sécurisation de la connexion à internet avec isa server 2000
DESCRIPTION
Sécurisation de la connexion à Internet avec ISA Server 2000. Stanislas Quastana – Consultant Microsoft Consulting Services. Agenda. Partie 1 : Présentation générale ISA Server 2000 Feature Pack 1 (10 minutes) - PowerPoint PPT PresentationTRANSCRIPT
Sécurisation de la connexion à Internet avec ISA Server 2000
Stanislas Quastana – ConsultantMicrosoft Consulting Services
Agenda
• Partie 1 : Présentation générale ISA Server 2000 Feature Pack 1 (10 minutes)
• Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise (25 minutes)
• Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server (45 minutes)
• Questions / Réponses (10 minutes)
Partie 1 : Présentation ISA Server 20001- Pare-feu niveaux 3,4 & 7
– Barrière entre le réseau Internet et le réseau de l’entreprise– Protection des serveurs visibles depuis Internet (serveur Web, de messagerie…)– Filtrage dynamique des paquets– Analyse applicative des flux– Fonctions d’audit et de détection d’intrusion
4- ISA Server 2000 est bien plus qu’un simple proxy web !!!– Certes, il optimise la bande passante avec ses mécanismes de mise en
cache– Mais : Ce n‘est pas Proxy Server 3.0 !
3- Contrôle du contenu– Restriction d’accès à des sites web– Restriction d’accès à des contenus (http, smtp…)
2- Proxy applicatif– Passerelle filtrant les communications entre les réseaux internes & externes– Contrôle des protocoles à l’aide de règles granulaires permettant un suivi de
l’utilisation de la connexion Internet
Beaucoup plus que “Proxy Server 3.0”• Véritable Firewall niveau 7• Support transparent de tous les
clients et serveurs• Intégration Active Directory
Stratégies d’Enterprise / de groupes
• Publication de serveurs• Filtres applications extensibles• Filtre SMTP• Démultiplication de flux media• Passerelle H.323• Interface d’administration MMC• Task Pads, assistants• Administration à distance
• Ne nécessite pas IIS (n’est pas une application ISAPI comme Proxy Server 2.0)
• Nouveau mode de stockage du cache (RAM + disque)
• Téléchargement de contenu planifiable
• Intégration VPN• Détection d’intrusion• Double saut SSL• Alertes configurables• Journaux: plusieurs formats,
sélection des champs• Génération de rapports intégré• Contrôle de bande passante
(QoS)• Nouvelles APIs• Installation modulaire• …
Microsoft ISA Server 2000L’accès Internet sécurisé et rapide
Les ressources de l’entreprise des Les ressources de l’entreprise des attaques et intrusions attaques et intrusions via un pare-via un pare-feufeu multicouches certifié multicouches certifié ICSA, ICSA, Common Criteria EAL2Common Criteria EAL2
Les temps d’accès à l’information et Les temps d’accès à l’information et la bande passante utilisée via un la bande passante utilisée via un cache haute performancecache haute performance
L’accès à Internet et au réseau L’accès à Internet et au réseau interne via une gestion centralisée interne via une gestion centralisée des stratégies. Intégration parfaite des stratégies. Intégration parfaite avec Windows 2000 / 2003avec Windows 2000 / 2003
ProtégerProtéger
OptimiserOptimiser
AdministrerAdministrer
AdapterAdapterLe produit aux besoins spécifiques Le produit aux besoins spécifiques via un kit de développement (SDK) via un kit de développement (SDK) et des produits compagnonset des produits compagnons
ISA Server Feature Pack 1
Sécurisation des Sécurisation des serveurs Web et serveurs Web et
Exchange Exchange Outlook Web Outlook Web
AccessAccess
Sécurisation des Sécurisation des serveurs de serveurs de messageriemessagerie
Mise en œuvre Mise en œuvre facilité pour les facilité pour les administrateursadministrateurs
• Extension des fonctionnalités du filtre SMTP • Extension des fonctionnalités du filtre RPC Exchange
(RPC = Remote Procedure Call) • Filtrage applicatif des requêtes Http en mode
publication (Reverse Proxy) avec URLScan 2.5 • Support de l'authentification Web pour RSA SecurID • Support de la délégation d'authentification basique et
RSA SecurID • Assistant de publication pour Outlook Web Access • Assistant de configuration du filtre RPC • Translation des URLS en mode publication (Reverse
Proxy) pour la redirection des requêtes vers des sites internes
Le Feature Pack 1 pour ISA Server 2000 apporte une sécurité accrue par rapport aux pare-feu traditionnels pour le déploiement des serveurs de messagerie et des serveurs Web.
