Firewalls ISA Server 2004 como Firewall de Aplicacin Bit Defender

1
FirewallsISA Server 2004 como Firewall de
AplicaciónBit Defender

• Chema Alonso
• MS MVP Windows Server Security
• Informatica64
• José Parada
• IT Pro Evangelist
• Microsoft

2
FirewallsConceptos Básicos
3
La seguridad como necesidad

• Los sistemas ya no están aislados.
• Localmente conectados en redes LAN.
• Amenazas internas.
• Globalmente conectados a través de Internet.
• Amenazas externas.

4
Estrategia de Seguridad

• Para que la seguridad sea efectiva, ha de
  implementarse en múltiples capas.
• En la conexión con Internet
• Entre departamentos
• En cada máquina.
• En cada punto se ha de poder inspeccionar el
  trafico.

5
Firewalls ó Cortafuegos

• Se introducen entre redes para cortar tráfico.
• Implican la separación física de las redes para
  permitir que pasen o no los mensajes.
• Pueden inspeccionar la torre completa de
  comunicaciones y reconocer sesiones.
• Nos defienden de ataques de red, Virus y Spam
• Sirven como herramienta de Auditoria.

6
ArquitecturasHardware vs Software

• Hardware o Appliance
• Montados con arquitectura de PC normal o sobre un
  ASIC (Aplication Specific Circuit)
• Sistema Operativo pre-configurado para máxima
  seguridad.
• Actualizaciones mas costosas.
• Software
• Se puede instalar sobre varios SO y sobre varias
  plataformas.
• Mas fáciles de actualizar

7
ArquitecturaHost vs De Red

• De Host Los implementados en la propia máquina
• Solo protegen una máquina
• Tienen funcionalidades limitadas
• Ejemplos Windows Xp ó 2003
• De Red Los implementados para proteger una red o
  subred.
• Protegen un conjunto de máquinas
• Gestionan mas trafico y mas protocolos para
  múltiples redes
• Tienen mas funcionalidades como logs, reportes y
  administración. Mas caros

8
Niveles de Filtrado
7. Aplicación (HTML, SMTP, etc..)
Filtrado de Aplicación
6. Presentación
5. Sesión
4. Transporte (TCP,UDP)
Filtrado de Red
3. Red (IP)
Filtrado de Paquetes
2. Conexión
1.Físico
9
Filtrado de Paquetes

• Examinan la direcciones IP y las opciones de las
  cabeceras y en función del análisis permiten o
  deniegan el trafico.
• Utilizan tres tecnologías
• Filtrado estático
• Filtrado dinámico
• Filtrado con inspección de estado

10
Filtrado de Red

• Filtrado de direcciones IP, puertos, tipo de
  protocolos y flags de cabeceras.
• Pueden restringir tráfico en función de las
  maquinas que lo generan, pero no de los usuarios.
• Inspeccionan la sesión de comunicaciones. Una
  sesión puede tener mas de una conexión.

11
Filtrado de aplicación

• Filtran los paquetes basándose en la información
  de los datos que contiene el paquete
• Inspeccionan y reconocen el protocolo utilizado
  en una sesión.
• Pueden utilizar para la toma de decisiones todos
  los objetos de seguridad de una red integrándolos
  en un árbol LDAP.
• Reglas complejas que pueden requerir el
  establecimiento de sesiones completas entre
  firewall y el cliente.

12
Microsoft y la Seguridad

• Originalmente Windows fue diseñados como SO para
  PCs de usuario y no como SO de Red.
• En este escenario la seguridad era menos
  importante que las funcionalidades o facilidades
  para los usuarios.
• Con los problemas de seguridad crecientes,
  Microsoft tiene que cambiar la filosofía de sus
  productos.
• Trustworthy Computing. SD3
• Productos específicos para la seguridad (ISA
  Server)

13
Errores de Concepto

• Los Firewalls vía software son inseguros
• Cualquier Firewall sobre plataforma Windows es
  inseguro.
• ISA Server es una buena solución como Proxy, pero
  además necesito un Firewall.
• Un buen Firewall ha de ser complicado de
  configurar y su configuración ha de ser mediante
  comandos.

