| piergiorgio.malusardi@microsoft.com | il nuovo microsoft isa server 2006

Post on 01-May-2015

221 Views

Category:

Documents

1 Downloads

Preview:

Click to see full reader

TRANSCRIPT

| piergiorgio.malusardi@microsoft.com |

Il nuovo Microsoft ISA Server 2006

| piergiorgio.malusardi@microsoft.com |

Di cosa parleremo?

| piergiorgio.malusardi@microsoft.com |

Gateway per uffici remoti

Accesso protetto a Internet

Sicurezza integrata

Gestione efficiente

Accesso rapido e sicuro

Pubblicazione sicura di applicazioni

| piergiorgio.malusardi@microsoft.com |

Pubblicazione sicura di applicazioni

Sicurezza integrata

Autenticazione multifattore avanzataIntegrazione con AD/LDAPAutenticazione forms-based

personalizzabileDelega avanzata dell’autenticazioneGestione migliorata delle sessioni

Gestione efficiente

Bilanciamento delle pubblicazioni Web

Tool automatizzati per Exchange, SharePoint altri server web

Gestione dei certificati migliorata

Accesso rapido e sicuro

Maggiori scelte per il sign-onTraduzione automatica dei link

| piergiorgio.malusardi@microsoft.com |

Gateway per uffici remoti

Sicurezza integrata

BITS caching

Gestione efficiente

Tool per la connessione automatizzata alle VPNAnswer file su media rimovibiliRapida propagazione delle policy di enterprise

Accesso rapido e sicuro

Compressione del traffico HTTPGestione dei signali DiffServ

BITS caching, compressione HTTP e DiffServ sono gli stessi di ISA Server 2004 service pack 2

| piergiorgio.malusardi@microsoft.com |

Protezione degli accessi ad Internet

Sicurezza integrata

Restistenza ai flood migliorataResistenza ai worm migliorataMiglioramenti nella creazione degli

avvisi

Gestione efficiente

Controllo delle risorse migliorato

| piergiorgio.malusardi@microsoft.com |

Pubblicazione sicura

| piergiorgio.malusardi@microsoft.com |

I numeri

> 35% Accessi non autorizzati alle risorse di calcolo

1:1 Rapporto tra attacchi interni ed esterni

CSI/FBI 2005 reportCSI/FBI 2005 report

| piergiorgio.malusardi@microsoft.com |

Più wizards•Oggetti Web-based

–OWA

–SharePoint

–Web server

–Oggetti per regole e reti

•Altri oggetti–Posta SMTP

–Exchange RPC

–Regole personalizzate

•I wizard creano gli elementi di rete e configurano la traduzione dei link se necessario

| piergiorgio.malusardi@microsoft.com |

Wizard per creare web listener

•Autenticazione

•Gestione dei certificati

•Compressione HTTP

| piergiorgio.malusardi@microsoft.com |

Attributi usabili nell’autenticazione

User ID Gruppi di appartenen

za

Protocollo usato

Tempo

| piergiorgio.malusardi@microsoft.com |

Autenticazione: da client a ISA 2006•Form HTML

–RADIUS

–OTP

–SecurID

•HTTP Basic

•SSL lato client–Combinato con fallback su altro metodo

•Nessuno

•Add-on di terze parti

| piergiorgio.malusardi@microsoft.com |

Autenticazione: da ISA 2006 al validatore

•Active Directory–Kerberos

–LDAP

•RADIUS

•RADIUS OTP

•SecurID

| piergiorgio.malusardi@microsoft.com |

Flusso di autenticazione

Client richiede un sito web

Client richiede un sito web

Autenticazionesul listener?

Autenticazionesul listener?

Ricerca di regola di pubblicazioneRicerca di regola di pubblicazione

“All users” ènella regola?“All users” ènella regola?

Richiesta di credenziali

Richiesta di credenziali

AuthN richiestanel backend?

AuthN richiestanel backend?

