exposé isa_new1
TRANSCRIPT
Exposé surExposé sur : : proxy ISA proxy ISA ServeurServeur
2008/2009 TRI 2008/2009 TRI 1A1A
Office de la Formation Professionnelle et de la Promotion du Travail
www.cours-ofppt.comwww.cours-ofppt.com
Présentation général ISA Présentation général ISA ServerServer
22èmeème génération de pare-feu Microsoft génération de pare-feu Microsoft Pare-feu multicouches (3,4 et 7) Pare-feu multicouches (3,4 et 7) Capacité de filtrage extensibleCapacité de filtrage extensible Proxy applicatifProxy applicatif Nouvelle architectureNouvelle architecture
www.cours-ofppt.comwww.cours-ofppt.com
DéfinitionDéfinition::
le proxy ISA (le proxy ISA (IInternet nternet SSecurity and ecurity and AAccélération) ccélération) server permet de mettre en place une solution de server permet de mettre en place une solution de mise en cache web consulté par les utilisateurs de mise en cache web consulté par les utilisateurs de l’entreprise,de securiser le réseau entre les l’entreprise,de securiser le réseau entre les attaques extérieurs via un service de pare-feu attaques extérieurs via un service de pare-feu (firewall) et d’administrer l’usage que font les (firewall) et d’administrer l’usage que font les utilisateurs d’internet.utilisateurs d’internet.
www.cours-ofppt.comwww.cours-ofppt.com
NBNB
ISA Server nécessite Windows 2000 ISA Server nécessite Windows 2000 Server ou Windows 2003 ServerServer ou Windows 2003 Server
www.cours-ofppt.comwww.cours-ofppt.com
PrincipesPrincipes
Si une connexion entre le réseau interne Si une connexion entre le réseau interne et externe est attaquée, seule la et externe est attaquée, seule la connexion entre le proxy et l’attaquant est connexion entre le proxy et l’attaquant est attaquée.attaquée.
Si le serveur mandataire est compromis, Si le serveur mandataire est compromis, on s’en aperçoit très rapidementon s’en aperçoit très rapidement
www.cours-ofppt.comwww.cours-ofppt.com
Grâce à ISA Server, vous serez en Grâce à ISA Server, vous serez en mesure:mesure:
protéger votre réseau contre les accès non protéger votre réseau contre les accès non autorisésautorisés
protéger vos serveurs Web contre les protéger vos serveurs Web contre les attaques extérieuresattaques extérieures
surveiller le trafic réseau entrant et sortant surveiller le trafic réseau entrant et sortant pour garantir un niveau sécurité élevé pour garantir un niveau sécurité élevé
recevoir des alertes en cas d'activités recevoir des alertes en cas d'activités suspectes.suspectes.
www.cours-ofppt.comwww.cours-ofppt.com
AvantageAvantage ::
Le plus haut degré de sécuritéLe plus haut degré de sécurité Accès rapide à internet.Accès rapide à internet. Connexion sécurisée.Connexion sécurisée. filtrage spécifiques.filtrage spécifiques. Règles simples à définirRègles simples à définir..
InconvénientInconvénient
Les performances les plus faiblesLes performances les plus faibles N’est pas transparent pour les utilisateursN’est pas transparent pour les utilisateurs CherCher Administration du système demande plus de temps et d’efforts qu’un simple Administration du système demande plus de temps et d’efforts qu’un simple
filtrage de paquetsfiltrage de paquets
www.cours-ofppt.comwww.cours-ofppt.com
Éditions d’ISA ServerÉditions d’ISA Server
ISA Server standard EdirionISA Server standard Edirion ISA Server Entreprise EdtionISA Server Entreprise Edtion
www.cours-ofppt.comwww.cours-ofppt.com
La fonction de La fonction de cachecache
www.cours-ofppt.comwww.cours-ofppt.com
La plupart des proxys assurent ainsi une La plupart des proxys assurent ainsi une fonction de cache (en anglais caching), fonction de cache (en anglais caching), c'est-c'est-àà-dire la capacité à garder en mémoire -dire la capacité à garder en mémoire (en "cache") les pages les plus souvent (en "cache") les pages les plus souvent visitées par les utilisateurs du réseau local visitées par les utilisateurs du réseau local afin de pouvoir les leur fournir le plus afin de pouvoir les leur fournir le plus rapidement possible .rapidement possible .
