1.05k likes | 1.22k Views
Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006. Qu’est ce que ?. Un site Web très orienté technique http://www.microsoft.com/france/technet/default.mspx Une newsletter personnalisable
E N D
Protéger vos ressources et vos réseaux avec le pare-feu applicatif ISA Server 2006
Qu’est ce que ? • Un site Web très orienté technique • http://www.microsoft.com/france/technet/default.mspx • Une newsletter personnalisable • http://www.microsoft.com/france/technet/presentation/flash/default.mspx • Des séminaires techniques toute l’année, partout en France • http://www.microsoft.com/france/technet/seminaires/seminaires.mspx • Des webcasts et e-démos accessibles à tout instant • http://www.microsoft.com/france/technet/seminaires/webcasts.mspx • Un abonnement • http://www.microsoft.com/france/technet/presentation/cd/default.mspx
Logistique Pause en milieu de session Vos questions sont les bienvenues. N’hésitez pas ! Feuille d’évaluation à remettre remplie en fin de session Merci d’éteindre vos téléphones Commodités
Agenda • Introduction • Présentation générale d’ISA Server • Sécuriser les applications Web publiées • Optimiser et sécuriser les réseaux d’agences • Faciliter les déploiements • Ressources utiles • Questions / Réponses
Quelques chiffres • Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Source : Gartner Group) • Sur les 10 attaques les plus répandues sur Internet, 9 sont effectuées au niveau application (Source : Symantec Internet Threat Report VIII, sept 05) • Augmentation du nombre de vulnérabilités découvertes (par Symantec) sur des applications Web • +59% entre le dernier semestre 2004 et le premier semestre 2005 • +109% entre le premier semestre 2004 et le premier semestre 2005 • Forte augmentation des incidents sur les sites Web (Source : Etudes CSI/FBI 2004 & 2005) • 2004 : 89% des interviewés déclarent 1 à 5 incidents • 2005 : 95% des interviewés déclarent plus de 10 incidents • 90% des applications Web seraient vulnérables (source : étude WebCohort Application DefenseCenter'spenetrationtesting effectuée de janvier 2000 à janvier 2004)
Organisation de la défense – Flux sortants de l’entreprise Accès maitrisés • Proxy applicatif avec : • Authentification obligatoire • Filtrage des destinations • Analyse & filtrage du contenu • Reporting de l’activité
Organisation de la défense – Flux entrants dans l’entreprise Accès maitrisés • Pare-feu applicatif / VPN avec : • Authentification multi-facteurs • Single Sign On • Filtrage des destinations • Analyse & filtrage du contenu • Mise en quarantaine VPN • Support des fermes de serveurs
Différentes vues d’un paquet TCP/IP IP Header Source Address,Dest. Address,TTL, Checksum IP Header Source Address,Dest. Address,TTL, Checksum TCP Header SequenceNumberSource Port,Destination Port,Checksum TCP Header SequenceNumberSource Port,Destination Port,Checksum Application Layer Content ???????????????????????????????????????? Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><linkrel="stylesheet" Pare feu “traditionnel” • Seul l’entête du paquet est analysé. Le contenu au niveau de la couche application est comme une “boite noire” • La décision de laisser passer est basée sur les numéros de ports Pare feumulticouches (3,4,7) • Les entêtes du paquet et le contenu sont inspectés Sous réserve de la présence d’un filtre applicatif (ex: filtre HTTP) • Les décisions de laisser passer sont basées sur le contenu
ISA Server en quelques mots Pare-feu multicouches (3,4 et 7) Filtrage extensible Proxy cache Reverse proxy Proxy applicatif Passerelle VPN - VPN nomades - VPN site à site www.vpnc.org
Les différentes versions d’ISA 2006 • Inclus toutes les fonctionnalités de : • Pare-feu (niveaux 3,4,7) • Passerelle VPN • Proxy cache • sur un même serveur • 1 licence par processeur physique (4 maximum) • Également disponible sous la forme d’appliance • Ajoute la haute disponibilité et la tolérance de panne • Ajoute la capacité à monter en charge en utilisant plusieurs serveurs (groupes) • Ajoute l’administration centralisée au niveau entreprise