Architecture ISA Server 2000
ClientClientProxy HTTPProxy HTTP
ClientClientSecure NATSecure NAT
ClientClientISA FirewallISA Firewall
ServiceServiceWeb Proxy Web Proxy
ServiceServiceFirewallFirewall
Filtre WEBFiltre WEB
Fil
tra
ge
de
s p
aq
ue
tsF
iltr
ag
e d
es
pa
qu
ets
Filtre tierce partieFiltre tierce partie
Filtre StreamingFiltre Streaming
Filtre SMTPFiltre SMTP
Filtre H.323Filtre H.323
Filtre FTPFiltre FTP
CacheCache
PilotePiloteNATNAT
RedirecteurRedirecteurHTTPHTTP
InternetInternet
Partie 2 - Sécuriser l’accès vers Internet des utilisateurs internes
Les besoins des entreprises connectées vus par l’administrateur• « Je veux contrôler les protocoles réseaux
utilisés par mes utilisateurs »• « Je veux administrer les accès de manière
centralisée et intégrée avec mon infrastructure Windows (domaines NT, Active Directory) »
• « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux »
• « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »
Requête refusée
Oui
NonNon Oui
Oui
Non
Non Oui
Non
Oui
OuiNon
Évaluation de la stratégieavec ISA Server 2000
Récupérer l’objet
Router vers un serveur upstream
Requête client
interneY a t-il une règle Protocole
qui autorise Ia requête ?
Y a-t-il une règle Protocole qui interdise Ia requête ?
Y a t-il une règle Site et Contenu qui autorise
Ia requête ?
Y a t-il une règle Site et Contenu qui interdise
Ia requête ?
Y a t-il un filtre de paquet IP qui interdise
Ia requête ?
Est-ce qu’une règle de routage spécifie un
serveur upstream ?
Stratégie d’accès & Règles
• Une stratégie d’accès = des règles de protocoles + des règles de sites & contenu +
des filtres de paquets IP.
• Ces règles se construisent à partir des éléments de stratégie disponibles : – Destination(s): domaine(s), adresse(s) IP– Planning(s)– Action(s)– Client(s): utilisateur(s)/groupe(s) ou adresse(s) IP– Type(s) de contenu HTTP (mime)– Type(s) de protocole– Bande passante utilisable– Connexion(s) utilisables
• Permet le filtrage des requêtes liées aux protocoles http et https
• Le filtrage se fait en fonction de– La destination: adresse IP (ou plage) ou noms de domaines et
chemins– Le planning– L’origine: (utilisateur/groupe ou adresse IP)– Le type de contenu: (extension de fichiers ou type MIME)
• Types de filtres– Autoriser– Bloquer
• Par défaut, tout accès est bloqué (Secure by default)
Règles de site et contenu
Règles de site et contenu
Les différents types de clients
• Client SecureNAT– Nom bizarre : ne nécessite pas de logiciel client ou de
configuration spéciale– Géré par le service Firewall
• Les requêtes HTTP peuvent être redirigées vers le service Web Proxy si le redirecteur est activé
• Client Firewall– Géré par le service Firewall
• Les requêtes HTTP peuvent être redirigées vers le service Web Proxy si le redirecteur est activé
• Client Web proxy– Géré par le service Web Proxy
• Exemple de client Web proxy : Internet Explorer
Authentification
Client Proxy WebAuthentification dépendante du navigateur et de l’OS.
