Post on 05-Mar-2015
Luis Alberto Martínez R.Luis Alberto Martínez R.Security SpecialistSecurity SpecialistSecurity Business UnitSecurity Business UnitMicrosoft MéxicoMicrosoft México
Administración de Administración de ISA Server 2004ISA Server 2004
¿Qué cubriremos?¿Qué cubriremos?
• Objetivo de la sesión:Objetivo de la sesión:– Entender como ISA 2004 usa Entender como ISA 2004 usa redesredes, NAT/route y , NAT/route y
templetes de redes.templetes de redes.– Entender cómo las redes ISA 2004 se usan en Entender cómo las redes ISA 2004 se usan en
reglas de Firewallreglas de Firewall– Entender como Entender como La Maquinaria FirewallLa Maquinaria Firewall protege el protege el
el “stack” de la redel “stack” de la red
Prerrequisito en conocimientoPrerrequisito en conocimiento
• Buen entendimiento de TCP/IPBuen entendimiento de TCP/IP
• Buen entendimiento de principios en firewall Buen entendimiento de principios en firewall
Level 300Level 300
AgendaAgenda
• Modelo de trabajo en redes ISA Server 2004 Modelo de trabajo en redes ISA Server 2004 – Comparado con ISA Server 2000Comparado con ISA Server 2000
• Procesamiento de reglasProcesamiento de reglas
• Protección de redesProtección de redes– Maquinaria en FirewallMaquinaria en Firewall
ISA Server 2004ISA Server 2004MisiónMisión
““La avanzada aplicación de Firewall por capas con soluciones VPN y Web La avanzada aplicación de Firewall por capas con soluciones VPN y Web cache permite a nuestros clientes maximizar sus inversiones en IT cache permite a nuestros clientes maximizar sus inversiones en IT
mejorando la seguridad y el con de su Red” mejorando la seguridad y el con de su Red”
Protección AvanzadaProtección AvanzadaAplicación de Seguridad por capas, diseñada a protejer las aplicaciones MicrosoftAplicación de Seguridad por capas, diseñada a protejer las aplicaciones Microsoft
Facilidad de uso.Facilidad de uso.Deploy eficiente, manejo y habilitar nuevos escenarios de usoDeploy eficiente, manejo y habilitar nuevos escenarios de uso
Rápido y Seguro AccesoRápido y Seguro AccesoLe da facilidad a usuarios de conectarse a información relevante dentro de la red de Le da facilidad a usuarios de conectarse a información relevante dentro de la red de
una manera eficiente económicamenteuna manera eficiente económicamente
ISA Server ISA Server 20002000Modelo de trabajo en redesModelo de trabajo en redes
ISA 2000ISA 2000
LATLAT
RouteRoute
NATNAT
NAT
VPN
VPN
ISA Server ISA Server 20002000
• DentroDentro o o FueraFuera– ConfiableConfiable o o In confiableIn confiable
• Siempre usa NAT cuando se cruza con “LAT”Siempre usa NAT cuando se cruza con “LAT”– Siempre usa enrutamiento a “non-LAT DMZ”Siempre usa enrutamiento a “non-LAT DMZ”– No utiliza reglas normales de Firewall para trafico No utiliza reglas normales de Firewall para trafico
enrutadoenrutado
• Clientes VPN se consideran confiables(!)Clientes VPN se consideran confiables(!)