Disponible en « appliance » • Network Engines NS Appliances • http://www.networkengines.com/sol/nsapplianceseries.aspx • Autres OEMs :
ISA Server : un produit extensible Haute disponibilité Reporting Appliances Antivirus Authentification Filtrage applicatif Accélérateurs SSL Contrôle d’URLs Plus de partenaires : http://www.microsoft.com/isaserver/partners/default.asp
Les 3 piliers d’ISA Server 2006 Sécuriser les applications Web publiées Optimiser et sécuriser les réseaux d’agence Enrichir et faciliter les déploiements • ISA Server 2006 Entreprise Edition disponible sous la forme d’appliance • Déploiement automatisé via clé USB • Assistant « Branch Office » lancé automatiquement • Fournir un accès fiable et sûr à tous les périphériques disposant d’un navigateur Web • Forte intégration avec Exchange (5.5 -> 12) et Sharepoint / WSS • Plus de standards supportés pour l’authentification • Améliorer la sécurité des réseaux d’agences • Optimiser la consommation de la bande passante • Faciliter l’administration distante
Sécuriser les applications Web publiées SharePoint, Exchange et autres serveurs Web
Publications Web : OWA, SPS, WSS • Publication assistée pour les applications classiques Microsoft : • Sharepoint Server / Windows Sharepoint Services • Exchange Server (5.5 à 2007) • Intégration dans l’assistant de RPC/HTTP • Support des fonctionnalités de proxy d’Exchange Server 2007
Publier des serveurs de courrier • Web accès • Outlook Web Access • RPC sur HTTP • Outlook Mobile Access • Exchange ActiveSync • Autres types d’accès • SMTP • MS-RPC • POP3 • IMAP4 • NNTP
Intégration avec Exchange Server • Sélection dans les assistants de configuration de la version d’Exchange utilisée • Fonctionne également avec des fermes de serveurs • Sélection des méthodes d’accès • Couplé à Exchange Server 2007, ISA Server 2006 permet également un accès complet (pas uniquement en lecture) à : • Des librairies SharePoint • Des partages réseaux • Utilise pour cela une interface OWA spécifique • Ce n’est pas celle disponible avec l’onglet “Document” d’Outlook Web Access 2007 (cf. captures d’écrans suivantes)
Publier des serveurs SharePoint • Assistant de publication spécifique à Sharepoint / WSS • Support des fermes de serveurs • Pré-authentification et délégation d’authentification (dont NTLM…) auprès des serveurs Sharepoint • Avertissement concernant les paramétrages complémentaires à effectué sur Sharepoint (AAM) • Traduction de liens (réécriture d’URLs) automatique
Meilleure gestion des certificats • Plusieurs certificats possibles sur un même port d’écoute (mais toujours un certificat par adresse IP) • Console des certificats avec vérification de leur validité, de leur magasin… (cf. slides suivantes) • Objectifs : • Limiter les problèmes d’installation des certificats SSL sur ISA • Aider le dépannage sur les certificats déjà installés sur ISA ou les serveurs publiés « Public Key Infrastructure (PKI) and especially SSL Certificates are the most commonly misunderstood security features among our customers » - Microsoft PSS
Vue générale des certificats • 4 types de certificats utilisés en fonction de leur emplacement • Front-End – Certificat sur la machine ISA. Utilisé pour établir une connexion SSL avec des clients distants • Remote Client – Certificat sur le poste client utilisé pour authentifier pour authentifier ce client distant sur ISA Server (optionnel) • Back-End– Certificat installé sur un le serveur à publier et utilisé pour établir une connexion SSL entre ce serveur et le serveur ISA • ISA Client– Certificat sur ISA Server utilisé pour authentifié ISA sur le serveur publié (optionnel)
Configuration d’un certificat Front-end Pour bien fonctionner ce certificat doit : • Avoir pour rôle “Server Authentication” • Être installé dans le magasin local Ordinateur • Sous branche Personnel • Avoir une clé privée associée • Être installé sur tous les membres d’un groupe (en cas d’utilisation sur une édition Entreprise) • Avec ISA Server 2004 édition Entreprise, si un seul de ces pré-requis n’est pas respecté, alors l’administrateur reçoit le message d’erreur suivant : … ou alors le certificat n’est pas visible dans l’interface utilisateur.