Client FirewallAuthentification basée sur les crédentiels Windows
Client SecureNATPas d’authentification basée sur l’utilisateur.
Serveur ISAServeur ISA
Résolution DNS• Web proxy client
– ISA Server s’occupe de la requête DNS
• Client SecureNAT– Doit avoir accès à un serveur DNS – ISA Server ne va
pas « proxyser » les requêtes DNS
• Firewall client– ISA Server ou le client font la requête DNS ISA Server
• Dépend des paramètres du fichiers de configuration MSPCLNT.INI
Tableau récapitulatif
Service Pare-feu Service Web proxy
•Création de règles de protocoles pour différents groupes d’utilisateurs
•Création de règles de sites et de contenu pour différents profils d’utilisateurs.
Démonstration
Démonstration
Partie 3 - protection des serveurs et des réseaux d’entreprise vis-à-vis
d’Internet
• La problématique des pare-feu traditionnels• Le besoin des pare-feu niveau applicatifs (niveau 7)• Le modèle ISA Server : pare-feu multicouches • La détection d’intrusion• ISA Server : la publication de serveur la publication Web• Exemple avec Exchange Server
– Publication Web : protection d’Outlook Web Access (OWA)– Publication de serveur : RPC sur Internet et SMTP
Le problème
Le filtrage de paquets & le statefull inspection ne Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques sont plus suffisants pour se protéger des attaques
d’aujourd’hui !d’aujourd’hui !
• Les pare-feu traditionnels se focalisent sur le filtrage de paquets et le statefull inspection
• Aujourd’hui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, openssl/Slapper…).
• Les ports et protocoles ne suffisent plus à contrôler ce que font les utilisateurs– Hier, les port 80 et 443 était utilisées pour surfer sur le
Web– Aujourd’hui, ces ports sont utilisés pour la navigation
sur le Web, les Webmail, les messageries instantanées, les Web Services, les logiciels P2P…
InternetInternetVers réseau interneVers réseau interneVers réseau interneVers réseau interne
Firewall niveau Firewall niveau ApplicationApplication
Firewall niveau Firewall niveau ApplicationApplication
Firewall Firewall traditionneltraditionnel
Firewall Firewall traditionneltraditionnel
Les Firewalls niveau Application• Sont nécessaires pour se protéger des attaques
d’aujourd’hui…• …, ils permettent une analyse approfondie du
contenu des paquets réseaux…• …car comprendre ce qu’il y a dans le Payload est
désormais un pré requis
• Filtrage de paquets & stateful inspection• Filtrage au niveau de la couche application
(analyse approfondie du contenu)• Architecture proxy avancée• Produit évolutif et extensible
– Plus de 30 partenaires
http://www.microsoft.com/isaserver/partners/default.asp
ISA Server = pare-feu multi couches
Un des meilleurs pare-feu pour les environnements Microsoft.
Détection d’intrusion
Publication de serveur
1. Le paquet arrive sur l’interface externeSADR = client
Règle pour créer une Règle pour créer une socket sur l’interface socket sur l’interface
externeexterne
2. Le Payload est extrait (et analysé si un filtre applicatif est présent)
3. Le nouveau paquet est créé sur l’interface internenuméro de séquence différent
4. Rajout d’un nouvel entête IP, le paquet est envoyé SADR = client (également possible : SADR = IP interne ISA)
InternetInternet
ISA ServerISA ServerServeur Serveur publiépublié
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld
Publication de plusieurs serveurs
• Rappel :socket = {IPAddr, port, protocol}
• Différents protocoles– Peuvent utiliser la même adresse IP externe; les numéros de
ports seront différents– {IPAddr, port1, protA} {IPAddr, port2, protB}
• Les mêmes protocoles– Nécessite des adresses IP externes supplémentaires; les
numéros de port sont les mêmes– {IPAddr1, port, protA} {IPAddr2, port, protA}
Publication Web (http/https)
1. Le paquet arrives sur l’interface externeSADR = client
Le listener crée une Le listener crée une socket sur l’interface socket sur l’interface
