microsoft isa server 2004: stanislas quastana microsoft france - consultant pare-feu applicatif...
TRANSCRIPT
Microsoft ISA Server Microsoft ISA Server 2004:2004:
Microsoft ISA Server Microsoft ISA Server 2004:2004:
Stanislas Quastana Stanislas Quastana Microsoft France - ConsultantMicrosoft France - Consultant
Pare-feu applicatif Pare-feu applicatif contre les contre les attaques internes attaques internes et externeset externes
AgendaAgenda
Partie 1 : Présentation générale ISA Server 2004 Partie 1 : Présentation générale ISA Server 2004 (5 minutes)(5 minutes)
Partie 2 : Sécuriser l’accès vers Internet depuis les Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise réseaux locaux pour les utilisateurs de l’entreprise (10 minutes)(10 minutes)
Partie 3 : protection des serveurs et des réseaux Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server Exchange Server (25 minutes)(25 minutes)
Partie 4 : protection des serveurs et des réseaux Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes)contre les menaces internes (25 minutes)
SynthèseSynthèse
Questions / Réponses Questions / Réponses (10 minutes)(10 minutes)
AgendaAgenda
Partie 1 : Présentation générale ISA Server 2004 Partie 1 : Présentation générale ISA Server 2004 (5 minutes)(5 minutes)
Partie 2 : Sécuriser l’accès vers Internet depuis les Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise réseaux locaux pour les utilisateurs de l’entreprise (10 minutes)(10 minutes)
Partie 3 : protection des serveurs et des réseaux Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server Exchange Server (25 minutes)(25 minutes)
Partie 4 : protection des serveurs et des réseaux Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes)contre les menaces internes (25 minutes)
SynthèseSynthèse
Questions / Réponses Questions / Réponses (10 minutes)(10 minutes)
ISA Server 2004 en quelques ISA Server 2004 en quelques motsmots
22èmeème génération de pare-feu Microsoft génération de pare-feu Microsoft
Pare-feu multicouches (3,4 et 7) Pare-feu multicouches (3,4 et 7)
Capacité de filtrage extensibleCapacité de filtrage extensible
Proxy applicatifProxy applicatif
Nouvelle architectureNouvelle architecture
Intégration des fonctionnalités de Intégration des fonctionnalités de VPNVPN
Tableau de bord de supervisionTableau de bord de supervision
Visualisation des journaux temps réelVisualisation des journaux temps réel
Assistant de définition des relations Assistant de définition des relations entre les différents réseauxentre les différents réseaux
Support de scénarios complexesSupport de scénarios complexes
Stratégie de sécurité Pare-feu/VPN Stratégie de sécurité Pare-feu/VPN unifiéeunifiée
Import-export de configuration (XML)Import-export de configuration (XML)
Nombre de réseaux illimitéNombre de réseaux illimité
Stratégie de filtrage définie par réseauStratégie de filtrage définie par réseau
Règles de routage / NAT inter réseauxRègles de routage / NAT inter réseaux
Topologies Topologies réseau typeréseau type
Éditeur de Éditeur de stratégiesstratégies
Architecture Architecture multi réseaumulti réseau
Outils de Outils de diagnostiquediagnostique
ISA Server 2004ISA Server 2004Facilité de mise en oeuvreFacilité de mise en oeuvre
Windows, RADIUS et RSA SecurIDWindows, RADIUS et RSA SecurID
Délégation d’authentificationDélégation d’authentification
Filtre applicatif RPC (MAPI et autres)Filtre applicatif RPC (MAPI et autres)
Sécurité Outlook Web Access accrueSécurité Outlook Web Access accrue
Méthodes: POST, HEAD...Méthodes: POST, HEAD...