Mostra

il con

tenu

to p

ub

blica

toM

ostra

il con

tenu

to p

ub

blica

to

Si

No

No

SI

Si

No

| piergiorgio.malusardi@microsoft.com |

Metodi di autenticazioneFront-end HTTP Basic

Digest

Negoziazione

Client SSL

Ignore

Accept• Chiede certificato. Ritorna all’AuthN del

listener se non fornito

Require• Chiede certificato regola fallisce se non fornito• Si ottiene two-factor AuthN combinandolo con

richiesta di credenziali sull’AuthN del listener

Form HTML

Per-listener o per-regola; 26 lingue• Username + password• Username + passcode• Username + password + passcodeSolo browser; Non-browser devono usare HTTP basic

| piergiorgio.malusardi@microsoft.com |

Metodi di autenticazioneGateway

Kerberos

ISA appartiene al dominio

LDAP ISA è standaloneDominio Windows 2000 o 2003LDAP Non-AD non funzionaRound-robin con flag di disponibilità

RADIUS ISA è standaloneRound-robin con flag di disponibilità(Windows, FreeRADIUS, GNU RADIUS, altri)

OTP ISA è standaloneTime- o counter-basedFornisce cookie per non Re-AuthN(Aladdin, Vasco, ActivCard, Secure Computing)

SecurID Supporto è built-in

| piergiorgio.malusardi@microsoft.com |

Metodi di autenticazione

Back-end Nessuno

Blocca

Pass-through

HTTP Basic

Negotiate• Prova Kerberos quindi passa a NTLM

Kerberos

Supporta delega S4U2Proxy• Solo per domini Windows 2003

domains

| piergiorgio.malusardi@microsoft.com |

Metodi di autenticazioneDelega avanzata

Intefaccia di front-end

Provider Delega verso Back-end

Commenti

HTML formHTTP basic

WinLogonLDAPRADIUS

None (passthrough)None (blocca)HTTP basicKerberos S4U2ProxyNegotiate

• Supporta SSO• Può richiedere certificato

per two-factor AuthN

DigestIntegrated

WinLogon None (passthrough)None (blocca)

Form conPasscode

SecurID None (passthrough)None (blocca)SecurID

• Supporta SSO

Form con passcode e password

SecurID None (passthrough)None (blocca)HTTP basicKerberos S4U2ProxyNegotiateSecurID

• Supports SSO

Client SSL WinLogon n/a • Combinazione con SecurID per two-factor AuthN

| piergiorgio.malusardi@microsoft.com |

Processo di delega

URL

access-acceptgroup attribs

URL +basic creds

Win

Logon

data

data

AD

IIS

ISA Server

401Form OWAURL + cred basic

Variabili di form

RA

DIU

S

access-request

WinLogon

token

toke

n

browser

cookie

| piergiorgio.malusardi@microsoft.com |

Single sign-on

•Eseguito automaticamente tra le applicazioni pubblicate attraverso lo stesso listener

•Pensate un listener come un contenitore per le impostazioni di autenticazione condivise da tutti i siti pubblicati attraverso il listener

| piergiorgio.malusardi@microsoft.com |

Single sign-on flow

eng

dev

mktg

sup

example.com

www.domain.com

dev.example.com

Documenti, pregoID+pas

ssup.example.co

m Già vistoeng.example.com

Documenti, prego

www.domain.com

Anche se il listener condivide lo stesso profilo di autenticazione ed è abilitato SSO

| piergiorgio.malusardi@microsoft.com |

Tipi di certificati

Richiesti

Front-end Autenticazione di ISA Server e creazione di una connessione SSL verso il client remoto

Back-end Autenticazione dei server pubblicati e apertura di una connessione SSL verso ISA Server

Opzionali

ISA Server come client

Autenticazione di ISA Server verso i server pubblicati

Client remoto

Autenticazione dei client remoti verso ISA Server

| piergiorgio.malusardi@microsoft.com |

Gestione dei certificati•Certificati multipli per i listener

–Insieme unico di impostazioni di autenticazione per siti multipli

–Elimina la necessità di uso dei certificati con wildcard (molto più costosi)

