Luis Alberto Martínez R.Luis Alberto Martínez R.Security SpecialistSecurity SpecialistSecurity Business UnitSecurity Business UnitMicrosoft MéxicoMicrosoft México

Administración de Administración de ISA Server 2004ISA Server 2004

¿Qué cubriremos?¿Qué cubriremos?

• Objetivo de la sesión:Objetivo de la sesión:– Entender como ISA 2004 usa Entender como ISA 2004 usa redesredes, NAT/route y , NAT/route y

templetes de redes.templetes de redes.– Entender cómo las redes ISA 2004 se usan en Entender cómo las redes ISA 2004 se usan en

reglas de Firewallreglas de Firewall– Entender como Entender como La Maquinaria FirewallLa Maquinaria Firewall protege el protege el

el “stack” de la redel “stack” de la red

Prerrequisito en conocimientoPrerrequisito en conocimiento

• Buen entendimiento de TCP/IPBuen entendimiento de TCP/IP

• Buen entendimiento de principios en firewall Buen entendimiento de principios en firewall

Level 300Level 300

AgendaAgenda

• Modelo de trabajo en redes ISA Server 2004 Modelo de trabajo en redes ISA Server 2004 – Comparado con ISA Server 2000Comparado con ISA Server 2000

• Procesamiento de reglasProcesamiento de reglas

• Protección de redesProtección de redes– Maquinaria en FirewallMaquinaria en Firewall

ISA Server 2004ISA Server 2004MisiónMisión

““La avanzada aplicación de Firewall por capas con soluciones VPN y Web La avanzada aplicación de Firewall por capas con soluciones VPN y Web cache permite a nuestros clientes maximizar sus inversiones en IT cache permite a nuestros clientes maximizar sus inversiones en IT

mejorando la seguridad y el con de su Red” mejorando la seguridad y el con de su Red”

Protección AvanzadaProtección AvanzadaAplicación de Seguridad por capas, diseñada a protejer las aplicaciones MicrosoftAplicación de Seguridad por capas, diseñada a protejer las aplicaciones Microsoft

Facilidad de uso.Facilidad de uso.Deploy eficiente, manejo y habilitar nuevos escenarios de usoDeploy eficiente, manejo y habilitar nuevos escenarios de uso

Rápido y Seguro AccesoRápido y Seguro AccesoLe da facilidad a usuarios de conectarse a información relevante dentro de la red de Le da facilidad a usuarios de conectarse a información relevante dentro de la red de

una manera eficiente económicamenteuna manera eficiente económicamente

ISA Server ISA Server 20002000Modelo de trabajo en redesModelo de trabajo en redes

ISA 2000ISA 2000

LATLAT

RouteRoute

NATNAT

NAT

VPN

VPN

ISA Server ISA Server 20002000

• DentroDentro o o FueraFuera– ConfiableConfiable o o In confiableIn confiable

• Siempre usa NAT cuando se cruza con “LAT”Siempre usa NAT cuando se cruza con “LAT”– Siempre usa enrutamiento a “non-LAT DMZ”Siempre usa enrutamiento a “non-LAT DMZ”– No utiliza reglas normales de Firewall para trafico No utiliza reglas normales de Firewall para trafico

enrutadoenrutado

• Clientes VPN se consideran confiables(!)Clientes VPN se consideran confiables(!)

