sec003 - o que há de novo no isa server...
Post on 06-Feb-2018
214 Views
Preview:
TRANSCRIPT
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1
SEC003
O que há de novo no ISA Server 2006Ricardo Machadoricardo.machado@microsoft.comConsultor, Microsoft Consulting Services
Patrocinadores Agenda
Acesso seguro a aplicações
Gateway para locais remotos
Protecção no acesso à Internet
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2
Acesso seguro a aplicações
Segurança integrada
Autenticação com múltiplos factores
Integração com Active Directory e LDAP
Pré-autenticação com formulárioscostumizáveis
Melhorias na delegação de autenticação
Melhorias na gestão de sessões
Acesso seguro a aplicações
Gestão eficiente
Balanceamento na publicação de aplicaçõesWeb
Ferramentas de automação para Exchange, Sharepoint e outros servidores Web
Melhorias na gestão de certificados
Acesso seguro a aplicações
Acesso rápido e seguro
Mais escolhas de autenticação single sign-on
Tradução automática de links
Gateway para locais remotos
Gestão Eficiente
Automação da criação de ligações VPN
Utilização de answer files em removable media
Propagação mais eficiente da Enterprise Policy
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3
Gateway para locais remotos
Acesso rápido e seguro
Compressão de tráfego HTTP
Suporte para marcação diffserv
BITS Caching
BITS caching, Compressão HTTP e o suporte DiffServ são
idênticos ao existênte no ISA Server 2004 service pack 2
Protecção no acesso Internet
Segurança Integrada
Maior resistência a Flooding attacks
Maior resistência a Worm attacks
Melhorias na geração de alertas
Gestão eficiente
Maior eficiência na gestão de recursos do sistema operativo
ACESSO SEGURO A APLICAÇÕES
Os números
Crescimento de ocorrências de acessosnão autorizados a recursos TI
Rácio de ataques internos/externos é de 1:1
CSI/FBI 2005 report
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4
Mais Wizards
Web based
Outlook Web Access
Sharepoint
Web Servers
Outros
Servidores SMTP
Exchange RPC
Regras Costumizadas
Os Wizards criam todos os network elements e configuram a
tradução de links conforme seja necessário
Web Listener Wizard
Autenticação
Gestão de certificados
Compressão HTTP
AutenticaçãoAtributos
User ID Group
membership
Protocol
usageSchedule
AutenticaçãoCliente para o ISA
Form HTML
Radius
One Time Password
SecurID
HTTP Basic
Client Side SSL
Nenhuma
Soluções de terceiros
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5
AutenticaçãoISA para o validador
Active Directory
Kerberos
LDAP
RADIUS
RADIUS OTP
SecurID
Fluxo de autenticação
Client requests
web site
Authentication
on listener?Query for
credentials
Find matching
publishing rule
Is “All users”
on rule?Query for
credentials
AuthN required
on backend?Query for
credentials
Dis
pla
y p
ub
lish
ed
co
nte
nt
Sim
Não
Não
Sim
Sim
Não
Delegação de credenciais
URL
URL +
basic creds
Win
Lo
go
n
data
data
AD
IIS
ISA Server
401
OWA formURL + basic creds
form variables
RA
DIU
S
WinLogon
token
tok
en
browser
cookie
Single Sign-on
Ocorreautomáticamenteentre todas as aplicações publicadasnum único listener
O listener age comoum agregador de autenticação paratodos os sites publicados nele
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6
Fluxo do Single Sign-on
eng
dev
mktg
sup
example.com
www.domain.com
Identificação ?sup.example.comÉs
conhecidoeng.example.com
Identificação ?