•Possibile usare differenti certificati per differenti server nell’array

–Non devono essere certificati thumbprint

•Possibile usare hardware SSL

| piergiorgio.malusardi@microsoft.com |

Stato dei certificati

•Certificati installati in modo errato

–In store errato (dev’essere computer, non user)

–Mancanza di chiave privata

•Stato su ogni membro dell’array

•Avvisi se il certificato è scaduto

| piergiorgio.malusardi@microsoft.com |

Avvisi amministrativi relativi ai certificati

•Problemi con i certificati sono riportati negli alert amministrativi

•Messaggi migliori di quello generico di ISA 2004 “certificate not installed somewhere”

| piergiorgio.malusardi@microsoft.com |

Autenticazione HTML forms-based•Funziona per ogni sito web pubblicato

–Premium: browser con funzioni avanzate

–Basic: browser con capacità limitate

–Mobile: browser a bassa risoluzione

•Tre form per ogni classe–Logon

–Logoff

–SecurID

•Linguaggi–Scelta dipende dal linguaggio del browser

–Sovrascrivibile

| piergiorgio.malusardi@microsoft.com |

Formati delle form

•Username e password

•Username e passcode

•Combinazione (inserire entrambe)–ID+passcode: per SecurID o RADIUS OTP

•Validati da ISA Server

–ID+password: per delega•Validati dal back-end

•Insieme predefinito di form (essenzialmente logo)

–Generico di ISA Server

–Microsoft Exchange

| piergiorgio.malusardi@microsoft.com |

Form generica

| piergiorgio.malusardi@microsoft.com |

Insieme di form personalizzate

•Possono essere differenti per ogni listener

•Le regole di pubblicazione possono sovrascrivere le form impostate nel listener

| piergiorgio.malusardi@microsoft.com |

Gestione delle sessioni •Cookie

–Persistenti–Di sessione

•Timeout–Idle time–Durata della sessione–Attività Non-user non può reimpostare il timer del cookie

•Logoff–Aggiunta dell’ URL di logoff alla regola di publishing–Cancella il cookie; aggiunta alla revocation list–Log dell’identità dell’utente remoto

| piergiorgio.malusardi@microsoft.com |

Link translation

http://www.example.com

<HREF=http://teams/eng>

?

| piergiorgio.malusardi@microsoft.com |

Link translation

http://www.example.com

<HREF=http://teams/eng>

<HREF=http://teams.example.com/eng

| piergiorgio.malusardi@microsoft.com |

Link translation•Ca c’è di buono?

–Mantiene privati i dettagli interni

–Consente agli utenti esterni di accedere ai link interni senza modificare le applicazioni

•Cosa c’è di nuovo?–Abilitato automaticamente

–Traduzione più rapida

| piergiorgio.malusardi@microsoft.com |

Link translation negli array

•Traduce i link anche se il contenuto web è in qualche altro array

•Aiuta ad aumentare la disponibilità

–Se qualche array in una regione geografica muore è possibile passare da altri array senza perdere la traduzione dei link

| piergiorgio.malusardi@microsoft.com |

Server farm

•Definite come un oggetto di rete

•Usabili in qualsiasi regola di pubblicazione si desideri

| piergiorgio.malusardi@microsoft.com |

Server farm

•Consente di definire un’opzione di verifica della connessione

–HTTP/S “GET”

–Ping

–Connessione TCP ad una porta

| piergiorgio.malusardi@microsoft.com |

Bilanciamento del carico di pubblicazioni web •Usa una web server farm

•Preserva il contenuto applicativo–Solamente affinità singola

•Non serve NLB sui server pubblicati–Eliminati problemi con NAT e routing

–La non dipendenza dall’IP di ISA assicura l’uso equanime di tutti i server

•Scelta del tipo di balance–Cookie (default per OWA)

