TechNet:

ISA Server 2006: Introduccin

Ana Alfaro Garca

v-analfa@microsoft.com Coordinadora de Eventos TechNet

ISA Server 2006: Introduccin

Chema Alonso chema@informatica64.com MVP Windows Security

Agenda
Introduccin. Sistema de red. Administracin de la seguridad. Firewall de aplicacin. Sistema de deteccin de intrusos. Gestin de Cach. Soporte y administracin.

Introduccin

Novedades ISA Server 2006

Administracin
Mejora de los asistentes. Mejoras en la gestin de certificados. Mejoras en la propagacin de directivas.

Publicacin de servidores:
Asistente publicacin OWA mejorado. Nuevo asistente de publicacin de SPPS. Soporte para Exchange 2007. Mejoras en la traduccin de enlaces. Cach de bits. Balanceo de carga para publicacin web. Calidad de servicio mediante el filtro Web Diffserv.

Novedades ISA Server 2006

Autentificacin:
Autentificacin LDAP. Single Sign-On. Autentificacin basada en formularios para sitios web. Mejoras de control de sesin.

Soporte Firewall:
Mejorados los asistentes de creacin de reglas. Resistencia a ataques por saturacin. Mejoras en la recuperacin en caso de ataque.

Arquitectura ISA Server 2006

Firewall multired:
Nivel de Red. Nivel de Aplicacin.

Servidor VPN:
Clientes. Branch Offices

Servidor Cach.

Arquitectura Firewall
Soporta mltiples redes de trabajo. Establecimiento de poltica por red Diseo de objetos para polticas. Controlar el flujo de informacin entre las diferentes redes. Soporta enrutamiento y NAT.

Arquitectura Firewall
Solucin extensible de filtrado de conexiones. Integracin completa con Active Directory. Soporte de Firewall sobre usuarios. Aplicacin de reglas encadenadas.

Arquitectura Cach
Mejora las condiciones de acceso a Internet mediante:
Soporte mltiples unidades de cach. Soporte Cach en Arrays. Cach Pasiva. Soporte Cach Activa. Soporte de Jobs de Cach. Soporte de Cach Negativa. Perfiles de cache por reglas.

Soporte Multired
ISA Server 2006 divide los sistemas de red en funcin de las necesidades planteadas en el marco de la seguridad.
Definicin de redes y grupos de redes. Definicin de las reglas de conexin de redes.

Permitir gestin independiente de las redes.

Asignan funcionalidades de clientes de proxy y firewall independientes para las redes.

Configuracin de redes
Una red viene determinada por una o ms mquinas correspondiendo normalmente con una red fsica. Se pueden especificar reglas a una o ms redes. La red determina cuales son los clientes que van a disponerse. ISA genera una preconfiguracin de redes. Las redes pueden ser agrupadas en conjunto de redes para su administracin.

Interconexin de redes
Determinan como se van a establecer la conectividad entre las diferentes redes. Las redes pueden ser conectadas siguiendo una de estas dos metodologas.
Enrutamiento. NAT.

Dentro de una red la comunicacin entre equipos se considera como enrutada.

Demo: Entorno ISA Server 2006

Administracin de la Seguridad con ISA Server 2006

Caractersticas de seguridad Filtros IP. Reglas de acceso. Publicacin de servicios. Filtros de aplicacin. Deteccin y alertas contra intrusos.

Filtros IP Filtrado IP a nivel de paquetes. Inspeccin de parmetros en cabeceras.

Bloqueos de fragmentos IP.

Reglas de acceso
Controlan el trfico de informacin a travs de las redes.

Determinan la configuracin de origen, destino, protocolos y usuarios que realizan la conexin.

La aplicacin de las reglas se determinan en un orden, quedando predefinida una regla que deniega cualquier trfico de red. Existen 2 tipos de reglas: Reglas de sistema. Reglas de Firewall.

Reglas de acceso
ISA Server 2006 proporciona una serie de reglas con los que se puede controlar la informacin que circula por la red en funcin de: Protocolos.
Usuarios. Tipos de contenido. Franjas de tiempo. Objetos de red.

Reglas de Publicacin
Se utilizan para publicar servidores. Asistentes de publicacin:
Clientes de Acceso Web de Exchange. Servidor de correo. Sitio de Share Point. Sitios Web. Otros servicios.

Asistentes
ISA Server 2006 presenta diferentes asistentes en funcin del servicio a publicar.

La publicacin de Servicios WEB admite la funcionalidad de publicar servidores o servicios balanceados.

Los sitios Web admiten las

Listener
Define la escucha para las peticiones al servidor publicado. Admite la utilizacin de mltiples certificados.

Admite diferentes mecanismos de autentificacin.

Autentificacin
Admite los siguientes mecanismos de autentificacin:
Autentificacin de formulario HTML. Autentificacin HTTP. Autentificacin SSL. No autentificar.

