La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

| | Hardening.

Presentazioni simili


Presentazione sul tema: "| | Hardening."— Transcript della presentazione:

1 | piergiorgio.malusardi@microsoft.com | Hardening

2 Agenda Sicurezza del server ISA Server 2004 Gestione degli update Accesso fisico Hardening di Windows Gestione di Permessi e Ruoli Riduzione della superficie di attacco Lockdown mode Sicurezza della configurazione di ISA Server 2004 Monitoring

3 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Gestione degli update Come ogni macchina della rete il server ISA deve essere mantenuto aggiornato: Aggiornare il sistema operativo Aggiornare ISA Server 2004 Aggiornare ogni componente addizionale installato: MSDE Office Web Component AD/AM (versione Enterprise) Altro (non ci dovrebbe essere, ma…)

4 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Gestione degli update Se un cattivo ragazzo può accedere fisicamente al tuo computer, questo non è più il tuo computer Laccesso fisico al server può consentire: Spegnimenti indesiderati (DoS) Installazione di software pensato per aggirare la sicurezza Installazione di hardware pensato per aggirare la sicurezza

5 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Domino vs Workgroup ISA 2004 (anche la EE) può essere installato in dominio o in workgroup Se ISA 2004 costituisce il punto di accesso ad Internet si consiglia: Installare ISA 2004 in una foresta separata da quella aziendale Creare una relazione di trust mono direzionale tra la foresta di ISA 2004 e quella aziendale Linstallazione in dominio consente la configurazione della sicurezza usando le group policy

6 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Hardening di Windows – dove partire Lo strumento principe per configurare Windows Server 2003 su cui si installa ISA 2004 è Windows Server 2003 Security Guide Usare il template di sicurezza High Security – Bastion host Applicabile via group policy se il server ISA 2004 è in dominio Applicabile con secedit se il server ISA 2004 è in workgroup

7 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Hardening di Windows – servizi necessari Nome del servizioRazionaleAvvio COM+ Event SystemCore operating systemManual Cryptographic ServicesCore operating system (sicurezza)Automatic Event LogCore operating systemAutomatic IPSec ServicesCore operating system (sicurezza)Automatic Logical Disk ManagerCore operating system (gestione dei dischi)Automatic Logical Disk Manager Administrative ServiceCore operating system (gestione dei dischi)Manual Microsoft FirewallRichiesto per il normale funzionamento di ISA ServerAutomatic Microsoft ISA Server ControlRichiesto per il normale funzionamento di ISA ServerAutomatic Microsoft ISA Server Job SchedulerRichiesto per il normale funzionamento di ISA ServerAutomatic Microsoft ISA Server StorageRichiesto per il normale funzionamento di ISA ServerAutomatic MSSQL$MSFWRichiesto quando MSDE è richiesto per I log ISA ServerAutomatic Network ConnectionsCore operating system (infrastruttura di rete)Manual NTLM Security Support ProviderCore operating system (sicurezza)Manual Plug and PlayCore operating systemAutomatic Protected StorageCore operating system (sicurezza)Automatic

8 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Hardening di Windows – servizi necessari Nome del servizioRazionaleAvvio Protected StorageCore operating system (sicurezza)Automatic Remote Access Connection ManagerRichiesto per il normale funzionamento di ISA ServerManual Remote Procedure Call (RPC)Core operating systemAutomatic Secondary LogonCore operating system (sicurezza)Automatic Security Accounts ManagerCore operating systemAutomatic ServerRichiesto per lo share ISA Server Firewall Client (Togliere!!)Automatic Smart CardCore operating system (sicurezza)Manual SQLAgent$MSFWRichiesto quando MSDE è richiesto per I log ISA ServerManual System Event NotificationCore operating systemAutomatic TelephonyRichiesto per il normale funzionamento di ISA ServerManual Virtual Disk Service (VDS)Core operating system (gestione dei dischi)Manual Windows Management Instrumentation (WMI)Core operating system (WMI)Automatic WMI Performance AdapterCore operating system (WMI)Manual

9 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Hardening di Windows – ruoli del server Il servizio server deve essere in Automatic quando: Share di FW Client sul server con ISA 2004 (sconsigliato) Si usa RRAS per configurare le VPN al posto di ISA 2004 Altre applicazioni o ruoli del server lo richiedono Ruolo del serverServizi richiestiAvvio Routing and Remote Access ServerRouting and Remote AccessManual Remote Access Connection ManagerManual TelephonyManual WorkstationAutomatic ServerAutomatic Terminal Server per lamministrazione via Remote Desktop ServerAutomatic Terminal ServicesManual

10 | piergiorgio.malusardi@microsoft.com | Demo: Creazione e applicazione di un template di sicurezza

11 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Ruoli amministrativi e permessi Per lassegnazione dei permessi di esecuzione delle attività ISA 2004 sfrutta il concetto di ruoli amministrativi Assegnare un ruolo ad un utente significa assegnare i permessi di eseguire determinate operazioni

12 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Ruoli amministrativi e permessi RuoloDescrizione ISA Server Basic Monitoring Gli utenti a cui è assegnato questo ruolo possono controllare lattività del server ISA e lattività di rete, ma non possono impostare nessuna delle funzionalità di firewall o del monitoring. ISA Server Extended Monitoring Gli utenti a cui è assegnato questo ruolo possono effettuare tutte le attività di monitoring inclusa la configurazione dei log, la definizione degli alert oltre a tutte le attività concesse al ruolo precedente. ISA Server Full Administrator Gli utenti a cui è assegnato questo ruolo possono effettuare qualsiasi operazione su ISA Server. Per default gli amministratori della macchina hanno questo ruolo.

