epsilab0602: protéger son réseau : filtrage applicatif avec isa server 2004
DESCRIPTION
EPSILAB0602: Protéger son réseau : filtrage applicatif avec ISA Server 2004. Arnaud LHEUREUX Vincent MAKOWSKI Responsables EPSI’LAB EPSI Arras 3 ème Année [email protected]. Culminis Alliance EMEA Member Organization. Sécurité de mon réseau ?. La sécurité … commençons par le début . - PowerPoint PPT PresentationTRANSCRIPT
EPSILAB0602: EPSILAB0602:
Protéger son réseau : filtrage applicatif avec ISA Protéger son réseau : filtrage applicatif avec ISA Server 2004Server 2004
Arnaud LHEUREUX Arnaud LHEUREUX
Vincent MAKOWSKI Vincent MAKOWSKI
Responsables EPSI’LABResponsables EPSI’LAB
EPSI Arras 3EPSI Arras 3èmeème Année Année
[email protected]@epsi.fr
Culminis AllianceEMEAMember Organization
Sécurité de mon réseau ? Sécurité de mon réseau ?
La sécurité … commençons par le début La sécurité … commençons par le début
AgendaAgenda
IntroductionIntroduction
Présentation d’ISA Server 2004Présentation d’ISA Server 2004
Protection des accès sortantsProtection des accès sortants
Protections des accès entrantsProtections des accès entrants
Protections des réseaux internes et VPNProtections des réseaux internes et VPN
SynthèseSynthèse
Ressources utilesRessources utiles
Questions / RéponsesQuestions / Réponses
IntroductionIntroduction
Quelques chiffresQuelques chiffres
95% de toutes les failles évitables avec une configuration alternative (CERT 95% de toutes les failles évitables avec une configuration alternative (CERT 2002)2002)
Environ 70% de toutes les attaques Web se passent au niveau de la couche Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group)Application (Gartner Group)
Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp)(Symantec Corp)
De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)vulnérabilités d’application Web découvertes (Symantec Corp)
Attaques au niveau de la Attaques au niveau de la couche applicationcouche application
Attaques au niveau de la Attaques au niveau de la couche applicationcouche application
Usurpation d’identité Site web défiguré Accès non autorisés Modification des données
et journaux Vol d’informations
propriétaire Interruption de service
ImplicationsImplicationsImplicationsImplications
Mise en conformité ISO 17799 Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US)
Litiges Partage de fichiers illicites
Piratage Responsabilités juridiques
des entreprises et des RSSI En France le RSSI a
obligation de moyens
Impact sur les entreprisesImpact sur les entreprises
Défense en profondeurDéfense en profondeur
Données et Ressources
Défenses des applications
Défenses des machines
Défenses du réseau
Défenses du périmètre
L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures.
Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche
La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure
Les pare-feu sont un élément de protection du périmètre et du réseau
Sécurité physique
Politiques de sécurité
Application Layer Application Layer ContentContent
????????????????????????????????????????