Signatures: mots clés ou chaînes de Signatures: mots clés ou chaînes de caractères dans URL, En-tête, Corpscaractères dans URL, En-tête, Corps
Filtres applicatifs HTTP et SMTPFiltres applicatifs HTTP et SMTP
Stratégies riches et flexiblesStratégies riches et flexibles
Protection des Protection des serveurs de serveurs de messageriemessagerie
Filtrage HTTP Filtrage HTTP évoluéévolué
Inspection de Inspection de contenu avancéecontenu avancée
Authentification Authentification flexibleflexible
ISA Server 2004ISA Server 2004Protection avancéeProtection avancée
PolicyPolicyEngineEngine
NDIS
TCP/IP Stack
ISA Server 2004 ISA Server 2004 ArchitectureArchitecture
Firewall EngineFirewall Engine
FirewallFirewall serviceservice
Application Filter API
AppAppFilterFilter
Web Proxy FilterWeb Proxy Filter
Web Filter API (ISAPI)
Webfilter
Webfilter
User Mode
Kernel Mode
SMTPSMTPFilterFilter
RPCRPCFilterFilter
DNSDNSFilterFilter
PolicyStore
Packet layer filtering
1
Protocol layer filtering
2
Application layer filtering
3
Kernel mode data pump:
Performanceoptimization
4
Structure des règles de Structure des règles de pare-feu ISA Server 2004pare-feu ISA Server 2004
AllowBlock
Source networkSource IPOriginating user
Destination networkDestination IPDestination site
ProtocolIP Port / Type
•Published server•Published web site•Schedule•Filtering properties
action on traffic from user from source to destination with conditions
User
•Ensemble de règles ordonnées•Plus logique et plus facile à comprendre (vs ISA Server 2000 notamment)
AgendaAgenda
Partie 1 : Présentation générale ISA Server 2004 Partie 1 : Présentation générale ISA Server 2004 (5 minutes)(5 minutes)
Partie 2 : Sécuriser l’accès vers Internet depuis les Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise réseaux locaux pour les utilisateurs de l’entreprise (10 minutes)(10 minutes)
Partie 3 : protection des serveurs et des réseaux Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server Exchange Server (25 minutes)(25 minutes)
Partie 4 : protection des serveurs et des réseaux Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes)contre les menaces internes (25 minutes)
SynthèseSynthèse
Questions / Réponses Questions / Réponses (10 minutes)(10 minutes)
Les besoins des entreprises Les besoins des entreprises connectées vus par connectées vus par l’administrateurl’administrateur
« Je veux contrôler les protocoles réseaux « Je veux contrôler les protocoles réseaux utilisés par mes utilisateurs »utilisés par mes utilisateurs »
« Je veux administrer les accès de manière « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) »(domaines NT, Active Directory, RADIUS) »
« Je veux empêcher mes utilisateurs de « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux »télécharger des fichiers illégaux ou dangereux »
« Je veux qu’Internet soit un outil de travail et « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »là où ils veulent. »
Contrôle des protocolesContrôle des protocoles
ISA Server 2004 propose en ISA Server 2004 propose en standard une liste des standard une liste des protocoles les plus utilisésprotocoles les plus utilisés
Il est possible de compléter Il est possible de compléter celle-ci en créant les celle-ci en créant les définitions des protocoles définitions des protocoles utilisés par vos applications.utilisés par vos applications.
Les règles de pare-feu Les règles de pare-feu permette une grande permette une grande granularité dans leur granularité dans leur définitiondéfinition
Contrôle des contenusContrôle des contenusISA Server 2004 permet de filtrer ISA Server 2004 permet de filtrer les contenus des requêtes HTTP et les contenus des requêtes HTTP et FTPFTP
Plusieurs catégories sont Plusieurs catégories sont prédéfinies et peuvent être prédéfinies et peuvent être personnalisées ou complétées.personnalisées ou complétées.
Filtrage applicatif : filtre Filtrage applicatif : filtre HTTPHTTPLe filtre HTTP peut être défini sur toutes les règles de pare-Le filtre HTTP peut être défini sur toutes les règles de pare-
feu qui utilisent HTTP.feu qui utilisent HTTP.
