HOL ISA Server by ksw12253

VIEWS: 192 PAGES: 48

									TechNet:
ISA Server 2006: Introducción



       Ana Alfaro García
    v-analfa@microsoft.com
Coordinadora de Eventos TechNet
ISA Server 2006: Introducción

         Chema Alonso
    chema@informatica64.com
      MVP Windows Security
Agenda
•   Introducción.
•   Sistema de red.
•   Administración de la seguridad.
•   Firewall de aplicación.
•   Sistema de detección de intrusos.
•   Gestión de Caché.
•   Soporte y administración.
Introducción
Novedades ISA Server 2006
• Administración
    –Mejora de los asistentes.
    –Mejoras en la gestión de certificados.
    –Mejoras en la propagación de directivas.


• Publicación de servidores:
    –Asistente publicación OWA mejorado.
    –Nuevo asistente de publicación de SPPS.
    –Soporte para Exchange 2007.
    –Mejoras en la traducción de enlaces.
    –Caché de bits.
    –Balanceo de carga para publicación web.
    –Calidad de servicio mediante el filtro Web Diffserv.
Novedades ISA Server 2006
• Autentificación:
   –Autentificación LDAP.
   –Single Sign-On.
   –Autentificación basada en formularios para sitios web.
   –Mejoras de control de sesión.


• Soporte Firewall:
   –Mejorados los asistentes de creación de reglas.
   –Resistencia a ataques por saturación.
   –Mejoras en la recuperación en caso de ataque.
Arquitectura ISA Server 2006

• Firewall multired:
    –Nivel de Red.
    –Nivel de Aplicación.


• Servidor VPN:
    –Clientes.
    –Branch Offices


• Servidor Caché.
Arquitectura Firewall

• Soporta múltiples redes de trabajo.
• Establecimiento de política por red
• Diseño de objetos para políticas.
• Controlar el flujo de información
  entre las diferentes redes.
• Soporta enrutamiento y NAT.
Arquitectura Firewall

  • Solución extensible de filtrado de
    conexiones.
  • Integración completa con Active
    Directory.
  • Soporte de Firewall sobre usuarios.
  • Aplicación de reglas encadenadas.
 Arquitectura Caché

• Mejora las condiciones de acceso a
  Internet mediante:
   –Soporte múltiples unidades de caché.
   –Soporte Caché en Arrays.
   –Caché Pasiva.
   –Soporte Caché Activa.
   –Soporte de Jobs de Caché.
   –Soporte de Caché Negativa.
   –Perfiles de cache por reglas.
Soporte Multired

• ISA Server 2006 divide los sistemas de red en
  función de las necesidades planteadas en el
  marco de la seguridad.
    –Definición de redes y grupos de redes.
    –Definición de las reglas de conexión de redes.


• Permitirá gestión independiente de las redes.

• Asignan funcionalidades de clientes de proxy y
  firewall independientes para las redes.
    Configuración de redes

•   Una red viene determinada por una o más máquinas correspondiendo
    normalmente con una red física.

•   Se pueden especificar reglas a una o más redes.

•   La red determina cuales son los clientes que van a disponerse.

•   ISA genera una preconfiguración de redes.

•   Las redes pueden ser agrupadas en conjunto de redes para su
    administración.
  Interconexión de redes
• Determinan como se van a establecer la conectividad
  entre las diferentes redes.

• Las redes pueden ser conectadas siguiendo una de
  estas dos metodologías.
    –Enrutamiento.
    –NAT.


• Dentro de una red la comunicación entre equipos se
  considera como enrutada.
Demo:
Entorno ISA Server 2006
Administración de la Seguridad
con ISA Server 2006
Características de seguridad

•   Filtros IP.
•   Reglas de acceso.
•   Publicación de servicios.
•   Filtros de aplicación.
•   Detección y alertas contra
    intrusos.
Filtros IP

• Filtrado IP a nivel de paquetes.

• Inspección de parámetros en
  cabeceras.

• Bloqueos de fragmentos IP.
Reglas de acceso
•   Controlan el tráfico de información a través de las redes.

•   Determinan la configuración de origen, destino, protocolos y usuarios que
    realizan la conexión.

•   La aplicación de las reglas se determinan en un orden, quedando
    predefinida una regla que deniega cualquier tráfico de red.

•   Existen 2 tipos de reglas:
       –Reglas de sistema.
       –Reglas de Firewall.
Reglas de acceso
•   ISA Server 2006 proporciona una serie de reglas con los que se
    puede controlar la información que circula por la red en función de:
       –Protocolos.

       –Usuarios.

       –Tipos de contenido.

       –Franjas de tiempo.

       –Objetos de red.
Reglas de Publicación

  • Se utilizan para publicar servidores.

  • Asistentes de publicación:
      –Clientes de Acceso Web de Exchange.
      –Servidor de correo.
      –Sitio de Share Point.
      –Sitios Web.
      –Otros servicios.
Asistentes
• ISA Server 2006 presenta diferentes
  asistentes en función del servicio a
  publicar.

• La publicación de Servicios WEB admite
  la funcionalidad de publicar servidores o
  servicios balanceados.

• Los sitios Web admiten las
Listener
• Define la escucha para las peticiones al
  servidor publicado.

• Admite la utilización de múltiples
  certificados.

