TechNet Security Workshop IV PierGiorgio Malusardi.

Slides:



Advertisements
Presentazioni simili
Amministrazione dei servizi di stampa. Sommario Introduzione ai servizi di stampa Introduzione ai servizi di stampa Terminologia della stampa Terminologia.
Advertisements

Elaborazione del Book Informatico
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Servizi integrati e completi per la piccola impresa Andrea Candian.
Architettura di Exchange Server 2003 Ivan Riservato Andrea Garattini.
ISA Server 2004 Enterprise Edition Preview. ISA Server 2004.
ISA Server 2004 Configurazione di Accessi via VPN
Windows Server 2003 SP1 Security Configuration Wizard PierGiorgio Malusardi IT Pro Evangelist Microsoft.
Introduzione ad Active Directory
Liberiamo(ci) (dal)le applicazioni con Softgrid
Crea il tuo sito con Web Matrix e il Web Hosting su ASP.NET
Gestione dell’inventario degli Asset aziendali con Systems Management Server 2003 Fabrizio Grossi.
ISA Server for the Enterprise. Clients Client Overview Internet ISA Server SecureNAT Client Do not require you to deploy client software or configure.
Sharepoint Gabriele Castellani
| | Microsoft Certificate Lifecycle Manager.
Branch office update – SP2. Agenda Messa in esercizio degli uffici remoti Compressione HTTP Differentiated Services Cache di BITS.
Il Consolidamento di Servizi Virtual Server 2005 PierGiorgio Malusardi Evangelist - IT Professional Microsoft.
INTERNET : ARPA sviluppa ARPANET (rete di computer per scopi militari)
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Sicurezza e Policy in Active Directory
Installazione di Active Directory
DNS.
Organizzazione di una rete Windows 2003
Sicurezza e Policy in Active Directory. Sommario Amministrazione della sicurezza in una rete Windows 2003 Amministrazione della sicurezza in una rete.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Active Directory.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
SEVER RAS.
Francesca Del Corso, CCR - Gruppo Windows, Bologna 16/02/2006 SUS - WSUS per il Security Patch Management.
Architettura del World Wide Web
File System NTFS 5.0 Disco: unità fisica di memorizzazione
AICA Corso IT Administrator: modulo 5 AICA © EUCIP IT Administrator Modulo 5 - Sicurezza Informatica Esercitazione Alberto Bosio.
4 Cosa è una rete? ã Punto di vista logico: sistema di dati ed utenti distribuito ã Punto di vista fisico: insieme di hardware, collegamenti, e protocolli.
Test sul Cisco VPN Concentrator
Il Firewall Sistemi di elaborazione dellinformazione : Sicurezza Anno Accademico 2001/2002 Martini Eros.
Corso di Informatica per Giurisprudenza Lezione 7
Guida IIS 6 A cura di Nicola Del Re.
L’applicazione integrata per la gestione proattiva delle reti IT
Terminal Services. Sommario Introduzione al Terminal Services Introduzione al Terminal Services Funzioni di un Terminal Server in una rete Windows 2000.
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Un problema importante
IBM Lotus Notes e Domino
Configurazione di una rete Windows
Installazione Come tecnico, si potrebbe aver necessità di effettuare una installazione pulita di un sistema operativo. L'esecuzione di una installazione.
Reti di Calcolatori ed Internet Fabio Massimo Zanzotto.
IPSec Fabrizio Grossi.
A cura di: Huber Roberto, Zaharulko Nicola, Debernardi Daniele.
Creato da Riccardo Nuzzone
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
Distribuzione controllata del software con Systems Management Server 2003 Fabrizio Grossi.
Certificati e VPN.
OSSEC HIDS, Host Based Intrusion Detection System
CUBE firewall Lic. Computers Center aprile 2003 Villafranca di Verona, Italia.
Servizi Internet Claudia Raibulet
Reti II Stefano Leonardi
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Protocolli di rete. Sommario  Introduzione ai protocolli di rete  Il protocollo NetBEUI  Il protocollo AppleTalk  Il protocollo DLC  Il protocollo.
Corso "RouterOS in Pratica"
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Presenta – #wpc15it1 BI005 - Real Power BI Franco Perduca Factory Software srl
Realizzazione di hotspot wireless per l’Università degli Studi di Milano Marcello Meroni, Michele de Varda, DIVISIONE TELECOMUNICAZIONI UNIVERSITÀ DEGLI.
Active Directory. Cos’è Active Directory (AD)  Un “directory service”  Un contenitore di oggetti  Un insieme di servizi di accesso  Un “namespace”
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
INTERNET E INTRANET Classe VA SIA. La Storia di INTERNET ’ – ARPANET 1969 – anno di nascita università Michigan - Wayne 1970 – – INTERNET.
 Network Address Traslation: tecnica che permette di trasformare gli indirizzi IP privati in indirizzi IP pubblici  Gli indirizzi devono essere univoci.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Transcript della presentazione:

TechNet Security Workshop IV PierGiorgio Malusardi

Agenda Nuova Architettura: Nuova Architettura: di rete di rete dei filtri dei filtri delle policy delle policy Installazione e Migrazione Installazione e Migrazione Gestione e configurazione Gestione e configurazione Configurazione di rete Configurazione di rete Policy Policy Pubblicazione Pubblicazione Gestione della configurazione Gestione della configurazione Log e Report Log e Report

Nuova Architettura

Modello di rete di ISA 2000 (vecchio) Internal Network Internet DMZ 1 Singola policy di uscita Static PF Filtro statico tra DMZ e Internet In (LAT) e out (Internet, DMZ) ISA 2000 Packet filter solo su interfacce esterne

Modello di rete di ISA Server 2004 Network A Internet DMZ 1 DMZ 2 Network B VPN Network Qualsiasi numero di reti Relazioni tra le reti assegnate Appartenenza dinamica ad alcune reti Policy per rete VPN rappresentate come rete ISA Server 2004 Packet filter su tutte le interfacce La macchina firewall è vista come una rete regole di accesso Regole di routing assegnabili: NAT Stateful routing

Architettura dei Filtri

NDIS Policy Engine Architettura di ISA 2004 Firewall EngineIP Stack Firewall service (WSPSRV.EXE – NETWORK SERVICE) Application Filter API Application filter Web proxy filter Application filter Application filter Application filter Web Filter API Web filter Web filter Filtro a livello Pacchetto Filtro a livello Applicativo Data Pump in Kernel mode : Ottimizzazione delle Prestazioni Filtro a livello Protocollo Kernel mode Userland

Quali Application Filter ci sono in box? HTTP: Analisi approfondita della sintassi HTTP: Analisi approfondita della sintassi SMTP: Filtro per commandi e messaggi SMTP: Filtro per commandi e messaggi RPC: blocco a livello interfaccia RPC: blocco a livello interfaccia FTP: supporto per read only FTP: supporto per read only H.323: filtro delle proprietà dei media H.323: filtro delle proprietà dei media DNS: intrusion detection DNS: intrusion detection POP3: intrusion detection POP3: intrusion detection Streaming media: supporto stateful separato per Streaming media: supporto stateful separato per MMS MMS RTSP RTSP PNM PNM

Filtri: Autenticazione Modifica delle informazioni utente (Basic auth) Modifica delle informazioni utente (Basic auth) Modifica di user name e password Modifica di user name e password Prendere le info degli utenti autenticati Prendere le info degli utenti autenticati GetUserToken, GetHeader, AddHeader, SetHeader GetUserToken, GetHeader, AddHeader, SetHeader Es: Creare header di cookie basati sulle info degli utenti Es: Creare header di cookie basati sulle info degli utenti Filtrare lautenticazione usando schemi di autenticazione esistenti o nuovi Filtrare lautenticazione usando schemi di autenticazione esistenti o nuovi Il Filtro esegue lautenticazione in luogo del Proxy Il Filtro esegue lautenticazione in luogo del Proxy