Validacin de credenciales
Los mecanismos de validacin pueden ser:
Directorio Activo. LDAP. Radius. Radius OTP. RSA SecurID.

Demo: Publicacin servidores con ISA Server 2006

Firewall de aplicacin

Necesidades
Inspeccionar el trfico al nivel de aplicacin.

Permitir o denegar el paso de datos a determinados contenidos o aplicaciones.

Proporcionan controles sobre determinados ataques. Sistema extensible sobre filtrados de conexiones.

Mtodos de implementacin
Implementadas directamente sobre las reglas de acceso y las publicaciones. Como un aadido sobre reglas y publicaciones.

Como funcionalidad sobre ISA a nivel Firewall.

Filtro HTTP
Las necesidades de la empresa permiten el trfico a travs del puerto 80. Por el puerto 80 no solo viaja trfico HTTP puro, sino que puede disfrazar otras comunicaciones.
Malware. P2P. Servicios de mensajera

Determinados ataques contra Servicios Web pueden ser controlados a este nivel.

Controles HTTP
Mediante el filtro HTTP pueden ser controlados estos aspectos de la comunicacin:
Tcnicas de Buffer Overflow. Denegacin de servicio. Subida de datos en escenarios de publicacin. Control de mtodos. Control de cabeceras.

Filtro contenido HTTP

Controlan el trfico de datos a travs de firmas.
En transmisin de datos. En recepcin de datos.

Impedir trfico a palabras claves.

Control de acceso a sitios web.

Detencin de comunicaciones de aplicaciones por firma y cabecera.

Control de aplicaciones HTTP

Aplicacin
Windows Messenger AOL Messenger (and Gecko browsers) Yahoo Messenger Kazaa

Peticin
Request headers Request headers

Cabecera HTTP
User-Agent: User-Agent:

Firma
MSMSGS Gecko/

Request headers Request headers

Host P2P-Agent

msg.yahoo.com Kazaa, Kazaaclient:

Kazaa
Kazaa Gnutella Edonkey Morpheus

Request headers
Request headers Request headers Request headers Response header

User-Agent:
X-Kazaa-Network: User-Agent: User-Agent: Server

KazaaClient
KaZaA Gnutella Gnucleus e2dk Morpheus

Filtro Proxyweb
Se aplica de forma directa sobre HTTP. Permite la extensin del filtro HTTP y de autentificacin sobre otros protocolos. Garantiza el control sobre comunicaciones en entornos propietarios.

Protocolos RPC
Un nmero considerables de servicios se establecen mediante RPC.

Problemtica de las transmisiones RPC.

Inicio de comunicacin sobre 135 para localizar el puerto de comunicacin. Establece comunicacin en puertos por encima de 1024.

El administrador no debera abrir todos los puertos por encima del 1024.

Filtro RPC
Las comunicaciones RPC se pueden parametrizar por el UUID.
Identificador del servicio RPC. Identificador del interface.

ISA Server 2004 presenta un asistente para la creacin de protocolos RPC basados en UUID.
Manual. Automticamente conectando a un servidor y seleccionando sus UUID correspondientes.

El servicio de Firewall aplica con posterioridad los filtros para permitir la transferencia de datos a UUID determinados.

Transmisin RPC

Addons
ISA Server 2004 presenta una arquitectura abierta para:
Desarrollar (SDK ISA Server). Implementar nuevas herramientas.

Software de terceros amplan las funcionalidades de ISA Server 2006.

Tipos de Addons
Implementaciones de antivirus para ISA Server.

Gestin de trfico web. Websense.

Gestin de trfico y aplicacin de cuotas. Ampliacin de los componentes Sockets.

Mejoras en sistemas de deteccin de intrusos.

Diffserv
Mediante el filtro Diffserv pueden establecerse prioridades del envo de paquetes HTTP.

La asignacin de prioridades se asignan sobre los objetos Redes de ISA Server 2006.

Elemento de priorizacin
El establecimiento de prioridades se realiza sobre:
URL. Dominios.

La asignacin de prioridades se establece mediante la definicin de valores.

Filtro Diffserv

Demo

Monitorizacin

Monitorizacin
Monitorizacin de servicios de ISA Server.
Firewall. Data Engine. Isa Server Job Scheduler. Remote Access.

Monitorizacin de sesiones VPN. Monitorizacin de conectividad.

Registro de Sucesos
Soporte de LOG por filtros de servidor. Integracin con bases de datos.
MSDE. SQL.

Soporte de consultas sobre logs.

Filtro de consultas.

Informes
ISA Server 2006 presenta el sistema de Reporting.
Informes sumariales. Informes de utilizacin de aplicaciones. Informes de utilizacin web. Informes de seguridad. Informes de trfico y uso.

Generacin y publicacin de informes planificada.

Boletn quincenal TechNews

Contactos
Informtica 64
http://www.informatica64.com i64@informatica64.com +34 91 665 99 98

Hands On Lab
http://www.microsoft.es/HOLSistemas

Chema Alonso
chema@informatica64.com