14
ISA Server EE
15
ISA Server Novedades

• Enterprise Edition
• Gestión Empresarial
• Arrays
• Network Load Balancing
• ISA Server 2004 Appliance
• Pre-configurado y Pre-testeado
• Configuración bastionada para reducir la
  superficie de ataque
• Sencillez
• ISA Server SE 2004 SP1

16
Introducción
17
Arquitectura ISA Server 2004

• Firewall multired
• Nivel de Red.
• Nivel de Aplicación.
• Servidor VPN
• Túneles.
• Clientes.
• Servidor Caché.

18
Soporte Multired

• ISA Server 2004 divide los sistemas de red en
  función de las necesidades planteadas en el marco
  de la seguridad.
• Definición de redes y grupos de redes.
• Definición de la interconexión entre redes
  mediante NAT o enrutamiento.
• Permite gestión independiente.
• Presenta soporte para redes.
• Internas.
• Perimetrales.
• Externas.
• Interconexión sitios VPN.
• VPN de Cuarentena

19
Características de seguridad.

• Filtros IP.
• Reglas de acceso.
• Publicación de servicios.
• Filtros de aplicación.

20
Filtros IP

• Filtrado IP a nivel de paquetes.
• Inspección de parámetros en cabeceras.
• Bloqueos de fragmentos IP.

21
Reglas de acceso

• Controlan el tráfico de información a través de
  las redes.
• Determinan la configuración de origen, destino,
  protocolos y usuarios que realizan la conexión.
• La aplicación de las reglas se determinan en un
  orden, quedando predefinida una regla que deniega
  cualquier tráfico de red.

22
Reglas de acceso

• ISA Server 2004 proporciona una serie de reglas
  con los que se puede controlar la información que
  circula por la red en función de
• Protocolos.
• Usuarios.
• Tipos de contenido.
• Franjas de tiempo.
• Objetos de red.

23
Reglas de Publicación

• Se utilizan para publicar servidores.
• Asistentes de publicación
• Web Server.
• Secure Web Server.
• Mail Server.
• Definición de servidores por servicios.

24
Firewall de aplicación
25
Necesidades

• Inspeccionar el tráfico al nivel de aplicación.
• Permitir o denegar el paso de datos a
  determinados contenidos o aplicaciones.
• Proporcionan controles sobre determinados
  ataques.
• Sistema extensible sobre filtrados de conexiones.

26
Métodos de implementación

• Implementadas directamente sobre las reglas de
  acceso y las publicaciones.
• Como un añadido sobre reglas y publicaciones.
• Como funcionalidad sobre ISA a nivel Firewall.

27
Filtro HTTP

• Las necesidades de la empresa permiten el tráfico
  a través del puerto 80.
• Por el puerto 80 no solo viaja tráfico HTTP puro,
  sino que puede disfrazar otras comunicaciones.
• Malware.
• P2P.
• Servicios de mensajería
• Determinados ataques contra Servicios Web pueden
  ser controlados a este nivel.

28
Controles HTTP

• Mediante el filtro HTTP pueden ser controlados
  estos aspectos de la comunicación
• Técnicas de Buffer Overflow.
• Denegación de servicio.
• Subida de datos en escenarios de publicación.
• Control de métodos.
• Control de cabeceras.

29
Filtro contenido HTTP

• Controlan el tráfico de datos a través de firmas.
• En transmisión de datos.
• En recepción de datos.
• Impedir tráfico a palabras claves.
• Control de acceso a sitios web.
• Detención de comunicaciones de aplicaciones por
  firma y cabecera.

30
Control de aplicaciones HTTP
31
Filtro Proxyweb

• Se aplica de forma directa sobre HTTP.
• Permite la extensión del filtro HTTP y de
  autentificación sobre otros protocolos.
• Garantiza el control sobre comunicaciones en
  entornos propietarios.

32
Protocolos RPC

• Un número considerables de servicios se
  establecen mediante RPC.
• Problemática de las transmisiones RPC.
• Inicio de comunicación sobre 135 para localizar
  el puerto de comunicación.
• Establece comunicación en puertos por encima de
  1024.
• El administrador no debería abrir todos los
  puertos por encima del 1024.

33
Filtro RPC

• Las comunicaciones RPC se pueden parametrizar por
  el UUID.
• Identificador del servicio RPC.
• Identificador del interface.
• ISA Server 2004 presenta un asistente para la
  creación de protocolos RPC basados en UUID.
• Manual.
• Automáticamente conectando a un servidor y
  seleccionando sus UUID correspondientes.
• El servicio de Firewall aplica con posterioridad
  los filtros para permitir la transferencia de
  datos a UUID determinados.

