La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

| | Il nuovo Microsoft ISA Server 2006.

Presentazioni simili


Presentazione sul tema: "| | Il nuovo Microsoft ISA Server 2006."— Transcript della presentazione:

1 | | Il nuovo Microsoft ISA Server 2006

2 | | Di cosa parleremo?

3 | | Gateway per uffici remoti Accesso protetto a Internet Sicurezza integrata Gestione efficiente Accesso rapido e sicuro Pubblicazione sicura di applicazioni

4 | | Pubblicazione sicura di applicazioni Sicurezza integrata Autenticazione multifattore avanzata Integrazione con AD/LDAP Autenticazione forms-based personalizzabile Delega avanzata dellautenticazione Gestione migliorata delle sessioni Gestione efficiente Bilanciamento delle pubblicazioni Web Tool automatizzati per Exchange, SharePoint altri server web Gestione dei certificati migliorata Accesso rapido e sicuro Maggiori scelte per il sign-on Traduzione automatica dei link

5 | | Gateway per uffici remoti Sicurezza integrata BITS caching Gestione efficiente Tool per la connessione automatizzata alle VPN Answer file su media rimovibili Rapida propagazione delle policy di enterprise Accesso rapido e sicuro Compressione del traffico HTTP Gestione dei signali DiffServ BITS caching, compressione HTTP e DiffServ sono gli stessi di ISA Server 2004 service pack 2

6 | | Protezione degli accessi ad Internet Sicurezza integrata Restistenza ai flood migliorata Resistenza ai worm migliorata Miglioramenti nella creazione degli avvisi Gestione efficiente Controllo delle risorse migliorato

7 | | Pubblicazione sicura

8 | | I numeri > 35%Accessi non autorizzati alle risorse di calcolo 1:1Rapporto tra attacchi interni ed esterni CSI/FBI 2005 report

9 | | Più wizards Oggetti Web-based – OWA – SharePoint – Web server – Oggetti per regole e reti Altri oggetti – Posta SMTP – Exchange RPC – Regole personalizzate I wizard creano gli elementi di rete e configurano la traduzione dei link se necessario

10 | | Wizard per creare web listener Autenticazione Gestione dei certificati Compressione HTTP

11 | | Attributi usabili nellautenticazione User ID Gruppi di appartenenza Protocollo usato Tempo

12 | | Autenticazione: da client a ISA 2006 Form HTML – RADIUS – OTP – SecurID HTTP Basic SSL lato client – Combinato con fallback su altro metodo Nessuno Add-on di terze parti

13 | | Autenticazione: da ISA 2006 al validatore Active Directory – Kerberos – LDAP RADIUS RADIUS OTP SecurID

14 | | Flusso di autenticazione Client richiede un sito web Client richiede un sito web Autenticazione sul listener? Autenticazione sul listener? Ricerca di regola di pubblicazione Ricerca di regola di pubblicazione All users è nella regola? All users è nella regola? Richiesta di credenziali Richiesta di credenziali AuthN richiesta nel backend? AuthN richiesta nel backend? Mostra il contenuto pubblicato Si No SI Si No

15 | | Metodi di autenticazione Front-endHTTPBasic Digest Negoziazione Client SSL Ignore Accept Chiede certificato. Ritorna allAuthN del listener se non fornito Require Chiede certificato regola fallisce se non fornito Si ottiene two-factor AuthN combinandolo con richiesta di credenziali sullAuthN del listener Form HTML Per-listener o per-regola; 26 lingue Username + password Username + passcode Username + password + passcode Solo browser; Non-browser devono usare HTTP basic

16 | | Metodi di autenticazione GatewayKerberosISA appartiene al dominio LDAPISA è standalone Dominio Windows 2000 o 2003 LDAP Non-AD non funziona Round-robin con flag di disponibilità RADIUSISA è standalone Round-robin con flag di disponibilità (Windows, FreeRADIUS, GNU RADIUS, altri) OTPISA è standalone Time- o counter-based Fornisce cookie per non Re-AuthN (Aladdin, Vasco, ActivCard, Secure Computing) SecurIDSupporto è built-in

17 | | Metodi di autenticazione Back-endNessunoBlocca Pass-through HTTPBasic Negotiate Prova Kerberos quindi passa a NTLM KerberosSupporta delega S4U2Proxy Solo per domini Windows 2003 domains