www.cours-ofppt.comwww.cours-ofppt.com
Mise en cache en Mise en cache en avalaval
La mise en cache en aval correspond au La mise en cache en aval correspond au cas d’un utilisateur du réseau d'entreprise cas d’un utilisateur du réseau d'entreprise qui demande un contenu Web résidant sur qui demande un contenu Web résidant sur un serveur dans Internet. La nature exacte un serveur dans Internet. La nature exacte de la mise en cache en aval varie selon que de la mise en cache en aval varie selon que le contenu demandé est ou non présent le contenu demandé est ou non présent dans le cache Web. dans le cache Web.
www.cours-ofppt.comwww.cours-ofppt.com
Mise en cache en Mise en cache en avalaval lorsque le contenu lorsque le contenu demandé ne se trouve pas dans le cachedemandé ne se trouve pas dans le cache
www.cours-ofppt.comwww.cours-ofppt.com
Mise en cache en aval lorsque le contenu demandé se trouve dans le cache
www.cours-ofppt.comwww.cours-ofppt.com
Mise en cache en Mise en cache en amontamont
La mise en cache en amont a lieu La mise en cache en amont a lieu lorsque les utilisateurs Internet demandent lorsque les utilisateurs Internet demandent un contenu Web placé sur un serveur Web un contenu Web placé sur un serveur Web de l’entreprise...de l’entreprise...
www.cours-ofppt.comwww.cours-ofppt.com
Mise en cache en Mise en cache en amontamont lorsque les lorsque les ressources Web d'entreprise ne se trouvent ressources Web d'entreprise ne se trouvent
pas dans le cachepas dans le cache
www.cours-ofppt.comwww.cours-ofppt.com
Améliorations du cache Améliorations du cache Web d'ISA ServerWeb d'ISA Server
Un certain nombre d'améliorations ont été Un certain nombre d'améliorations ont été apportées aux fonctionnalités de mise en cache apportées aux fonctionnalités de mise en cache d'ISA Server 2004 dans le but de garantir un d'ISA Server 2004 dans le but de garantir un accès plus rapide au contenu Web et une plus accès plus rapide au contenu Web et une plus grande disponibilité. Il faut notamment citer:grande disponibilité. Il faut notamment citer:
Mise en cache activeMise en cache active Planification de téléchargement de contenuPlanification de téléchargement de contenu Chaînage du proxy WebChaînage du proxy Web Mise en cache transparenteMise en cache transparente
www.cours-ofppt.comwww.cours-ofppt.com
Mise en cache activeMise en cache active
consiste à anticiper les demandes des consiste à anticiper les demandes des utilisateurs et à placer le contenu Web dans utilisateurs et à placer le contenu Web dans le cache le cache avantavant même qu'ils ne le même qu'ils ne le demandent ; c'est ce qui s'appelle la demandent ; c'est ce qui s'appelle la mise mise en cache activeen cache active. .
www.cours-ofppt.comwww.cours-ofppt.com
Planification de Planification de téléchargement de téléchargement de
contenucontenu
permet de programmer, ponctuellement ou à permet de programmer, ponctuellement ou à intervalles réguliers, le téléchargement intervalles réguliers, le téléchargement automatique de contenu à des heures précises, automatique de contenu à des heures précises, même si aucun utilisateur n'en a encore formulé même si aucun utilisateur n'en a encore formulé la demande. Cette fonction vous permet aussi la demande. Cette fonction vous permet aussi de fixer le délai de conservation du contenu de fixer le délai de conservation du contenu téléchargé dans le cache. téléchargé dans le cache.
www.cours-ofppt.comwww.cours-ofppt.com
Chaînage du proxy Chaînage du proxy WebWeb
Le chaînage du proxy Web intervient entre Le chaînage du proxy Web intervient entre des serveurs cache « en amont » et « en des serveurs cache « en amont » et « en aval ». Les clients Web commencent par aval ». Les clients Web commencent par émettre des demandes de contenu Web à émettre des demandes de contenu Web à un serveur cache en aval. Si le serveur en un serveur cache en aval. Si le serveur en aval ne dispose pas des documents aval ne dispose pas des documents demandés, il transmet la demande à un demandés, il transmet la demande à un serveur cache en amont. serveur cache en amont.
