Microsoft ISA Server 2004:

Microsoft ISA Server 2004:

Pare-feu applicatif

contre les attaques

internes et externes







Stanislas Quastana

Microsoft France - Consultant

Agenda

Partie 1 : Présentation générale ISA Server 2004 (5

minutes)

Partie 2 : Sécuriser l’accès vers Internet depuis les

réseaux locaux pour les utilisateurs de l’entreprise (10

minutes)

Partie 3 : protection des serveurs et des réseaux

d’entreprise vis-à-vis d’Internet. Exemple avec Exchange

Server (25 minutes)

Partie 4 : protection des serveurs et des réseaux contre

les menaces internes (25 minutes)

Synthèse

Questions / Réponses (10 minutes)

Agenda

Partie 1 : Présentation générale ISA Server 2004 (5

minutes)

Partie 2 : Sécuriser l’accès vers Internet depuis les

réseaux locaux pour les utilisateurs de l’entreprise (10

minutes)

Partie 3 : protection des serveurs et des réseaux

d’entreprise vis-à-vis d’Internet. Exemple avec Exchange

Server (25 minutes)

Partie 4 : protection des serveurs et des réseaux contre

les menaces internes (25 minutes)

Synthèse

Questions / Réponses (10 minutes)

ISA Server 2004 en quelques

mots

2ème génération de pare-feu Microsoft

Pare-feu multicouches (3,4 et 7)

Capacité de filtrage extensible

Proxy applicatif

Nouvelle architecture

Intégration des fonctionnalités de VPN

ISA Server 2004

Facilité de mise en oeuvre



Nombre de réseaux illimité

Architecture

Stratégie de filtrage définie par réseau

multi réseau

Règles de routage / NAT inter réseaux

Assistant de définition des relations

Topologies entre les différents réseaux

réseau type

Support de scénarios complexes

Stratégie de sécurité Pare-feu/VPN

Éditeur de unifiée

stratégies

Import-export de configuration (XML)



Outils de Tableau de bord de supervision

diagnostique Visualisation des journaux temps réel

ISA Server 2004

Protection avancée



Inspection de Filtres applicatifs HTTP et SMTP

contenu avancée Stratégies riches et flexibles



Protection des Filtre applicatif RPC (MAPI et autres)

serveurs de

messagerie Sécurité Outlook Web Access accrue



Méthodes: POST, HEAD...

Filtrage HTTP

évolué Signatures: mots clés ou chaînes de

caractères dans URL, En-tête, Corps



Authentification Windows, RADIUS et RSA SecurID

flexible Délégation d’authentification

ISA Server 2004

Architecture Application

layer filtering



Web Web

filter filter

Policy

Store Web Filter API (ISAPI)



Web Proxy Filter SMTP RPC DNS App

Filter Filter Filter Filter

Protocol layer

filtering

Application Filter API

Policy

3

Engine

Firewall service User

2 Mode

Kernel mode

data pump:

Performance Kernel

optimization Mode

TCP/IP Stack

Firewall Engine

4

NDIS Packet layer

filtering

1

Structure des règles de pare-feu

ISA Server 2004

•Ensemble de règles ordonnées

•Plus logique et plus facile à comprendre (vs ISA Server

2000 notamment)

Destination network

Allow Destination IP

Block Destination site

User







action on traffic from user from source to destination with conditions





Protocol Source network •Published server

IP Port / Type Source IP •Published web site

Originating user •Schedule

•Filtering properties

Agenda

Partie 1 : Présentation générale ISA Server 2004 (5

minutes)

Partie 2 : Sécuriser l’accès vers Internet depuis les

réseaux locaux pour les utilisateurs de l’entreprise (10

minutes)

Partie 3 : protection des serveurs et des réseaux

d’entreprise vis-à-vis d’Internet. Exemple avec Exchange

Server (25 minutes)

Partie 4 : protection des serveurs et des réseaux contre

les menaces internes (25 minutes)

Synthèse

Questions / Réponses (10 minutes)

Les besoins des entreprises

connectées vus par l’administrateur

« Je veux contrôler les protocoles réseaux utilisés

par mes utilisateurs »

« Je veux administrer les accès de manière

centralisée et intégrée avec mon infrastructure

(domaines NT, Active Directory, RADIUS) »

« Je veux empêcher mes utilisateurs de

télécharger des fichiers illégaux ou dangereux »

« Je veux qu’Internet soit un outil de travail et

empêcher mes utilisateurs de surfer sur le Web là

où ils veulent. »

Contrôle des protocoles

ISA Server 2004 propose en

standard une liste des

protocoles les plus utilisés

Il est possible de compléter

celle-ci en créant les

définitions des protocoles

utilisés par vos applications.