Filtri: Policy per regola Obiettivo: Applicare policy HTTP aggiuntive per regola e non globali Obiettivo: Applicare policy HTTP aggiuntive per regola e non globali Per esempio: Per esempio: Regola: Consenti il traffico Http verso Regola: Consenti il traffico Http verso Policy di filtro per la regola: Vieta luso del metodo POST Policy di filtro per la regola: Vieta luso del metodo POSTNota: Le policy di filtro non sono parte dei match criteria

Filtri: Notifiche lato server Obiettivo: Ispezionare/modificare i dati tra il proxy e il server Web Obiettivo: Ispezionare/modificare i dati tra il proxy e il server Web Per esempio: Per esempio: Modificare host e porta Modificare host e porta to server1 to server1 Modificare la richiesta inviata al server Modificare la richiesta inviata al server Controllare la risposta ottenuta dal server Controllare la risposta ottenuta dal server Fare controllo dei virus prima del caching Fare controllo dei virus prima del cachingNota: non sono chiamate quando i dati sono presi dalla cache

Architettura delle Policy

Nuovo modello di policy Basato su regole singole e ordinate Basato su regole singole e ordinate Più logico e facile da capire Più logico e facile da capire Più facile da vedere e controllare Più facile da vedere e controllare Le regole di ISA 2000 sono mappate in una nuova regola unificata Le regole di ISA 2000 sono mappate in una nuova regola unificata Tipi di regole: Tipi di regole: Regole di Accesso Regole di Accesso Regole di pubblicazione dei server Regole di pubblicazione dei server Regole di pubblicazione Web Regole di pubblicazione Web Le proprietà dei filtri applicativi sono parte delle regole Le proprietà dei filtri applicativi sono parte delle regole

action on traffic from user from source to destination with conditions Le Regole in ISA 2004 Consenti Blocca Rete Sorgente IP Sorgente Utente Originario Rete Destinazione IP Destinazione Sito Destinazione Protocollo IP Porta / Tipo Server Pubblicato Sito Web Pubblicato Periodi consentiti Proprietà di filtro Utente OK

Installazione e Migrazione

Pre requisiti per linstallazione Hardware Hardware CPU: 550 MHz CPU: 550 MHz RAM: 256 MB RAM: 256 MB Software Software Server Server Windows server 2003 o Windows SP4 + IE6 Windows server 2003 o Windows SP4 + IE6 Workgroup o membro di Dominio Workgroup o membro di Dominio ISA SP1 (per upgrade In-Place) ISA SP1 (per upgrade In-Place) Client Client Windows 98 e successivi Windows 98 e successivi Gestione Remota Gestione Remota Windows 2000 e successivi Windows 2000 e successivi

Stato della macchina e delle policy a fine installazione Tutto è bloccato Tutto è bloccato System policy di default System policy di default In uscita In uscita Active Directory Active Directory DNS DNS DHCP DHCP In ingresso In ingresso Gestione Remota (RDP) Gestione Remota (RDP) Accesso allo share per Firewall Client Accesso allo share per Firewall Client Cache disabilitata Cache disabilitata

Installazione di Firewall client ISA 2004 è compatibile con ISA 2000 Firewall client ISA 2004 è compatibile con ISA 2000 Firewall client Lo share di installazione può essere: Lo share di installazione può essere: Sul server ISA 2004 Sul server ISA 2004 Su un File Server raccomandato Su un File Server raccomandato Nessun reboot (SI in caso di win98 e NT4). Nessun reboot (SI in caso di win98 e NT4). Supportata linstallazione unattended Supportata linstallazione unattended Sono necessari i privilegi di amministratore per linstallazione Sono necessari i privilegi di amministratore per linstallazione

