exposé isa_new1

Exposé surExposé sur : : proxy ISA proxy ISA ServeurServeur

2008/2009 TRI 2008/2009 TRI 1A1A

Office de la Formation Professionnelle et de la Promotion du Travail

www.cours-ofppt.comwww.cours-ofppt.com

Présentation général ISA Présentation général ISA ServerServer

22èmeème génération de pare-feu Microsoft génération de pare-feu Microsoft Pare-feu multicouches (3,4 et 7) Pare-feu multicouches (3,4 et 7) Capacité de filtrage extensibleCapacité de filtrage extensible Proxy applicatifProxy applicatif Nouvelle architectureNouvelle architecture


DéfinitionDéfinition::

le proxy ISA (le proxy ISA (IInternet nternet SSecurity and ecurity and AAccélération) ccélération) server permet de mettre en place une solution de server permet de mettre en place une solution de mise en cache web consulté par les utilisateurs de mise en cache web consulté par les utilisateurs de l’entreprise,de securiser le réseau entre les l’entreprise,de securiser le réseau entre les attaques extérieurs via un service de pare-feu attaques extérieurs via un service de pare-feu (firewall) et d’administrer l’usage que font les (firewall) et d’administrer l’usage que font les utilisateurs d’internet.utilisateurs d’internet.


NBNB

ISA Server nécessite Windows 2000 ISA Server nécessite Windows 2000 Server ou Windows 2003 ServerServer ou Windows 2003 Server


PrincipesPrincipes

Si une connexion entre le réseau interne Si une connexion entre le réseau interne et externe est attaquée, seule la et externe est attaquée, seule la connexion entre le proxy et l’attaquant est connexion entre le proxy et l’attaquant est attaquée.attaquée.

Si le serveur mandataire est compromis, Si le serveur mandataire est compromis, on s’en aperçoit très rapidementon s’en aperçoit très rapidement


Grâce à ISA Server, vous serez en Grâce à ISA Server, vous serez en mesure:mesure:

protéger votre réseau contre les accès non protéger votre réseau contre les accès non autorisésautorisés

protéger vos serveurs Web contre les protéger vos serveurs Web contre les attaques extérieuresattaques extérieures

surveiller le trafic réseau entrant et sortant surveiller le trafic réseau entrant et sortant pour garantir un niveau sécurité élevé pour garantir un niveau sécurité élevé

recevoir des alertes en cas d'activités recevoir des alertes en cas d'activités suspectes.suspectes.


AvantageAvantage ::

Le plus haut degré de sécuritéLe plus haut degré de sécurité Accès rapide à internet.Accès rapide à internet. Connexion sécurisée.Connexion sécurisée. filtrage spécifiques.filtrage spécifiques. Règles simples à définirRègles simples à définir..

InconvénientInconvénient

Les performances les plus faiblesLes performances les plus faibles N’est pas transparent pour les utilisateursN’est pas transparent pour les utilisateurs CherCher Administration du système demande plus de temps et d’efforts qu’un simple Administration du système demande plus de temps et d’efforts qu’un simple

filtrage de paquetsfiltrage de paquets


Éditions d’ISA ServerÉditions d’ISA Server

ISA Server standard EdirionISA Server standard Edirion ISA Server Entreprise EdtionISA Server Entreprise Edtion


La fonction de La fonction de cachecache


La plupart des proxys assurent ainsi une La plupart des proxys assurent ainsi une fonction de cache (en anglais caching), fonction de cache (en anglais caching), c'est-c'est-àà-dire la capacité à garder en mémoire -dire la capacité à garder en mémoire (en "cache") les pages les plus souvent (en "cache") les pages les plus souvent visitées par les utilisateurs du réseau local visitées par les utilisateurs du réseau local afin de pouvoir les leur fournir le plus afin de pouvoir les leur fournir le plus rapidement possible .rapidement possible .


Mise en cache en Mise en cache en avalaval

La mise en cache en aval correspond au La mise en cache en aval correspond au cas d’un utilisateur du réseau d'entreprise cas d’un utilisateur du réseau d'entreprise qui demande un contenu Web résidant sur qui demande un contenu Web résidant sur un serveur dans Internet. La nature exacte un serveur dans Internet. La nature exacte de la mise en cache en aval varie selon que de la mise en cache en aval varie selon que le contenu demandé est ou non présent le contenu demandé est ou non présent dans le cache Web. dans le cache Web.


Mise en cache en Mise en cache en avalaval lorsque le contenu lorsque le contenu demandé ne se trouve pas dans le cachedemandé ne se trouve pas dans le cache


Mise en cache en aval lorsque le contenu demandé se trouve dans le cache


Mise en cache en Mise en cache en amontamont

La mise en cache en amont a lieu La mise en cache en amont a lieu lorsque les utilisateurs Internet demandent lorsque les utilisateurs Internet demandent un contenu Web placé sur un serveur Web un contenu Web placé sur un serveur Web de l’entreprise...de l’entreprise...