Les règles de pare-feu

permette une grande

granularité dans leur définition

Contrôle des contenus

ISA Server 2004 permet de filtrer les

contenus des requêtes HTTP et FTP

Plusieurs catégories sont prédéfinies et

peuvent être personnalisées ou

complétées.

Filtrage applicatif : filtre HTTP

Le filtre HTTP peut être défini sur toutes les règles de pare-

feu qui utilisent HTTP.



Les options suivantes sont disponibles:

Limiter la taille maximale des entêtes (header) dans les requêtes

HTTP

Limiter la taille de la charge utile (payload) dans les requêtes

Limiter les URLs qui peuvent être spécifiées dans une requête

Bloquer les réponses qui contiennent des exécutables Windows

Bloquer des méthodes HTTP spécifiques

Bloquer des extensions HTTP spécifiques

Bloquer des entêtes HHTP spécifiques

Spécifier comment les entêtes HTTP sont retournés

Spécifier comment les entêtes HTTP Via sont transmis ou retournés

Bloquer des signatures HTTP spécifiques

Utilisation du filtre HTTP

Le filtre applicatif HTTP peut être utilisé pour

bloquer les applications utilisant HTTP comme

méthode d’encapsulation pour d’autres

protocoles :

Messageries instantanées : MSN Messenger, Yahoo

Messenger…

Logiciels P2P : Kazaa, Emule…

Spyware : Gator…

Chevaux de Troie

Filtre applicatif HTTP

Exemple de filtrage en fonction du contenu de l’en-tête

POST http://64.4.1.18/gtw/gtw.dll?SessID=1

HTTP/1.1

Accept: */*

Accept-Language: en-us

Accept-Encoding: gzip, deflate

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;

.NET CLR 1.1.4322; MSN Messenger 6.2.0133)

Host: 64.4.1.18

Proxy-Connection: Keep-Alive

Connection: Keep-Alive

Pragma: no-cache

Content-Type: application/x-msn-messenger

Content-Length: 7

Démonstration : utilisation du

filtre applicatif HTTP

Agenda

Partie 1 : Présentation générale ISA Server 2004 (5

minutes)

Partie 2 : Sécuriser l’accès vers Internet depuis les

réseaux locaux pour les utilisateurs de l’entreprise (10

minutes)

Partie 3 : protection des serveurs et des réseaux

d’entreprise vis-à-vis d’Internet. Exemple avec Exchange

Server (25 minutes)

Partie 4 : protection des serveurs et des réseaux contre

les menaces internes (25 minutes)

Synthèse

Questions / Réponses (10 minutes)

Partie 3 - protection des

serveurs et des réseaux

d’entreprise vis-à-vis d’Internet

La problématique des pare-feux traditionnels

Le besoin des pare-feux niveau applicatifs (niveau 7)

Le modèle ISA Server : pare-feu multicouches

Quelques filtres applicatifs d’ISA 2004

Le filtre HTTP

Le filtre SMTP

Exemple avec Exchange Server

Publication Web : protection d’Outlook Web Access (OWA)

Publication de serveur : SMTP

Le problème

Les pare-feux traditionnels se focalisent sur le filtrage de

paquets et le statefull inspection

Aujourd’hui, la plupart des attaques contournent ce type

de protection (ex: Nimda, Code Red, openssl/Slapper…).

Les ports et protocoles ne suffisent plus à contrôler ce

que font les utilisateurs

Hier, les port 80 et 443 était utilisées pour surfer sur le

Web

Aujourd’hui, ces ports sont utilisés pour la navigation

sur le Web, les Webmail, les messageries

instantanées, les Web Services, les logiciels P2P…



Le filtrage de paquets & le statefull inspection ne

sont plus suffisants pour se protéger des attaques

d’aujourd’hui !

Les Pare-feu niveau Application

Sont nécessaires pour se protéger des

attaques d’aujourd’hui…

…, ils permettent une analyse approfondie

du contenu des paquets réseaux…

…car comprendre ce qu’il y a dans le

Payload est désormais un pré requis



Internet

Vers réseau interne





Pare-feu Pare-feu niveau

traditionnel Application

ISA Server = pare-feu multi couches

Filtrage de paquets & statefull inspection

Filtrage au niveau de la couche application

(analyse approfondie du contenu)

Architecture proxy avancée

Produit évolutif et extensible

http://www.microsoft.com/isaserver/partners/default.asp



Partenaires certifiés sur la version bêta :







 Un des meilleurs pare-feux pour les

environnements Microsoft.