18 | | Metodi di autenticazione Delega avanzata Intefaccia di front-end ProviderDelega verso Back-end Commenti HTML form HTTP basic WinLogon LDAP RADIUS None (passthrough) None (blocca) HTTP basic Kerberos S4U2Proxy Negotiate Supporta SSO Può richiedere certificato per two-factor AuthN Digest Integrated WinLogonNone (passthrough) None (blocca) Form con Passcode SecurIDNone (passthrough) None (blocca) SecurID Supporta SSO Form con passcode e password SecurIDNone (passthrough) None (blocca) HTTP basic Kerberos S4U2Proxy Negotiate SecurID Supports SSO Client SSLWinLogonn/a Combinazione con SecurID per two-factor AuthN

19 | | Processo di delega URL access-accept group attribs URL + basic creds WinLogon data AD IIS ISA Server 401 Form OWA URL + cred basic Variabili di form RADIUS access-request WinLogon token browser cookie

20 | | Single sign-on Eseguito automaticamente tra le applicazioni pubblicate attraverso lo stesso listener Pensate un listener come un contenitore per le impostazioni di autenticazione condivise da tutti i siti pubblicati attraverso il listener

21 | | Single sign-on flow eng dev mktg sup example.com dev.example.com Documenti, prego ID+pass sup.example.com Già visto eng.example.com Documenti, prego Anche se il listener condivide lo stesso profilo di autenticazione ed è abilitato SSO

22 | | Tipi di certificati Richiesti Front-endAutenticazione di ISA Server e creazione di una connessione SSL verso il client remoto Back-endAutenticazione dei server pubblicati e apertura di una connessione SSL verso ISA Server Opzionali ISA Server come client Autenticazione di ISA Server verso i server pubblicati Client remoto Autenticazione dei client remoti verso ISA Server

23 | | Gestione dei certificati Certificati multipli per i listener – Insieme unico di impostazioni di autenticazione per siti multipli – Elimina la necessità di uso dei certificati con wildcard (molto più costosi) Possibile usare differenti certificati per differenti server nellarray – Non devono essere certificati thumbprint Possibile usare hardware SSL

24 | | Stato dei certificati Certificati installati in modo errato – In store errato (devessere computer, non user) – Mancanza di chiave privata Stato su ogni membro dellarray Avvisi se il certificato è scaduto

25 | | Avvisi amministrativi relativi ai certificati Problemi con i certificati sono riportati negli alert amministrativi Messaggi migliori di quello generico di ISA 2004 certificate not installed somewhere

26 | | Autenticazione HTML forms-based Funziona per ogni sito web pubblicato – Premium: browser con funzioni avanzate – Basic: browser con capacità limitate – Mobile: browser a bassa risoluzione Tre form per ogni classe – Logon – Logoff – SecurID Linguaggi – Scelta dipende dal linguaggio del browser – Sovrascrivibile

27 | | Formati delle form Username e password Username e passcode Combinazione (inserire entrambe) – ID+passcode: per SecurID o RADIUS OTP Validati da ISA Server – ID+password: per delega Validati dal back-end Insieme predefinito di form (essenzialmente logo) – Generico di ISA Server – Microsoft Exchange

28 | | Form generica

29 | | Insieme di form personalizzate Possono essere differenti per ogni listener Le regole di pubblicazione possono sovrascrivere le form impostate nel listener

30 | | Gestione delle sessioni Cookie – Persistenti – Di sessione Timeout – Idle time – Durata della sessione – Attività Non-user non può reimpostare il timer del cookie Logoff – Aggiunta dell URL di logoff alla regola di publishing – Cancella il cookie; aggiunta alla revocation list – Log dellidentità dellutente remoto

31 | | Link translation ? ?

32 | | Link translation

33 | | Link translation Ca cè di buono? – Mantiene privati i dettagli interni – Consente agli utenti esterni di accedere ai link interni senza modificare le applicazioni Cosa cè di nuovo? – Abilitato automaticamente – Traduzione più rapida

34 | | Link translation negli array Traduce i link anche se il contenuto web è in qualche altro array Aiuta ad aumentare la disponibilità – Se qualche array in una regione geografica muore è possibile passare da altri array senza perdere la traduzione dei link

35 | | Server farm Definite come un oggetto di rete Usabili in qualsiasi regola di pubblicazione si desideri

36 | | Server farm Consente di definire unopzione di verifica della connessione – HTTP/S GET – Ping – Connessione TCP ad una porta

37 | | Bilanciamento del carico di pubblicazioni web Usa una web server farm Preserva il contenuto applicativo – Solamente affinità singola Non serve NLB sui server pubblicati – Eliminati problemi con NAT e routing – La non dipendenza dallIP di ISA assicura luso equanime di tutti i server Scelta del tipo di balance – Cookie (default per OWA) – IP sorgente (default per RPC/HTTP)

38 | | Controllo dello stato dei server Attivo In esaurimento Rimosso Out of service