ISA Server 2004ISA Server 2004Modelo de trabajo en redesModelo de trabajo en redes
ISA 2004ISA 2004
VPNVPN
VPNVPN
AllowAllowSMTPSMTP
Firewall Rules
ISA 2004ISA 2004
VPNVPN
VPNVPN
Network Rules
RouteRouteNATNAT
NATNAT
AllowAllowPingPing
Allow HTTPAllow HTTP
AllowAllowSMBSMB
NATNAT
RouteRoute
ISA Server 2004ISA Server 2004Templetes de REDTempletes de RED
• Colección pre-configuradaColección pre-configurada de: de:– Definición de redesDefinición de redes– Reglas de FirewallReglas de Firewall– Reglas de RedesReglas de Redes
• Solo para configuración inicialSolo para configuración inicial
Cuerentena VPN ISA Server 2004 Cuerentena VPN ISA Server 2004
Modelo de trabajo en redesModelo de trabajo en redesISA 2004ISA 2004
Tunel VPNTunel VPN
VPNVPN
PermitirPermitirSMBSMB
OKOK
VPNVPN
Clientes VPNClientes VPN
Clientes VPN en cuarentena Clientes VPN en cuarentena
RunRuncheckschecks
11
22
3344
55
66
Firewall PolicyFirewall PolicyBasicsBasics
• Reglas: de red - a - redReglas: de red - a - red• Lista de Reglas únicas Lista de Reglas únicas
– Incluye tres tipos:Incluye tres tipos:• Reglas de accesoReglas de acceso• Publicación en Web Publicación en Web • Publicación de servidorPublicación de servidor
• Consiste de :Consiste de :– Políticas de sistemaPolíticas de sistema
• 30 reglas construidas; todas aplican a redes locales del host30 reglas construidas; todas aplican a redes locales del host
– Reglas de Políticas configurablesReglas de Políticas configurables• Siempre procedes después de reglas del sistemaSiempre procedes después de reglas del sistema
Reglas de Políticas de SistemaReglas de Políticas de Sistema
8/9
7
27
1/6/15/22
5
24
26
2/30
3
10/11
19
8
21
23
18
4
16
20
25
28
29
17
Políticas FirewallPolíticas FirewallProcesamiento de reglasProcesamiento de reglas
• Procesadas estrictamente en ordenProcesadas estrictamente en orden– Verificar regla 1 primeroVerificar regla 1 primero
• Si hace el matchSi hace el match• Si no hace match, probar la siguiente reglaSi no hace match, probar la siguiente regla
– Verificar Siguiente ReglaVerificar Siguiente Regla• Etc…Etc…
– Lo que no hace es negar la primera (ISA 2000)Lo que no hace es negar la primera (ISA 2000)
• Reglas de DefactoReglas de Defacto “Ultimo “Ultimo –– concuerda siempre, concuerda siempre, bloquea todo”bloquea todo”
• Todo tráfico explícitamente permitido o bloqueado Todo tráfico explícitamente permitido o bloqueado por una reglapor una regla
Ejemplo de regla #1Ejemplo de regla #1
1.Todos los usuarios 1.Todos los usuarios –– HTTP HTTP –– PermitirPermitir
2.2. Kim Kim –– HTTP HTTP –– NegarNegar
3.3. (Default rule) (Default rule) –– NegarNegar
--Se le permite a Kim navegar en la redSe le permite a Kim navegar en la red?? SIPor funcionalidad, cambiar el orden de la regla 1 y 2Por funcionalidad, cambiar el orden de la regla 1 y 2..
Reglas FirewallReglas Firewall
• Cada regla contiene distintos criterios de Cada regla contiene distintos criterios de concordanciaconcordancia
• También contiene criterios de filtroTambién contiene criterios de filtro
acción en trafico de usuario a fuente a destino con condicionesacción en trafico de usuario a fuente a destino con condiciones
Permite Niega
Permite Niega
network IP Usuario
network IP Usuario
network IP site
network IP site
ProtocoloIP Port / Type
ProtocoloIP Port / Type
Cualquier Usiario ID Usuarios Usuario/Grupo esp.
Cualquier Usiario ID Usuarios Usuario/Grupo esp.