Les options suivantes sont disponibles:Les options suivantes sont disponibles:Limiter la taille maximale des entêtes (header) dans les requêtes Limiter la taille maximale des entêtes (header) dans les requêtes HTTPHTTPLimiter la taille de la charge utile (payload) dans les requêtesLimiter la taille de la charge utile (payload) dans les requêtesLimiter les URLs qui peuvent être spécifiées dans une requêteLimiter les URLs qui peuvent être spécifiées dans une requêteBloquer les réponses qui contiennent des exécutables WindowsBloquer les réponses qui contiennent des exécutables WindowsBloquer des méthodes HTTP spécifiquesBloquer des méthodes HTTP spécifiquesBloquer des extensions HTTP spécifiquesBloquer des extensions HTTP spécifiquesBloquer des entêtes HHTP spécifiquesBloquer des entêtes HHTP spécifiquesSpécifier comment les entêtes HTTP sont retournésSpécifier comment les entêtes HTTP sont retournésSpécifier comment les entêtes HTTP Via sont transmis ou retournésSpécifier comment les entêtes HTTP Via sont transmis ou retournésBloquer des signatures HTTP spécifiquesBloquer des signatures HTTP spécifiques
Utilisation du filtre HTTPUtilisation du filtre HTTPLe filtre applicatif HTTP peut être utilisé Le filtre applicatif HTTP peut être utilisé pour bloquer les applications utilisant HTTP pour bloquer les applications utilisant HTTP comme méthode d’encapsulation pour comme méthode d’encapsulation pour d’autres protocoles :d’autres protocoles :
Messageries instantanées : MSN Messenger, Yahoo Messageries instantanées : MSN Messenger, Yahoo Messenger…Messenger…
Logiciels P2P : Kazaa, Emule…Logiciels P2P : Kazaa, Emule…
Spyware : Gator…Spyware : Gator…
Chevaux de TroieChevaux de Troie
Filtre applicatif HTTPFiltre applicatif HTTPExemple de filtrage en fonction du contenu de Exemple de filtrage en fonction du contenu de l’en-têtel’en-têtePOST http://64.4.1.18/gtw/gtw.dll?SessID=1POST http://64.4.1.18/gtw/gtw.dll?SessID=1HTTP/1.1HTTP/1.1Accept: */*Accept: */*Accept-Language: en-usAccept-Language: en-usAccept-Encoding: gzip, deflateAccept-Encoding: gzip, deflateUser-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133)5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133)Host: 64.4.1.18Host: 64.4.1.18Proxy-Connection: Keep-AliveProxy-Connection: Keep-AliveConnection: Keep-AliveConnection: Keep-AlivePragma: no-cachePragma: no-cacheContent-Type: Content-Type: application/x-msn-messengerapplication/x-msn-messengerContent-Length: 7Content-Length: 7
Démonstration : utilisation Démonstration : utilisation du filtre applicatif HTTPdu filtre applicatif HTTP
AgendaAgenda
Partie 1 : Présentation générale ISA Server 2004 Partie 1 : Présentation générale ISA Server 2004 (5 minutes)(5 minutes)
Partie 2 : Sécuriser l’accès vers Internet depuis les Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise réseaux locaux pour les utilisateurs de l’entreprise (10 minutes)(10 minutes)
Partie 3 : protection des serveurs et des réseaux Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server Exchange Server (25 minutes)(25 minutes)
Partie 4 : protection des serveurs et des réseaux Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes)contre les menaces internes (25 minutes)
SynthèseSynthèse
Questions / Réponses Questions / Réponses (10 minutes)(10 minutes)
Partie 3 - protection des Partie 3 - protection des serveurs et des réseaux serveurs et des réseaux d’entreprise vis-à-vis d’entreprise vis-à-vis d’Internetd’Internet
La problématique des pare-feux traditionnelsLa problématique des pare-feux traditionnels
Le besoin des pare-feux niveau applicatifs (niveau 7)Le besoin des pare-feux niveau applicatifs (niveau 7)
Le modèle ISA Server : pare-feu multicouches Le modèle ISA Server : pare-feu multicouches
Quelques filtres applicatifs d’ISA 2004Quelques filtres applicatifs d’ISA 2004Le filtre HTTPLe filtre HTTP
Le filtre SMTPLe filtre SMTP
Exemple avec Exchange ServerExemple avec Exchange ServerPublication Web : protection d’Outlook Web Access (OWA)Publication Web : protection d’Outlook Web Access (OWA)
Publication de serveur : SMTPPublication de serveur : SMTP
Le problèmeLe problème
Le filtrage de paquets & le statefull inspection ne Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques sont plus suffisants pour se protéger des attaques
d’aujourd’hui !d’aujourd’hui !