Configuration d’un certificat avec ISA Server 2006 • Le gestionnaire de certificats d’ISA Server 2006 offre les améliorations suivantes : • Affiche les certificats mal installés • Certificat installé dans le magasin de l’utilisateur (et non dans le magasin Ordinateur) • Certificats sans clé privée • Affiche l’état des certificats sur chaque membre d’un groupe de serveurs • Affiche les certificats expirés avec un message d’avertissement • Préviens quand le nom d’un certificat ne correspond pas au nom public utilisé dans la publication
Certificat correctement installé ISA 2006
Certificats sur le Back-End • Les problèmes de certificats sur les serveurs à publier (Back-end) sont difficiles à dépanner • Message HTTP 500 – Internal Server Error • ISA Server utilise les alertes pour les problèmes de configuration de ces certificats • Les certificats sur les serveurs publiés : • Doivent être approuvés (trusted) par ISA Server (ISA 2006) • Ne doivent pas être expirées (ISA 2006) • Avoir un nom correspondant au nom utilisé par ISA pour se connecter sur le serveur Back-End (ISA 2006)
Certificats sur le Back-End, améliorations apportées par ISA 2006 • ISA Server 2006 ajoute des alertes concernant les certificats sur les serveurs publiés: • Certificat ayant moins de 45 jours avant la date d’expiration • Valable également pour les certificats installés sur la machine ISA (Front-End) ! • Certificat dont le nom ne correspond pas à l’adresse publique utilisée pour la publication • Support des certificats de type wildcard (*) sur les Back-End
Définition de l’authentication Quel type de crédentiels l’utilisateur doit posséder ? Comment l’utilisateur présente ses crédentiels? Comment et vers qui ISA Server valide ces informations de sécurités (crédentiels)? Comment ISA Server fourni les crédentiels au serveur publié ?
Les différentes combinaisons en terme d’authentification One Time Password (OTP) Certificate Password HTTP (Basic, Digest, Integrated) HTML Forms (FBA) Mutual SSL/TLS Active Directory (Windows) Active Directory (LDAP) RADIUS RADIUS OTP RSA SecurID RSA SecureID HTTP (Basic) HTTP (Integrated) Kerberos Constrained Delegation
Processus d’authentification Authentification sur le port d’écoute? Affiche le contenu publié Demande des crédentiels Requête cliente sur un site web Oui Non la règle est pour “tous les utilisateurs” ? Non Trouve la règle de publication correspondante Demande des crédentiels Oui AuthN nécessaire Sur le backend? Demande des crédentiels Oui Non
Authentification et ISA 2006 • ISA Server accepte les authentifications clientes suivantes: • Authentification HTTP (reçue dans l’entête HTTP) : • Basique • Digest • Intégrée Windows. • Authentification par formulaire (FormsBasedAuthentication) : SecurID, RADIUS, Active Directory, Active Directory LDAP, RADIUS OTP • Certificat Client • Pas d’authentification
Authentification LDAP • L’authentification LDAP permet à ISA Server 2006 de valider les informations de sécurité (crédentiels) d’un utilisateur sur un contrôleur de domaine Active Directory sans nécessiter son appartenance au domaine. • Peut utiliser (DC) or Global Catalog (GC) • Plus intéressant que RADIUS: • Peut fonctionner directement avec un contrôleur de domaine AD sans nécessiter l’installation d’un serveur IAS (Internet Authentication Server = Radius sous Windows 2000 / 2003) • Supporte la vérification d’accès basée sur les groupes de sécurité AD • Supporte les connexions sécurisées (LDAPS). Avec Radius, nécessité d’utiliser IPSec
Authentification RADIUS One Time Password (OTP) • Nécessite un produit tiers qui inclus • Périphérique / logiciel utilisé par l’utilisateur pour générer les passcodes • Un serveur Radius (ou IAS) qui va vérifier les passcodes • A la place du couple username+password, le formulaire d’ISA form collecte username+passcode • ISA transmet le couple username+passcode au serveur Radius. Le Passcoderemplace ici le mot de passe • A la différence d’une authentification standard, ISA ne vérifie pas le passcode chaque fois (one-time !). Donc une fois que le serveur Radius autorise l’utilisateur, ISA remplace le cookie par un qui dit “l’utilisateur est authentifié” • ISA Server peut aussi collecter le mot de passe (password). Celui-ci est utilisé pour la délégation auprès des serveurs publiés et jamais par le serveur Radius