• Server• Web site• Schedule• Props de Filtro
• Server• Web site• Schedule• Props de Filtro
Ejemplo de Regla #2Ejemplo de Regla #2
1.1. Estudiantes Estudiantes –– HTTP HTTP –– FilterFilter:htm/html only - :htm/html only - PermitirPermitir
2.2. Todos los usuarios Todos los usuarios –– HTTP HTTP –– FilterFilter:all extensions - :all extensions - PermitirPermitir
3.3. (Default rule) (Default rule) –– NegarNegar- - Pueden los usuarios bajar .exe?Pueden los usuarios bajar .exe? NO
Nota: Allow rule *blocked* traffic.Nota: Allow rule *blocked* traffic.
-Puede un usuario anónimo navegar-Puede un usuario anónimo navegar?? NONota: Allow rule *blocked* traffic again.Nota: Allow rule *blocked* traffic again.Switching rule order Switching rule order allowsallows Students to download .exe files. Students to download .exe files.
Client Network ConnectionsClient Network Connections
No hay autentificaciónNo hay autentificaciónDe usuarioDe usuario
80808080
17451745
anyany
ISA 2004ISA 2004
encriptadoencriptado
SecureNAT clientSecureNAT client
Cliente FirewallCliente Firewall
Cliente Proxy de Web Cliente Proxy de Web
defaultdefaultgatewaygateway
InternetInternet
Rule Example #3Rule Example #3
1.1. Admins. Admins. –– HTTP HTTP –– SitesSites:all sites - :all sites - PermitirPermitir
2.2. Usuarios Usuarios –– HTTP HTTP –– SitesSites:cnn.com - :cnn.com - PermitirPermitir
3.3. (Regla por defacto) (Regla por defacto) –– NegarNegar
- - Pueden los non-admins. ir a cnn.comPueden los non-admins. ir a cnn.com??YESPrimera regla no hace match, la segunda siPrimera regla no hace match, la segunda si..
- - Puede un anónimo a cnn.comPuede un anónimo a cnn.com?? NONota: Allow rule *blocked* traffic.Nota: Allow rule *blocked* traffic.Cambiar el orden de la regla permite a anónimo ir a cnn.comCambiar el orden de la regla permite a anónimo ir a cnn.com..
Procesamiento de ReglasProcesamiento de ReglasSumarioSumario
• Siempre ejecutadas en orden Siempre ejecutadas en orden estrictoestricto
• Si la regla concuerda no se realizan mas Si la regla concuerda no se realizan mas concordanciasconcordancias
• ““Lo que funciona”:Lo que funciona”:– Reglas Específicas, antes de reglas generalesReglas Específicas, antes de reglas generales– Nunca usar un “subset” perfecto desde una regla Nunca usar un “subset” perfecto desde una regla
mas elevadamas elevada
Maquinaria de FirewallMaquinaria de Firewall
• Motor de FirewallMotor de Firewall– En modo KernelEn modo Kernel– Procesa todas las reglas primeroProcesa todas las reglas primero
Firewall Service
Firewall Engine
ISA console
User modeUser mode
Kernel modeKernel mode
RulesRules
Maquinaria de FirewallMaquinaria de FirewallProtegiendo el contenido de la redProtegiendo el contenido de la red
Modo de usuarioModo de usuario
Modo KernelModo Kernel
FWengFWeng
FWsrvFWsrv
AssemblyAssembly
IPIP
TCP/UDPTCP/UDP
FWengFWeng
IISIIS
MailMail
2525
8080
IPSecIPSec
Reglas FirewallReglas Firewall
2x2x
3x3x
ID, Spoof, Connection limitsID, Spoof, Connection limits
Lockdown mode, Port StealingLockdown mode, Port Stealing
2x2x
- Filtros App- Filtros App- Autentificación de Usuario- Autentificación de Usuario
2525
30113011
2525
Mas información…Mas información…
En la WebEn la Web : :
http://www.microsoft.com/latam/isaserver/http://www.microsoft.com/latam/isaserver/
Al Teléfono :Al Teléfono :
01800-527200001800-5272000
Tu Potencial. Nuestra PasiónTu Potencial. Nuestra Pasión