TechNet Security Workshop IV PierGiorgio Malusardi
Agenda Nuova Architettura: Nuova Architettura: di rete di rete dei filtri dei filtri delle policy delle policy Installazione e Migrazione Installazione e Migrazione Gestione e configurazione Gestione e configurazione Configurazione di rete Configurazione di rete Policy Policy Pubblicazione Pubblicazione Gestione della configurazione Gestione della configurazione Log e Report Log e Report
Nuova Architettura
Modello di rete di ISA 2000 (vecchio) Internal Network Internet DMZ 1 Singola policy di uscita Static PF Filtro statico tra DMZ e Internet In (LAT) e out (Internet, DMZ) ISA 2000 Packet filter solo su interfacce esterne
Modello di rete di ISA Server 2004 Network A Internet DMZ 1 DMZ 2 Network B VPN Network Qualsiasi numero di reti Relazioni tra le reti assegnate Appartenenza dinamica ad alcune reti Policy per rete VPN rappresentate come rete ISA Server 2004 Packet filter su tutte le interfacce La macchina firewall è vista come una rete regole di accesso Regole di routing assegnabili: NAT Stateful routing
Architettura dei Filtri
NDIS Policy Engine Architettura di ISA 2004 Firewall EngineIP Stack Firewall service (WSPSRV.EXE – NETWORK SERVICE) Application Filter API Application filter Web proxy filter Application filter Application filter Application filter Web Filter API Web filter Web filter Filtro a livello Pacchetto Filtro a livello Applicativo Data Pump in Kernel mode : Ottimizzazione delle Prestazioni Filtro a livello Protocollo Kernel mode Userland
Quali Application Filter ci sono in box? HTTP: Analisi approfondita della sintassi HTTP: Analisi approfondita della sintassi SMTP: Filtro per commandi e messaggi SMTP: Filtro per commandi e messaggi RPC: blocco a livello interfaccia RPC: blocco a livello interfaccia FTP: supporto per read only FTP: supporto per read only H.323: filtro delle proprietà dei media H.323: filtro delle proprietà dei media DNS: intrusion detection DNS: intrusion detection POP3: intrusion detection POP3: intrusion detection Streaming media: supporto stateful separato per Streaming media: supporto stateful separato per MMS MMS RTSP RTSP PNM PNM
Filtri: Autenticazione Modifica delle informazioni utente (Basic auth) Modifica delle informazioni utente (Basic auth) Modifica di user name e password Modifica di user name e password Prendere le info degli utenti autenticati Prendere le info degli utenti autenticati GetUserToken, GetHeader, AddHeader, SetHeader GetUserToken, GetHeader, AddHeader, SetHeader Es: Creare header di cookie basati sulle info degli utenti Es: Creare header di cookie basati sulle info degli utenti Filtrare lautenticazione usando schemi di autenticazione esistenti o nuovi Filtrare lautenticazione usando schemi di autenticazione esistenti o nuovi Il Filtro esegue lautenticazione in luogo del Proxy Il Filtro esegue lautenticazione in luogo del Proxy
Filtri: Policy per regola Obiettivo: Applicare policy HTTP aggiuntive per regola e non globali Obiettivo: Applicare policy HTTP aggiuntive per regola e non globali Per esempio: Per esempio: Regola: Consenti il traffico Http verso Regola: Consenti il traffico Http verso Policy di filtro per la regola: Vieta luso del metodo POST Policy di filtro per la regola: Vieta luso del metodo POSTNota: Le policy di filtro non sono parte dei match criteria
Filtri: Notifiche lato server Obiettivo: Ispezionare/modificare i dati tra il proxy e il server Web Obiettivo: Ispezionare/modificare i dati tra il proxy e il server Web Per esempio: Per esempio: Modificare host e porta Modificare host e porta to server1 to server1 Modificare la richiesta inviata al server Modificare la richiesta inviata al server Controllare la risposta ottenuta dal server Controllare la risposta ottenuta dal server Fare controllo dei virus prima del caching Fare controllo dei virus prima del cachingNota: non sono chiamate quando i dati sono presi dalla cache
Architettura delle Policy
Nuovo modello di policy Basato su regole singole e ordinate Basato su regole singole e ordinate Più logico e facile da capire Più logico e facile da capire Più facile da vedere e controllare Più facile da vedere e controllare Le regole di ISA 2000 sono mappate in una nuova regola unificata Le regole di ISA 2000 sono mappate in una nuova regola unificata Tipi di regole: Tipi di regole: Regole di Accesso Regole di Accesso Regole di pubblicazione dei server Regole di pubblicazione dei server Regole di pubblicazione Web Regole di pubblicazione Web Le proprietà dei filtri applicativi sono parte delle regole Le proprietà dei filtri applicativi sono parte delle regole