Un paquet IP vu par un pare-feu Un paquet IP vu par un pare-feu « traditionnel »« traditionnel »
Seul l’entête du paquet est analyséSeul l’entête du paquet est analysé
Le contenu au niveau de la couche application est comme une “boite noire”Le contenu au niveau de la couche application est comme une “boite noire”
IP HeaderIP HeaderSource Address,Dest. Address,
TTL, Checksum
TCP HeaderTCP HeaderSequence Number
Source Port,Destination Port,
Checksum
La décision de laisser passer est basée sur les numéros de portsLa décision de laisser passer est basée sur les numéros de ports
Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80)Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80)
Internet Trafic HTTP attendu
Trafic HTTP non prévu
Attaques
Trafic non-HTTP
Réseau d’entreprise
Top 10 des attaques : 80% d’attaques au Top 10 des attaques : 80% d’attaques au niveau de la couche 7 (2004)niveau de la couche 7 (2004)
DCOM RPC
HTTP
SQL Server
SMTP
Top attacks (source : Symantec Corporation)
Top 10 des attaques : 50% d’attaques au Top 10 des attaques : 50% d’attaques au niveau de la couche 7 (2005)niveau de la couche 7 (2005)
HTTP
SQL Server
SMTP
Top attacks Healthcare Industry Jan-Juin 2005(source : Symantec Corporation)
SMTP
SMTP
Le problèmeLe problème
Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles
Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspectioninspection
Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : exemples :
Code RedCode Red & & NimdaNimda sur les serveurs IIS 4 et 5 sur les serveurs IIS 4 et 5
OpenSSL/OpenSSL/SlapperSlapper
BlasterBlaster, , WelchiaWelchia sur le RPC Endpoint Mapper de Windows sur le RPC Endpoint Mapper de Windows
SlammerSlammer sur les serveurs SQL (ou MSDE) sur les serveurs SQL (ou MSDE)
Santy-ASanty-A sur les forums phpBB (Linux et Windows) sur les forums phpBB (Linux et Windows)
Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application WebWeb
Les ports et protocoles ne permettent plus de contrôler ce que font les Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateursutilisateurs
Réseau public
Réseau public Vers réseau interne, Vers réseau interne,
DMZ, …DMZ, …Vers réseau interne, Vers réseau interne,
DMZ, …DMZ, …
Pare-feu niveau Pare-feu niveau ApplicationApplication
Pare-feu niveau Pare-feu niveau ApplicationApplication
Pare-feu Pare-feu traditionneltraditionnel
Pare-feu Pare-feu traditionneltraditionnel
Quel pare-feu utiliser ?Quel pare-feu utiliser ?
Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux.des paquets réseaux.
CComprendre ce qu’il y a dans la partie données est désormais un pré omprendre ce qu’il y a dans la partie données est désormais un pré requisrequis
Néanmoins, le remplacement n’est pas forcément la meilleure solutionNéanmoins, le remplacement n’est pas forcément la meilleure solution
Présentation d’ISA Server 2004Présentation d’ISA Server 2004
►2ème génération de pare-feu de Microsoft►Pare-feu multicouches (3,4 et 7) ►Capacité de filtrage extensible►Proxy applicatif►Nouvelle architecture ►Intégration des fonctionnalités de VPN
ISA Server 2004 en quelques motsISA Server 2004 en quelques mots
La vue d’un paquet IP par ISALa vue d’un paquet IP par ISA
Les entêtes du paquet et le contenu sont inspectésLes entêtes du paquet et le contenu sont inspectés
Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)
Application Layer ContentApplication Layer Content<html><head><meta http-
quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet"
IP HeaderIP Header
Source Address,Dest. Address,
TTL, Checksum
TCP HeaderTCP Header
Sequence NumberSource Port,
Destination Port,Checksum
Les décisions de laisser passer sont basées sur le contenuLes décisions de laisser passer sont basées sur le contenu
Seul le trafic légitime et autorisé est traitéSeul le trafic légitime et autorisé est traité