externeexterne
2. Le Payload est extrait
4. Le nouveau paquet est créé sur l’interface internenuméro de séquence différent
5. Un nouvel entête IP est ajouté. Le paquet est envoyéSADR = adresse IP interne d’ISA Server
3. L’URL est examinée pour déterminer la destination. Le contenu est analysé.
InternetInternet
ISA ServerISA ServerServeur Serveur
Web publiéWeb publié
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayldURLURL
URLScan 2.5 pour ISA Server
• Permet de filtrer les requêtes Web (http et https) entrantes selon des règles définies
• Améliore la protection des attaques basées sur des requêtes web:– Présentant des actions non usuelles (ex: appel d’un .exe)– Contenant un grand nombre de caractères (pour Buffer Overflow)– Encodées avec des caractères alternatifs
• Peut être utilisé en conjonction de l’inspection SSL pour détecter les attaques au dessus de SSL
Web serverWeb serverWeb serverWeb serverISA ServerISA ServerISA ServerISA Server
InternetInternet
clientclientclientclient
Client demande au serveur Client demande au serveur Web l’accès à du contenu Web l’accès à du contenu protégéprotégé
ISA Server transmet les crédentiels ISA Server transmet les crédentiels au serveur protégé ou OWAau serveur protégé ou OWA
Délégation de l’authentification
• Pour l’authentification basique et SecurID
• L’authentification se déroule sur ISA Server– Élimine les multiples boîtes de dialogues d’authentification– Seul le trafic autorisé passe ISA Server– Utilisable par règle de publication Web
ISA Server pré-authentifie les ISA Server pré-authentifie les utilisateurs et journalise leur utilisateurs et journalise leur
activitéactivité
Publication Web & SSLGestion du SSL
• Trois options1. “Passthrough” ou “tunneling”
2. “Terminaison”
3. “Regénération”
• Les options 2 and 3 font références à une fonctionnalité appelé Bridging
Gestion du SSL
Passthrough (Publication de serveur)
InternetInternet ISAISAServerServer
ServeurServeurpubliépublié
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld
• La charge utile reste chiffrée• Aucune analyse du contenu ici• Peut être utilisé si la politique favorise la
confidentialité par rapport à l’inspection
Gestion du SSL
Terminaison (Publication Web)
InternetInternet ISAISAServerServer
ServeurServeurpubliépublié
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld
• La charge utile est déchiffrée
• L’analyse du contenu est donc possible
• Utilisée si la politique privilégie l’inpection
• Non sécurisé: données non chiffrées dans le réseau interne
Gestion du SSL
Regénération (Publication Web)
InternetInternet ISAISAServerServer
ServeurServeurpubliépublié
IPIP npnp payldpayld IPIP npnp payldpayldIPIP npnp payldpayld
• La charge utile est déchiffrée• L’analyse du contenu est possible• Utilisée si la politique privilégie l’inpection• La charge utile est re-chiffrée• Sécurisé: données chiffrées même dans le réseau
interne
Stratégie d’accès – Filtrage de paquets
• Les filtres de paquets permettent d’autoriser les trafics depuis ou à destination des interfaces externes
• Ils sont indépendants des règles de protocoles et des règles de publication
• Ce filtrage de paquet doit toujours être activé pour protéger le serveur ISA.