39 | | Controllo dello stato dei server ActiveStato ordinario quando il server è aggiunto allarray ed è in grado di accettare richieste in ingresso DrainingIn fase di modifica di stato, termina le richieste in coda, non accetta nuove richieste Out of service Stato impostato automaticamente da ISA quando il server non risponde alla verifica di connessione RemovedRimosso dallarray e dalla UI Non accetta alcuna richiesta Quando un server in errore si ripristina, accetta nuove richieste; le precedenti richieste rimangono sul server che le aveva accettate

40 | | Reverse caching Cache in RAM Lho! Trasferisce su disco Trasferisce in RAM

41 | | Pubblicazione di server di posta Accessi Non-web – SMTP – RPC – POP-3 – IMAP-4 – NNTP Accessi Web – OWA – RPC/HTTPS – OMA – EAS

42 | | Integrazione con Exchange Selezione della versione di Exchange – Anche per le farm Selezione dei metodi Con Exchange 2007, ISA 2006 fornisce accesso pieno (non solo in lettura) a: – Librerie SharePoint – Share di rete Usa una UI dedicata a OWA – Non il tab Documents di OWA 2007

43 | | Gateway per i Branch Office

44 | | I numeri 30%Organizzazioni USA con uffici remoti 33%Quantità di budget IT consumata per la gestione degli uffici remoti $ Spese per WAN delle organizzazioni con più di 1000 dipendenti 55%Organizzazioni USA con più di 1000 dipendenti negli uffici remoti 0Dimensioni tipiche dello staff IT negli uffici remoti Harte-Hanks 2004; AMI Partners 2003

45 | | Configuration storage server Instanza di ADAM – Directory LDAP – No DNS, no domini Windows Dettagli di installazione – Su ISA, computer in dominio o in workgroup – Per avere replica multimaster deve essere in dominio – Numero qualsiasi di array – Può essere replicato su più server Gestito da uno snap-in – Funzionano anche tool AD e LDAP Configurazione letta in blocchi larghi – < 1 minuto per propagare la singola modifica – minuti per replica completa

46 | | Branch office wizard Sede centraleUfficio remoto File risposte File risposte Creazione di una VPN site-to-site con lufficio centrale Associazione del server ISA nellufficio remoto con il Configuration Storage Server nellufficio centrale e sicronizzazione Associazione dellISA nellufficio remoto con uno specifico array

47 | | Cache degli update con BITS Regole ed elementi built-in per il caching dei download da Microsoft Update I client prendono gli update dalla cache Vengono onorati i range richiesti dai client – ISA mette in cache solo gli update richiesti dai sistemi operativi in uso – Salva uso della banda e spazio disco Ogni regola di pubblicazione web può usare BITS...

48 | | Compressione HTTP GZip e Deflate; richiede HTTP 1.1 Scope: per-listener (nuovo in ISA 2006) o globale – Nessuna possibilità di impostazione per regola Implementata come web filter – In alto nellordine dei filtri; alta priorità – Deve decomprimere prima che ISA possa ispezionare il traffico Contenuti in cache forniti compressi se il client lo richiede – Anche se salvati in modo non compresso – Può impattare le prestazione; nel caso pulire la cache Disabilitare la funzione di caching Cancellare i file di cache nel folder Urlcache su ogni disco HTTPS non è mai compresso

49 | | Compressione HTTP sui client I client HTTP 1.1 richiedono automaticamente la compressione Si deve abilitare limpostazione nel browser

50 | | Caching e compressione Prego comprimere Prego comprimere Non comprimere Non comprimere

51 | | Caching e compressione Prego comprimere Prego comprimere Prego comprimere Prego comprimere Incomprimibile

52 | | Caching, compressione e ispezione Prego comprimere Prego comprimere Ispezione: on Ispezione:off Prego comprimere Prego comprimere Per mitigare problemi di prestazione, pulire la cache se si esclude lispezione

53 | | Prioritizzazione con DiffServ Policy HTTP globali Assegnazione della priorità in base a URL o domini Concordanza di configurazione con i router Solo per HTTP e HTTPS – Non mettere bit DiffServ ad altri protocolli – Poss ono essere rimossi bit DiffServ da pacchetti Non- HTTP-HTTPS

54 | | Protezione degli accessi ad Internet

55 | | I numeri 70%Attacchi che avvengo a livello applicativo 95%Attacchi consentiti da errori nella configurazione OrgoglioMotivazione meno frequente per gli attacchi ProfittoMotivazione più frequente per gli attacchi Studi vari

56 | | Resistenza ai flood Protegge ISA Server da – Propagazione di worm – Syn flood – Denials of service – Distributed DoS – Bombe HTTP In alcuni casi sono protetti anche i computer dietro ISA, ma questo non è il principale obbiettivo di questa funzionalità