34
Transmisión RPC
35
Filtro SMTP

• ISA Server 2004 para el protocolo SMTP presenta
  un filtro que realiza el control de los comandos
  SMTP.
• Se puede ampliar la funcionalidad del filtro SMTP
  mediante Message Screener.

36
Message Screener

• Message Screener se instala como un componente
  adicional de MS ISA 2004.
• Puede ser instalado sobre cualquier servidor que
  ejecute IIS 5.0 o 6.0 y tenga instalado el
  Servidor SMTP.
• No se recomienda su implementación sobre el
  servidor MS Exchange Server 2003, ya que podría
  interferir en los filtros propios.

37
Implicaciones de Implantación

• En función de los escenarios de implantación,
  habrá que tener en cuenta las siguientes medidas
• Publicar DNS para reconocer los Servidores de
  correo Internos.
• Publicar o crear las reglas de acceso necesarias
  para los servidores SMTP.
• Establecer conexiones entre servidores SMTP.

38
Message Screener

• Message Screener aporta mayores funcionalidades
  que el filtro smtp controlando
• Palabras en cabecera o cuerpo del mensaje.
• Permite parar Virus difundidos por e-mail cuando
  aún no hay vacunas.
• Bloqueos de remitente y dominios.
• Correos con attachments.

39
(No Transcript)
40
Message Screener

• Cuando se aplica una regla de filtrado se pueden
  establecer 3 acciones diferentes
• Eliminar el mensaje.
• Retener el mensaje para inspeccionarlo
  posteriormente.
• Enviar una notificación a una dirección de correo.

41
Filtro FTP

• Controla la conexión a través de los puertos
  dinámicos FTP.
• Realiza la conversión de las direcciones para los
  clientes SecureNat.
• Controla los procesos de escritura,
  prioritariamente en entornos de publicación.

42
Filtros de autentificación

• ISA Server 2004 presenta una serie de mecanismos
  para garantizar los procedimientos de
  autentificación.
• Integración con Directorio Activo.
• Filtro Web RSA para autentificación de usuarios
  SecurID.
• Filtro de autentificación Radius.
• Filtros de formulario de autentificación para OWA.

43
DemoFiltro HTTPMessage Screener
44
Bridging HTTP-s con ISA Server 2004
45
Problemática HTTP-s

• Conexiones HTTP-s ofrecen
• Autenticación mediante certificados.
• Cifrado mediante tuneles SSL.
• Conexiónes HTTP-s condicionan
• Transmisión datos extremo-extremo.
• Paso a través de sistemas de protección de forma
  oculta.

46
Problemática HTTP-s

• Conexiones HTTP-s
• Firewalls e IDS no pueden inspeccionar tráfico.
• Ataques pasan sin ser detectados por firewalls
• SQL Injections.
• Cross-Site Scripting (XSS)
• Red Code.
• Unicode.

47
Problemática HTTP-s

• Cifrado y autenticado es útil contra
• Sniffers.
• Man In The Middle.
• Pero hay que dejar que los sistemas de protección
  inspeccionen el contenido.
• Firewalls.
• IDS.

48
Bridging HTTP-s

• El proceso de Bridging en conexiones HTTP-s
  permite que las conexiones se cifren en dos
  tramos.
• Entre cliente y Firewall.
• Entre Firewall y Servidor.

49
Bridging HTTP-s

• Ventajas
• El Firewall puede inspeccionar el contenido.
• Se pueden aplicar reglas mediante filtros.
• Se pueden detectar ataques.
• No se pierde seguridad.
• Si se desea, se puede dejar descifrado para
  inspecciones NIDS.

50
Bridging HTTP-s

• MS ISA Server 2004 permite
• Tunneling HTTPS por cualquier puerto.
• MS ISA Server 2000 hay que configurar puertos
  SSL.
• Bridging HTTPS con
• Cifrado entre cliente-firewall y firewall
  servidor.
• Cifrado entre cliente-firewall.
• Cifrado entre firewall-Servidor.

51
DemoBridging HTTPS
52
Sistema de detección de intrusos
53
Detección de Intrusos

• El servicio proporciona un mecanismo para
  identificar cuando se está produciendo un ataque.
• ISA Server compara el tráfico de red con
  registros y patrones de ataques bien conocidos.
• Cuando un ataque es reconocido se genera una
  alerta.