Internet Trafic HTTP Attendu
Trafic HTTP non attendu
Attacks
Trafic non HTTP
Réseau d’entreprise
PolicyPolicyEngineEngine
NDIS
TCP/IP Stack
Architecture d’ISA Server 2004 Architecture d’ISA Server 2004
Firewall EngineFirewall Engine
FirewallFirewall serviceservice
Application Filter API
AppAppFilterFilter
Web Proxy FilterWeb Proxy Filter
Web Filter API (ISAPI)
Webfilter
Webfilter
User Mode
Kernel Mode
SMTPSMTPFilterFilter
RPCRPCFilterFilter
DNSDNSFilterFilter
PolicyStore
Packet layer filtering
1
Protocol layer filtering
2
Application layer filtering
3
Kernel mode data pump:
Performanceoptimization
4
Les filtres d’ISA Server 2004Les filtres d’ISA Server 2004
Filtres applicatifsFiltres applicatifsFTP FTP : : permet de bloquer les envoispermet de bloquer les envois
SMTP SMTP : : gestion des commandes et filtrage des messages (contenu, extension, taille…)gestion des commandes et filtrage des messages (contenu, extension, taille…)
POP3 POP3 : : détection d’intrusiondétection d’intrusion
RTSP, MMS, PNM, H.323RTSP, MMS, PNM, H.323: Streaming: Streaming
DNS: DNS: détection d’intrusions, transfert de zonesdétection d’intrusions, transfert de zones
RPC: RPC: publication de serveurs, filtrage sur les interfacespublication de serveurs, filtrage sur les interfaces
PPTP : PPTP : permet la traversée de connexions VPN (Tunneling)permet la traversée de connexions VPN (Tunneling)
SOCKS V4SOCKS V4
Web Proxy Web Proxy : gestion de HTTP, HTTPs (filtres web…): gestion de HTTP, HTTPs (filtres web…)
Filtres WebFiltres WebFiltre HTTP Filtre HTTP : analyse du contenu : analyse du contenu
des requêtes web (entêtes et données)des requêtes web (entêtes et données)
Authentification RSA SecureIDAuthentification RSA SecureID
Authentification RadiusAuthentification Radius
Authentification OWA Web FormsAuthentification OWA Web Forms
Translateur de liens Translateur de liens : : réécriture d’URLréécriture d’URL
ISA Server 2004 : un produit évolutifISA Server 2004 : un produit évolutif
Filtrage applicatifFiltrage applicatif
Haute disponibilitéHaute disponibilité
AntivirusAntivirus
Détection d’intrusionDétection d’intrusion
ReportingReporting
Accélérateurs SSLAccélérateurs SSL
Contrôle d’URLsContrôle d’URLs
AuthentificationAuthentification
Plus de partenaires sur :http://www.microsoft.com/isaserver/partners/default.asp
+ d’une trentaine de partenaires !!!
DMZ_1
Modèle réseau ISA Server 2004Modèle réseau ISA Server 2004Nombre de réseaux illimitéNombre de réseaux illimité
Type d’accès NAT/RoutageType d’accès NAT/Routagespécifique à chaque réseauspécifique à chaque réseau
Les réseaux VPN sont considérés Les réseaux VPN sont considérés comme des réseaux à part entièrecomme des réseaux à part entière
La machine ISA est considéré La machine ISA est considéré comme un réseau (LocalHost)comme un réseau (LocalHost)
Stratégie de filtrage par réseauStratégie de filtrage par réseau
Filtrage de paquet sur toutes les Filtrage de paquet sur toutes les interfacesinterfaces
InternetVPN
ISA 2004
Toutes topologies / stratégiesToutes topologies / stratégies
CorpNet_1DMZ_n
Local AreaNetwork CorpNet_n
VPN Quarantaine
actionaction sur traffictraffic pour utilisateurutilisateur depuis sourcesource vers destinationdestination avec conditions conditions
Structure des règles de pare-feu ISAStructure des règles de pare-feu ISA
• Autoriser• Interdire
• Protocole IP• Port(s) TCP/UDP
• Réseau(x)• Adresse(s) IP• Machine(s)
• Réseau(x)• Adresse(s) IP• Machine(s)
• Serveur publié• Site Web publié• Planning• Filtre applicatif
• Utilisateur(s)• Groupe(s)
• Ensemble de règles ordonnées•Règles systèmes puis règles utilisateur
• Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment)
Scénarios de mise en œuvre d’ISA Scénarios de mise en œuvre d’ISA Server 2004Server 2004