• Admite diferentes mecanismos de
  autentificación.
Autentificación
• Admite los siguientes mecanismos de
  autentificación:
   –Autentificación de formulario HTML.
   –Autentificación HTTP.
   –Autentificación SSL.
   –No autentificar.
Validación de credenciales
• Los mecanismos de validación pueden
  ser:
   –Directorio Activo.
   –LDAP.
   –Radius.
   –Radius OTP.
   –RSA SecurID.
Demo:
Publicación servidores con ISA
Server 2006
Firewall de aplicación
Necesidades
  • Inspeccionar el tráfico al nivel de aplicación.

  • Permitir o denegar el paso de datos a determinados
    contenidos o aplicaciones.

  • Proporcionan controles sobre determinados ataques.

  •   Sistema extensible sobre filtrados de conexiones.
Métodos de implementación

• Implementadas directamente sobre las
  reglas de acceso y las publicaciones.

• Como un añadido sobre reglas y
  publicaciones.

• Como funcionalidad sobre ISA a nivel
  Firewall.
Filtro HTTP
 • Las necesidades de la empresa permiten el
   tráfico a través del puerto 80.

 • Por el puerto 80 no solo viaja tráfico HTTP puro,
   sino que puede disfrazar otras comunicaciones.
     –Malware.
     –P2P.
     –Servicios de mensajería …


 • Determinados ataques contra Servicios Web
   pueden ser controlados a este nivel.
Controles HTTP

  • Mediante el filtro HTTP pueden ser controlados
    estos aspectos de la comunicación:

      –Técnicas de Buffer Overflow.

      –Denegación de servicio.

      –Subida de datos en escenarios de publicación.

      –Control de métodos.

      –Control de cabeceras.
Filtro contenido HTTP

  • Controlan el tráfico de datos a través de firmas.
      –En transmisión de datos.
      –En recepción de datos.


  • Impedir tráfico a palabras claves.
      –Control de acceso a sitios web.


  • Detención de comunicaciones de aplicaciones
    por firma y cabecera.
  Control de aplicaciones HTTP
     Aplicación       Petición      Cabecera HTTP              Firma
Windows           Request headers   User-Agent:        MSMSGS
   Messenger
 AOL Messenger    Request headers   User-Agent:        Gecko/
(and Gecko
browsers)
Yahoo Messenger   Request headers   Host               msg.yahoo.com
Kazaa             Request headers   P2P-Agent          Kazaa,
                                                          Kazaaclient:
Kazaa             Request headers   User-Agent:        KazaaClient
Kazaa             Request headers   X-Kazaa-Network:   KaZaA
Gnutella          Request headers   User-Agent:        Gnutella
                                                       Gnucleus
Edonkey           Request headers   User-Agent:        e2dk
Morpheus          Response header   Server             Morpheus
Filtro Proxyweb
• Se aplica de forma directa sobre HTTP.

• Permite la extensión del filtro HTTP y de
  autentificación sobre otros protocolos.

• Garantiza el control sobre
  comunicaciones en entornos propietarios.
Protocolos RPC

  • Un número considerables de servicios se
    establecen mediante RPC.

  • Problemática de las transmisiones RPC.
      –Inicio de comunicación sobre 135 para localizar el puerto de
       comunicación.
      –Establece comunicación en puertos por encima de 1024.


  • El administrador no debería abrir todos los
    puertos por encima del 1024.
Filtro RPC
• Las comunicaciones RPC se pueden parametrizar
  por el UUID.
    –Identificador del servicio RPC.
    –Identificador del interface.

• ISA Server 2004 presenta un asistente para la
  creación de protocolos RPC basados en UUID.
    –Manual.
    –Automáticamente conectando a un servidor y seleccionando sus UUID
     correspondientes.


• El servicio de Firewall aplica con posterioridad los
  filtros para permitir la transferencia de datos a UUID
  determinados.
Transmisión RPC
Addons

 • ISA Server 2004 presenta una
   arquitectura abierta para:
    –Desarrollar (SDK ISA Server).
    –Implementar nuevas herramientas.


 • Software de terceros amplían las
   funcionalidades de ISA Server 2006.
Tipos de Addons
• Implementaciones de antivirus para ISA Server.

• Gestión de tráfico web. Websense.

• Gestión de tráfico y aplicación de cuotas.

• Ampliación de los componentes Sockets.

• Mejoras en sistemas de detección de intrusos.
Diffserv
• Mediante el filtro Diffserv pueden
  establecerse prioridades del envío de
  paquetes HTTP.

• La asignación de prioridades se asignan
  sobre los objetos Redes de ISA Server
  2006.
Elemento de priorización
• El establecimiento de prioridades se
  realiza sobre:
   –URL.
   –Dominios.


• La asignación de prioridades se
  establece mediante la definición de
  valores.
Filtro Diffserv
Demo
Monitorización
Monitorización

• Monitorización de servicios de ISA
  Server.
   –Firewall.
   –Data Engine.
   –Isa Server Job Scheduler.
   –Remote Access.


• Monitorización de sesiones VPN.

• Monitorización de conectividad.
Registro de Sucesos

• Soporte de LOG por filtros de servidor.

• Integración con bases de datos.
    –MSDE.
    –SQL.


• Soporte de consultas sobre logs.

• Filtro de consultas.
Informes

• ISA Server 2006 presenta el sistema de
  Reporting.
    –Informes sumariales.
    –Informes de utilización de aplicaciones.
    –Informes de utilización web.
    –Informes de seguridad.
    –Informes de tráfico y uso.


• Generación y publicación de informes
  planificada.
Boletín quincenal TechNews
Contactos
• Informática 64
   –http://www.informatica64.com
   –i64@informatica64.com
   –+34 91 665 99 98

• Hands On Lab
   –http://www.microsoft.es/HOLSistemas


• Chema Alonso
   –chema@informatica64.com

								
To top