de conexiones. • Integración completa con Active Directory. • Soporta pro • Soporte de Firewall sobre usuarios. • Aplicación de reglas encadenadas.

  10. Arquitectura Caché • Mejora las condiciones de acceso a Internet mediante: • Soporte múltiples unidades de caché. • Soporte Caché en Arrays. • Caché Pasiva. • Soporte Caché Activa. • Soporte de Jobs de Caché. • Soporte de Caché Negativa. • Perfiles de cache por reglas.

  11. Sistema de red

  12. Soporte Multired • ISA Server 2006 divide los sistemas de red en función de las necesidades planteadas en el marco de la seguridad. • Definición de redes y grupos de redes. • Definición de las reglas de conexión de redes.. • Permitirá gestión independiente de las redes. • Asignan funcionalidades de clientes de proxy y firewall independientes para las redes.

  13. Configuración de redes • Una red viene determinada por una o más máquinas correspondiendo normalmente con una red física. • Se pueden especificar reglas a una o más redes. • La red determina cuales son los clientes que van a disponerse. • ISA genera una preconfiguración de redes. • Las redes pueden ser agrupadas en conjunto de redes para su administración.

  14. Interconexión de redes • Determinan como se van a establecer la conectividad entre las diferentes redes. • Las redes pueden ser conectadas siguiendo una de estas dos metodologías. • Enrutamiento. • NAT. • Dentro de una red la comunicación entre equipos se considera como enrutada.

  15. Administración de la Seguridad con ISA Server 2006

  16. Características de seguridad • Filtros IP. • Reglas de acceso. • Publicación de servicios. • Filtros de aplicación. • Detección y alertas contra intrusos.

  17. Filtros IP • Filtrado IP a nivel de paquetes. • Inspección de parámetros en cabeceras. • Bloqueos de fragmentos IP.

  18. Reglas de acceso • Controlan el tráfico de información a través de las redes. • Determinan la configuración de origen, destino, protocolos y usuarios que realizan la conexión. • La aplicación de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier tráfico de red. • Existen 2 tipos de reglas: • Reglas de sistema. • Reglas de Firewall.

  19. Reglas de acceso • ISA Server 2006 proporciona una serie de reglas con los que se puede controlar la información que circula por la red en función de: • Protocolos. • Usuarios. • Tipos de contenido. • Franjas de tiempo. • Objetos de red.

  20. Reglas de Publicación • Se utilizan para publicar servidores. • Asistentes de publicación: • Clientes de Acceso Web de Exchange. • Servidor de correo. • Sitio de Share Point. • Sitios Web. • Otros servicios.

  21. Publicación servidores con ISA Server 2006

  22. Asistentes • ISA Server 2006 presenta diferentes asistentes en función del servicio a publicar. • La publicación de Servicios WEB admite la funcionalidad de publicar servidores o servicios balanceados. • Los sitios Web admiten las funcionalidades de Bridging HTTPS

  23. Listener • Define la escucha para las peticiones al servidor publicado. • Admite la utilización de múltiples certificados. • Admite diferentes mecanismos de autentificación.

  24. Autentificación • Admite los siguientes mecanismos de autentificación: • Autentificación de formulario HTML. • Autentificación HTTP. • Autentificación SSL. • No autentificar.

  25. Validación de credenciales • Los mecanismos de validación pueden ser: • Directorio Activo. • LDAP. • Radius. • Radius OTP. • RSA SecurID.

  26. Firewall de aplicación

  27. Necesidades • Inspeccionar el tráfico al nivel de aplicación. • Permitir o denegar el paso de datos a determinados contenidos o aplicaciones. • Proporcionan controles sobre determinados ataques. • Sistema extensible sobre filtrados de conexiones.

  28. Métodos de implementación • Implementadas directamente sobre las reglas de acceso y las publicaciones. • Como un añadido sobre reglas y publicaciones. • Como funcionalidad sobre ISA a nivel Firewall.