ISA Server 2004 Filtres applicatifs

HTTP: Site interdit



HTTP: Virus



DNS: Attaque de zone Client



SMTP: VRFY *



HTTP: Attaque/Vers

Analyse du contenu

Blocage / modification / redirection Serveur

Filtres applicatifs pour

Internet: HTTP, FTP, SMTP, POP3

Streaming: RTSP, MMS, PNM, H.323

DNS: Détection d’intrusions, transfert de zones

RPC: Publication de serveurs, filtrage sur les UUIDs

PPTP

SOCKS V4

ISA Server 2004

Protection des serveurs Web - Filtre applicatif HTTP





Filtre les requêtes entrantes en fonction d’un

ensemble de règles



Permet de se protéger des attaques qui

Demandent des actions inhabituelles

Comportent un nombre important de caractères

Sont encodés avec un jeu de caractères spécifique



Peut être utilisé en conjonction avec l’inspection de

SSL pour détecter les attaques sur SSL

Protection des serveurs OWA

Délégation d’authentification Basic

URLScan pour ISA Server

ISA Server pré authentifie les

ISA

…ce Server peut virus et

aux

utilisateurs, éliminant les boites de qui permet L’analyse des URL par ISA Server

Le serveur OWA fait

déchiffrer et de se propager une demande Web au

dialogues redondantes et n’autorise vers

aux inspecter stopper les attaques

peut

d’authentification - tout utilisateur sur

le trafic SSLpérimètre du réseau, y compris en

que le trafic valide à passer Analyse URL

sans être détectés…

Internet peut accéder à cette demande

cas d’utilisation de SSL

par ISA Server

SSL SSL SSL or

HTTP





Internet





Pare-feu

ISA Server OWA

Client traditionnel

SSL passe au travers des pare-

…et d’infecter les serveurs internes

feu traditionnels sans contrôle inspecté le trafic peut être envoyé vers !

Une fois

le serveur interne de nouveau chiffré ou en clair.

du fait du chiffrement…

Démonstration

Publication d’Exchange 2003 – Outlook Web

Access

192.168.1.150 ISA 2004-1



« Internet » 10.0.0.1

192.168.1.x/24 192.168.1.1 Internal 10.0.0.x/24





Externe

192.168.103.1 10.0.0.10





LAN3 192.168.103.x/24



192.168.103.20



DC1

Contrôleur AD

Serveur DNS





Exch2K3

Exchange 2003

Filtre applicatif SMTP

ISA intercepte tout le trafic SMTP (Simple Mail

Transfert Protocol) qui arrive sur le port 25 sur le

serveur ISA. Le filtre SMTP accepte le trafic,

l’analyse et le retransmet au vrai serveur SMTP

publié uniquement si la règle de pare-feu

l’autorise.

Enregistrement des mails bloqués : Si une

commande SMTP est bloquée car elle viole une

des conditions imposées par le filtre SMTP, le

message bloqué est loggué. Cette journalisation

n’est effective que si l’alerte SMTP Filter Event

est activée (par défaut : désactivée)

Configuration du filtre SMTP

Agenda

Partie 1 : Présentation générale ISA Server 2004 (5

minutes)

Partie 2 : Sécuriser l’accès vers Internet depuis les

réseaux locaux pour les utilisateurs de l’entreprise (10

minutes)

Partie 3 : protection des serveurs et des réseaux

d’entreprise vis-à-vis d’Internet. Exemple avec Exchange

Server (25 minutes)

Partie 4 : protection des serveurs et des réseaux contre

les menaces internes (25 minutes)

Synthèse

Questions / Réponses (10 minutes)

Les attaques viennent aussi de

l’interne









Étude et

statistiques

sur la

sinistralité

informatique

en France

(2002)

Les attaques internes ne sont pas toujours

déclenchées de manière intentionnelle

Le meilleur exemple est la propagation d’un ver comme

Blaster (exploitation d’une faille RPC) ou Sasser.