• Le paramétrage par défaut– Bloque tout sauf…
– …certaines requêtes ICMP, et les requêtes DNS sortantes
Exemple de publication de site Web : Outlook Web Access
• Accès universel car :– Tous les ordinateurs disposent d’un navigateur Web– Interface familière aux utilisateurs– OWA 2003 ressemble à Outlook 2003
• Contraintes de sécurité– HTTPS est le protocole
• Détection d’intrusion?• Conforme à la politique sécurité de messagerie?
– OWA 2000 ne propose pas de timeout de session• Corrigé avec OWA 2003
“Architecture classique” OWA• Bon points
–Distinction entre les protocoles utilisés vers le front End et vers le Back End
- Segmentation et protection des réseaux
• Mauvais points–Tunnel HTTPS traversant le pare-feu externe : pas d’inspection
HTTPS est LE protocole universel pour outrepasser et traverser les pare-feu !!!–Nombreux ports ouverts, sur le pare-feu interne, car nécessaire pour l’authentification–Connexion initiale sur OWA possible en anonyme
ExBEExBE ADAD
OWAOWA
Pare-feuPare-feu traditionneltraditionnel
externeexterne
Pare-feuPare-feuinterneinterne
InternetInternet
Améliorer la sécurité d’OWA
• Objectifs de sécurité– Inspecter le trafic SSL– Maintenir la confidentialité– Vérifier la conformité des requêtes HTTP– Autoriser uniquement la construction et le
traitement d’URL connues• Bloquer les attaques par URLs
• Optionnel– Pré authentifier les connections entrantes
Protéger OWA avec ISA – mécanismes (1/2)
• ISA Server devient le “bastion host”– Le service Web proxy
termine toutes les connexions
– Déchiffrer HTTPS– Inspecte le contenu– Inspecte l’URL (avec
URLScan)
Optionnel– Ré encrypte pour envoyer
au serveur OWA
OWAOWA
ISA ServerISA Server
ExchangeExchange ADAD
x36dj23sx36dj23s2oipn49v2oipn49v<a href…<a href…http://...http://...
InternetInternet
Protéger OWA avec ISA – mécanismes (2/2)
• Authentification facile avec Active Directory
• Pré authentification– ISA Server demande à
l’utilisateur ses crédentiels– Vérifie auprès de l’Active
Directory (ou du domaine NT)– Encapsule les informations
dans l’entête HTTP à destination d’OWA
• Évite une seconde saisie !
– Nécessite ISA FP1
OWAOWA
ISA ServerISA Server
ExchangeExchange ADAD
InternetInternet
Le traffic inspecté peut être envoyé au Le traffic inspecté peut être envoyé au
serveur interne re-chiffré ou en clair.serveur interne re-chiffré ou en clair.
URLScan for URLScan for ISA ServerISA Server
URLScan pour ISA Server peut URLScan pour ISA Server peut stopper les attaques Web à la stopper les attaques Web à la
bordure du réseau, même pour bordure du réseau, même pour celles chiffrées avec SSLcelles chiffrées avec SSL
Protéger Outlook Web Access
Firewall Firewall TraditionnelTraditionnel
Firewall Firewall TraditionnelTraditionnel
OWAOWAOWAOWAclientclientclientclient
Le serveur OWA Le serveur OWA demande une demande une
authentification — tout authentification — tout utilisateur Internet peut utilisateur Internet peut
accéder à cet inviteaccéder à cet invite
SSLSSLSSLSSL
Le tunnel SSL traverse le Le tunnel SSL traverse le firewall traditionnel car le firewall traditionnel car le
flux est chiffré…flux est chiffré…
……ce qui permet au ce qui permet au virus et aux vers de virus et aux vers de traverser sans être traverser sans être
détectés…détectés…
……et d’infecter les serveurs internes!et d’infecter les serveurs internes!