www.domain.com
Não atravessa domínios
mesmo se os listeners
partilharemo mesmo
perfirl de autenticação e
o SSO estiver activo
dev.example.comID+pass
Certificados
Obrigatórios
Front-end – Autentica o ISA Server e permiteo establecimento de Sessões SSL com clientes
Back-end – Autentica o servidor publicado e establece uma Sessão SSL com o ISA Server
Opcionais
ISA Server como cliente – Autentica o ISA Server perante o servidor publicado
Cliente – Autentica um cliente perante o ISA Server
CertificadosRevisão
CertificadosGestão
Múltiplos certificados porlistener
Elimina a necessidade de wilcard certificates
Uma única configuração de autenticação
Um certificado por cadaservidor em array
SSL offload hardware é recomendado
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7
CertificadosEstado
Identifica certificadosincorrectamenteinstalados
Verifica a presença no store correcto
Verifica a presença dachave privada
Valida o estado em cadamembro do array
Aviso caso o certificadotenha expirado
CertificadosAlertas
Problemas com certificados geram alertas
Melhoria em relação aoerro genérico do ISA Server 2004
Autenticação c/ Forms HTML
Funciona com qualquer site publicado
3 niveis de funcionalidade (Premium, Basic e Mobile)
Forms para Logon, Logoff e SecurID
Selecciona a lingua através da configuraçãodo browser ou listener
Tipos de forms
Username e password
Username e passcode
Combinado
ID+passcode para SecurID ou RADIUS One Time Password
ID+Password para delegação e validação no backend
Froms prédefinidos
ISA Server genérico
Exchange
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8
Form genérico ISA Server Costumização de forms
Um form por listener
As regras de publicação podemsubstituir o form utilizado no listener
Gestão de sessõesCookies
Persistentes
Sessão
Expiração da sessão
Tempo idle
Duração de sessão
Apenas a actividade do utilizador reinicia o cookie timer
Logoff
Adicionar o logoff url à regrade publicação
Apaga o cookie e adiciona à lista de revogação
Regista a identidade do utilizador no log
Tradução de linksRevisão
http://www.example.com
<HREF=http://teams/eng>
?
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9
Tradução de linksRevisão
http://www.example.com
<HREF=http://teams.example.com/eng
Tradução de links
Para que serve?
Mantém os detalhesinternos privados
Permite a utilizadoresexternos o acesso semnecessidade de reescrever aplicações
O que é novo?
Ligado automaticamente
Motor de tradução maiseficiente
Suporte para múltiplosalfabetos
Tradução de links em arrays
Tradução mesmose o conteúdo é publicado por outroarray
Melhoria de disponibilidade emcaso de falha de um array
Server farms
Define um network object, utilizado emqualquer regra de publicação
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10
Server Farms
Mecanismos de verificação
HTTP/S “GET”
Ping
Ligação TCP a um port especifico
Balanceamento de cargaServer farms
Utiliza uma web server farm
Preserva o contextoaplicacional
Elimina a necessidade de NLB nos servidorespublicados
Elimina problemas com NAT ou routing
Tipo de distribuição
Cookie (Default OWA)
Source IP (RPC/HTTP)
Balanceamento de cargaGestão do estado
Active
Draining
Removed
Out of service
Balanceamento de cargaGestão do estado
Active – Estado normal, aceita pedidos
Draining – Termina os pedidos recebidos, não aceita novos pedidos
Out of Service – Estado determinado peloISA Server caso o servidor não responda
Removed – Removido da server farm, nãoaceita pedidos
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 11
Reverse CachingCache
emmemória
Tenhoesse
pedido
Passa o tempo…
Transferepara disco
Transferepara
memória
Publicação de servidores de email
Acesso Web
Outlook Web Access
RCP/HTTPS
Outlook Mobile Access
Exhange Active Sync
Outros protocolos
SMTP
RPC
POP3
IMAP4
Integração com Exchange
Selecção da versão
Selecção de método de acesso
Com Exchange 2007, permite o acesso total a Sharepoint Libraries e Shares de rede
KB925403 – Update parasuportar Exchange 2007 RTM
Criação de um Listener HTTPS
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 12
Publicação de Exchange Server
GATEWAY PARA LOCAISREMOTOS
Os números
30% dos negócios com locais remotos
Consomem 33% do budget IT
$25.000.000.000 é gasto em WAN’s por empresas com 1000 ou mais funcionários
55% dos funcionários em empresas com mais de 1000 funcionários estão em locais remotos
0 é o número típico de staff dedicado para o suporte TI nestes locais
Harte-Hanks 2004; AMI Partners 2003
Configuration Storage Server