ISA Server 2004ISA Server 2004Modelo de trabajo en redesModelo de trabajo en redes

ISA 2004ISA 2004

VPNVPN

VPNVPN

AllowAllowSMTPSMTP

Firewall Rules

ISA 2004ISA 2004

VPNVPN

VPNVPN

Network Rules

RouteRouteNATNAT

NATNAT

AllowAllowPingPing

Allow HTTPAllow HTTP

AllowAllowSMBSMB

NATNAT

RouteRoute

ISA Server 2004ISA Server 2004Templetes de REDTempletes de RED

• Colección pre-configuradaColección pre-configurada de: de:– Definición de redesDefinición de redes– Reglas de FirewallReglas de Firewall– Reglas de RedesReglas de Redes

• Solo para configuración inicialSolo para configuración inicial

Cuerentena VPN ISA Server 2004 Cuerentena VPN ISA Server 2004

Modelo de trabajo en redesModelo de trabajo en redesISA 2004ISA 2004

Tunel VPNTunel VPN

VPNVPN

PermitirPermitirSMBSMB

OKOK

VPNVPN

Clientes VPNClientes VPN

Clientes VPN en cuarentena Clientes VPN en cuarentena

RunRuncheckschecks

11

22

3344

55

66

Firewall PolicyFirewall PolicyBasicsBasics

• Reglas: de red - a - redReglas: de red - a - red• Lista de Reglas únicas Lista de Reglas únicas

– Incluye tres tipos:Incluye tres tipos:• Reglas de accesoReglas de acceso• Publicación en Web Publicación en Web • Publicación de servidorPublicación de servidor

• Consiste de :Consiste de :– Políticas de sistemaPolíticas de sistema

• 30 reglas construidas; todas aplican a redes locales del host30 reglas construidas; todas aplican a redes locales del host

– Reglas de Políticas configurablesReglas de Políticas configurables• Siempre procedes después de reglas del sistemaSiempre procedes después de reglas del sistema

Reglas de Políticas de SistemaReglas de Políticas de Sistema

8/9

7

27

1/6/15/22

5

24

26

2/30

3

10/11

19

8

21

23

18

4

16

20

25

28

29

17

Políticas FirewallPolíticas FirewallProcesamiento de reglasProcesamiento de reglas

• Procesadas estrictamente en ordenProcesadas estrictamente en orden– Verificar regla 1 primeroVerificar regla 1 primero

• Si hace el matchSi hace el match• Si no hace match, probar la siguiente reglaSi no hace match, probar la siguiente regla

– Verificar Siguiente ReglaVerificar Siguiente Regla• Etc…Etc…

– Lo que no hace es negar la primera (ISA 2000)Lo que no hace es negar la primera (ISA 2000)

• Reglas de DefactoReglas de Defacto “Ultimo “Ultimo –– concuerda siempre, concuerda siempre, bloquea todo”bloquea todo”

• Todo tráfico explícitamente permitido o bloqueado Todo tráfico explícitamente permitido o bloqueado por una reglapor una regla

Ejemplo de regla #1Ejemplo de regla #1

1.Todos los usuarios 1.Todos los usuarios –– HTTP HTTP –– PermitirPermitir

2.2. Kim Kim –– HTTP HTTP –– NegarNegar

3.3. (Default rule) (Default rule) –– NegarNegar

--Se le permite a Kim navegar en la redSe le permite a Kim navegar en la red?? SIPor funcionalidad, cambiar el orden de la regla 1 y 2Por funcionalidad, cambiar el orden de la regla 1 y 2..

Reglas FirewallReglas Firewall

• Cada regla contiene distintos criterios de Cada regla contiene distintos criterios de concordanciaconcordancia

• También contiene criterios de filtroTambién contiene criterios de filtro

acción en trafico de usuario a fuente a destino con condicionesacción en trafico de usuario a fuente a destino con condiciones

Permite Niega

Permite Niega

network IP Usuario

network IP Usuario

network IP site

network IP site

ProtocoloIP Port / Type

ProtocoloIP Port / Type

Cualquier Usiario ID Usuarios Usuario/Grupo esp.

Cualquier Usiario ID Usuarios Usuario/Grupo esp.