Délégation de l’authentification basiqueDélégation de l’authentification basique
ISA Server pré-authentifie les ISA Server pré-authentifie les utilisateurs, éliminant les utilisateurs, éliminant les
boîtes de dialogues multiples boîtes de dialogues multiples et autorise uniquement le trafic et autorise uniquement le trafic
validevalide
URLScan pour ISA ServerURLScan pour ISA Server
SSL ou SSL ou HTTPHTTP
SSL ou SSL ou HTTPHTTP
SSLSSLSSLSSL
ISA Server peut ISA Server peut déchiffrer et inspecter déchiffrer et inspecter
le trafic SSLle trafic SSL
InternetInternetInternetInternet
ISA Server avec ISA Server avec Feature Pack 1Feature Pack 1
ISA Server avec ISA Server avec Feature Pack 1Feature Pack 1
Démonstration : publication OWA
Exchange RPC sur Internet
• Mais pourquoi ???– Beaucoup d’utilisateurs souhaitent ou ont
besoin d’utiliser l’ensemble des fonctionnalités d’Outlook :
• Produits tiers additionnels• Synchronisation de la boîte au lettres• Règles côté client• Carnet d’adresses complet
– La solution VPN est souvent trop coûteuse si il faut satisfaire uniquement ce besoin
Serveur RPC Serveur RPC (Exchange)(Exchange)
Serveur RPC Serveur RPC (Exchange)(Exchange)Client RPC Client RPC
(Outlook)(Outlook)Client RPC Client RPC (Outlook)(Outlook)
Service UUID Port
Exchange {12341234-1111… 4402
Réplication AD {01020304-4444… 3544
MMC {19283746-7777… 9233
Les services RPC obtiennent Les services RPC obtiennent des port aléatoires (> 1024) des port aléatoires (> 1024) lors de leur démarrage, le lors de leur démarrage, le serveur maintient une tableserveur maintient une table
RPC Exchange - Concepts
135/tcp135/tcp
Le client se connecte Le client se connecte au portmapper sur le au portmapper sur le serveur (port tcp 135)serveur (port tcp 135)
Le client connait Le client connait l’UUID du service qu’il l’UUID du service qu’il souhaite utilisersouhaite utiliser
{12341234-1111…}{12341234-1111…}
Le client accède à Le client accède à l’application via le l’application via le port reçuport reçu
Le client demande Le client demande quel port est associé quel port est associé à l’UUID ?à l’UUID ?
Le serveur fait Le serveur fait correspondre l’UUID avec correspondre l’UUID avec le port courant…le port courant…
44024402
Le portmapper répond Le portmapper répond avec le port et met fin à avec le port et met fin à la connexionla connexion
4402/tcp4402/tcp
• Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation est difficile via Internet– L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port
135 doivent être ouverts sur des pare feu traditionnels
Attaques RPC potentielles
• Reconnaissance– NETSTAT– RPCDump
• Denis de service contre le portmapper• Elévation de privilèges ou attaques sur d’autres
services• Blaster !!!!!
Les RPC à nu sur Internet
• Bons points– Facile à mettre en oeuvre
• Mauvais points– Facile à compromettre!– Le pare-feu doit autoriser
tous les trafics sur les ports élevés
– Le pare-feu traditionnel ne peut distinguer ce qui est du trafic Exchange et ce qui n’en est pas.