É uma instância ADAM
Acesso por LDAP
Não requer DNS nem domínio
Detalhes de instalação
NO ISA, num servidor em workgroup ou domínio
Replicação apenas em domínio
Gerido pelo ISA MMC snap-in
Propagação de uma alteração em menos de um minuto
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 13
Sede Local Remoto
Answerfile
1. Establece uma ligação site-tosite VPN
2. Associa o ISA com o Configuration Storage server central e sincroniza
3. Junta-se a um array
ISA Server VPN Wizard
BITS Caching
Regra built-in para cache das actualizações do Microsoft Update
Os cliente passam a fazer update a partir da cache
Poupa largura de banda e espaço em disco fazendo download apenas das versões necessárias das actualizações
BITS CachingConfiguração
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 14
BITS CachingConfiguração
BITS CachingConfiguração
Compressão HTTPSuporta métodos Gzip e Deflate, requer HTTP 1.1 configurado no cliente
Configurável por listener ou globalmente
Não é possível configurar por regra
Implementado através de um web filter
Alta prioridade
Tráfego é descomprimido antes de inspeccionado
Conteúdo já em cache é entregue comprimido caso o cliente o peça
Sucede, mesmo se o conteúdo em cache não está comprimido
Tem impacto na performance, limpar a cache é uma forma de mitigação
O tráfego HTTPS nunca é comprimido
Compressão HTTPConfiguração Global
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 15
Compressão HTTPCliente
Clientes HTTP 1.1 utilizam compressão HTTP
Configuração no browser tem que ser activada
Cache e Compressão
Comprimido
Não
comprimido
Cache e Compressão
Comprimido
Não
Comprimido
Não
comprimivél
Cache, Compressão e Inspecção
Comprimido
Inspecção
desligada
Inspecção
ligada
Comprimido
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 16
Suporte Diffserv
Política Global
Atribui prioridade com base em URL ou domínio
Configuração em conformidade com o presente nos routers
Funciona apenas com HTTP/S
Não adiciona diffserv bits a outros protocolos
Pode remover diffserv em tráfego não HTTP/S
Suporte DiffservConfiguração
Pedidos ou respostas que
excedam estes valores irãoreceber a prioridade seguinte
Suporte DiffservConfiguração
Aplica a todo o conteúdo
Não Funciona com HTTPS
Prioritização DiffservConfiguração
Funciona com HTTPS
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 17
Prioritização DiffservConfiguração
PROTECÇÃO NO ACESSOINTERNET
Os números
70% dos ataques são na application layer
95% são possibilitados por vulnerabilidades nas configurações
Orgulho é um motivo menos popular
Lucro é o motivo mais popular
Resistência a ataquesFlood resiliency
Protege o ISA Server contra:
Propagação de Worms
Syn Floods
Ataques DoS
Ataques DoS Distribuídos
HTTP bombing
Pode também proteger servidores atrás do ISA Server de forma indirecta
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 18
Resistência a ataquesMitigation defaults
Mitigação Default Excepção
Concurrent TCP connections allowed per source IPMitigates TCP flood attack where offending host maintains numerous
TCP connections with ISA or victim computers behind ISA
100 400
HTTP requests created per minute per source IPMitigates HTTP DoS attack where offending host sends numerous
HTTP requests to victim web sites
600 6000
Concurrent non-TCP connections allowed per IPMitigates non-TCP attack where offending host sends numerous
UDP or ICMP messages to victim computers behind ISA
100 400
Non-TCP sessions per minute per ruleMitigates non-TCP DDoS attacks where many zombie hosts
participate in attack or throttle network with numerous non-TCP packets
1000
Trigger event when denied packets per minute per
IP exceeds limitAlert notifies ISA administrator about offending IP
100
Resistência a ataquesConfiguração de mitigação
Resistência a ataquesMitigação - excepções
Controlo de recursos
Log throttling
Pára o logging de denied records após um valor pré-definido
Gestão de memória
Não aceita novas ligações caso o consumo da Non Paged Pool chegue a 90%
Continua a processar as ligações existentes
Processo automático e extremamente dificil de despoletar
Limita o número de pedidos ao DNS quando atinge umautilização de 80% das threads
Quando um cliente firewall requisita uma resolução de nome
Quando o ISA resolve um nome DNS existente numa regra
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 19
Cenários de mitigação de ataquesPropagação de worms
Host infectado na rede interna a enviar um elevado número de pedidos para múltiplosendereços IP, sempre no mesmo port.