action on traffic from user from source to destination with conditions Le Regole in ISA 2004 Consenti Blocca Rete Sorgente IP Sorgente Utente Originario Rete Destinazione IP Destinazione Sito Destinazione Protocollo IP Porta / Tipo Server Pubblicato Sito Web Pubblicato Periodi consentiti Proprietà di filtro Utente OK
Installazione e Migrazione
Pre requisiti per linstallazione Hardware Hardware CPU: 550 MHz CPU: 550 MHz RAM: 256 MB RAM: 256 MB Software Software Server Server Windows server 2003 o Windows SP4 + IE6 Windows server 2003 o Windows SP4 + IE6 Workgroup o membro di Dominio Workgroup o membro di Dominio ISA SP1 (per upgrade In-Place) ISA SP1 (per upgrade In-Place) Client Client Windows 98 e successivi Windows 98 e successivi Gestione Remota Gestione Remota Windows 2000 e successivi Windows 2000 e successivi
Stato della macchina e delle policy a fine installazione Tutto è bloccato Tutto è bloccato System policy di default System policy di default In uscita In uscita Active Directory Active Directory DNS DNS DHCP DHCP In ingresso In ingresso Gestione Remota (RDP) Gestione Remota (RDP) Accesso allo share per Firewall Client Accesso allo share per Firewall Client Cache disabilitata Cache disabilitata
Installazione di Firewall client ISA 2004 è compatibile con ISA 2000 Firewall client ISA 2004 è compatibile con ISA 2000 Firewall client Lo share di installazione può essere: Lo share di installazione può essere: Sul server ISA 2004 Sul server ISA 2004 Su un File Server raccomandato Su un File Server raccomandato Nessun reboot (SI in caso di win98 e NT4). Nessun reboot (SI in caso di win98 e NT4). Supportata linstallazione unattended Supportata linstallazione unattended Sono necessari i privilegi di amministratore per linstallazione Sono necessari i privilegi di amministratore per linstallazione
Upgrade in-place da ISA 2000 Mappatura delle migrazioni ISA Protocol Rules 2. IP Packet Filter 3. Site and Content rules 4. Web publishing 5. Server publishing 6. Destination Set 7. Client Set 8. LAT 9. URLScan 10. Il resto 11. RRAS 12. Report jobs ISA Access rules 2. Computer 3. URL 4. Domain Groups 5. Address Ranges 6. Internal Network 7. HTTP Filter (dentro le access rule) 8. Il resto Nuovi oggetti 1. VPN 2. Reti – External, Local host, Quarantine, Client VPN 3. Monitoring – Connettività 4. SMTP Log ISA 2000ModalitàISA 2004 StandardIntegrata Standard & Cache abilitata StandardFirewall Standard Cache Standard & Cache abilitata *
Cosa cè sotto il cappello? Componenti Installati: Componenti Installati: Componenti di OS opzionali: Componenti di OS opzionali: MSI 2.0 è usato come tecnologia di setup (Server e Client) MSI 2.0 è usato come tecnologia di setup (Server e Client) ComponentiScopo MSDELog avanzato Office web componentGenerazione di report ComponentiScopo RRASVPN SMTP ServerSMTP Message screener
Gestione e Configurazione
Internal External DMZ Configurazione di Rete Reti Reti Insiemi di Reti Insiemi di Reti Regole di traslazione degli indirizzi (NAT vs Routing) Regole di traslazione degli indirizzi (NAT vs Routing) Altri oggetti di rete Altri oggetti di rete
Template di Rete Cosa sono Possibilità di selezionare una configurazione completa di rete da una lista Possibilità di selezionare una configurazione completa di rete da una lista Configurazioni pre definite per scenari comuni Configurazioni pre definite per scenari comuni Personalizzazione della configurazione dopo lesecuzione del template Personalizzazione della configurazione dopo lesecuzione del templateBenefici Definizione di una configurazione iniziale con solo un point and click. Definizione di una configurazione iniziale con solo un point and click. I template pre definiti sono ampiamente provati I template pre definiti sono ampiamente provati Molti utenti nelle organizzazioni medio piccole possono usare i template senza modifiche Molti utenti nelle organizzazioni medio piccole possono usare i template senza modifiche I template definisco reti ben note che possono essere usate per definire le policy iniziali I template definisco reti ben note che possono essere usate per definire le policy iniziali
Ambiente Demo
Demo 2: Configurazione di una rete con template Demo 1: La nuova Console di Amministrazione
Creazione delle Policy Regole Basate su regole singole Basate su regole singole Le regole sono valutate nellordine in cui si trovano Le regole sono valutate nellordine in cui si trovano Supporto per molteplici reti Supporto per molteplici reti Le regole sono applicate come un gruppo Le regole sono applicate come un gruppo Vengono integrate dai filtri applicativi Vengono integrate dai filtri applicativi