Upgrade in-place da ISA 2000 Mappatura delle migrazioni ISA Protocol Rules 2. IP Packet Filter 3. Site and Content rules 4. Web publishing 5. Server publishing 6. Destination Set 7. Client Set 8. LAT 9. URLScan 10. Il resto 11. RRAS 12. Report jobs ISA Access rules 2. Computer 3. URL 4. Domain Groups 5. Address Ranges 6. Internal Network 7. HTTP Filter (dentro le access rule) 8. Il resto Nuovi oggetti 1. VPN 2. Reti – External, Local host, Quarantine, Client VPN 3. Monitoring – Connettività 4. SMTP Log ISA 2000ModalitàISA 2004 StandardIntegrata Standard & Cache abilitata StandardFirewall Standard Cache Standard & Cache abilitata *

Cosa cè sotto il cappello? Componenti Installati: Componenti Installati: Componenti di OS opzionali: Componenti di OS opzionali: MSI 2.0 è usato come tecnologia di setup (Server e Client) MSI 2.0 è usato come tecnologia di setup (Server e Client) ComponentiScopo MSDELog avanzato Office web componentGenerazione di report ComponentiScopo RRASVPN SMTP ServerSMTP Message screener

Gestione e Configurazione

Internal External DMZ Configurazione di Rete Reti Reti Insiemi di Reti Insiemi di Reti Regole di traslazione degli indirizzi (NAT vs Routing) Regole di traslazione degli indirizzi (NAT vs Routing) Altri oggetti di rete Altri oggetti di rete

Template di Rete Cosa sono Possibilità di selezionare una configurazione completa di rete da una lista Possibilità di selezionare una configurazione completa di rete da una lista Configurazioni pre definite per scenari comuni Configurazioni pre definite per scenari comuni Personalizzazione della configurazione dopo lesecuzione del template Personalizzazione della configurazione dopo lesecuzione del templateBenefici Definizione di una configurazione iniziale con solo un point and click. Definizione di una configurazione iniziale con solo un point and click. I template pre definiti sono ampiamente provati I template pre definiti sono ampiamente provati Molti utenti nelle organizzazioni medio piccole possono usare i template senza modifiche Molti utenti nelle organizzazioni medio piccole possono usare i template senza modifiche I template definisco reti ben note che possono essere usate per definire le policy iniziali I template definisco reti ben note che possono essere usate per definire le policy iniziali

Ambiente Demo

Demo 2: Configurazione di una rete con template Demo 1: La nuova Console di Amministrazione

Creazione delle Policy Regole Basate su regole singole Basate su regole singole Le regole sono valutate nellordine in cui si trovano Le regole sono valutate nellordine in cui si trovano Supporto per molteplici reti Supporto per molteplici reti Le regole sono applicate come un gruppo Le regole sono applicate come un gruppo Vengono integrate dai filtri applicativi Vengono integrate dai filtri applicativi

Creazione delle Policy Elementi per le regole Ricco insieme di elementi pre costruiti Ricco insieme di elementi pre costruiti Oggetti di rete: computer, network, range di indirizzi, ecc. Oggetti di rete: computer, network, range di indirizzi, ecc. Protocolli Protocolli Utenti, Gruppi, Insiemi di utenti Utenti, Gruppi, Insiemi di utenti Periodi Periodi Tipi di contenuti Tipi di contenuti Gli oggetti sono disponibili dove si creano le regole in unapposita Toolbox Gli oggetti sono disponibili dove si creano le regole in unapposita Toolbox Si possono creare, modificare e cancellare oggetti al volo, anche usando drag and drop dalla Toolbox Si possono creare, modificare e cancellare oggetti al volo, anche usando drag and drop dalla Toolbox