Pare feu de périmètrePare feu de périmètreMulti réseauxMulti réseaux
DMZDMZ
Protection des applications et réseaux internesProtection des applications et réseaux internesPasserelle de filtrage applicatifPasserelle de filtrage applicatif
Serveurs WebServeurs WebServeurs de messagerieServeurs de messagerie
Protection des réseaux internesProtection des réseaux internes
Accès sécurisé et optimisé à InternetAccès sécurisé et optimisé à InternetStratégies d’accèsStratégies d’accèsCache WebCache Web
Réseaux multi sitesRéseaux multi sitesSécurisation sites distantsSécurisation sites distants
Intégration du VPNIntégration du VPN
IPSec en mode TunnelIPSec en mode Tunnel
Les versions d’ISA Server 2004Les versions d’ISA Server 2004Édition StandardÉdition Standard
Inclus toutes les fonctionnalités Inclus toutes les fonctionnalités de :de :
Pare-feu (niveaux 3,4,7)Pare-feu (niveaux 3,4,7)
Passerelle VPNPasserelle VPN
Proxy cache Proxy cache
sur un même serveursur un même serveur
Disponible depuis Mai 2004Disponible depuis Mai 2004
1 licence par processeur 1 licence par processeur physiquephysique
Également disponible sous la Également disponible sous la forme d’applianceforme d’appliance
Édition EntrepriseÉdition Entreprise
Ajoute la haute disponibilité et la Ajoute la haute disponibilité et la tolérance de pannetolérance de panne
Ajoute la capacité à monter en Ajoute la capacité à monter en charge en utilisant plusieurs charge en utilisant plusieurs serveurs (groupes)serveurs (groupes)
Ajoute l’administration Ajoute l’administration centralisée au niveau entreprisecentralisée au niveau entreprise
Disponible depuis Mars 2005Disponible depuis Mars 2005
1 licence par processeur 1 licence par processeur physiquephysique
SBS 2003SBS 2003
Le Service Pack 1 Le Service Pack 1 de Windows 2003 de Windows 2003 SSmall mall BBusiness usiness SServer 2003 met à erver 2003 met à jour les version jour les version Premium avec ISA Premium avec ISA Server 2004 Server 2004 Standard SP1Standard SP1
DisponibleDisponible depuis Mai depuis Mai 20052005
Disponible en applianceDisponible en applianceRimApp ROADBLOCKRimApp ROADBLOCK FirewallFirewall http://www.rimapp.com/roadblock.htmhttp://www.rimapp.com/roadblock.htm
HP ProLiant DL320 Firewall/VPN/Cache ServerHP ProLiant DL320 Firewall/VPN/Cache Server http://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/http://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.htmlindex.html
Network Engines NS AppliancesNetwork Engines NS Appliances http://www.networkengines.com/sol/nsapplianceseries.aspx http://www.networkengines.com/sol/nsapplianceseries.aspx
Celestix Application-Layer Firewall, VPN and Caching Celestix Application-Layer Firewall, VPN and Caching Appliance Appliance http://www.celestix.com/products/isa/index.htmhttp://www.celestix.com/products/isa/index.htm
Pyramid Computer ValueServer Security 2004Pyramid Computer ValueServer Security 2004 http://www.pyramid.de/e/produkte/server/isa_2004.php http://www.pyramid.de/e/produkte/server/isa_2004.php
► Avantis ISAwallAvantis ISAwall http://www.avantisworld.com/02_securityappliances.asp http://www.avantisworld.com/02_securityappliances.asp
► Corrent Corrent http://www.corrent.com/Products/products_sr225.htmlhttp://www.corrent.com/Products/products_sr225.html
Contrôle des accès sortantsContrôle des accès sortants
Les besoins des entreprises Les besoins des entreprises connectées vus par l’administrateurconnectées vus par l’administrateur
« Je veux contrôler (limiter) les protocoles réseaux utilisés par mes « Je veux contrôler (limiter) les protocoles réseaux utilisés par mes utilisateurs »utilisateurs »
« Je veux administrer les accès de manière centralisée et intégrée avec « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) »mon infrastructure (domaines NT, Active Directory, RADIUS) »
« Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux »ou dangereux »
« Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »de surfer sur le Web là où ils veulent. »
Contrôle des flux et contenusContrôle des flux et contenus
Les pare-feu permettent une grande granularité dans la définition des Les pare-feu permettent une grande granularité dans la définition des règles d’accèsrègles d’accès
Filtrage spécifique sur un protocoleFiltrage spécifique sur un protocole
Authentification des postes ou utilisateursAuthentification des postes ou utilisateurs
Certains protocoles comme HTTP, FTP ou SMTP peuvent être restreints Certains protocoles comme HTTP, FTP ou SMTP peuvent être restreints sur le contenu (MIME, extension de fichiers, pièce jointe…)sur le contenu (MIME, extension de fichiers, pièce jointe…)
Hélas, beaucoup de ces mécanismes deviennent Hélas, beaucoup de ces mécanismes deviennent insuffisants/obsolètesinsuffisants/obsolètes face aux méthodes d’encapsulation…face aux méthodes d’encapsulation…
Quand pare-feu te Quand pare-feu te bloquerabloquera
HTTP tu utiliseras…HTTP tu utiliseras…
Http : le protocole universel…Http : le protocole universel…… … pour pour outrepasser un pare-feu ou un proxyoutrepasser un pare-feu ou un proxy
Aujourd’hui, de nombreuses applications utilisent Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode d’encapsulation des HTTP comme méthode d’encapsulation des protocolesprotocoles propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants :équipements filtrants :
Messageries instantanées :Messageries instantanées :
MSN Messenger, Yahoo MSN Messenger, Yahoo
Messenger, ICQ…Messenger, ICQ…
Logiciels P2P : Kazaa, Emule, Logiciels P2P : Kazaa, Emule,
Bitorrent, Exeem…Bitorrent, Exeem…
Messagerie : Outlook 2003Messagerie : Outlook 2003
(RPC sur HTTP)…(RPC sur HTTP)…
Adware, Spyware : Gator…Adware, Spyware : Gator…
Chevaux de TroieChevaux de Troie
SSH/HTTP/HTTPS : La foireSSH/HTTP/HTTPS : La foire
Network and Transport Layers80/tcp(UFBP)
443/tcp(SUFBP)
The Firewall
UFBP
SUFBP
SSH
VPN
Remote
Control
Protection des accès sortantsProtection des accès sortants
ClientClientISA Server 2004ISA Server 2004Pare feu Pare feu
traditionneltraditionnel
InternetHTTP http, https, FTP
IM, P2P, MS RPC…HTTP, https, FTP…
IM
P2P
MS RPC…
IM, P2P, MS RPC…
Analyse HTTP Analyse HTTP (URL, entêtes, (URL, entêtes,
contenu…)contenu…)
Exemples de signature d’applications :http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx
Filtre applicatif HTTPFiltre applicatif HTTPExemple de filtrage en fonction du contenu de l’en-têteExemple de filtrage en fonction du contenu de l’en-tête
POST http://64.4.1.18/gtw/gtw.dll?SessID=1POST http://64.4.1.18/gtw/gtw.dll?SessID=1
HTTP/1.1HTTP/1.1
Accept: */*Accept: */*
Accept-Language: en-usAccept-Language: en-us
Accept-Encoding: gzip, deflateAccept-Encoding: gzip, deflate
User-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; MSN Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133)Messenger 6.2.0133)
Host: 64.4.1.18Host: 64.4.1.18
Proxy-Connection: Keep-AliveProxy-Connection: Keep-Alive
Connection: Keep-AliveConnection: Keep-Alive
Pragma: no-cachePragma: no-cache
Content-Type: Content-Type: application/x-msn-messengerapplication/x-msn-messenger
Content-Length: 7Content-Length: 7
Common Application Signatureshttp://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx
Démonstration : Proxy et filtre HTTPDémonstration : Proxy et filtre HTTP
Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. les données échangée.
De nombreuses logiciels utilisent déjà cette solution.De nombreuses logiciels utilisent déjà cette solution. Exemple : Outlook 2003 (RPC over https)Exemple : Outlook 2003 (RPC over https)
Comment réduire le risque ?Comment réduire le risque ?