www.cours-ofppt.comwww.cours-ofppt.com
www.cours-ofppt.comwww.cours-ofppt.com
Mise en cache Mise en cache transparentetransparente
Pour un bon fonctionnement de la mise Pour un bon fonctionnement de la mise en cache Web dans ISA Server 2004, les en cache Web dans ISA Server 2004, les demandes de contenu Web doivent être demandes de contenu Web doivent être envoyées au serveur cache Web. Cela envoyées au serveur cache Web. Cela sous-entend donc que les clients Web sous-entend donc que les clients Web connaissent le nom ou l'adresse IP du connaissent le nom ou l'adresse IP du serveur cache Web. serveur cache Web.
www.cours-ofppt.comwww.cours-ofppt.com
protection des serveurs et des protection des serveurs et des réseaux d’entreprise contre les réseaux d’entreprise contre les
attaques externesattaques externes
www.cours-ofppt.comwww.cours-ofppt.com
Le problèmeLe problème
AujourdAujourd’’hui, la plupart des attaques contournent hui, la plupart des attaques contournent ce type de protection ce type de protection ……
Les ports et protocoles ne suffisent plus Les ports et protocoles ne suffisent plus àà contrôler ce que font les utilisateurscontrôler ce que font les utilisateurs……
Hier, les port 80 et 443 Hier, les port 80 et 443 éétait utilistait utiliséées pour surfer es pour surfer sur le Websur le Web……
AujourdAujourd’’hui, ces ports sont utilishui, ces ports sont utiliséés pour la s pour la navigation sur le Web, les Webmail, les navigation sur le Web, les Webmail, les messageries instantanmessageries instantanéées, les Web Services, es, les Web Services, les logiciels P2Ples logiciels P2P……
www.cours-ofppt.comwww.cours-ofppt.com
doncdonc
Le filtrage de paquets & le statefull Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour inspection ne sont plus suffisants pour se protéger des attaques d’aujourd’hui !se protéger des attaques d’aujourd’hui !
www.cours-ofppt.comwww.cours-ofppt.com
ISA Server = pare-feu ISA Server = pare-feu multi couchesmulti couches
Filtrage de paquets & statefull inspectionFiltrage de paquets & statefull inspection Filtrage au niveau de la couche application Filtrage au niveau de la couche application
(analyse approfondie du contenu)(analyse approfondie du contenu) Architecture proxy avancArchitecture proxy avancééee Produit Produit éévolutif et extensiblevolutif et extensible
www.cours-ofppt.comwww.cours-ofppt.com
Filtrage de paquetsFiltrage de paquets
Applique des règles sur l’adresse ou le port Applique des règles sur l’adresse ou le port TCP/IPTCP/IP
www.cours-ofppt.comwww.cours-ofppt.com
quelques filtres applicatifsquelques filtres applicatifs Filtre applicatif SFiltre applicatif SMTPMTP
qui filtre selon la source,l’utilisateur ou le qui filtre selon la source,l’utilisateur ou le domainedomaine
www.cours-ofppt.comwww.cours-ofppt.com
quelques filtres applicatifsquelques filtres applicatifs Filtre applicatif Filtre applicatif HTTPHTTP
Filtre les requêtes entrantes en fonction d’un Filtre les requêtes entrantes en fonction d’un ensemble de règlesensemble de règles
Permet de se protéger des attaques qui:Permet de se protéger des attaques qui:
. . Demandent des actions inhabituellesDemandent des actions inhabituelles
. . Comportent un nombre important de caractèresComportent un nombre important de caractères
. Sont encodés avec un jeu de caractères spécifique. Sont encodés avec un jeu de caractères spécifique
Peut être utilisé en conjonction avec l’inspection Peut être utilisé en conjonction avec l’inspection de SSL pour détecter les attaques sur SSLde SSL pour détecter les attaques sur SSL
www.cours-ofppt.comwww.cours-ofppt.com
Protection des serveurs OWAProtection des serveurs OWA
Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu
traditionneltraditionnelOWAOWA
ClientClient
Le serveur OWA fait une demande Le serveur OWA fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande
SSLSSLSSLSSL
SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle
du fait du chiffrement…du fait du chiffrement…
……ce qui permet aux virus et ce qui permet aux virus et aux vers de se propager aux vers de se propager
sans être détectés…sans être détectés…
ISA ServerISA Server
Délégation d’authentification BasicDélégation d’authentification Basic
ISA Server pré authentifie les ISA Server pré authentifie les utilisateurs, éliminant les boites de utilisateurs, éliminant les boites de dialogues redondantes et n’autorise dialogues redondantes et n’autorise
que le trafic valide à passerque le trafic valide à passer
URLScan pour ISA ServerURLScan pour ISA Server
SSL or SSL or HTTPHTTP
SSL or SSL or HTTPHTTP
SSLSSLSSLSSL
ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter
le trafic SSLle trafic SSL
Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.