Creazione delle Policy System Policy Controllano laccesso da/per il firewall Controllano laccesso da/per il firewall Servizi di rete necessari per le corrette operazioni (es. DNS) Servizi di rete necessari per le corrette operazioni (es. DNS) Accesso dai computer client (es. per gestione remota) Accesso dai computer client (es. per gestione remota) Applicazioni attive sul firewall (es. Tool di diagnostica) Applicazioni attive sul firewall (es. Tool di diagnostica) Nascoste per default nel policy editor Nascoste per default nel policy editor Possono essere mostrate quando necessario Possono essere mostrate quando necessario Raggruppate per comodità Raggruppate per comodità

Demo 3: Creazione di policy di accesso

Pubblicazione Server Consente laccesso a servizi nella rete protetta Consente laccesso a servizi nella rete protetta Regole di pubblicazione dei Server Regole di pubblicazione dei Server Specificano server, protocolli e reti da pubblicare Specificano server, protocolli e reti da pubblicare Valutate in ordine, come tutte le altre regole Valutate in ordine, come tutte le altre regole Personalizzazioni: Personalizzazioni: Indirizzi del firewall Indirizzi del firewall Porte usate su firewall, server e client Porte usate su firewall, server e client

Pubblicazione Siti Web Funzioni aggiunte dal web-proxy in capo alla pubblicazione di server Funzioni aggiunte dal web-proxy in capo alla pubblicazione di server Condivisione delle porte tra molti siti pubblicati Condivisione delle porte tra molti siti pubblicati Autenticazione e delega Autenticazione e delega SSL bridging SSL bridging Link translation Link translation Listener Listener Incapsulano le proprietà condivise da molti siti in ununica porta Incapsulano le proprietà condivise da molti siti in ununica porta Impostazione dellautenticazione Impostazione dellautenticazione Proprietà SSL Proprietà SSL

Demo 4: Pubblicazione di Server FTP Pubblicazione di Server OWA

Configurazione della Cache A termine setup cache disabilitata A termine setup cache disabilitata Si deve assegnare spazio disco per abilitare la cache Si deve assegnare spazio disco per abilitare la cache Cache deve essere su partizioni NTFS locali – meglio se diverse da quelle di ISA e OS Cache deve essere su partizioni NTFS locali – meglio se diverse da quelle di ISA e OS Opzioni di configurazione: Opzioni di configurazione: Dimensione massima degli oggetti Dimensione massima degli oggetti Oggetti senza data di ultima modifica Oggetti senza data di ultima modifica Oggetti con codice di ritorno <> 200 Oggetti con codice di ritorno <> 200 Cosa fare con oggetti scaduti Cosa fare con oggetti scaduti No cache per oggetti con header che contiene: No cache per oggetti con header che contiene: cache-control: no-cache cache-control: no-cache cache-control: private cache-control: private pragma: no-cache pragma: no-cache www-authenticate www-authenticate set-cookie set-cookie cache-control: no-store cache-control: no-store

Regole di cache Definiscono gli oggetti da salvare in cache e come restituirli Definiscono gli oggetti da salvare in cache e come restituirli Applicabili a tutti i siti o a specifici siti Applicabili a tutti i siti o a specifici siti Applicabili a tutti i tipi di contenuti o a specifici contenuti Applicabili a tutti i tipi di contenuti o a specifici contenuti Valutate in ordine con la Default Rule valutata sempre per ultima Valutate in ordine con la Default Rule valutata sempre per ultima

Demo 5: Configurazione della cache

Gestione della Configurazione Import/Export Cosè Export delle impostazioni di ogni oggetto in un file XML Export delle impostazioni di ogni oggetto in un file XML Import del file XML sullo stesso server o su server diversi Import del file XML sullo stesso server o su server diversi Controllo dellexport/import di specifici oggetti Controllo dellexport/import di specifici oggetti Segreti, es. password (criptati al salvataggio) Segreti, es. password (criptati al salvataggio) ACL ACL Impostazioni legate al computer di export (es. dischi) Impostazioni legate al computer di export (es. dischi)Benefici Backup/restore completo della configurazione Backup/restore completo della configurazione Replica della configurazione su altri Firewall Replica della configurazione su altri Firewall Condivisione di policy, o frammenti di policy, con altri attraverso , newsgroup, web Condivisione di policy, o frammenti di policy, con altri attraverso , newsgroup, web Semplificazione della comunicazione con gli sviluppatori e il supporto Semplificazione della comunicazione con gli sviluppatori e il supporto