57 | | I default per le impostazioni Mitigazioni DefaultEccez. Concurrent TCP connections allowed per source IP Mitiga gli attacchi TCP flood dove gli host attaccanti mantengono numerose connessioni TCP con ISA o host alle spalle di ISA HTTP requests created per minute per source IP Mitiga attacchi DoS su HTTP dove gli host attaccanti inviano numerose richieste HTTP ai siti web vittime Concurrent non-TCP connections allowed per IP Mitiga attacchi Non-TCP dove host attaccanti inviano numerosi messaggi UDP o ICMP alle vittime dietro ISA Non-TCP sessions per minute per rule Mitiga attacchi DDoS Non-TCP dove molti host zombie partecipano allattacco con molti pacchetti Non-TCP 1000 Trigger event when denied packets per minute per IP exceeds limit LAlert notifica agli amministratori di ISA lIP attaccante 100

58 | | Controllo delle risorse Log throttling Ferma il log dei record denied dopo il raggiungimento di una certa soglia Consumo di memoria Rifiuta nuove connessioni se si raggiunge il 90% duso della Non-Paged Pool Memory Continua a servire le connessioni esistenti Completamente automatizzato Query DNS Limita il numero di query DNS in attesa dopo il superamento dell80% duso dei thread FW client richiede a ISA di risolvere lhostname ISA risolve i nome DNS come parti della regola

59 | | Scenario di attacco mitigati Propagazione dei worm Host interni infetti mandano numerose richieste TCP a IP random sulla medesima porta Verifica delle soglie di connessione Verifica che gli IP sorgenti non siano spooffati Blocca questi IP fino allapprovazione dellamministratore Forma più comune di attacchi flood ISA 2004 non protegge completamente

60 | | Scenari di attacco mitigati Exploit su ISA connection table Attaccanti possono usare molti IP non spooffati per eseguire DoS su ISA con connessioni TCP Non vengono superati i limiti per-source Verifica della quantità di Non-Paged Pool Memory. Ferma laccettazione di nuove connessioni al superamento del 90% NPPM in uso Pulisce la tabella delle conessioni da quelle in idle Non è un attacco comune Può portare a DoS permanente su ISA 2004 Pochi altri firewall sul mercato possono gestire questo attacco

61 | | Scenari di attacco mitigati Exploit Pending DNS ISA configurato per vietare connessioni a domini non desiderati (o consentire connessioni solo a specifici domini) Host infetti mandano molte connessioni TCP a IP random; ISA esegue reverse DNS Blocco di nuove richieste al superamento dell80% dei threads in uso Continua a servire richieste che non necessitano di reverse DNS o dove la risposta è in cache Causa più comune: propagazione di worm Può portare a DoS temporanei su ISA 2004

62 | | Scenari di attacco mitigati Flood con connessioni sequenziali TCP Lattaccante sequenzialmente apre e quindi chiude molte connessioni Usata la stessa tecnica di mitigazione della diffusione dei worm: riconoscimento di un elevato numero di connessioni dallo stesso IP Blocco dellIP Attacco non comune Su ISA 2004 può portare a DoS temporanei

63 | | Scenari di attacco mitigati DoS HTTP su connessioni esistenti Attaccante stabilisce una connessione sul server web Invia numerose richieste HTTP, superando la soglia ISA riconosce il superamento della soglia e limita il tasso di richieste dal client In aumento di popolarità Può condurre a DoS temporanei su ISA 2004

64 | | Generazione degli alert IP sorgente in eccezione? É un attacco?

65 | | Cosaltro?

66 | | Appliance Versione rafforzata di W2K3 Alcuni componenti aggiuntivi – Accelleratori di protocollo – Antivirus – Filtro dei contenuti (URL, web) – Filtri antispam – Add-ons per high availability Versione Standard e Enterprise Farm di appliance – NLB, CARP – Console di controllo multi-server – Configurazione di storage dedicata Distribuzione unattended – USB drive – Wizard per branch office

67 | | Webcast per approfondire ISA 2006Overview19/09/200610:00-11:00 ISA 2006Gestione degli accessi13/10/200610:00-11:00 ISA 2006Pubblicazione di Exchange e SharePoint24/10/200610:00-11:30 ISA 2006Gestire al meglio la connessione con i branch office09/11/200614:00-15:00 ISA 2006Il single sign-on07/12/200614:00-15:00 ISA 2006Pubblicazione di applicazioni con Whale Communications IAG21/12/200614:00-15:00

68 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Scaricare ppt "| | Il nuovo Microsoft ISA Server 2006."

Presentazioni simili


Annunci Google