• Aucune protection contre RPCDump par exemple
InternetInternet
ExchangeExchange
FirewallFirewalltraditionneltraditionnel
Fixer les ports RPC
• Bons points– Toujours facile à implémenter– Ouverture limitée de ports sur
le pare-feu• 135/tcp + 3 ports élevés
• Mauvais points– Toujours facile à attaquer
• Ne stoppe pas les attaques décrites précédemment
– Le pare-feu ne peut toujours pas distinguer ce qui est du trafic Exchange et ce qui n’en est pas
InternetInternet
ExchangeExchange
FirewallFirewalltraditionneltraditionnel
Assistant filtre RPCAccès granulaire aux services RPC
• 2 méthodes supplémentaires de création des définitions des services RPC peuvent être utilisés dans les règles de publication– L’assistant énumère les services disponibles sur un serveur– Les UUID’s peuvent aussi être saisis manuellement
ISA Server:ISA Server:
ISA Server avec ISA Server avec Feature Pack 1:Feature Pack 1:
Exchange Exchange ServerServer
OutlookOutlook ISA ServerISA Server
InternetInternet
Filtre RPC Exchange
• Filtre RPC Exchange pour ISA Server
• Seul le port 135 est ouvert (Portmapper)– Les ports élevés sont ouverts et fermés quand
c’est nécessaire pour les clients Outlook– Inspection au niveau de la couche application
du trafic portmapper• Seuls l’UUID Exchange est autorisé
Exchange Exchange ServerServer
Exchange Exchange ServerServer
OutlookOutlookOutlookOutlook
RPCRPCRPCRPC
Réseau
interne
Réseau
interne
Réseau
externe
Réseau
externe
Filtre RPC Exchange
• Impose un chiffrement RPC– Le chiffrement des RPC Outlook est imposé de manière
centralisée
• Permet également des connexions sortantes RPC– Les clients Outlook derrière ISA Server peuvent désormais
accéder à des serveurs Exchange externes
ISA Server avec ISA Server avec le Feature Pack le Feature Pack
11
ISA Server avec ISA Server avec le Feature Pack le Feature Pack
11
Protection contre les attaques RPC
• Reconnaissance?– NETSTAT net montre que 135/tcp– RPCDump ne fonctionne pas simplement
• DoS contre le portmapper?– Les attaques connues échouent– Les attaques qui fonctionnent laissent Exchange
protégé
• Attaques de service sur Exchange?– L’obtention d’information n’est plus possible– Les connexions entre ISA Server et Exchange vont
échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées
Oui!
Oui!
Oui!
Protection du service SMTP : le filtre SMTP
• Utilise les capacités de filtrage applicatif de ISA Server
• Filtre les messages avec une fiabilité et une sécurité accrue en fonction de plusieurs attributs– Expéditeur– Domaine– Mots clé– Pièces jointes (extension, nom, taille)– Commandes SMTP (y compris taille)
Filtre SMTP
Rappel sur une architecture typique
ExFEExFE SMTPSMTP
ExBEExBE ADAD
InternetInternet
Nouveaux besoins, nouveau design
• Déplacer les serveurs critiques vers l’intérieur pour une meilleure protection
• Ajouter ISA Server à votre DMZ existante
• Augmenter la sécurité en publiant:– OWA sur HTTPS– RPC Exchange– SMTP (filtre de contenu)
ExFEExFE SMTPSMTP
ExBEExBE ADAD
ISA ServerISA Server
InternetInternet
Aucun déploiement Exchange ou IIS n’est Aucun déploiement Exchange ou IIS n’est complet sans la protection d’ISA Server!complet sans la protection d’ISA Server!
• Evaluer– La sécurité de votre architecture Exchange et/ou de
vos serveurs Internet– ISA Server 2000. Version d’évaluation disponible gratuitement sur
http://toolstore.microsoft.fr/gpub/product.asp?dept%5Fid=2&sku=56
• Télécharger le Feature Pack 1 d’ISA Server• Intègrer ISA 2000 dans vos architectures en place• Utiliser les nouvelles sécurités pare-feu conçues
pour aider à protéger Exchange Server et IIS
Que pouvez-vous faire aujourd’hui ?
Questions / Réponses
Pour aller plus loin…• Informations générales:
http://www.microsoft.com/isaserver/ • Pare-feu: Certification ICSA
www.icsalabs.com/html/communities/firewalls/certification/vendors/microsoft/index.shtml
• Pare-feu : Certification Common Criteria Evaluation Assurance Level 2 (EAL 2) http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.asp
Produits complémentaires:http://www.microsoft.com/isaserver/partners
• Sites partenaires:http://www.isaserver.org http://www.isatools.org