Limiter les accès https : utilisation de listes blanchesLimiter les accès https : utilisation de listes blanches
Bloquer les requêtes dans la phase de négociationBloquer les requêtes dans la phase de négociation
Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) Concept intéressant en terme de sécurité mais pas vraiment en terme de Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialitéconfidentialité
Plus fort que http : https Plus fort que http : https
DNS : un futur « standard » pour DNS : un futur « standard » pour l’encapsulation ?l’encapsulation ?LA question :« Est il possible pour le DNS de faire des choses plus intéressantes que la résolution de noms qualifiés en adresse IP ? »La réponse est OUI
• droute: DNS Stream Router• TCP Streaming over DNS• Utilisable pour du Shell ou de la messagerie instantanée uniquement
• NSTX:
• Uniquement sur Linux
Informations complémentaires : Attacking Distributed Systems: The DNS Case Study by Dan Kaminsky. http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Kaminsky.pdf
Contrôle des accès entrantsContrôle des accès entrants
Ressources exposéesRessources exposées
Plateforme Web classique Plateforme Web classique et risques associéset risques associés
2 zones réseau (Front End et 2 zones réseau (Front End et Back End) + 2 pare-feuBack End) + 2 pare-feu
……mais toujours des risques en mais toujours des risques en cas d’absence de filtrage applicatifcas d’absence de filtrage applicatif
Le risque ici est principalement Le risque ici est principalement l’attaque applicative. Par l’attaque applicative. Par exemple : exemple :
injections HTMLinjections HTML
injections SQLinjections SQL
Injections PHPInjections PHP
……..
Internet
Front Office
Serveur Web
Back Office
Pare feu interne
Pare feu externe (périphérie)
Serveur de base de données
Poste client
TCP 80 (HTTP)
TCP 443 (HTTPS)
TCP 1433 (MS-SQL)
Augmentation des risques sur les Augmentation des risques sur les applications Webapplications Web
Augmentation des vulnérabilités documentées sur les applications Web depuis 18 mois
( Source : Symantec Corporation : http://ses.symantec.com/pdf/ThreatReportVII.pdf )
Certificat « Privé »+ sa clé privée
Certificat « Public »+ sa clé privée
L’analyse des URL par ISA 2004 L’analyse des URL par ISA 2004 peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en
cas d’utilisation de SSLcas d’utilisation de SSL
Protection des serveurs WebProtection des serveurs Web
Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu
traditionneltraditionnelWebWeb
ClientClient
Si le serveur Web fait une demande Si le serveur Web fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande
SSLSSLSSLSSL
SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle
du fait du chiffrement…du fait du chiffrement…
……ce qui permet aux attaques ce qui permet aux attaques applicatives, virus ou autres applicatives, virus ou autres
vers de se propager sans vers de se propager sans être détectés…être détectés…
……et d’infecter les serveurs internes !et d’infecter les serveurs internes !
ISA Server 2004ISA Server 2004
Délégation d’authentificationDélégation d’authentificationISA pré authentifie les utilisateurs, ISA pré authentifie les utilisateurs, éliminant les boites de dialogues éliminant les boites de dialogues redondantes et n’autorise que le redondantes et n’autorise que le
trafic valide à passertrafic valide à passer
Filtrage avancé de HTTPFiltrage avancé de HTTP
SSL ou SSL ou HTTPHTTP
SSL ou SSL ou HTTPHTTP
SSLSSLSSLSSL
ISA peut déchiffrer et ISA peut déchiffrer et inspecter le trafic SSLinspecter le trafic SSL
Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.