Les pare-feux traditionnels se focalisent sur le filtrage Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspectionde paquets et le statefull inspection
Aujourd’hui, la plupart des attaques contournent ce Aujourd’hui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, type de protection (ex: Nimda, Code Red, openssl/Slapper…).openssl/Slapper…).
Les ports et protocoles ne suffisent plus à contrôler ce Les ports et protocoles ne suffisent plus à contrôler ce que font les utilisateursque font les utilisateurs
Hier, les port 80 et 443 était utilisées pour surfer Hier, les port 80 et 443 était utilisées pour surfer sur le Websur le Web
Aujourd’hui, ces ports sont utilisés pour la Aujourd’hui, ces ports sont utilisés pour la navigation sur le Web, les Webmail, les messageries navigation sur le Web, les Webmail, les messageries instantanées, les Web Services, les logiciels P2P…instantanées, les Web Services, les logiciels P2P…
InternetInternetVers réseau interneVers réseau interneVers réseau interneVers réseau interne
Pare-feu niveau Pare-feu niveau ApplicationApplication
Pare-feu niveau Pare-feu niveau ApplicationApplication
Pare-feu Pare-feu traditionneltraditionnel
Pare-feu Pare-feu traditionneltraditionnel
Les Pare-feu niveau Les Pare-feu niveau ApplicationApplicationSont nécessaires pour se protéger des Sont nécessaires pour se protéger des
attaques d’aujourd’hui…attaques d’aujourd’hui…
……, ils permettent une analyse approfondie , ils permettent une analyse approfondie du contenu des paquets réseaux…du contenu des paquets réseaux…
……car car comprendre ce qu’il y a dans le comprendre ce qu’il y a dans le Payload est désormais un pré requisPayload est désormais un pré requis
Filtrage de paquets & statefull inspectionFiltrage de paquets & statefull inspection
Filtrage au niveau de la couche application Filtrage au niveau de la couche application (analyse approfondie du contenu)(analyse approfondie du contenu)
Architecture proxy avancéeArchitecture proxy avancée
Produit évolutif et extensibleProduit évolutif et extensible
http://http://www.microsoft.comwww.microsoft.com//isaserverisaserver//partnerspartners//default.aspdefault.asp
Partenaires certifiés sur la version bêta :Partenaires certifiés sur la version bêta :
ISA Server = pare-feu multi ISA Server = pare-feu multi couchescouches
Un des meilleurs pare-feux pour les environnements Microsoft.