–IP sorgente (default per RPC/HTTP)

| piergiorgio.malusardi@microsoft.com |

Controllo dello stato dei server

•Attivo

•In esaurimento

•Rimosso

•Out of service

| piergiorgio.malusardi@microsoft.com |

Controllo dello stato dei server Active Stato ordinario quando il server è

aggiunto all’array ed è in grado di accettare richieste in ingresso

Draining In fase di modifica di stato, termina le richieste in coda, non accetta nuove richieste

Out of service

Stato impostato automaticamente da ISA quando il server non risponde alla verifica di connessione

Removed Rimosso dall’array e dalla UINon accetta alcuna richiestaQuando un server in errore si ripristina, accetta

nuove richieste; le precedenti richieste rimangono sul server che le aveva accettate

| piergiorgio.malusardi@microsoft.com |

Reverse caching

Cache in RAM L’ho!Trasferisc

e su discoTrasferisce in RAM

| piergiorgio.malusardi@microsoft.com |

Pubblicazione di server di posta•Accessi Non-web

–SMTP

–RPC

–POP-3

–IMAP-4

–NNTP

•Accessi Web–OWA

–RPC/HTTPS

–OMA

–EAS

| piergiorgio.malusardi@microsoft.com |

Integrazione con Exchange •Selezione della versione

di Exchange–Anche per le farm

•Selezione dei metodi

•Con Exchange 2007, ISA 2006 fornisce accesso pieno (non solo in lettura) a:

–Librerie SharePoint

–Share di rete

•Usa una UI dedicata a OWA

–Non il tab “Documents” di OWA 2007

| piergiorgio.malusardi@microsoft.com |

Gateway per i Branch Office

| piergiorgio.malusardi@microsoft.com |

I numeri

30% Organizzazioni USA con uffici remoti

33% Quantità di budget IT consumata per la gestione degli uffici remoti

$25.000.000.000

Spese per WAN delle organizzazioni con più di 1000 dipendenti

55% Organizzazioni USA con più di 1000 dipendenti negli uffici remoti

0 Dimensioni tipiche dello staff IT negli uffici remoti

Harte-Hanks 2004; AMI Partners 2003

| piergiorgio.malusardi@microsoft.com |

Configuration storage server•Instanza di ADAM

–Directory LDAP

–No DNS, no domini Windows

•Dettagli di installazione

–Su ISA, computer in dominio o in workgroup

–Per avere replica multimaster deve essere in dominio

–Numero qualsiasi di array

–Può essere replicato su più server

•Gestito da uno snap-in

–Funzionano anche tool AD e LDAP

•Configurazione letta in blocchi larghi

–< 1 minuto per propagare la singola modifica

–20-30 minuti per replica completa

| piergiorgio.malusardi@microsoft.com |

Branch office wizard

Sede centrale

Ufficio remoto

File risposte

1. Creazione di una VPN site-to-site con l’ufficio centrale

2. Associazione del server ISA nell’ufficio remoto con il Configuration Storage Server nell’ufficio centrale e sicronizzazione

3. Associazione dell’ISA nell’ufficio remoto con uno specifico array

| piergiorgio.malusardi@microsoft.com |

Cache degli update con BITS

•Regole ed elementi built-in per il caching dei download da Microsoft Update

•I client prendono gli update dalla cache

•Vengono onorati i range richiesti dai client–ISA mette in cache solo gli update richiesti dai sistemi operativi in uso

–Salva uso della banda e spazio disco

•Ogni regola di pubblicazione web può usare BITS...