RADIUS One Time Passcode GET / HTTP/1.1 302 redirect Location: .../CookieAuth.dll?Logon?... GET /CookieAuth.dll?Logon?... HTTP/1.1 200 OK <logon form with asks for passcode...> GET / also password www-authenticate: <username+password> POST /CookieAuth.dll?Logon?... <body includes username+passcode> also password HTTP/1.1 302 redirect Location: http://ISA/ Set-Cookie: encrypted username+passcode Web server (Sharepoint, OWA, etc) also password (verifies credentials - username+passcode) GET / Cookie: encrypted username+passcode also password HTTP/1.1 200 OK Set-Cookie: encrypted username, "passcode was OK!" also password GET / Cookie: encrypted username, "passcodewas OK!" RADIUS, ACE/Server also password
Authentification par formulaireForms-based Authentication (FBA) • Quand le client accède à ISA Server, il est redirigé sur un formulaire d’authentification • Le client saisi ses crédentiels et les POSTe sur ISA • ISA vérifie les crédentiels et redirige le client vers le site publié. La redirection 302 incluse la mise en œuvre d’un cookie chiffré qui contient les crédentiels. • Le client requête le site (url publiée) cette fois-ci avec le cookie • ISA récupère le cookie, comprend les crédentiels et les utilise pour l’autorisation, la délégation et la journalisation
Authentification par formulairePrincipe de fonctionnement GET / HTTP/1.1 302 redirect Location: .../CookieAuth.dll?Logon?... GET /CookieAuth.dll?Logon?... GET / www-authenticate: ... (Basic / NTLM / Kerberos) HTTP/1.1 200 OK <logon form...> POST /CookieAuth.dll?Logon?... <body includes username+password> Serveur Web (Sharepoint, OWA, etc) HTTP/1.1 302 redirect Location: http://ISA/ Set-Cookie: cadata...="encrypted username+password" (verifie crédentiels) GET / Cookie: cadata...="encrypted username+password " Serveurd’authentification (Active Directory, LDAP, RADIUS, RSA ACE/Server)
Authentification par formulaireForms-based Authentication (FBA) • Fonctionne pour tous les sites web publiés sur ISA • Premium: navigateurs avec fonctions avancés (=IE) • Basic: autres navigateurs • Mobile: navigateurs avec une faible résolution • 3 formulaires pour chaque classe : • Logon • Logoff • SecurID • Langages • 26 langues disponibles • Choisi en fonction des paramètres de langue du navigateur • Modifiable
Formats des formulaires • Username et password • Username et passcode • Combinaison (nécessite les 2) • ID+passcode: pour SecurID ou RADIUS OTP • Validé par ISA Server • ID+password: pour la délégation • Validé par le back-end • Les clients qui ne sont pas des navigateurs reçoivent une demande d’authentification basique • Office, RPC sur HTTP, Exchange ActiveSync, Acrobat, … • Basé sur les chaînes user-agent • Configurable via COM - FPCUserAgentMappings
Formulaires prédéfinis • Générique ISA Server • Exchange
Gestion des sessions • Paramétrages distincts pour les machines privées ou publiques • Cookie persistants : oui ou non? • Les cookies persistants sont stockés sur le disque du client et peuvent être lus par tous les processus de la machine • Un cookie de session (=non-persistant) est local au processus en cours du navigateur. Si l’utilisateur démarre un nouveau navigateur (= nouveau processus) alors il devra se ré-authentifier • Timeout – combien de temps? • Implémenté au niveau du cookie ET dans ISA • ISA Server gère la durée des sessions • Durée maximale d’inactivité (idle time) • Durée maximale d’une session • Une URL de déconnexion pour chaque application Web • La session expire quand le client envoie une requête à l’URL de déconnexion