ISA Server 2004ISA Server 2004 Filtres applicatifsFiltres applicatifs
Analyse du contenuAnalyse du contenuBlocage / modification / redirectionBlocage / modification / redirection
Filtres applicatifs pourFiltres applicatifs pourInternet: HTTP, FTP, SMTP, POP3Internet: HTTP, FTP, SMTP, POP3Streaming: RTSP, MMS, PNM, H.323Streaming: RTSP, MMS, PNM, H.323DNS: Détection d’intrusions, transfert de zonesDNS: Détection d’intrusions, transfert de zonesRPC: Publication de serveurs, filtrage sur les UUIDsRPC: Publication de serveurs, filtrage sur les UUIDsPPTPPPTPSOCKS V4SOCKS V4
SMTP: VRFY *
ServeurServeur
HTTP: Virus
HTTP: Site interdit
HTTP: Attaque/Vers
ClientClientDNS: Attaque de zone
ISA Server 2004ISA Server 2004 Protection des serveurs Web - Filtre applicatif HTTPProtection des serveurs Web - Filtre applicatif HTTP
Filtre les requêtes entrantes en fonction d’un Filtre les requêtes entrantes en fonction d’un ensemble de règlesensemble de règles
Permet de se protéger des attaques quiPermet de se protéger des attaques quiDemandent des actions inhabituellesDemandent des actions inhabituelles
Comportent un nombre important de caractèresComportent un nombre important de caractères
Sont encodés avec un jeu de caractères spécifiqueSont encodés avec un jeu de caractères spécifique
Peut être utilisé en conjonction avec Peut être utilisé en conjonction avec l’inspection de SSL pour détecter les attaques l’inspection de SSL pour détecter les attaques sur SSLsur SSL
Protection des serveurs OWAProtection des serveurs OWA
Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu
traditionneltraditionnelOWAOWA
ClientClient
Le serveur OWA fait une demande Le serveur OWA fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande
SSLSSLSSLSSL
SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle
du fait du chiffrement…du fait du chiffrement…
……ce qui permet aux virus et ce qui permet aux virus et aux vers de se propager aux vers de se propager
sans être détectés…sans être détectés…
……et d’infecter les serveurs internes !et d’infecter les serveurs internes !
ISA ServerISA Server
Délégation d’authentification BasicDélégation d’authentification Basic
ISA Server pré authentifie les ISA Server pré authentifie les utilisateurs, éliminant les boites de utilisateurs, éliminant les boites de dialogues redondantes et n’autorise dialogues redondantes et n’autorise
que le trafic valide à passerque le trafic valide à passer
URLScan pour ISA ServerURLScan pour ISA Server
SSL or SSL or HTTPHTTP
SSL or SSL or HTTPHTTP
SSLSSLSSLSSL
ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter
le trafic SSLle trafic SSL
Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.
Analyse URL Analyse URL par ISA Serverpar ISA Server
L’analyse des URL par ISA Server L’analyse des URL par ISA Server peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en
cas d’utilisation de SSLcas d’utilisation de SSL
InternetInternet
Internal 10.0.0.x/24
DC1Contrôleur ADServeur DNS
10.0.0.1192.168.1.1
192.168.1.150
192.168.103.1
192.168.103.20
« Internet »192.168.1.x/24
LAN3 192.168.103.x/24
ISA 2004-1
10.0.0.10
Externe
Exch2K3Exchange 2003
DémonstrationDémonstrationPublication d’Exchange 2003 – Outlook Web Publication d’Exchange 2003 – Outlook Web AccessAccess
Filtre applicatif SMTPFiltre applicatif SMTPISA intercepte tout le trafic SMTP (Simple Mail Transfert Protocol) qui arrive sur le port 25 sur le serveur ISA. Le filtre SMTP accepte le trafic, l’analyse et le retransmet au vrai serveur SMTP publié uniquement si la règle de pare-feu l’autorise.Enregistrement des mails bloqués : Si une commande SMTP est bloquée car elle viole une des conditions imposées par le filtre SMTP, le message bloqué est loggué. Cette journalisation n’est effective que si l’alerte SMTP Filter Event est activée (par défaut : désactivée)
Configuration du filtre Configuration du filtre SMTPSMTP
AgendaAgenda
Partie 1 : Présentation générale ISA Server 2004 Partie 1 : Présentation générale ISA Server 2004 (5 minutes)(5 minutes)
Partie 2 : Sécuriser l’accès vers Internet depuis les Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise réseaux locaux pour les utilisateurs de l’entreprise (10 minutes)(10 minutes)
Partie 3 : protection des serveurs et des réseaux Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server Exchange Server (25 minutes)(25 minutes)
Partie 4 : protection des serveurs et des réseaux Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes)contre les menaces internes (25 minutes)
SynthèseSynthèse
Questions / Réponses Questions / Réponses (10 minutes)(10 minutes)
Les attaques viennent Les attaques viennent aussiaussi de de l’internel’interne
Étude et statistiques sur la sinistralité informatique en France (2002)
Réseau de l’entreprise Réseau de l’entreprise
Les attaques internes ne sont pas Les attaques internes ne sont pas toujours déclenchées de manière toujours déclenchées de manière intentionnelleintentionnelle
Le meilleur exemple est la propagation d’un ver Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou comme Blaster (exploitation d’une faille RPC) ou Sasser.Sasser.