54
Controles

• Ataques Winnuke.
• Ataques tipo Land.
• Ping de la muerte.
• Ataques Half-Scan.
• Bombas UDP.
• Escaneo de puertos.

55
Detección de ataques DNS

• Desbordamiento de nombres de HOST sobre DNS.
• Desbordamiento de longitud DNS.
• Control de trasferencias de zona.

56
Addons
57
Addons

• ISA Server 2004 presenta una arquitectura abierta
  para
• Desarrollar (SDK ISA Server).
• Implementar nuevas herramientas.
• Software de terceros amplían las funcionalidades
  de ISA Server 2004.

58
Tipos de Addons

• Implementaciones de antivirus para ISA Server.
• Gestión de tráfico web. Websense.
• Gestión de tráfico y aplicación de cuotas.
• Ampliación de los componentes Sockets.
• Mejoras en sistemas de detección de intrusos.

59
BitDefender for MS ISA Servers
Why BitDefender for MS ISA Servers?
With corporate networks being increasingly
bombarded by Internet-based attackers, firewalls
are a necessity for todays enterprise networks.
But as firewalls cannot proactively and
completely stop malware, an antivirus scanning of
the http ftp traffic is equally necessary.
60
BitDefender for MS ISA Servers
What is BitDefender for MS ISA Servers?
BitDefender for MS ISA Servers is the
antivirus solution that offers protection for
HTTP and FTP traffic by integrating with
Microsoft ISA 2004 and 2000 Servers.
61
BitDefender for MS ISA Servers - Brief
Main Features

• HTTP FTP antivirus scanning
• Filters management
• MMC based, easy to use interface
• Automatic Update
• Reports Statistics
• Network Management (BDEM)

BitDefender for MS ISA Servers integrates with
the firewall and the web cache server, Microsoft
ISA Server (2004 and 2000), through two
application (ISAPI) filters offering antivirus
protection for the HTTP, FTP and FTP through HTTP
traffic.
62
BitDefender for MS ISA Servers functional
diagram
63
BitDefender for MS ISA Servers

• HTTP and FTP Antivirus Scanning
• HTTP filter
• Antivirus scan of HTTP traffic
• Browser comforting
• FTP Filter
• Antivirus scan of FTP Upload traffic
• Antivirus scan of FTP Download traffic

64
BitDefender for MS ISA Servers
Antivirus Filters Management Intelligent system
that manages antivirus filters for HTTP and FTP
traffic. This system is based on rules which
combine three elements client groups, content
groups and scanning actions.
65
BitDefender for MS ISA Servers

• Content Groups
• Specify lists of MIME (Multipurpose Internet Mail
  Extensions) types and extensions.

• Client Groups
• Specify sets of clients identifiable by their IP.

• Actions
• Specify the scanning process per type of
  protocol HTTP, FTP upload and FTP download.

66
BitDefender for MS ISA Servers
New and Easy to Use Interface

• MMC based interface that offers a friendly
  working environment.
• The wizard system implemented in the interface
  enhances the usability of the product while the
  snap-in system provides the management
  functionality.

67
BitDefender for MS ISA Servers

• Update Module
• Automatic update
• Update through a proxy server
• Update Now (on-demand)

68
BitDefender for MS ISA Servers
Reports Statistics Useful reports with virus
statistics and reports regarding the FTP and HTTP
traffic.
69
BitDefender for MS ISA Servers

• Notifications
• The Alerts module is a tool used to alert the
  administrator in case a virus, warning or error
  occurred.
• The Alerts are sent through Microsoft ISA Server
  system

• Integrated with BitDefender Enterprise Manager
• Network management
• Update from a network location

70
Demo

• Demo HTTP FTP AV Protection

71
BitDefender Engines Certifications
72
BitDefender vs Others
73
Availability / System Requirements
74
Bottom Line
Preguntas
75
Contacto

• Guía de la consolidación de Seguridad de ISA
  Server 2004.
• http//www.microsoft.com/spain/technet/recursos/a
  rticulos/securityhardeningguide.mspx
• Chema Alonso
• jmalonso_at_informatica64.com
• José Parada
• jparada_at_microsoft.com
• Alfonso Tapia
• alfonsotapia_at_bitdefender-es.com