580 likes | 676 Views
Sécurisation de la connexion à Internet avec ISA Server 2000. Stanislas Quastana – Consultant Microsoft Consulting Services. Agenda. Partie 1 : Présentation générale ISA Server 2000 Feature Pack 1 (10 minutes)
E N D
Sécurisation de la connexion à Internet avec ISA Server 2000 Stanislas Quastana – Consultant Microsoft Consulting Services
Agenda • Partie 1 : Présentation générale ISA Server 2000 Feature Pack 1 (10 minutes) • Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise (25 minutes) • Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server (45 minutes) • Questions / Réponses (10 minutes)
Partie 1 : Présentation ISA Server 2000 1- Pare-feu niveaux 3,4 & 7 • Barrière entre le réseau Internet et le réseau de l’entreprise • Protection des serveurs visibles depuis Internet (serveur Web, de messagerie…) • Filtrage dynamique des paquets • Analyse applicative des flux • Fonctions d’audit et de détection d’intrusion 2- Proxy applicatif • Passerelle filtrant les communications entre les réseaux internes & externes • Contrôle des protocoles à l’aide de règles granulaires permettant un suivi de l’utilisation de la connexion Internet 3- Contrôle du contenu • Restriction d’accès à des sites web • Restriction d’accès à des contenus (http, smtp…) 4- ISA Server 2000 est bien plus qu’un simple proxy web !!! • Certes, il optimise la bande passante avec ses mécanismes de mise en cache • Mais : Ce n‘est pas Proxy Server 3.0 !
Véritable Firewall niveau 7 Support transparent de tous les clients et serveurs Intégration Active Directory Stratégies d’Enterprise / de groupes Publication de serveurs Filtres applications extensibles Filtre SMTP Démultiplication de flux media Passerelle H.323 Interface d’administration MMC Task Pads, assistants Administration à distance Beaucoup plus que “Proxy Server 3.0” • Ne nécessite pas IIS (n’est pas une application ISAPI comme Proxy Server 2.0) • Nouveau mode de stockage du cache (RAM + disque) • Téléchargement de contenu planifiable • Intégration VPN • Détection d’intrusion • Double saut SSL • Alertes configurables • Journaux: plusieurs formats, sélection des champs • Génération de rapports intégré • Contrôle de bande passante (QoS) • Nouvelles APIs • Installation modulaire • …
Microsoft ISA Server 2000L’accès Internet sécurisé et rapide Administrer L’accès à Internet et au réseau interne via une gestion centralisée des stratégies. Intégration parfaite avec Windows 2000 / 2003 Protéger Les ressources de l’entreprise des attaques et intrusions via un pare-feu multicouches certifié ICSA, Common Criteria EAL2 Optimiser Les temps d’accès à l’information et la bande passante utilisée via un cache haute performance Adapter Le produit aux besoins spécifiques via un kit de développement (SDK) et des produits compagnons
ISA Server Feature Pack 1 Le Feature Pack 1 pour ISA Server 2000 apporte une sécurité accrue par rapport aux pare-feu traditionnels pour le déploiement des serveurs de messagerie et des serveurs Web. Sécurisation des serveurs de messagerie • Extension des fonctionnalités du filtre SMTP • Extension des fonctionnalités du filtre RPC Exchange (RPC = Remote Procedure Call) • Filtrage applicatif des requêtes Http en mode publication (Reverse Proxy) avec URLScan 2.5 • Support de l'authentification Web pour RSA SecurID • Support de la délégation d'authentification basique et RSA SecurID • Assistant de publication pour Outlook Web Access • Assistant de configuration du filtre RPC • Translation des URLS en mode publication (Reverse Proxy) pour la redirection des requêtes vers des sites internes Sécurisation des serveurs Web et Exchange Outlook Web Access Mise en œuvre facilité pour les administrateurs
Architecture ISA Server 2000 Internet Service Web Proxy Filtre WEB Cache Client Proxy HTTP Redirecteur HTTP Filtrage des paquets Filtre tierce partie Pilote NAT Filtre Streaming Client Secure NAT Service Firewall Filtre SMTP Filtre H.323 Filtre FTP Client ISA Firewall
Partie 2 - Sécuriser l’accès vers Internet des utilisateurs internes
Les besoins des entreprises connectées vus par l’administrateur • « Je veux contrôler les protocoles réseaux utilisés par mes utilisateurs » • « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure Windows (domaines NT, Active Directory) » • « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux » • « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »
Évaluation de la stratégieavec ISA Server 2000 Y a t-il une règle Protocole qui autorise Ia requête ? Y a t-il une règle Site et Contenu qui autorise Ia requête ? Est-ce qu’une règle de routage spécifie un serveur upstream ? Requête client interne Non Oui Non Oui Non Oui Non Non Non Y a-t-il une règle Protocole qui interdise Ia requête ? Y a t-il une règle Site et Contenu qui interdise Ia requête ? Y a t-il un filtre de paquet IP qui interdise Ia requête ? Oui Oui Oui Requête refusée Récupérer l’objet Router vers un serveur upstream
Stratégie d’accès & Règles • Une stratégie d’accès = des règles de protocoles + des règles de sites& contenu + des filtres de paquets IP. • Ces règles se construisent à partir des éléments de stratégie disponibles : • Destination(s): domaine(s), adresse(s) IP • Planning(s) • Action(s) • Client(s): utilisateur(s)/groupe(s) ou adresse(s) IP • Type(s) de contenu HTTP (mime) • Type(s) de protocole • Bande passante utilisable • Connexion(s) utilisables
Règles de site et contenu • Permet le filtrage des requêtes liées aux protocoles http et https • Le filtrage se fait en fonction de • La destination: adresse IP (ou plage) ou noms de domaines et chemins • Le planning • L’origine: (utilisateur/groupe ou adresse IP) • Le type de contenu: (extension de fichiers ou type MIME) • Types de filtres • Autoriser • Bloquer • Par défaut, tout accès est bloqué (Secure by default)
Les différents types de clients • Client SecureNAT • Nom bizarre : ne nécessite pas de logiciel client ou de configuration spéciale • Géré par le service Firewall • Les requêtes HTTP peuvent être redirigées vers le service Web Proxy si le redirecteur est activé • Client Firewall • Géré par le service Firewall • Les requêtes HTTP peuvent être redirigées vers le service Web Proxy si le redirecteur est activé • Client Web proxy • Géré par le service Web Proxy • Exemple de client Web proxy : Internet Explorer
Authentification Internet Serveur ISA Client SecureNAT Pas d’authentification basée sur l’utilisateur. Client Proxy Web Authentification dépendante du navigateur et de l’OS. Client Firewall Authentification basée sur les crédentiels Windows
Résolution DNS • Web proxy client • ISA Server s’occupe de la requête DNS • Client SecureNAT • Doit avoir accès à un serveur DNS – ISA Server ne va pas « proxyser » les requêtes DNS • Firewall client • ISA Server ou le client font la requête DNS ISA Server • Dépend des paramètres du fichiers de configuration MSPCLNT.INI
Tableau récapitulatif Service Pare-feu Service Web proxy
Démonstration • Création de règles de protocoles pour différents groupes d’utilisateurs • Création de règles de sites et de contenu pour différents profils d’utilisateurs.
Partie 3 - protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet • La problématique des pare-feu traditionnels • Le besoin des pare-feu niveau applicatifs (niveau 7) • Le modèle ISA Server : pare-feu multicouches • La détection d’intrusion • ISA Server : la publication de serveur la publication Web • Exemple avec Exchange Server • Publication Web : protection d’Outlook Web Access (OWA) • Publication de serveur : RPC sur Internet et SMTP
Le problème • Les pare-feu traditionnels se focalisent sur le filtrage de paquets et le statefull inspection • Aujourd’hui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, openssl/Slapper…). • Les ports et protocoles ne suffisent plus à contrôler ce que font les utilisateurs • Hier, les port 80 et 443 était utilisées pour surfer sur le Web • Aujourd’hui, ces ports sont utilisés pour la navigation sur le Web, les Webmail, les messageries instantanées, les Web Services, les logiciels P2P… Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques d’aujourd’hui !
Internet Firewall traditionnel Firewall niveau Application Les Firewalls niveau Application • Sont nécessaires pour se protéger des attaques d’aujourd’hui… • …, ils permettent une analyse approfondie du contenu des paquets réseaux… • …car comprendre ce qu’il y a dans le Payload est désormais un pré requis Vers réseau interne
ISA Server = pare-feu multi couches • Filtrage de paquets & stateful inspection • Filtrage au niveau de la couche application (analyse approfondie du contenu) • Architecture proxy avancée • Produit évolutif et extensible • Plus de 30 partenaires http://www.microsoft.com/isaserver/partners/default.asp Un des meilleurs pare-feu pour les environnements Microsoft.
