Vous êtes sur la page 1sur 35

Microsoft ISA Server 2004

Pare-feu applicatif contre les attaques internes et externes

Fouad JRADA : MCSE

Plan de Cours

Partie 1 : Prsentation gnrale ISA Server 2004

Partie 2 : Scuriser laccs vers Internet depuis les rseaux locaux

Partie 3 : protection des serveurs et des rseaux dentreprise vis--vis dInternet.

Synthse

Fouad JRADA : MCSE / MCDBA

Protection du rseau priphrique : les dfis

Partenaire commercial

Les dfis :
Choix dune topologie de pare-feu approprie Accs aux ressources pour les utilisateurs distance Surveillance et production de rapports efficaces Besoin dune inspection plus serre des paquets Conformit aux normes de scurit Utilisateur distance

Bureau principal

Internet
Sans fil

Succursale

Fouad JRADA : MCSE / MCDBA

Avantages de ISA 2004

Caractristiques :
Scuris par dfaut
Modles des topologies courantes Assistants de configuration Cration de rgles personnalises

Intgration du service Active Directory pour lauthentification


Filtrage multicouche et inspection plus serre des paquets Mise en cache volue

Journalisation et surveillance en temps rel


Mcanismes dimportation, dexportation, de sauvegarde et de restauration Prise en charge des grappes par ldition entreprise
Fouad JRADA : MCSE / MCDBA

Recommandations pour ISA 2004

Mmoire vive

Windows 2000 Server ou Windows Server 2003

UCT

512 Mo

500 MHz

Format disque dur


Carte rseau interne Carte rseau externe

Espace disque dur

NTFS

150 Mo

Fouad JRADA : MCSE / MCDBA

Paramtres dinstallation par dfaut

La configuration par dfaut de ISA Server bloque tout le trafic entre les rseaux relis ISA Server Seuls les membres du groupe dadministrateurs locaux ont des autorisations administratives. Des rseaux par dfaut sont crs. Les rgles daccs comprennent des rgles de stratgie systme et des rgles daccs par dfaut. Aucun serveur nest publi. La mise en cache est dsactive.

Le partage dinstallation de client pare-feu est accessible sil est install.

Fouad JRADA : MCSE / MCDBA

Mthodes prouves de conception

Pour dployer ISA Server afin doffrir laccs Internet :


Choisissez la topologie qui rpond le mieux vos besoins. Planifiez la rsolution de noms DNS. Crez les lments des rgles daccs ncessaires et configurez les rgles daccs. Planifiez lordre des rgles daccs.

Mettez en oeuvre les mcanismes dauthentification appropries.


Testez les rgles daccs avant le dploiement. Dployez le client pare-feu en vue dune scurit et dune fonctionnalit maximales.

Utilisez la journalisation de ISA Server pour rgler les problmes de connectivit Internet.
Fouad JRADA : MCSE / MCDBA

Topologies courantes et modles de configuration de ISA 2004 Hte bastion


Rseau interne

Configuration en trois parties


Rseau interne Rseau priphrique

Serveur Web

Modle de pare-feu de primtre

Modle de pare-feu en trois parties

Configuration dos dos


Rseau interne

Internet

Modle de Rseau pare-feu priphrique avant ou de pare-feu arrire

Modle de carte rseau unique seulement pour le serveur mandataire et la mise en cache
Fouad JRADA : MCSE / MCDBA

lments des rgles daccs Types dlments servant crer les rgles daccs :
Protocoles Utilisateurs Types de contenus Planifications Objets de rseau
Autoriser Refuser Tous les utilisateurs Utilisateurs authentifis Utilisateur/groupe spcifique Rseau de destination IP de destination Site de destination

action sur le trafic de lutilisateur entre source et destination avec conditions


Protocole Port IP / Type Rseau dorigine IP dorigine Utilisateur dorigine Serveur publi Site Web publi Planification Critres de filtrage

Fouad JRADA : MCSE / MCDBA

ISA Server 2004


Facilit de mise en oeuvrre
Inspection de contenu avance Filtres applicatifs HTTP et SMTP Stratgies riches et flexibles