Mise en cache en Mise en cache en amontamont lorsque les lorsque les ressources Web d'entreprise ne se trouvent ressources Web d'entreprise ne se trouvent

pas dans le cachepas dans le cache


Améliorations du cache Améliorations du cache Web d'ISA ServerWeb d'ISA Server

Un certain nombre d'améliorations ont été Un certain nombre d'améliorations ont été apportées aux fonctionnalités de mise en cache apportées aux fonctionnalités de mise en cache d'ISA Server 2004 dans le but de garantir un d'ISA Server 2004 dans le but de garantir un accès plus rapide au contenu Web et une plus accès plus rapide au contenu Web et une plus grande disponibilité. Il faut notamment citer:grande disponibilité. Il faut notamment citer:

Mise en cache activeMise en cache active Planification de téléchargement de contenuPlanification de téléchargement de contenu Chaînage du proxy WebChaînage du proxy Web Mise en cache transparenteMise en cache transparente


Mise en cache activeMise en cache active

consiste à anticiper les demandes des consiste à anticiper les demandes des utilisateurs et à placer le contenu Web dans utilisateurs et à placer le contenu Web dans le cache le cache avantavant même qu'ils ne le même qu'ils ne le demandent ; c'est ce qui s'appelle la demandent ; c'est ce qui s'appelle la mise mise en cache activeen cache active. .


Planification de Planification de téléchargement de téléchargement de

contenucontenu

permet de programmer, ponctuellement ou à permet de programmer, ponctuellement ou à intervalles réguliers, le téléchargement intervalles réguliers, le téléchargement automatique de contenu à des heures précises, automatique de contenu à des heures précises, même si aucun utilisateur n'en a encore formulé même si aucun utilisateur n'en a encore formulé la demande. Cette fonction vous permet aussi la demande. Cette fonction vous permet aussi de fixer le délai de conservation du contenu de fixer le délai de conservation du contenu téléchargé dans le cache. téléchargé dans le cache.


Chaînage du proxy Chaînage du proxy WebWeb

Le chaînage du proxy Web intervient entre Le chaînage du proxy Web intervient entre des serveurs cache « en amont » et « en des serveurs cache « en amont » et « en aval ». Les clients Web commencent par aval ». Les clients Web commencent par émettre des demandes de contenu Web à émettre des demandes de contenu Web à un serveur cache en aval. Si le serveur en un serveur cache en aval. Si le serveur en aval ne dispose pas des documents aval ne dispose pas des documents demandés, il transmet la demande à un demandés, il transmet la demande à un serveur cache en amont. serveur cache en amont.


Mise en cache Mise en cache transparentetransparente

Pour un bon fonctionnement de la mise Pour un bon fonctionnement de la mise en cache Web dans ISA Server 2004, les en cache Web dans ISA Server 2004, les demandes de contenu Web doivent être demandes de contenu Web doivent être envoyées au serveur cache Web. Cela envoyées au serveur cache Web. Cela sous-entend donc que les clients Web sous-entend donc que les clients Web connaissent le nom ou l'adresse IP du connaissent le nom ou l'adresse IP du serveur cache Web. serveur cache Web.


protection des serveurs et des protection des serveurs et des réseaux d’entreprise contre les réseaux d’entreprise contre les

attaques externesattaques externes


Le problèmeLe problème

AujourdAujourd’’hui, la plupart des attaques contournent hui, la plupart des attaques contournent ce type de protection ce type de protection ……

Les ports et protocoles ne suffisent plus Les ports et protocoles ne suffisent plus àà contrôler ce que font les utilisateurscontrôler ce que font les utilisateurs……

Hier, les port 80 et 443 Hier, les port 80 et 443 éétait utilistait utiliséées pour surfer es pour surfer sur le Websur le Web……

AujourdAujourd’’hui, ces ports sont utilishui, ces ports sont utiliséés pour la s pour la navigation sur le Web, les Webmail, les navigation sur le Web, les Webmail, les messageries instantanmessageries instantanéées, les Web Services, es, les Web Services, les logiciels P2Ples logiciels P2P……


doncdonc

Le filtrage de paquets & le statefull Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour inspection ne sont plus suffisants pour se protéger des attaques d’aujourd’hui !se protéger des attaques d’aujourd’hui !


ISA Server = pare-feu ISA Server = pare-feu multi couchesmulti couches

Filtrage de paquets & statefull inspectionFiltrage de paquets & statefull inspection Filtrage au niveau de la couche application Filtrage au niveau de la couche application

(analyse approfondie du contenu)(analyse approfondie du contenu) Architecture proxy avancArchitecture proxy avancééee Produit Produit éévolutif et extensiblevolutif et extensible


Filtrage de paquetsFiltrage de paquets

Applique des règles sur l’adresse ou le port Applique des règles sur l’adresse ou le port TCP/IPTCP/IP


quelques filtres applicatifsquelques filtres applicatifs Filtre applicatif SFiltre applicatif SMTPMTP

qui filtre selon la source,l’utilisateur ou le qui filtre selon la source,l’utilisateur ou le domainedomaine


quelques filtres applicatifsquelques filtres applicatifs Filtre applicatif Filtre applicatif HTTPHTTP