Analyse HTTP Analyse HTTP (URL, (URL,
contenu…)contenu…)
InternetInternet
Démonstration : publication FTPDémonstration : publication FTP
Serveur FTP
Démonstration : publication OWADémonstration : publication OWA
URLURL
access-acceptaccess-acceptgroup attribsgroup attribs
URL +URL +basic credsbasic creds
Win
Log
oW
inLog
onn
datadata
datadata
ADAD
OWAOWA(IIS)(IIS)
ISA ServerISA Server
401401OWA formOWA form
URL + basic credsURL + basic credsform variablesform variables
RA
DIU
SR
AD
IUS
access-requestaccess-request
WinLogonWinLogon
tokentoken
toke
toke
nn
Client WebClient Web
cookiecookie
Délégation avec ISA - ExchangeDélégation avec ISA - Exchange
Protection des accès aux réseaux de Protection des accès aux réseaux de l’entreprise (VPN et Locaux)l’entreprise (VPN et Locaux)
Gestion des accès distants et des Gestion des accès distants et des équipements connectéséquipements connectés
Développement du marché des PC portables et du nombre de systèmes non Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise administrés dans les réseaux l’entreprise
Postes personnels mais connectés sur le réseau de l’entreprisePostes personnels mais connectés sur le réseau de l’entreprise
Postes des intervenants externesPostes des intervenants externes
Points d’accès Wi-fi non déclarésPoints d’accès Wi-fi non déclarés
Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale…correctifs de sécurité, signature anti-virale…
Connexion à des réseaux tiers « inconnus » Connexion à des réseaux tiers « inconnus »
(hot spot wifi, clients, partenaires…)(hot spot wifi, clients, partenaires…)
Accès VPN nomades, réseaux sans filsAccès VPN nomades, réseaux sans fils
Augmentation des risques avec le Augmentation des risques avec le développement de la mobilitédéveloppement de la mobilité
Les attaques viennent Les attaques viennent aussiaussi de l’interne de l’interne
Étude et statistiques sur la sinistralité informatique en France (2002)
Réseau de l’entreprise Réseau de l’entreprise
Le meilleur exemple est la propagation d’un ver comme Blaster Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou Sasser.(exploitation d’une faille RPC) ou Sasser.
InternetDimancheJour J de l’infection
LundiJour J+1 de l’infection
Les attaques internes ne sont pas toujours Les attaques internes ne sont pas toujours déclenchées de manière intentionnelledéclenchées de manière intentionnelle
Réseau de l’entreprise
Passerelle VPN
Le même exemple de propagation d’un ver comme Blaster ou Sasser au Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPNtravers d’un VPN
InternetDimancheJour J de l’infection
LundiJour J+1 de l’infection
Les connexions distantes peuvent également Les connexions distantes peuvent également compromettre la sécuritécompromettre la sécurité
Tunnel VPN
Une approche de la segmentationUne approche de la segmentation
En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internetréseaux d’entreprise des réseaux publics comme Internet
Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs)d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs)
La segmentation des réseaux internes revient à La segmentation des réseaux internes revient à implémenter le principe du pare-implémenter le principe du pare-feu au cœur du réseau de l’entreprise feu au cœur du réseau de l’entreprise en intégrant l’analyse (jusqu’au niveau de en intégrant l’analyse (jusqu’au niveau de la couche application) des fluxla couche application) des flux
Principes de la segmentation Principes de la segmentation Classification Classification
Réseau « publique »
Réseau de confiance
Réseau sensible
Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées.
Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise.
Fonctionnement des RPC DCEFonctionnement des RPC DCE
Serveur RPC Serveur RPC (ex: Exchange)(ex: Exchange)Serveur RPC Serveur RPC
(ex: Exchange)(ex: Exchange)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)
ServiceService UUIDUUID PortPort
ExchangeExchange {12341234-1111…{12341234-1111… 44024402
AD replicationAD replication {01020304-4444…{01020304-4444… 35443544
MMCMMC {19283746-7777…{19283746-7777… 92339233
Les services RPC Les services RPC obtiennent des port obtiennent des port aléatoires (> 1024) lors aléatoires (> 1024) lors de leur démarrage, le de leur démarrage, le serveur maintient une serveur maintient une tabletable
135/tcp135/tcp
Le client se Le client se connecte au connecte au
portmapper sur le portmapper sur le serveur (port tcp serveur (port tcp
135)135)
Le client connaît Le client connaît l’UUID du service l’UUID du service
qu’il souhaite qu’il souhaite utiliserutiliser
{12341234-1111…}{12341234-1111…}
Le client accède à Le client accède à l’application via l’application via le port reçule port reçu
Le client demande Le client demande quel port est quel port est associé à l’UUID ?associé à l’UUID ?