InternetDimancheJour J de l’infection
LundiJour J+1 de l’infection
Fonctionnement des RPC DCEFonctionnement des RPC DCE
Serveur RPC Serveur RPC (ex: Exchange)(ex: Exchange)Serveur RPC Serveur RPC
(ex: Exchange)(ex: Exchange)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)
ServiceService UUIDUUID PortPort
ExchangeExchange {12341234-{12341234-1111…1111…
44044022
AD AD replicationreplication
{01020304-{01020304-4444…4444…
35435444
MMCMMC {19283746-{19283746-7777…7777…
92392333
Les services RPC Les services RPC obtiennent des port obtiennent des port aléatoires (> 1024) lors aléatoires (> 1024) lors de leur démarrage, le de leur démarrage, le serveur maintient une serveur maintient une tabletable
135/tcp135/tcp
Le client se Le client se connecte au connecte au
portmapper sur le portmapper sur le serveur (port tcp serveur (port tcp
135)135)
Le client connaît Le client connaît l’UUID du service l’UUID du service
qu’il souhaite qu’il souhaite utiliserutiliser
{12341234-1111…}{12341234-1111…}
Le client accède à Le client accède à l’application via l’application via le port reçule port reçu
Le client demande Le client demande quel port est quel port est associé à l’UUID ?associé à l’UUID ?
Le serveur fait Le serveur fait correspondre l’UUID correspondre l’UUID avec le port courant…avec le port courant…
4402/tcp4402/tcp
Le RPC End Le RPC End Portmapper répond Portmapper répond avec le port et met avec le port et met fin à la connexionfin à la connexion
4402/tcp4402/tcp
Du fait de la nature aléatoire des ports utilisés par Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est les RPC, l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feudifficile sur la majorité des pare-feu
L’ensemble des 64,512 ports supérieurs à 1024 ainsi que L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu le port 135 doivent être ouverts sur des pare feu traditionnelstraditionnels
Attaques RPC potentiellesAttaques RPC potentielles
Reconnaissance / FingerprintingReconnaissance / FingerprintingNETSTATNETSTAT
RPCDumpRPCDump
RPCScan (RPCScan (http://http://www.securityfriday.comwww.securityfriday.com))
Déni de service contre le portmapperDéni de service contre le portmapper
Élévation de privilèges ou attaques sur d’autres Élévation de privilèges ou attaques sur d’autres servicesservices
Blaster !!!!!Blaster !!!!!