Filtre les requêtes entrantes en fonction d’un Filtre les requêtes entrantes en fonction d’un ensemble de règlesensemble de règles

Permet de se protéger des attaques qui:Permet de se protéger des attaques qui:

. . Demandent des actions inhabituellesDemandent des actions inhabituelles

. . Comportent un nombre important de caractèresComportent un nombre important de caractères

. Sont encodés avec un jeu de caractères spécifique. Sont encodés avec un jeu de caractères spécifique

Peut être utilisé en conjonction avec l’inspection Peut être utilisé en conjonction avec l’inspection de SSL pour détecter les attaques sur SSLde SSL pour détecter les attaques sur SSL


Protection des serveurs OWAProtection des serveurs OWA

Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu

traditionneltraditionnelOWAOWA

ClientClient

Le serveur OWA fait une demande Le serveur OWA fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande

SSLSSLSSLSSL

SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle

du fait du chiffrement…du fait du chiffrement…

……ce qui permet aux virus et ce qui permet aux virus et aux vers de se propager aux vers de se propager

sans être détectés…sans être détectés…

ISA ServerISA Server

Délégation d’authentification BasicDélégation d’authentification Basic

ISA Server pré authentifie les ISA Server pré authentifie les utilisateurs, éliminant les boites de utilisateurs, éliminant les boites de dialogues redondantes et n’autorise dialogues redondantes et n’autorise

que le trafic valide à passerque le trafic valide à passer

URLScan pour ISA ServerURLScan pour ISA Server

SSL or SSL or HTTPHTTP

SSL or SSL or HTTPHTTP

SSLSSLSSLSSL

ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter

le trafic SSLle trafic SSL

Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.

Analyse URL Analyse URL par ISA Serverpar ISA Server

L’analyse des URL par ISA Server L’analyse des URL par ISA Server peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en

cas d’utilisation de SSLcas d’utilisation de SSL

InternetInternet


Internal 10.0.0.x/24

DC1Contrôleur ADServeur DNS

10.0.0.1192.168.1.1

192.168.1.150

192.168.103.1

192.168.103.20

« Internet »192.168.1.x/24

LAN3 192.168.103.x/24

ISA 2004-1

10.0.0.10

Externe

Exch2K3Exchange 2003

DémonstrationDémonstration Publication d’Exchange 2003 – Outlook Web Publication d’Exchange 2003 – Outlook Web

AccessAccess


protection des serveurs et protection des serveurs et des réseaux contre les des réseaux contre les

menaces internesmenaces internes


Le meilleur exemple est la propagation Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’un ver comme Blaster (exploitation

d’une faille RPC) ou Sasser.d’une faille RPC) ou Sasser.

Réseau de l’entreprise Réseau de l’entreprise

InternetDimancheJour J de l’infection

LundiJour J+1 de l’infection


Fonctionnement des RPC Fonctionnement des RPC DCEDCE

Serveur RPC Serveur RPC (ex: Exchange)(ex: Exchange)Serveur RPC Serveur RPC

(ex: Exchange)(ex: Exchange)Client RPC Client RPC

(ex: Outlook)(ex: Outlook)Client RPC Client RPC

(ex: Outlook)(ex: Outlook)

ServiceService UUIDUUID PortPort

ExchangeExchange {12341234-1111…{12341234-1111… 44024402

AD replicationAD replication {01020304-4444…{01020304-4444… 35443544

MMCMMC {19283746-7777…{19283746-7777… 92339233

Les services RPC Les services RPC obtiennent des port obtiennent des port aléatoires (> 1024) lors aléatoires (> 1024) lors de leur démarrage, le de leur démarrage, le serveur maintient une serveur maintient une tabletable

135/tcp135/tcp

Le client se Le client se connecte au connecte au

portmapper sur le portmapper sur le serveur (port tcp serveur (port tcp

135)135)

Le client connaît Le client connaît l’UUID du service l’UUID du service

qu’il souhaite qu’il souhaite utiliserutiliser

{12341234-1111…}{12341234-1111…}

Le client accède à Le client accède à l’application via l’application via le port reçule port reçu

Le client demande Le client demande quel port est quel port est associé à l’UUID ?associé à l’UUID ?

Le serveur fait Le serveur fait correspondre l’UUID correspondre l’UUID avec le port courant…avec le port courant…

4402/tcp4402/tcp

Le RPC End Le RPC End Portmapper répond Portmapper répond avec le port et met avec le port et met fin à la connexionfin à la connexion

4402/tcp4402/tcp

Du fait de la nature aléatoire des ports utilisés par les RPC, Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est difficile sur la l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feumajorité des pare-feu– L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port

135 doivent être ouverts sur des pare feu traditionnels135 doivent être ouverts sur des pare feu traditionnelswww.cours-ofppt.comwww.cours-ofppt.com

Voilà, c’est fini !!!!Voilà, c’est fini !!!!

Des questions ?Des questions ?


exposé isa_new1

Documents