Internet IP np payld Publication de serveur Règle pour créer une socket sur l’interface externe Serveur publié ISA Server IP np payld IP np payld • Le paquet arrive sur l’interface externeSADR = client • Le Payload est extrait (et analysé si un filtre applicatif est présent) • Le nouveau paquet est créé sur l’interface internenuméro de séquence différent • Rajout d’un nouvel entête IP, le paquet est envoyé SADR = client (également possible : SADR = IP interne ISA)
Publication de plusieurs serveurs • Rappel :socket = {IPAddr, port, protocol} • Différents protocoles • Peuvent utiliser la même adresse IP externe; les numéros de ports seront différents • {IPAddr, port1, protA} {IPAddr, port2, protB} • Les mêmes protocoles • Nécessite des adresses IP externes supplémentaires; les numéros de port sont les mêmes • {IPAddr1, port, protA} {IPAddr2, port, protA}
Internet IP np payld Publication Web (http/https) Le listener crée une socket sur l’interface externe Serveur Web publié ISA Server IP np payld IP np payld URL • Le paquet arrives sur l’interface externeSADR = client • Le Payload est extrait • L’URL est examinée pour déterminer la destination. Le contenu est analysé. 4. Le nouveau paquet est créé sur l’interface internenuméro de séquence différent 5. Un nouvel entête IP est ajouté. Le paquet est envoyéSADR = adresse IP interne d’ISA Server
URLScan 2.5 pour ISA Server • Permet de filtrer les requêtes Web (http et https) entrantes selon des règles définies • Améliore la protection des attaques basées sur des requêtes web: • Présentant des actions non usuelles (ex: appel d’un .exe) • Contenant un grand nombre de caractères (pour Buffer Overflow) • Encodées avec des caractères alternatifs • Peut être utilisé en conjonction de l’inspection SSL pour détecter les attaques au dessus de SSL
Internet client ISA Server Web server Délégation de l’authentification • Pour l’authentification basique et SecurID • L’authentification se déroule sur ISA Server • Élimine les multiples boîtes de dialogues d’authentification • Seul le trafic autorisé passe ISA Server • Utilisable par règle de publication Web ISA Server pré-authentifie les utilisateurs et journalise leur activité Client demande au serveur Web l’accès à du contenu protégé ISA Server transmet les crédentiels au serveur protégé ou OWA
Publication Web & SSLGestion du SSL • Trois options • “Passthrough” ou “tunneling” • “Terminaison” • “Regénération” • Les options 2 and 3 font références à une fonctionnalité appelé Bridging
Gestion du SSL Passthrough (Publication de serveur) ISA Server Serveur publié Internet IP np payld IP np payld IP np payld • La charge utile reste chiffrée • Aucune analyse du contenu ici • Peut être utilisé si la politique favorise la confidentialité par rapport à l’inspection
Gestion du SSLTerminaison (Publication Web) ISA Server Serveur publié Internet IP np payld IP np payld IP np payld • La charge utile est déchiffrée • L’analyse du contenu est donc possible • Utilisée si la politique privilégie l’inpection • Non sécurisé: données non chiffrées dans le réseau interne
Gestion du SSLRegénération (Publication Web) ISA Server Serveur publié Internet IP np payld IP np payld IP np payld • La charge utile est déchiffrée • L’analyse du contenu est possible • Utilisée si la politique privilégie l’inpection • La charge utile est re-chiffrée • Sécurisé: données chiffrées même dans le réseau interne
Stratégie d’accès – Filtrage de paquets • Les filtres de paquets permettent d’autoriser les trafics depuis ou à destination des interfaces externes • Ils sont indépendants des règles de protocoles et des règles de publication • Ce filtrage de paquet doit toujours être activé pour protéger le serveur ISA. • Le paramétrage par défaut • Bloque tout sauf… • …certaines requêtes ICMP, et les requêtes DNS sortantes
Exemple de publication de site Web : Outlook Web Access • Accès universel car : • Tous les ordinateurs disposent d’un navigateur Web • Interface familière aux utilisateurs • OWA 2003 ressemble à Outlook 2003 • Contraintes de sécurité • HTTPS est le protocole • Détection d’intrusion? • Conforme à la politique sécurité de messagerie? • OWA 2000 ne propose pas de timeout de session • Corrigé avec OWA 2003
“Architecture classique” OWA • Bon points • Distinction entre les protocoles utilisés vers le front End et vers le Back End - Segmentation et protection des réseaux • Mauvais points • Tunnel HTTPS traversant le pare-feu externe : pas d’inspection HTTPS est LE protocole universel pour outrepasser et traverser les pare-feu !!! • Nombreux ports ouverts, sur le pare-feu interne, car nécessaire pour l’authentification • Connexion initiale sur OWA possible en anonyme Internet Pare-feu traditionnel externe Pare-feu interne OWA ExBE AD
Améliorer la sécurité d’OWA • Objectifs de sécurité • Inspecter le trafic SSL • Maintenir la confidentialité • Vérifier la conformité des requêtes HTTP • Autoriser uniquement la construction et le traitement d’URL connues • Bloquer les attaques par URLs • Optionnel • Pré authentifier les connections entrantes
Protéger OWA avec ISA – mécanismes (1/2) • ISA Server devient le “bastion host” • Le service Web proxy termine toutes les connexions • Déchiffrer HTTPS • Inspecte le contenu • Inspecte l’URL (avec URLScan) Optionnel • Ré encrypte pour envoyer au serveur OWA Internet <a href… http://... x36dj23s 2oipn49v ISA Server OWA Exchange AD
Protéger OWA avec ISA – mécanismes (2/2) • Authentification facile avec Active Directory • Pré authentification • ISA Server demande à l’utilisateur ses crédentiels • Vérifie auprès de l’Active Directory (ou du domaine NT) • Encapsule les informations dans l’entête HTTP à destination d’OWA • Évite une seconde saisie ! • Nécessite ISA FP1 Internet ISA Server OWA Exchange AD
SSL SSL ou HTTP SSL Internet client Firewall Traditionnel OWA ISA Server avec Feature Pack 1 Protéger Outlook Web Access Délégation de l’authentification basique URLScan pour ISA Server ISA Server peut déchiffrer et inspecter le trafic SSL URLScan pour ISA Server peut stopper les attaques Web à la bordure du réseau, même pour celles chiffrées avec SSL …ce qui permet au virus et aux vers de traverser sans être détectés… Le serveur OWA demande une authentification — tout utilisateur Internet peut accéder à cet invite ISA Server pré-authentifie les utilisateurs, éliminant les boîtes de dialogues multiples et autorise uniquement le trafic valide URLScan for ISA Server Le tunnel SSL traverse le firewall traditionnel car le flux est chiffré… …et d’infecter les serveurs internes! Le traffic inspecté peut être envoyé au serveur interne re-chiffré ou en clair.
