Microsoft TechDays Lisboa

Transcrição

1 SEC003 O que há de novo no ISA Server 2006 Ricardo Machado ricardo.machado@microsoft.com Consultor, Microsoft Consulting Services Patrocinadores Agenda Acesso seguro a aplicações Gateway para locais remotos Protecção no acesso à Internet This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 1

2 Acesso seguro a aplicações Segurança integrada Autenticação com múltiplos factores Integração com Active Directory e LDAP Pré-autenticação com formulários costumizáveis Melhorias na delegação de autenticação Melhorias na gestão de sessões Acesso seguro a aplicações Gestão eficiente Balanceamento na publicação de aplicações Web Ferramentas de automação para Exchange, Sharepoint e outros servidores Web Melhorias na gestão de certificados Acesso seguro a aplicações Acesso rápido e seguro Mais escolhas de autenticação single sign-on Tradução automática de links Gateway para locais remotos Gestão Eficiente Automação da criação de ligações VPN Utilização de answer files em removable media Propagação mais eficiente da Enterprise Policy This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 2

3 Gateway para locais remotos Protecção no acesso Internet Acesso rápido e seguro Compressão de tráfego HTTP Suporte para marcação diffserv BITS Caching BITS caching, Compressão HTTP e o suporte DiffServ são idênticos ao existênte no ISA Server 2004 service pack 2 Segurança Integrada Maior resistência a Flooding attacks Maior resistência a Worm attacks Melhorias na geração de alertas Gestão eficiente Maior eficiência na gestão de recursos do sistema operativo Os números Crescimento de ocorrências de acessos não autorizados a recursos TI Rácio de ataques internos/externos é de 1:1 ACESSO SEGURO A APLICAÇÕES CSI/FBI 2005 report This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 3

4 Mais Wizards Web based Outlook Web Access Sharepoint Web Servers Outros Servidores SMTP Exchange RPC Regras Costumizadas Web Listener Wizard Autenticação Gestão de certificados Compressão HTTP Os Wizards criam todos os network elements e configuram a tradução de links conforme seja necessário Autenticação Atributos Autenticação Cliente para o ISA User ID Group membership Protocol usage Schedule Form HTML Radius One Time Password SecurID HTTP Basic Client Side SSL Nenhuma Soluções de terceiros This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 4

5 WinLogon Autenticação ISA para o validador Active Directory Kerberos LDAP RADIUS RADIUS OTP SecurID Fluxo de autenticação Client requests web site Find matching publishing rule Não Authentication on listener? Is All users on rule? Sim AuthN required on backend? Sim Query for credentials Não Query for credentials Sim Query for credentials Display published content Não Delegação de credenciais Single Sign-on browser data 401 URL OWA form URL + basic creds form variables cookie ISA Server WinLogon token URL + basic creds RADIUS token AD Ocorre automáticamente entre todas as aplicações publicadas num único listener O listener age como um agregador de autenticação para todos os sites publicados nele data IIS This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 5

6 Fluxo do Single Sign-on Certificados Identificação? Identificação? dev.example.com eng.example.com sup.example.com ID+pass És conhecido Não atravessa domínios mesmo se os listeners partilharemo mesmo perfirl de autenticação e o SSO estiver activo eng dev sup mktg example.com Obrigatórios Front-end Autentica o ISA Server e permite o establecimento de Sessões SSL com clientes Back-end Autentica o servidor publicado e establece uma Sessão SSL com o ISA Server Opcionais ISA Server como cliente Autentica o ISA Server perante o servidor publicado Cliente Autentica um cliente perante o ISA Server Certificados Revisão Certificados Gestão Múltiplos certificados por listener Elimina a necessidade de wilcard certificates Uma única configuração de autenticação Um certificado por cada servidor em array SSL offload hardware é recomendado This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 6

7 Certificados Estado Identifica certificados incorrectamente instalados Verifica a presença no store correcto Verifica a presença da chave privada Valida o estado em cada membro do array Aviso caso o certificado tenha expirado Certificados Alertas Problemas com certificados geram alertas Melhoria em relação ao erro genérico do ISA Server 2004 Autenticação c/ Forms HTML Tipos de forms Funciona com qualquer site publicado 3 niveis de funcionalidade (Premium, Basic e Mobile) Forms para Logon, Logoff e SecurID Selecciona a lingua através da configuração do browser ou listener Username e password Username e passcode Combinado ID+passcode para SecurID ou RADIUS One Time Password ID+Password para delegação e validação no backend Froms prédefinidos ISA Server genérico Exchange This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 7