Analyse URL Analyse URL par ISA Serverpar ISA Server
L’analyse des URL par ISA Server L’analyse des URL par ISA Server peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en
cas d’utilisation de SSLcas d’utilisation de SSL
InternetInternet
www.cours-ofppt.comwww.cours-ofppt.com
Internal 10.0.0.x/24
DC1Contrôleur ADServeur DNS
10.0.0.1192.168.1.1
192.168.1.150
192.168.103.1
192.168.103.20
« Internet »192.168.1.x/24
LAN3 192.168.103.x/24
ISA 2004-1
10.0.0.10
Externe
Exch2K3Exchange 2003
DémonstrationDémonstration Publication d’Exchange 2003 – Outlook Web Publication d’Exchange 2003 – Outlook Web
AccessAccess
www.cours-ofppt.comwww.cours-ofppt.com
protection des serveurs et protection des serveurs et des réseaux contre les des réseaux contre les
menaces internesmenaces internes
www.cours-ofppt.comwww.cours-ofppt.com
Le meilleur exemple est la propagation Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’un ver comme Blaster (exploitation
d’une faille RPC) ou Sasser.d’une faille RPC) ou Sasser.
Réseau de l’entreprise Réseau de l’entreprise
InternetDimancheJour J de l’infection
LundiJour J+1 de l’infection
www.cours-ofppt.comwww.cours-ofppt.com
Fonctionnement des RPC Fonctionnement des RPC DCEDCE
Serveur RPC Serveur RPC (ex: Exchange)(ex: Exchange)Serveur RPC Serveur RPC
(ex: Exchange)(ex: Exchange)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)
ServiceService UUIDUUID PortPort
ExchangeExchange {12341234-1111…{12341234-1111… 44024402
AD replicationAD replication {01020304-4444…{01020304-4444… 35443544
MMCMMC {19283746-7777…{19283746-7777… 92339233
Les services RPC Les services RPC obtiennent des port obtiennent des port aléatoires (> 1024) lors aléatoires (> 1024) lors de leur démarrage, le de leur démarrage, le serveur maintient une serveur maintient une tabletable
135/tcp135/tcp
Le client se Le client se connecte au connecte au
portmapper sur le portmapper sur le serveur (port tcp serveur (port tcp
135)135)
Le client connaît Le client connaît l’UUID du service l’UUID du service
qu’il souhaite qu’il souhaite utiliserutiliser
{12341234-1111…}{12341234-1111…}
Le client accède à Le client accède à l’application via l’application via le port reçule port reçu
Le client demande Le client demande quel port est quel port est associé à l’UUID ?associé à l’UUID ?
Le serveur fait Le serveur fait correspondre l’UUID correspondre l’UUID avec le port courant…avec le port courant…
4402/tcp4402/tcp
Le RPC End Le RPC End Portmapper répond Portmapper répond avec le port et met avec le port et met fin à la connexionfin à la connexion
4402/tcp4402/tcp
Du fait de la nature aléatoire des ports utilisés par les RPC, Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est difficile sur la l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feumajorité des pare-feu– L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port
135 doivent être ouverts sur des pare feu traditionnels135 doivent être ouverts sur des pare feu traditionnelswww.cours-ofppt.comwww.cours-ofppt.com
Voilà, c’est fini !!!!Voilà, c’est fini !!!!
Des questions ?Des questions ?
www.cours-ofppt.comwww.cours-ofppt.com