Lundi

Dimanche

Internet

Jour J de

Jour J+1 de

l’infection







Réseau de l’entreprise Réseau de l’entreprise

Fonctionnement des RPC DCE

Le client accède à Le RPC End Portmapper

Le client Le client se connecte

connaît demande

Le clientrépond avec le port et

l’application via le

met associé

du au portmapper sur le quel port estfin à la connexion

l’UUIDportservice

reçu

serveur (port tcp 135) à l’UUID ?

qu’il souhaite utiliser



4402/tcp

135/tcp

Service UUID Port

234-1111…} Exchange 4402/tcp

{12341234-1111… 4402

AD replication {01020304-4444… 3544

Client RPC MMC Serveur

{19283746-7777… RPC

9233

(ex: Outlook) (ex: Exchange)



fait de la nature aléatoire des ports utilisés par les

Du Le serveur fait

RPC, l’implémentation et le filtrage des RPC est difficile

correspondre l’UUID

Les servicesle port courant…

sur laRPC obtiennent pare-feu

avec majorité des

des port aléatoires (> 1024)

L’ensemble le

lors de leur démarrage,des 64,512 ports supérieurs à 1024 ainsi que le port

135 doivent être

serveur maintient une table ouverts sur des pare feu traditionnels

Attaques RPC potentielles

Reconnaissance / Fingerprinting

NETSTAT

RPCDump

RPCScan (http://www.securityfriday.com)

Déni de service contre le portmapper

Élévation de privilèges ou attaques sur

d’autres services

Blaster !!!!!

ISA Server 2004

Filtre applicatif RPC

Seul le port TCP 135 (RPC End Portmapper) est

ouvert

Les ports > 1024 sont ouverts/fermés dynamiquement pour

les clients (applications RPC) en fonction des besoins

Inspection du trafic vers le RPC End Portmapper au

niveau applicatif

Seuls les UUIDs de l’application RPC sont autorisés

à l’exception de tout autre







Serveur

Application cliente RPC ISA Server application RPC

Démonstration : Filtrage RPC

Externe









LAN3 192.168.103.x/24 Internal 10.0.0.x/24



192.168.103.1 10.0.0.1



192.168.103.20 10.0.0.10

ISA 2004-1



Scan RPC (utilisation de RPCScan)





Exch2K3 DC1

Exchange 2003 Contrôleur AD

Serveur DNS

Protection contre les attaques RPC

Reconnaissance? Oui!

NETSTAT net montre que 135/tcp

RPCDump, RPCScan ne fonctionnent pas

simplement

DoS contre le portmapper? Oui!

Les attaques connues échouent

Les attaques qui fonctionnent laissent Exchange, AD

protégés

Attaques de service sur Exchange, AD…? Oui!

L’obtention d’information n’est plus possible

Les connexions entre ISA Server et les applications

RPC vont échouer tant que les connexions entre ISA

et le client ne sont pas correctement formatées

Agenda

Partie 1 : Présentation générale ISA Server 2004 (5

minutes)

Partie 2 : Sécuriser l’accès vers Internet depuis les

réseaux locaux pour les utilisateurs de l’entreprise (10

minutes)

Partie 3 : protection des serveurs et des réseaux

d’entreprise vis-à-vis d’Internet. Exemple avec Exchange

Server (25 minutes)

Partie 4 : protection des serveurs et des réseaux contre

les menaces internes (25 minutes)

Synthèse

Questions / Réponses (10 minutes)

En résumé

ISA 2004 pour protéger vos ressources

Un pare-feu qui permettant de concevoir un grand nombre

de scénarii

Protection des flux sortant vers Internet

Protection des serveurs exposés sur Interne

Protection des ressources internes par segmentation et filtrage

applicatif

…



Défense en profondeur

Analyse aux couches 3,4 et 7

Nombreux filtres applicatifs inclus en standard (HTTP, RPC, SMTP,

DNS…)

Nombreux filtres complémentaires disponible auprès d’éditeurs tiers

Produit extensible adaptable à vos besoins

De nouveaux filtres prévus dans des futures Feature Packs: XML, …

Agenda

Partie 1 : Présentation générale ISA Server 2004 (5

minutes)

Partie 2 : Sécuriser l’accès vers Internet depuis les

réseaux locaux pour les utilisateurs de l’entreprise (10

minutes)

Partie 3 : protection des serveurs et des réseaux

d’entreprise vis-à-vis d’Internet. Exemple avec Exchange

Server (20 minutes)

Partie 4 : protection des serveurs et des réseaux contre

les menaces internes (25 minutes)

Synthèse

Questions / Réponses (10 minutes)

Questions / Réponses