8 Form genérico ISA Server Costumização de forms Um form por listener As regras de publicação podem substituir o form utilizado no listener Gestão de sessões Cookies Persistentes Sessão Expiração da sessão Tempo idle Duração de sessão Apenas a actividade do utilizador reinicia o cookie timer Logoff Adicionar o logoff url à regra de publicação Apaga o cookie e adiciona à lista de revogação Regista a identidade do utilizador no log Tradução de links Revisão <HREF= This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 8

9 Tradução de links Revisão <HREF= Tradução de links Para que serve? Mantém os detalhes internos privados Permite a utilizadores externos o acesso sem necessidade de reescrever aplicações O que é novo? Ligado automaticamente Motor de tradução mais eficiente Suporte para múltiplos alfabetos Tradução de links em arrays Tradução mesmo se o conteúdo é publicado por outro array Melhoria de disponibilidade em caso de falha de um array Server farms Define um network object, utilizado em qualquer regra de publicação This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 9

10 Server Farms Mecanismos de verificação HTTP/S GET Ping Ligação TCP a um port especifico Balanceamento de carga Server farms Utiliza uma web server farm Preserva o contexto aplicacional Elimina a necessidade de NLB nos servidores publicados Elimina problemas com NAT ou routing Tipo de distribuição Cookie (Default OWA) Source IP (RPC/HTTP) Balanceamento de carga Gestão do estado Active Draining Removed Balanceamento de carga Gestão do estado Active Estado normal, aceita pedidos Draining Termina os pedidos recebidos, não aceita novos pedidos Out of Service Estado determinado pelo ISA Server caso o servidor não responda Removed Removido da server farm, não aceita pedidos Out of service This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 10

11 Reverse Caching Publicação de servidores de Cache Tenho Transfere em esse Transfere para memóriapedido para disco memória Passa o tempo Acesso Web Outlook Web Access RCP/HTTPS Outlook Mobile Access Exhange Active Sync Outros protocolos SMTP RPC POP3 IMAP4 Integração com Exchange Selecção da versão Selecção de método de acesso Com Exchange 2007, permite o acesso total a Sharepoint Libraries e Shares de rede KB Update para suportar Exchange 2007 RTM Criação de um Listener HTTPS This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 11

12 Publicação de Exchange Server GATEWAY PARA LOCAIS REMOTOS Os números 30% dos negócios com locais remotos Consomem 33% do budget IT $ é gasto em WAN s por empresas com 1000 ou mais funcionários 55% dos funcionários em empresas com mais de 1000 funcionários estão em locais remotos 0 é o número típico de staff dedicado para o suporte TI nestes locais Configuration Storage Server É uma instância ADAM Acesso por LDAP Não requer DNS nem domínio Detalhes de instalação NO ISA, num servidor em workgroup ou domínio Replicação apenas em domínio Gerido pelo ISA MMC snap-in Propagação de uma alteração em menos de um minuto Harte-Hanks 2004; AMI Partners 2003 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 12

13 Sede Local Remoto ISA Server VPN Wizard Answer file 1. Establece uma ligação site-tositevpn 2. Associa o ISA com o Configuration Storage server central e sincroniza 3. Junta-se a um array BITS Caching Regra built-in para cache das actualizações do Microsoft Update Os cliente passam a fazer update a partir da cache Poupa largura de banda e espaço em disco fazendo download apenas das versões necessárias das actualizações BITS Caching Configuração This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 13

14 BITS Caching Configuração BITS Caching Configuração Compressão HTTP Suporta métodos Gzip e Deflate, requer HTTP 1.1 configurado no cliente Configurável por listener ou globalmente Não é possível configurar por regra Implementado através de um web filter Alta prioridade Tráfego é descomprimido antes de inspeccionado Conteúdo já em cache é entregue comprimido caso o cliente o peça Sucede, mesmo se o conteúdo em cache não está comprimido Tem impacto na performance, limpar a cache é uma forma de mitigação O tráfego HTTPS nunca é comprimido Compressão HTTP Configuração Global This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 14

15 Compressão HTTP Cliente Clientes HTTP 1.1 utilizam compressão HTTP Configuração no browser tem que ser activada Cache e Compressão Comprimido Não comprimido Cache e Compressão Cache, Compressão e Inspecção Comprimido Comprimido Não comprimivél Inspecção desligada Não Comprimido Comprimido This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 15

16 Suporte Diffserv Política Global Atribui prioridade com base em URL ou domínio Configuração em conformidade com o presente nos routers Funciona apenas com HTTP/S Não adiciona diffserv bits a outros protocolos Pode remover diffserv em tráfego não HTTP/S Suporte Diffserv Configuração Pedidos ou respostas que excedam estes valores irão receber a prioridade seguinte Suporte Diffserv Configuração Prioritização Diffserv Configuração Aplica a todo o conteúdo Não Funciona com HTTPS Funciona com HTTPS This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 16