Serveur Serveur application RPCapplication RPCISA ServerISA Server
Seul le port TCP 135 (RPC End Portmapper) est Seul le port TCP 135 (RPC End Portmapper) est ouvertouvert
Les ports > 1024 sont ouverts/fermés Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) dynamiquement pour les clients (applications RPC) en fonction des besoinsen fonction des besoins
Inspection du trafic vers le RPC End Inspection du trafic vers le RPC End Portmapper au niveau applicatifPortmapper au niveau applicatif
Seuls les UUIDs de l’application RPC sont Seuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autreautorisés à l’exception de tout autre
ISA Server 2004ISA Server 2004Filtre applicatif RPC Filtre applicatif RPC
Application cliente RPCApplication cliente RPC
Internal 10.0.0.x/24
DC1Contrôleur ADServeur DNS
10.0.0.1192.168.103.1
192.168.103.20
LAN3 192.168.103.x/24
10.0.0.10
Exch2K3Exchange 2003
ISA 2004-1
Externe
Démonstration : Filtrage Démonstration : Filtrage RPCRPC
Scan RPC (utilisation de RPCScan)
Protection contre les attaques Protection contre les attaques RPCRPC
Reconnaissance?Reconnaissance?NETSTAT net montre que 135/tcpNETSTAT net montre que 135/tcp
RPCDump, RPCScan ne fonctionnent pas RPCDump, RPCScan ne fonctionnent pas simplementsimplement
DoS contre le portmapper?DoS contre le portmapper?Les attaques connues échouentLes attaques connues échouent
Les attaques qui fonctionnent laissent Exchange, Les attaques qui fonctionnent laissent Exchange, AD protégésAD protégés
Attaques de service sur Exchange, AD…?Attaques de service sur Exchange, AD…?L’obtention d’information n’est plus possibleL’obtention d’information n’est plus possible
Les connexions entre ISA Server et les applications Les connexions entre ISA Server et les applications RPC vont échouer tant que les connexions entre RPC vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatéesISA et le client ne sont pas correctement formatées
Oui!Oui!
Oui!Oui!
Oui!Oui!
AgendaAgenda
Partie 1 : Présentation générale ISA Server 2004 Partie 1 : Présentation générale ISA Server 2004 (5 minutes)(5 minutes)
Partie 2 : Sécuriser l’accès vers Internet depuis les Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise réseaux locaux pour les utilisateurs de l’entreprise (10 minutes)(10 minutes)
Partie 3 : protection des serveurs et des réseaux Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server Exchange Server (25 minutes)(25 minutes)
Partie 4 : protection des serveurs et des réseaux Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes)contre les menaces internes (25 minutes)
SynthèseSynthèse
Questions / Réponses Questions / Réponses (10 minutes)(10 minutes)
En résuméEn résuméISA 2004 pour protéger vos ressourcesISA 2004 pour protéger vos ressources
Un pare-feu qui permettant de concevoir un grand Un pare-feu qui permettant de concevoir un grand nombre de scénariinombre de scénarii
Protection des flux sortant vers InternetProtection des flux sortant vers InternetProtection des serveurs exposés sur InterneProtection des serveurs exposés sur InterneProtection des ressources internes par segmentation et Protection des ressources internes par segmentation et filtrage applicatiffiltrage applicatif……
Défense en profondeurDéfense en profondeurAnalyse aux couches 3,4 et 7Analyse aux couches 3,4 et 7Nombreux filtres applicatifs inclus en standard (HTTP, RPC, Nombreux filtres applicatifs inclus en standard (HTTP, RPC, SMTP, DNS…)SMTP, DNS…)Nombreux filtres complémentaires disponible auprès Nombreux filtres complémentaires disponible auprès d’éditeurs tiersd’éditeurs tiersProduit extensible adaptable à vos besoinsProduit extensible adaptable à vos besoinsDe nouveaux filtres prévus dans des futures Feature Packs: De nouveaux filtres prévus dans des futures Feature Packs: XML, …XML, …
AgendaAgenda
Partie 1 : Présentation générale ISA Server 2004 Partie 1 : Présentation générale ISA Server 2004 (5 minutes)(5 minutes)
Partie 2 : Sécuriser l’accès vers Internet depuis les Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise réseaux locaux pour les utilisateurs de l’entreprise (10 minutes)(10 minutes)
Partie 3 : protection des serveurs et des réseaux Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server Exchange Server (20 minutes)(20 minutes)
Partie 4 : protection des serveurs et des réseaux Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes)contre les menaces internes (25 minutes)
SynthèseSynthèse
Questions / Réponses Questions / Réponses (10 minutes)(10 minutes)
Questions / RéponsesQuestions / Réponses