Exchange RPC sur Internet • Mais pourquoi ??? • Beaucoup d’utilisateurs souhaitent ou ont besoin d’utiliser l’ensemble des fonctionnalités d’Outlook : • Produits tiers additionnels • Synchronisation de la boîte au lettres • Règles côté client • Carnet d’adresses complet • La solution VPN est souvent trop coûteuse si il faut satisfaire uniquement ce besoin
4402/tcp 135/tcp RPC Exchange - Concepts Le portmapper répond avec le port et met fin à la connexion Le client accède à l’application via le port reçu Le client demande quel port est associé à l’UUID ? Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connait l’UUID du service qu’il souhaite utiliser 4402 {12341234-1111…} Serveur RPC (Exchange) Client RPC (Outlook) Le serveur fait correspondre l’UUID avec le port courant… • Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation est difficile via Internet • L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnels Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table
Attaques RPC potentielles • Reconnaissance • NETSTAT • RPCDump • Denis de service contre le portmapper • Elévation de privilèges ou attaques sur d’autres services • Blaster !!!!!
Internet Les RPC à nu sur Internet • Bons points • Facile à mettre en oeuvre • Mauvais points • Facile à compromettre! • Le pare-feu doit autoriser tous les trafics sur les ports élevés • Le pare-feu traditionnel ne peut distinguer ce qui est du trafic Exchange et ce qui n’en est pas. • Aucune protection contre RPCDump par exemple Firewall traditionnel Exchange
Internet Fixer les ports RPC • Bons points • Toujours facile à implémenter • Ouverture limitée de ports sur le pare-feu • 135/tcp + 3 ports élevés • Mauvais points • Toujours facile à attaquer • Ne stoppe pas les attaques décrites précédemment • Le pare-feu ne peut toujours pas distinguer ce qui est du trafic Exchange et ce qui n’en est pas Firewall traditionnel Exchange
Assistant filtre RPCAccès granulaire aux services RPC • 2 méthodes supplémentaires de création des définitions des services RPC peuvent être utilisés dans les règles de publication • L’assistant énumère les services disponibles sur un serveur • Les UUID’s peuvent aussi être saisis manuellement ISA Server: ISA Server avec Feature Pack 1:
Internet ISA Server Filtre RPC Exchange Exchange Server Outlook • Filtre RPC Exchange pour ISA Server • Seul le port 135 est ouvert (Portmapper) • Les ports élevés sont ouverts et fermés quand c’est nécessaire pour les clients Outlook • Inspection au niveau de la couche application du trafic portmapper • Seuls l’UUID Exchange est autorisé
RPC Réseau interne Réseau externe Exchange Server ISA Server avec le Feature Pack 1 Outlook Filtre RPC Exchange • Impose un chiffrement RPC • Le chiffrement des RPC Outlook est imposé de manière centralisée • Permet également des connexions sortantes RPC • Les clients Outlook derrière ISA Server peuvent désormais accéder à des serveurs Exchange externes
Protection contre les attaques RPC Oui! • Reconnaissance? • NETSTAT net montre que 135/tcp • RPCDump ne fonctionne pas simplement • DoS contre le portmapper? • Les attaques connues échouent • Les attaques qui fonctionnent laissent Exchange protégé • Attaques de service sur Exchange? • L’obtention d’information n’est plus possible • Les connexions entre ISA Server et Exchange vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées Oui! Oui!