13 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Ruoli amministrativi e permessi AttivitàBasic MonitoringExtended MonitoringFull Administrator Controllo di Dashboard, alerts, connettività, sessioni, servizi XXX Accettazione degli alertXXX Controllo delle informazioni di logXX Creazione della definizione di alertXX Creazione di reportXX Avvio e arresto di servizi e sessioniXX Controllo delle policy di firewallXX Configurazione delle policy di firewallX Configurazione della cacheX Configurazione delle VPNX

14 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Ruoli amministrativi e permessi – Buone pratiche Usare il principio dei minori privilegi Mantenere il gruppo Administrator con pochi elementi Fare logon al server con laccount con i minor privilegi necessari a svolgere loperazione Disabilitare laccount Guest

15 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Ruoli amministrativi e permessi - DACL In fase di installazione ISA 2004 modifica le DACL per tener conto del suo funzionamento e dei ruoli amministrativi Le DACL sono modificate anche durante lassegnazione dei ruoli Non vengono impostate DACL su: Folder per i report File di configurazione creati in fase di export o backup File di log copiati in folder diversi dagli originari NON MODIFICARE A MANO LE DACL DI DEFAULT

16 | piergiorgio.malusardi@microsoft.com | Demo: Assegnazione dei ruoli

17 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Riduzione della superficie di attacco Meno cè meglio è Non eseguire applicazioni o servizi non necessari sul server con ISA 2004 Disabilitare le funzioni di ISA 2004 che non si usano (VPN, Cache, Specifici add-in) Disabilitare le System policy che non servono in base alla propria modalità di gestione di ISA 2004 Applicare le System policy a specifiche entità di rete

18 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Riduzione della superficie di attacco – System policy Servizi di rete Gruppo di configurazione Nome della regolaDescrizione della regola DHCPAllow DHCP requests from ISA Server to Internal Allow DHCP replies from DHCP servers to ISA Server Consente al server ISA laccesso alla rete interna con i protocolli DHCP (reply) e DHCP (request). DNSAllow DNS from ISA Server to selected servers Consente al server ISA di accedere a tutte le reti usando il protocollo DNS. NTPAllow NTP from ISA Server to trusted NTP servers Consente al server ISA laccesso ala rete interna usando il protocollo NTP (UDP).

19 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Riduzione della superficie di attacco – System policy Servizi di autenticazione Gruppo di configurazione Nome della regolaDescrizione della regola Active DirectoryAllow access to directory services for authentication purposes Allow RPC from ISA Server to trusted servers Allow Microsoft CIFS from ISA Server to trusted servers Allow Kerberos authentication from ISA Server to trusted servers Consente al server con ISA 2004 laccesso alla rete interna con diversi protocolli LDAP, RPC (tutte le interfacce), diversi protocolli CIFS, diversi protocolli Kerberos, tutti usati da Active Directory. RSA SecurIDAllow SecurID authentication from ISA Server to trusted servers Consente al server con ISA 2004 laccesso alla rete interna con il protocollo RSA SecurID®. RADIUSAllow RADIUS authentication from ISA Server to trusted RADIUS servers Consente al server con ISA 2004 laccesso alla rete interna con il protocollo RADIUS. Certificate Revocation List Allow HTTP from ISA Server to all networks for CRL downloads Consente al server con ISA 2004 laccesso in HTTP a reti selezionate per scaricare le CRL.

20 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Riduzione della superficie di attacco – System policy Gruppo di configurazione Nome della regolaDescrizione della regola Microsoft Management Console Allow remote management from selected computers using MMC Allow MS Firewall Control communication to selected computers Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA con i protocolli MS Firewall Control e RPC (tutte le interfacce). Terminal serverAllow remote management from selected computers using Terminal Server Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocolli RDP (Terminal Services). ICMP (Ping)Allow ICMP (PING) requests from selected computers to ISA Server Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocollo ICMP, e vice versa. Gestione da remoto

21 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Riduzione della superficie di attacco – System policy Controllo da remoto e log Gruppo di configurazione Nome della regolaDescrizione della regola Remote logging (NetBIOS) Allow remote logging to trusted servers using NetBIOS Consente al server con ISA 2004 di accedere alla rete interna con il protocollo NetBIOS. Remote Logging (SQL) Allow remote SQL logging from ISA Server to selected servers Consente al server con ISA 2004 di accedere alla rete interna con il protocollo Microsoft SQL. Remote Performance Monitoring Allow remote performance monitoring of ISA Server from trusted servers Consente ai computer nel computer set Remote Management Computers computer di accedere al server con ISA 2004 con il protocollo NetBIOS. Microsoft Operations Manager Allow remote monitoring from ISA Server to trusted servers, using Microsoft Operations Manager (MOM) Agent Consente al server con ISA 2004 laccesso alla rete interna usando lagent Microsoft Operations Manager.