Le serveur fait Le serveur fait correspondre l’UUID correspondre l’UUID avec le port courant…avec le port courant…
4402/tcp4402/tcp
Le RPC End Le RPC End Portmapper répond Portmapper répond avec le port et met avec le port et met fin à la connexionfin à la connexion
4402/tcp4402/tcp
Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feule filtrage des RPC est difficile sur la majorité des pare-feu
L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnelsouverts sur des pare feu traditionnels
Attaques RPC potentiellesAttaques RPC potentielles
Reconnaissance (Reconnaissance (FingerprintingFingerprinting))
RPCDumpRPCDump
RPCScan (http://www.securityfriday.com)RPCScan (http://www.securityfriday.com)
Déni de service contre le portmapperDéni de service contre le portmapper
Élévation de privilèges ou attaques sur d’autres servicesÉlévation de privilèges ou attaques sur d’autres services
VerVer : : Blaster, Welchia Blaster, Welchia
BotNet : GaoBot, Spybot, RandexBotNet : GaoBot, Spybot, Randex
Serveur Serveur application RPCapplication RPC
ISA Server ISA Server 2004 avec 2004 avec filtre RPCfiltre RPC
Seul le port TCP 135 (RPC End Portmapper) est ouvertSeul le port TCP 135 (RPC End Portmapper) est ouvert
Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) en fonction des besoinsen fonction des besoins
Inspection du trafic vers le RPC End Portmapper au niveau applicatifInspection du trafic vers le RPC End Portmapper au niveau applicatif
Seuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autreSeuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autre
Filtrage applicatif RPC - principeFiltrage applicatif RPC - principe
Application cliente RPCApplication cliente RPC
SynthèseSynthèse
Contrôle des flux applicatifsISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les
infrastructures Microsoft et non Microsoft.
Un pare-feu supportant un grand nombre de scénariosProtection des flux sortants vers Internet, des serveurs exposés
sur Internet, des ressources internes par segmentation, filtrage des connexions VPN.
Produit extensibleNombreux filtres complémentaires disponible auprès d’éditeurs tiers. Developpement de filtres adaptés à vos besoins grâce au SDK fourni.
Ressources utilesRessources utilesSite Web MicrosoftSite Web Microsoft
www.microsoft.com/isaserverwww.microsoft.com/isaserver
www.microsoft.com/france/isawww.microsoft.com/france/isa
Webcast et séminaires TechNetWebcast et séminaires TechNet (Gratuits) (Gratuits)
Sites externesSites externes
www.isaserver.orgwww.isaserver.org
www.isaserverfr.orgwww.isaserverfr.org
isatools.orgisatools.org
Newsgroup françaisNewsgroup français
Microsoft.public.fr.isaserverMicrosoft.public.fr.isaserver
Kits de déploiementKits de déploiement
BlogsBlogs
Blogs.msdn.com/squastaBlogs.msdn.com/squasta
Kits d’évaluation ISA ServerKits d’évaluation ISA Server
Version d’évaluation (120 jours)Version d’évaluation (120 jours)
CD (livres blancs et guide déploiemeCD (livres blancs et guide déploiement)nt)
EPSILAB DAYSEPSILAB DAYS
3 journées de conférences au sein des EPSI de France!3 journées de conférences au sein des EPSI de France!Migrer vers IPv6Migrer vers IPv6
Sécurité TCP/IPSécurité TCP/IP
Protéger son réseau filtrage applicatif avec ISA Server 2004Protéger son réseau filtrage applicatif avec ISA Server 2004
Gestion centralisée de l’environnement utilisateur avec les stratégies de groupe (Active Gestion centralisée de l’environnement utilisateur avec les stratégies de groupe (Active Directory)Directory)
Architecture ExchangeArchitecture Exchange
Bordeaux – 2 février 2006Bordeaux – 2 février 2006
Nantes – 8 février 2006Nantes – 8 février 2006
Montpellier – 10 février 2006Montpellier – 10 février 2006
Rendez vous sur www.epsilab.com !Rendez vous sur www.epsilab.com !Powered by
Donnez nous votre avis Donnez nous votre avis
sur les sessions auxquellessur les sessions auxquelles
vous venez d’assistervous venez d’assister
Votre feedback est important! Votre feedback est important!
www.epsilab.com