Creazione delle Policy Elementi per le regole Ricco insieme di elementi pre costruiti Ricco insieme di elementi pre costruiti Oggetti di rete: computer, network, range di indirizzi, ecc. Oggetti di rete: computer, network, range di indirizzi, ecc. Protocolli Protocolli Utenti, Gruppi, Insiemi di utenti Utenti, Gruppi, Insiemi di utenti Periodi Periodi Tipi di contenuti Tipi di contenuti Gli oggetti sono disponibili dove si creano le regole in unapposita Toolbox Gli oggetti sono disponibili dove si creano le regole in unapposita Toolbox Si possono creare, modificare e cancellare oggetti al volo, anche usando drag and drop dalla Toolbox Si possono creare, modificare e cancellare oggetti al volo, anche usando drag and drop dalla Toolbox
Creazione delle Policy System Policy Controllano laccesso da/per il firewall Controllano laccesso da/per il firewall Servizi di rete necessari per le corrette operazioni (es. DNS) Servizi di rete necessari per le corrette operazioni (es. DNS) Accesso dai computer client (es. per gestione remota) Accesso dai computer client (es. per gestione remota) Applicazioni attive sul firewall (es. Tool di diagnostica) Applicazioni attive sul firewall (es. Tool di diagnostica) Nascoste per default nel policy editor Nascoste per default nel policy editor Possono essere mostrate quando necessario Possono essere mostrate quando necessario Raggruppate per comodità Raggruppate per comodità
Demo 3: Creazione di policy di accesso
Pubblicazione Server Consente laccesso a servizi nella rete protetta Consente laccesso a servizi nella rete protetta Regole di pubblicazione dei Server Regole di pubblicazione dei Server Specificano server, protocolli e reti da pubblicare Specificano server, protocolli e reti da pubblicare Valutate in ordine, come tutte le altre regole Valutate in ordine, come tutte le altre regole Personalizzazioni: Personalizzazioni: Indirizzi del firewall Indirizzi del firewall Porte usate su firewall, server e client Porte usate su firewall, server e client
Pubblicazione Siti Web Funzioni aggiunte dal web-proxy in capo alla pubblicazione di server Funzioni aggiunte dal web-proxy in capo alla pubblicazione di server Condivisione delle porte tra molti siti pubblicati Condivisione delle porte tra molti siti pubblicati Autenticazione e delega Autenticazione e delega SSL bridging SSL bridging Link translation Link translation Listener Listener Incapsulano le proprietà condivise da molti siti in ununica porta Incapsulano le proprietà condivise da molti siti in ununica porta Impostazione dellautenticazione Impostazione dellautenticazione Proprietà SSL Proprietà SSL
Demo 4: Pubblicazione di Server FTP Pubblicazione di Server OWA
Configurazione della Cache A termine setup cache disabilitata A termine setup cache disabilitata Si deve assegnare spazio disco per abilitare la cache Si deve assegnare spazio disco per abilitare la cache Cache deve essere su partizioni NTFS locali – meglio se diverse da quelle di ISA e OS Cache deve essere su partizioni NTFS locali – meglio se diverse da quelle di ISA e OS Opzioni di configurazione: Opzioni di configurazione: Dimensione massima degli oggetti Dimensione massima degli oggetti Oggetti senza data di ultima modifica Oggetti senza data di ultima modifica Oggetti con codice di ritorno <> 200 Oggetti con codice di ritorno <> 200 Cosa fare con oggetti scaduti Cosa fare con oggetti scaduti No cache per oggetti con header che contiene: No cache per oggetti con header che contiene: cache-control: no-cache cache-control: no-cache cache-control: private cache-control: private pragma: no-cache pragma: no-cache www-authenticate www-authenticate set-cookie set-cookie cache-control: no-store cache-control: no-store
Regole di cache Definiscono gli oggetti da salvare in cache e come restituirli Definiscono gli oggetti da salvare in cache e come restituirli Applicabili a tutti i siti o a specifici siti Applicabili a tutti i siti o a specifici siti Applicabili a tutti i tipi di contenuti o a specifici contenuti Applicabili a tutti i tipi di contenuti o a specifici contenuti Valutate in ordine con la Default Rule valutata sempre per ultima Valutate in ordine con la Default Rule valutata sempre per ultima
Demo 5: Configurazione della cache