22 | piergiorgio.malusardi@microsoft.com | Demo: System policy

23 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Modalità Lockdown Una funzione critica dei firewall è reagire agli attacchi Una tecnica potrebbe essere isolare la rete difesa sconnettendosi dalla rete da cui parte lattacco: Non è un buon approccio! Gli attacchi devo essere gestiti per quanto possibile Lockdown mode

24 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Modalità Lockdown Introdotta per combinare necessità di isolamento e necessità di rimanere connessi Attivata quando il servizio Firewall Viene spento in automatico Con la definizione degli alert è possibile configurare quali eventi provocano lo spegnimento del servizio Firewall Viene spento manualmente Disattivata al riavvio del servizio firewall

25 | piergiorgio.malusardi@microsoft.com | Sicurezza del server Modalità Lockdown Quando in lockdown mode: Il packet filter engine applica le policy di firewall Il traffico in uscita da localhost verso tutte le reti (e relative risposte in ingresso) è consentito Nessun traffico in ingresso è consentito salvo che sia consentito da una System policy Traffico DHCP da localhost a tutte le reti (e relative risposte) è sempre consentito Seguenti System policy sono sempre attive: Allow ICMP from trusted server to the local host Allow remote management of the firewall using MMC (RPC through port 3847) Allow remote management of the firewall using RDP Accessi in VPN negati (tutti i tipi) Ogni modifica alla configurazione diventa attiva solo dopo il riavvio del servizio firewall ISA 2004 alza nessun alert

26 | piergiorgio.malusardi@microsoft.com | Sicurezza della configurazione VPN – buone pratiche Si raccomando luso di L2TP su IPSec Adottare password complesse e lunghe si può togliere Account lockout Considerare la possibilità di forzare il SO usato sui client remoti Usare le reti di quarantena Usare autenticazione forte EAP-TLS o EAP-MS- CHAPv2

27 | piergiorgio.malusardi@microsoft.com | Sicurezza della configurazione Link traslation ISA Server effettua la link traslation degli header HTTP anche se non abitata esplicitamente Problema pubblicando un server Web con Any domain name come destinazione: Un attaccante può usare header con contenuto maligno Può essere fatto il poisonning dellheader della risposta inserendo un link al server dellattaccante Se messo in cache questo può essere inviato ad altri richiedenti

28 | piergiorgio.malusardi@microsoft.com | Sicurezza della configurazione Limite nelle connessioni ISA 2004 limita il numero di connessioni simultanee consentite: 1000 connessioni per secondo per regola 160 connessioni simultanee per client (TCP e non-TCP) Modificabili le connessioni per regola per UDP, ICMP e altri protocolli Raw IP Quando si raggiunge il limite vengono negate altre connessioni I limiti non si applicano a TCP Impostare il valore minimo che non impatta sulle funzionalità richieste

29 | piergiorgio.malusardi@microsoft.com | Demo: Limiti alle connessioni

30 | piergiorgio.malusardi@microsoft.com | Monitoring Buone pratiche I log consentono di controllare le attività di rete in essere e trascorse Verificare con regolarità i log Salvare i log su dischi NTFS diversi da quelli di sistema Imporre restrizioni di accesso ai file di log Se si usa SQL per i log Usare Windows Authentication IPSec per dialogo ISA 2004 – SQL Server Se lattività di log si interrompe attivare lockdown mode Configurare gli alert perché notifichino gli amministratori

31 | piergiorgio.malusardi@microsoft.com | Demo: Log e alert

32 | piergiorgio.malusardi@microsoft.com | Risorse Documento di riferimento: http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/security hardeningguide.mspx http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/security hardeningguide.mspx Sicurezza di Windows Server 2003 http://www.microsoft.com/technet/security/prodtech/windowsserver2 003/w2003hg/sgch00.mspx http://www.microsoft.com/technet/security/prodtech/windowsserver2 003/w2003hg/sgch00.mspx Sicurezza di Windows 2000 Server http://www.microsoft.com/downloads/details.aspx?familyid=15E8318 6-A2C8-4C8F-A9D0-A0201F639A56&displaylang=en http://www.microsoft.com/downloads/details.aspx?familyid=15E8318 6-A2C8-4C8F-A9D0-A0201F639A56&displaylang=en

33 | piergiorgio.malusardi@microsoft.com | © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.


Scaricare ppt "| | Hardening."

Presentazioni simili


Annunci Google