Verifica os connection thresholds
Verifica se o source IP não é mascarado
Bloqueia o IP
É a forma mais comum de Flood Attack
O ISA 2004 não protege na totalidade
Cenários de mitigação de ataquesConnection table exploit
Um ataque que usa múltiplos source IP’s paraefectuar um DoS ao ISA com um elevadonúmero de ligações TCP
Não despoleta os limites per-source
O ISA deixa de aceitar novas ligação quandoatinge 90% da non-paged memory pool
Limpa todas as ligações idle da connection table
Pode levar a um DoS permanente sobre o ISA 2004
Poucas firewall’s no mercado sobrevivem a estetipo de ataque
Cenários de mitigação de ataquesPending DNS exploit
O ISA Server é configurado para negar a ligações a um conjunto de domínios, ou para permitir apenas um conjunto específico
um número de hosts infectados tenta efectuar ligações a um conjunto aleatório de IP’s, forçando o ISA a efectuarDNS reverse lookup’s
O ISA bloqueia novos pedidos após utilizar 80% das threads disponiveis
Continua a servir pedidos que não necessitem de reverse DNS ou onde a resposta esteja em cache
Tipicamente causado pela propagação de worms
Pode levar a um DoS temporário no ISA 2004
Cenários de mitigação de ataquesSequencial TCP connection flood
Um ataque que abre e fecha ligações TCP de forma sequencial
O ISA usa o mecanismo de detecção de worms, detectando um elevado número de ligações do IP de origem
Bloqueia o IP
Não é um ataque comum
Pode levar a um DoS temporário no ISA 2004
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 20
Cenários de mitigação de ataquesHTTP DoS over existing connection
Um atacante establece uma ligação válida a um servidor web
Utilizando esta ligação, envia um númeroelevado de pedidos HTTP, despoletando o threshold
O ISA detecta o ataque e limita o request rate do cliente
Este tipo de ataque está a crescer empopularidade
Pode levar a um DoS temporário no ISA 2004
Alertas
Source IP nas
excepções?
Qual é o ataque?
Recursos Úteis
http://www.microsoft.com/security
http://www.microsoft.com/isaserver
http://blogs.technet.com/isablog/
http://www.isaserver.org
http://isatools.org/
Related Sessions/ParticipeNoutras Sessões
SEC005: DMZ-Ologia – Está viva, estámorta, qual é a verdade (Fred Baumhardt)
21/3, 13:30
SEC007: Publicação segura de aplicações
com o Intelligent Application Gateway
2007: Análise Técnica Detalhada
22/3, 11:15
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 21
ATE/Pergunte aosEspecialistasObtenha Respostas às Suas Questões
21/3, 12h-15h
Outros RecursosPara Profissionais de TI
TechNet Plus2 incidentes de suporte gratuito profissional
software exclusivo: Capacity Planner
software Microsoft para avaliação
actualizações de segurança e service packs
acesso privilegiado à knowledge base
formação gratuita
e muito mais.
www.microsoft.com/portugal/technet/subscricoes
Questionário de AvaliaçãoPassatempo!
Complete o questionário de avaliação e devolva-o no balcão da recepção.
Habilite-se a ganhar uma Xbox 360 por dia!
SEC003
O que há de novo no ISA Server 2006
Microsoft TechDays 2007 - Lisboa 23/03/2007 11:30 AM
2007 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 22
© 2007 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
top related