Protection des serveurs de messagerie

Filtre applicatif RPC (MAPI et autres) Scurit Outlook Web Access accrue

Filtrage HTTP volu

Mthodes: POST, HEAD... Signatures: mots cls ou chanes de caractres dans URL, En-tte, Corps

Authentification flexible

Windows, RADIUS et RSA SecurID Dlgation dauthentification

Fouad JRADA : MCSE / MCDBA

ISA Server 2004


Protection avance
Architecture multi rseau Nombre de rseaux illimit Stratgie de filtrage dfinie par rseau Rgles de routage / NAT inter rseaux

Topologies

Assistant de dfinition des relations entre les diffrents rseaux Support de scnarios complexes

rseau type

diteur de stratgies

Stratgie de scurit Pare-feu/VPN unifie Import-export de configuration (XML)

Outils de diagnostique

Tableau de bord de supervision Visualisation des journaux temps rel

Fouad JRADA : MCSE / MCDBA

Architecture

Fouad JRADA : MCSE / MCDBA

ISA Server 2004

Partie 2 : Scuriser laccs vers Intternet depuis les rseaux locaux pour les utilisateurs de lentreprise

Fouad JRADA : MCSE / MCDBA

Les besoins des entreprises connectes vus par ladministrateur


Je veux contrler les protocoles rseaux utiliss par mes utilisateurs Je veux administrer les accs de manire centralise et intgre avec mon infrastructure (domaines NT, Active Directory, RADIUS) Je veux empcher mes utilisateurs de tlcharger des fichiers illgaux

ou dangereux
Je veux quInternet soit un outil de travail et empcher mes utilisateurs de surfer sur le Web l o ils veulent.

Fouad JRADA : MCSE / MCDBA

Contrle des protocoles


ISA Server 2004 propose en standard une liste des protocoles rseaux les plus utiliss Il est possible de complter celle-ci en crant les dfinitions des protocoles utiliss par vos

applications.
Les rgles de pare-feu permettent une grande granularit dans leur dfinition

Fouad JRADA : MCSE / MCDBA

Contrle des contenus


ISA Server 2004 permet de filtrer les contenus des requtes HTTP et FTP Plusieurs categories sont prdffinies et peuvent tre personnalises ou compltes.

Fouad JRADA : MCSE / MCDBA

Filtrage multicouche

Filtrage de paquets :

Filtre les paquets selon le contenu des en-ttes des couches rseau et transport Inspecte rapidement les paquets, mais ne dtecte pas les attaques de haut niveau
Filtre les paquets selon linformation de la session TCP Accepte uniquement les paquets qui font partie dune session valide, mais ne peut pas inspecter les donnes dapplication

Filtrage dynamique de paquets :

Filtrage dapplication :

Filtre les paquets selon les donnes dapplication quils transportent Peut empcher les attaques malveillantes et faire respecter les politiques de lutilisateur

Filtrage applicatif : filtre HTTP


Le ffiiltre HTTP peut tre dfini sur toutes les rgles de parefeu quii utilisent HTTP.

Les opttiions suiivanttes sontt diisponiiblles::


Limiter la taille maximale des enttes (header) dans les requtes HTTP Limiter la taille de la charge utile (payload) dans les requtes Limiter les URLs qui peuvent tre spcifies dans une requte Bloquer les rponses qui contiennent des excutables Windows

Bloquer des mthodes HTTP spcifiques


Bloquer des extensions HTTP spcifiques Bloquer des enttes HHTP spcifiques Spcifier comment les enttes HTTP sont retourns Spcifier comment les enttes HTTP Via sont transmis ou retourns Bloquer des signatures HTTP spcifiques

Fouad JRADA : MCSE / MCDBA

Outils de surveillance de ISA 2004

Tableau de bord Vue centralise rcapitulative Alertes Tous les problmes au mme endroit Sessions Vue des sessions actives Services tat des services ISA Connectivit Connectivit aux services rseau Journalisation Puissant outil de consultation des journaux ISA