17 Prioritização Diffserv Configuração PROTECÇÃO NO ACESSO INTERNET Os números 70% dos ataques são na application layer 95% são possibilitados por vulnerabilidades nas configurações Orgulho é um motivo menos popular Lucro é o motivo mais popular Resistência a ataques Flood resiliency Protege o ISA Server contra: Propagação de Worms Syn Floods Ataques DoS Ataques DoS Distribuídos HTTP bombing Pode também proteger servidores atrás do ISA Server de forma indirecta This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 17

18 Resistência a ataques Mitigation defaults Resistência a ataques Configuração de mitigação Mitigação Default Excepção Concurrent TCP connections allowed per source IP Mitigates TCP flood attack where offending host maintains numerous TCP connections with ISA or victim computers behind ISA HTTP requests created per minute per source IP Mitigates HTTP DoS attack where offending host sends numerous HTTP requests to victim web sites Concurrent non-tcp connections allowed per IP Mitigates non-tcp attack where offending host sends numerous UDP or ICMP messages to victim computers behind ISA Non-TCP sessions per minute per rule Mitigates non-tcp DDoS attacks where many zombie hosts participate in attack or throttle network with numerous non-tcp packets Trigger event when denied packets per minute per IP exceeds limit Alert notifies ISA administrator about offending IP Resistência a ataques Mitigação - excepções Controlo de recursos Log throttling Pára o logging de denied records após um valor pré-definido Gestão de memória Não aceita novas ligações caso o consumo da Non Paged Pool chegue a 90% Continua a processar as ligações existentes Processo automático e extremamente dificil de despoletar Limita o número de pedidos ao DNS quando atinge uma utilização de 80% das threads Quando um cliente firewall requisita uma resolução de nome Quando o ISA resolve um nome DNS existente numa regra This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 18

19 Cenários de mitigação de ataques Propagação de worms Host infectado na rede interna a enviar um elevado número de pedidos para múltiplos endereços IP, sempre no mesmo port. Verifica os connection thresholds Verifica se o source IP não é mascarado Bloqueia o IP É a forma mais comum de Flood Attack O ISA 2004 não protege na totalidade Cenários de mitigação de ataques Connection table exploit Um ataque que usa múltiplos source IP s para efectuar um DoS ao ISA com um elevado número de ligações TCP Não despoleta os limites per-source O ISA deixa de aceitar novas ligação quando atinge 90% da non-paged memory pool Limpa todas as ligações idle da connection table Pode levar a um DoS permanente sobre o ISA 2004 Poucas firewall s no mercado sobrevivem a este tipo de ataque Cenários de mitigação de ataques Pending DNS exploit O ISA Server é configurado para negar a ligações a um conjunto de domínios, ou para permitir apenas um conjunto específico um número de hosts infectados tenta efectuar ligações a um conjunto aleatório de IP s, forçando o ISA a efectuar DNS reverse lookup s O ISA bloqueia novos pedidos após utilizar 80% das threads disponiveis Continua a servir pedidos que não necessitem de reverse DNS ou onde a resposta esteja em cache Tipicamente causado pela propagação de worms Pode levar a um DoS temporário no ISA 2004 Cenários de mitigação de ataques Sequencial TCP connection flood Um ataque que abre e fecha ligações TCP de forma sequencial O ISA usa o mecanismo de detecção de worms, detectando um elevado número de ligações do IP de origem Bloqueia o IP Não é um ataque comum Pode levar a um DoS temporário no ISA 2004 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 19

20 Cenários de mitigação de ataques HTTP DoS over existing connection Um atacante establece uma ligação válida a um servidor web Utilizando esta ligação, envia um número elevado de pedidos HTTP, despoletando o threshold O ISA detecta o ataque e limita o request rate do cliente Este tipo de ataque está a crescer em popularidade Pode levar a um DoS temporário no ISA 2004 Alertas Source IP nas excepções? Qual é o ataque? Recursos Úteis Related Sessions/Participe Noutras Sessões SEC005: DMZ-Ologia Está viva, está morta, qual é a verdade (Fred Baumhardt) 21/3, 13:30 SEC007: Publicação segura de aplicações com o Intelligent Application Gateway 2007: Análise Técnica Detalhada 22/3, 11:15 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 20

21 ATE/Pergunte aos Especialistas Obtenha Respostas às Suas Questões 21/3, 12h-15h Outros Recursos Para Profissionais de TI TechNet Plus 2 incidentes de suporte gratuito profissional software exclusivo: Capacity Planner software Microsoft para avaliação actualizações de segurança e service packs acesso privilegiado à knowledge base formação gratuita e muito mais. Questionário de Avaliação Passatempo! Complete o questionário de avaliação e devolva-o no balcão da recepção. Habilite-se a ganhar uma Xbox 360 por dia! SEC003 O que há de novo no ISA Server 2006 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 21

22 This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. 22