Gestione della Configurazione Import/Export Cosè Export delle impostazioni di ogni oggetto in un file XML Export delle impostazioni di ogni oggetto in un file XML Import del file XML sullo stesso server o su server diversi Import del file XML sullo stesso server o su server diversi Controllo dellexport/import di specifici oggetti Controllo dellexport/import di specifici oggetti Segreti, es. password (criptati al salvataggio) Segreti, es. password (criptati al salvataggio) ACL ACL Impostazioni legate al computer di export (es. dischi) Impostazioni legate al computer di export (es. dischi)Benefici Backup/restore completo della configurazione Backup/restore completo della configurazione Replica della configurazione su altri Firewall Replica della configurazione su altri Firewall Condivisione di policy, o frammenti di policy, con altri attraverso , newsgroup, web Condivisione di policy, o frammenti di policy, con altri attraverso , newsgroup, web Semplificazione della comunicazione con gli sviluppatori e il supporto Semplificazione della comunicazione con gli sviluppatori e il supporto
Gestione della Configurazione Controllo degli accessi Accessi basati su ruolo I diritti di accesso allinterfaccia di gestione sono definiti in base ai ruoli: Accessi basati su ruolo I diritti di accesso allinterfaccia di gestione sono definiti in base ai ruoli: Pieno Controllo Pieno Controllo Sola lettura Sola lettura Solo Monitoring Solo Monitoring Sola lettura su Monitoring Sola lettura su Monitoring Solo Log e report Solo Log e report Sola lettura su Log e repor Sola lettura su Log e repor Agli utenti possono essere assegnati ruoli diversi Agli utenti possono essere assegnati ruoli diversi Un wizard consente di assegnare le deleghe di amministrazione ai diversi utenti Un wizard consente di assegnare le deleghe di amministrazione ai diversi utenti
Demo 6: Export della configurazione
Log e Report
Introduzione Tipi di log Tipi di log Firewall Firewall I log di Packet Filter sono ora inseriti nei Log del Firewall I log di Packet Filter sono ora inseriti nei Log del Firewall Nuovi Campi Nuovi Campi Per connessioni lunghe Inserimento periodico di linee nei log Per connessioni lunghe Inserimento periodico di linee nei log Web Proxy Web Proxy SMTP Message Screener SMTP Message Screener Opzioni di salvataggio dei Log Opzioni di salvataggio dei Log File di testo File di testo MSDE – Default e Raccomandata MSDE – Default e Raccomandata Database SQL Database SQL
Accesso diretto ai Log File di testo Benefici Benefici Più semplice la migrazione da ISA Più semplice la migrazione da ISA Considerazioni Considerazioni Molti file log su molti Server (in caso di Array) Molti file log su molti Server (in caso di Array) Accesso da remoto Accesso da remoto Share di rete Share di rete FTP FTP Non è lopzione di default Non è lopzione di default Limita il Log Viewer ai dati on-line (non visibili quelli salvati) Limita il Log Viewer ai dati on-line (non visibili quelli salvati)MSDE Benefici Benefici Query SQL standard via ADO/OLE DB API Query SQL standard via ADO/OLE DB API Considerazioni Considerazioni Molti DB su diversi server (limite a 2GB) in caso di Array Molti DB su diversi server (limite a 2GB) in caso di Array Accesso da remoto Accesso da remoto No via SQL No via SQL MSDE distribuibile copiare su server centrale e gestire con SQL MSDE distribuibile copiare su server centrale e gestire con SQL Share Share FTP FTP
API Firewall Logging Benefici Benefici Non è necessario gestire file multipli su diverse macchine Non è necessario gestire file multipli su diverse macchine Nessun problema di accesso da remoto Nessun problema di accesso da remoto È sicuro – solo gli amministratori possono usare le API remote È sicuro – solo gli amministratori possono usare le API remote Possibile usare query predefinite Possibile usare query predefinite Considerazioni Considerazioni Non funzionano con i file di testo Non funzionano con i file di testo
Reporting - Introduzione
Cosa cè di nuovo Migliore gestione Migliore gestione Report possono essere pubblicati in una directory Report possono essere pubblicati in una directory Tutte le informazioni sono in una directory sono facilmente distribuibili Tutte le informazioni sono in una directory sono facilmente distribuibili È possibile avere notifiche via mail quando I report sono pronti È possibile avere notifiche via mail quando I report sono pronti Nuove API per il reporting Nuove API per il reporting Accesso e generazione programmatica dei report Accesso e generazione programmatica dei report
Demo 7: Creazione di un Report
Una promozione su ISA 2000 (ultimi giorni)