Rapports Utilisateurs et sites les plus actifs, accs la mmoire cache

Fouad JRADA : MCSE / MCDBA

Tableau de bord

Fouad JRADA : MCSE / MCDBA

Alertes

Fouad JRADA : MCSE / MCDBA

Sessions

Fouad JRADA : MCSE / MCDBA

Rapports

Fouad JRADA : MCSE / MCDBA

Utilisation du filtre HTTP

Le filtre applicatif HTTP peut tre

utilis pour bloquer les applications utilisant HTTP comme mthode

dencapsulation pour dautres


protocoles :
Messageries instantanes : MSN

Messenger, Yahoo Messenger,ICQ

Fouad JRADA : MCSE / MCDBA

Dmonstration : utilisation du filtre applicatif HTTP

Fouad JRADA : MCSE / MCDBA

ISA Server 2004

Partie 3 : protection des serveurs et des rseaux dentreprise vis--vis dInternet. Exemple avec Exchange Server

Fouad JRADA : MCSE / MCDBA

La problmatique des pare-feux traditionnels


Les pare-feux traditionnels se focalisent sur le filtrage de paquets. Aujourrdhui, la plupart des attaques contournent ce type de protection ((ex: Nimda, Code Red, openssl/Slapper).. Les ports et protocoles ne suffisent plus contrler ce que font les utilisateurs
Hier, les port 80 et 443 tait utilises pour surfer sur le Web Aujourdhui, ces ports sont utiliss pour la navigation sur le Web, les Webmail, les

messageries instantanes, les Web Services, les logiciels P2P

Fouad JRADA : MCSE / MCDBA

Les Pare-feu niveau Application

Sont donc ncessaires pour se protger des attaques daujourdhui

, ils permettent une analyse approfondie du contenu des paquets rseaux

Fouad JRADA : MCSE / MCDBA

ISA Server = pare-feu multi couches


Filtrage de paquets & statefull inspection Filtrage au niveau de la couche application (analyse approfondie du contenu par des filtres spcifiques) Architecture proxy avance (web et application TCP/IP)

Produit extensible via lutilisation dun SDK


Products volutif avec des Add-On.

Fouad JRADA : MCSE / MCDBA

Les filtres dISA Server 2004


Filtres applicatifs
FTP : permet de bloquer les envois SMTP : gestion des commandes et filtrage des messages (contenu, extension,)

POP3 : dtection dintrusion


RTSP, MMS, PNM, H.323: Streaming DNS: dtection dintrusions,, transfert de zones RPC: publiication de serveurs, filtrage sur les interfaces PPTP : permet la traverse de connexions VPN (Tunneling) Web Proxy : gestion de HTTP, HTTPs (filtres web)

Filtres Web
Filtre HTTP : analyse du contenu des requtes web (enttes et donnes) Authentification RSA SecureID Authentification Radius Authentification OWA Web Forms

Fouad JRADA : MCSE / MCDBA

Publlication dExchange 2003 Outlook Web Access

Fouad JRADA : MCSE / MCDBA

Publlication dExchange 2003 Outlook Web Access

Fouad JRADA : MCSE / MCDBA

ISA Server 2004

Synthse

Fouad JRADA : MCSE / MCDBA

En rsum
ISA 2004 pour protger vos ressources
Un pare-feu qui permettant de concevoir un grand nombre de scnarios
Protection des flux sortant vers Internet Protection des serveurs exposs sur Interne Protection des ressources internes par segmentation et filtrage applicatif

Dfense en profondeur
Analyse aux couches 3,4 et 7
Nombreux filtres applicatifs inclus en standard (HTTP, RPC, SMTP,DNS) Nombreux filtres complmentaires disponible auprs dditeurs tiers Produit extensible adaptable vos besoins grce au SDK De nouveaux filtres prvus dans des futures Feature Packs: XML,

Fouad JRADA : MCSE / MCDBA

ISA Server 2004