Gestione della Configurazione Controllo degli accessi Accessi basati su ruolo I diritti di accesso allinterfaccia di gestione sono definiti in base ai ruoli: Accessi basati su ruolo I diritti di accesso allinterfaccia di gestione sono definiti in base ai ruoli: Pieno Controllo Pieno Controllo Sola lettura Sola lettura Solo Monitoring Solo Monitoring Sola lettura su Monitoring Sola lettura su Monitoring Solo Log e report Solo Log e report Sola lettura su Log e repor Sola lettura su Log e repor Agli utenti possono essere assegnati ruoli diversi Agli utenti possono essere assegnati ruoli diversi Un wizard consente di assegnare le deleghe di amministrazione ai diversi utenti Un wizard consente di assegnare le deleghe di amministrazione ai diversi utenti

Demo 6: Export della configurazione

Log e Report

Introduzione Tipi di log Tipi di log Firewall Firewall I log di Packet Filter sono ora inseriti nei Log del Firewall I log di Packet Filter sono ora inseriti nei Log del Firewall Nuovi Campi Nuovi Campi Per connessioni lunghe Inserimento periodico di linee nei log Per connessioni lunghe Inserimento periodico di linee nei log Web Proxy Web Proxy SMTP Message Screener SMTP Message Screener Opzioni di salvataggio dei Log Opzioni di salvataggio dei Log File di testo File di testo MSDE – Default e Raccomandata MSDE – Default e Raccomandata Database SQL Database SQL

Accesso diretto ai Log File di testo Benefici Benefici Più semplice la migrazione da ISA Più semplice la migrazione da ISA Considerazioni Considerazioni Molti file log su molti Server (in caso di Array) Molti file log su molti Server (in caso di Array) Accesso da remoto Accesso da remoto Share di rete Share di rete FTP FTP Non è lopzione di default Non è lopzione di default Limita il Log Viewer ai dati on-line (non visibili quelli salvati) Limita il Log Viewer ai dati on-line (non visibili quelli salvati)MSDE Benefici Benefici Query SQL standard via ADO/OLE DB API Query SQL standard via ADO/OLE DB API Considerazioni Considerazioni Molti DB su diversi server (limite a 2GB) in caso di Array Molti DB su diversi server (limite a 2GB) in caso di Array Accesso da remoto Accesso da remoto No via SQL No via SQL MSDE distribuibile copiare su server centrale e gestire con SQL MSDE distribuibile copiare su server centrale e gestire con SQL Share Share FTP FTP

API Firewall Logging Benefici Benefici Non è necessario gestire file multipli su diverse macchine Non è necessario gestire file multipli su diverse macchine Nessun problema di accesso da remoto Nessun problema di accesso da remoto È sicuro – solo gli amministratori possono usare le API remote È sicuro – solo gli amministratori possono usare le API remote Possibile usare query predefinite Possibile usare query predefinite Considerazioni Considerazioni Non funzionano con i file di testo Non funzionano con i file di testo

Reporting - Introduzione

Cosa cè di nuovo Migliore gestione Migliore gestione Report possono essere pubblicati in una directory Report possono essere pubblicati in una directory Tutte le informazioni sono in una directory sono facilmente distribuibili Tutte le informazioni sono in una directory sono facilmente distribuibili È possibile avere notifiche via mail quando I report sono pronti È possibile avere notifiche via mail quando I report sono pronti Nuove API per il reporting Nuove API per il reporting Accesso e generazione programmatica dei report Accesso e generazione programmatica dei report

Demo 7: Creazione di un Report

Una promozione su ISA 2000 (ultimi giorni)