  29. Filtro HTTP • Las necesidades de la empresa permiten el tráfico a través del puerto 80. • Por el puerto 80 no solo viaja tráfico HTTP puro, sino que puede disfrazar otras comunicaciones. • Malware. • P2P. • Servicios de mensajería … • Determinados ataques contra Servicios Web pueden ser controlados a este nivel.

  30. Controles HTTP • Mediante el filtro HTTP pueden ser controlados estos aspectos de la comunicación: • Técnicas de Buffer Overflow. • Denegación de servicio. • Subida de datos en escenarios de publicación. • Control de métodos. • Control de cabeceras.

  31. Filtro contenido HTTP • Controlan el tráfico de datos a través de firmas. • En transmisión de datos. • En recepción de datos. • Impedir tráfico a palabras claves. • Control de acceso a sitios web. • Detención de comunicaciones de aplicaciones por firma y cabecera.

  32. Control de aplicaciones HTTP

  33. Filtro Proxyweb • Se aplica de forma directa sobre HTTP. • Permite la extensión del filtro HTTP y de autentificación sobre otros protocolos. • Garantiza el control sobre comunicaciones en entornos propietarios.

  34. Protocolos RPC • Un número considerables de servicios se establecen mediante RPC. • Problemática de las transmisiones RPC. • Inicio de comunicación sobre 135 para localizar el puerto de comunicación. • Establece comunicación en puertos por encima de 1024. • El administrador no debería abrir todos los puertos por encima del 1024.

  35. Filtro RPC • Las comunicaciones RPC se pueden parametrizar por el UUID. • Identificador del servicio RPC. • Identificador del interface. • ISA Server 2004 presenta un asistente para la creación de protocolos RPC basados en UUID. • Manual. • Automáticamente conectando a un servidor y seleccionando sus UUID correspondientes. • El servicio de Firewall aplica con posterioridad los filtros para permitir la transferencia de datos a UUID determinados.

  36. Transmisión RPC

  37. Addons • ISA Server 2004 presenta una arquitectura abierta para: • Desarrollar (SDK ISA Server). • Implementar nuevas herramientas. • Software de terceros amplían las funcionalidades de ISA Server 2006.

  38. Tipos de Addons • Implementaciones de antivirus para ISA Server. • Gestión de tráfico web. Websense. • Gestión de tráfico y aplicación de cuotas. • Ampliación de los componentes Sockets. • Mejoras en sistemas de detección de intrusos.

  39. Gestión de Caché

  40. Arquitectura de Caché • ISA Server proporciona un sistema de almacenamiento para los objetos más consultados por los usuarios. • La caché puede ser configurada mediante reglas que van a determinar como y con que frecuencia va a ser almacenada la información.

  41. Arquitectura Caché • Mejora las condiciones de acceso a Internet mediante: • Soporte múltiples unidades de caché. • Soporte Caché en Arrays. • Caché Pasiva. • Soporte Caché Activa. • Soporte de Jobs de Caché. • Soporte de Caché Negativa. • Perfiles de cache por reglas.

  42. Reglas de Caché • Las reglas van a determinar que tipo y como se van a almacenar los objetos en la caché. • La caché puede almacenar objetos HTTP, SSL y FTP. • Si una petición no cumple una regla de caché esta es remitida hacia Internet.

  43. Reglas de Caché • Permiten personalización por conjuntos de origen y/o destino. • Permiten múltiples caracterizaciones. • Permite planificación de trabajos de caché. • Permite cachear en función de: • Tipos de contenido. • Tamaños. • Tipos de protocolo.

  44. Priorización de paquetes

  45. Diffserv • Mediante el filtro Diffserv pueden establecerse prioridades del envío de paquetes HTTP. • La asignación de prioridades se asignan sobre los objetos Redes de ISA Server 2006.

  46. Elemento de priorización • El establecimiento de prioridades se realiza sobre: • URL. • Dominios. • La asignación de prioridades se establece mediante la definición de valores.

  47. Filtro Diffserv

  48. Soporte contra desbordamientos

  49. Soporte • ISA Server 2006 cuenta con medidas para prevenir contra ataques por desbordamiento. • Admite la definición de límite ante ataques potenciales. • Permite definir excepciones a la regla.

  50. Controles

More Related