• Server• Web site• Schedule• Props de Filtro

• Server• Web site• Schedule• Props de Filtro

Ejemplo de Regla #2Ejemplo de Regla #2

1.1. Estudiantes Estudiantes –– HTTP HTTP –– FilterFilter:htm/html only - :htm/html only - PermitirPermitir

2.2. Todos los usuarios Todos los usuarios –– HTTP HTTP –– FilterFilter:all extensions - :all extensions - PermitirPermitir

3.3. (Default rule) (Default rule) –– NegarNegar- - Pueden los usuarios bajar .exe?Pueden los usuarios bajar .exe? NO

Nota: Allow rule *blocked* traffic.Nota: Allow rule *blocked* traffic.

-Puede un usuario anónimo navegar-Puede un usuario anónimo navegar?? NONota: Allow rule *blocked* traffic again.Nota: Allow rule *blocked* traffic again.Switching rule order Switching rule order allowsallows Students to download .exe files. Students to download .exe files.

Client Network ConnectionsClient Network Connections

No hay autentificaciónNo hay autentificaciónDe usuarioDe usuario

80808080

17451745

anyany

ISA 2004ISA 2004

encriptadoencriptado

SecureNAT clientSecureNAT client

Cliente FirewallCliente Firewall

Cliente Proxy de Web Cliente Proxy de Web

defaultdefaultgatewaygateway

InternetInternet

Rule Example #3Rule Example #3

1.1. Admins. Admins. –– HTTP HTTP –– SitesSites:all sites - :all sites - PermitirPermitir

2.2. Usuarios Usuarios –– HTTP HTTP –– SitesSites:cnn.com - :cnn.com - PermitirPermitir

3.3. (Regla por defacto) (Regla por defacto) –– NegarNegar

- - Pueden los non-admins. ir a cnn.comPueden los non-admins. ir a cnn.com??YESPrimera regla no hace match, la segunda siPrimera regla no hace match, la segunda si..

- - Puede un anónimo a cnn.comPuede un anónimo a cnn.com?? NONota: Allow rule *blocked* traffic.Nota: Allow rule *blocked* traffic.Cambiar el orden de la regla permite a anónimo ir a cnn.comCambiar el orden de la regla permite a anónimo ir a cnn.com..

Procesamiento de ReglasProcesamiento de ReglasSumarioSumario

• Siempre ejecutadas en orden Siempre ejecutadas en orden estrictoestricto

• Si la regla concuerda no se realizan mas Si la regla concuerda no se realizan mas concordanciasconcordancias

• ““Lo que funciona”:Lo que funciona”:– Reglas Específicas, antes de reglas generalesReglas Específicas, antes de reglas generales– Nunca usar un “subset” perfecto desde una regla Nunca usar un “subset” perfecto desde una regla

mas elevadamas elevada

Maquinaria de FirewallMaquinaria de Firewall

• Motor de FirewallMotor de Firewall– En modo KernelEn modo Kernel– Procesa todas las reglas primeroProcesa todas las reglas primero

Firewall Service

Firewall Engine

ISA console

User modeUser mode

Kernel modeKernel mode

RulesRules

Maquinaria de FirewallMaquinaria de FirewallProtegiendo el contenido de la redProtegiendo el contenido de la red

Modo de usuarioModo de usuario

Modo KernelModo Kernel

FWengFWeng

FWsrvFWsrv

AssemblyAssembly

IPIP

TCP/UDPTCP/UDP

FWengFWeng

IISIIS

MailMail

2525

8080

IPSecIPSec

Reglas FirewallReglas Firewall

2x2x

3x3x

ID, Spoof, Connection limitsID, Spoof, Connection limits

Lockdown mode, Port StealingLockdown mode, Port Stealing

2x2x

- Filtros App- Filtros App- Autentificación de Usuario- Autentificación de Usuario

2525

30113011

2525

Mas información…Mas información…

En la WebEn la Web : :

http://www.microsoft.com/latam/isaserver/http://www.microsoft.com/latam/isaserver/

Al Teléfono :Al Teléfono :

01800-527200001800-5272000

Tu Potencial. Nuestra PasiónTu Potencial. Nuestra Pasión