| piergiorgio.malusardi@microsoft.com |

Compressione HTTP

•GZip e Deflate; richiede HTTP 1.1

•Scope: per-listener (nuovo in ISA 2006) o globale

–Nessuna possibilità di impostazione per regola

•Implementata come web filter

–In alto nell’ordine dei filtri; alta priorità

–Deve decomprimere prima che ISA possa ispezionare il traffico

•Contenuti in cache forniti compressi se il client lo richiede

–Anche se salvati in modo non compresso

–Può impattare le prestazione; nel caso pulire la cache

•Disabilitare la funzione di caching

•Cancellare i file di cache nel folder Urlcache su ogni disco

•HTTPS non è mai compresso

| piergiorgio.malusardi@microsoft.com |

Compressione HTTP sui client

•I client HTTP 1.1 richiedono automaticamente la compressione

•Si deve abilitare l’impostazione nel browser

| piergiorgio.malusardi@microsoft.com |

Caching e compressione

Pregocomprime

re

Noncomprime

re

| piergiorgio.malusardi@microsoft.com |

Caching e compressione

Pregocomprime

re

Pregocomprimere

Incomprimibile

| piergiorgio.malusardi@microsoft.com |

Caching, compressione e ispezione

Pregocomprimer

e

Ispezione: on

Ispezione:off

Pregocomprime

re

Per mitigare problemi di prestazione,pulire la cache se si esclude l’ispezione

| piergiorgio.malusardi@microsoft.com |

Prioritizzazione con DiffServ •Policy HTTP globali

•Assegnazione della priorità in base a URL o domini

•Concordanza di configurazione con i router

•Solo per HTTP e HTTPS

–Non mettere bit DiffServ ad altri protocolli

–Possono essere rimossi bit DiffServ da pacchetti Non-HTTP-HTTPS

| piergiorgio.malusardi@microsoft.com |

Protezione degli accessi ad Internet

| piergiorgio.malusardi@microsoft.com |

I numeri

70% Attacchi che avvengo a livello applicativo

95% Attacchi consentiti da errori nella configurazione

Orgoglio Motivazione meno frequente per gli attacchi

Profitto Motivazione più frequente per gli attacchi

Studi vari

| piergiorgio.malusardi@microsoft.com |

Resistenza ai flood

•Protegge ISA Server da–Propagazione di worm

–Syn flood

–Denials of service

–Distributed DoS

–Bombe HTTP

•In alcuni casi sono protetti anche i computer dietro ISA, ma questo non è il principale obbiettivo di questa funzionalità

| piergiorgio.malusardi@microsoft.com |

I default per le impostazioniMitigazioni Defau

ltEccez.

Concurrent TCP connections allowed per source IPMitiga gli attacchi TCP flood dove gli host attaccanti mantengono numerose connessioni TCP con ISA o host alle spalle di ISA

100 400

HTTP requests created per minute per source IPMitiga attacchi DoS su HTTP dove gli host attaccanti inviano numerose richieste HTTP ai siti web vittime

600 6000

Concurrent non-TCP connections allowed per IPMitiga attacchi Non-TCP dove host attaccanti inviano numerosi messaggi UDP o ICMP alle vittime dietro ISA

100 400

Non-TCP sessions per minute per ruleMitiga attacchi DDoS Non-TCP dove molti host zombie partecipano all’attacco con molti pacchetti Non-TCP

1000

Trigger event when denied packets per minute per IP exceeds limitL’Alert notifica agli amministratori di ISA l’IP attaccante

100

| piergiorgio.malusardi@microsoft.com |

Controllo delle risorse

Log throttling

Ferma il log dei record denied dopo il raggiungimento di una certa soglia

Consumo di

memoria

Rifiuta nuove connessioni se si raggiunge il 90% d’uso della Non-Paged Pool Memory•Continua a servire le connessioni esistenti•Completamente automatizzato

Query DNS

Limita il numero di query DNS in attesa dopo il superamento dell’80% d’uso dei thread•FW client richiede a ISA di risolvere l’hostname•ISA risolve i nome DNS come parti della regola

| piergiorgio.malusardi@microsoft.com |

Scenario di attacco mitigati

Propagazione dei worm• Host interni infetti mandano numerose

richieste TCP a IP random sulla medesima porta

• Verifica delle soglie di connessione• Verifica che gli IP sorgenti non siano

“spooffati”• Blocca questi IP fino all’approvazione

dell’amministratore• Forma più comune di attacchi flood• ISA 2004 non protegge completamente

| piergiorgio.malusardi@microsoft.com |

Scenari di attacco mitigatiExploit su ISA connection table• Attaccanti possono usare molti IP non

“spooffati” per eseguire DoS su ISA con connessioni TCP

• Non vengono superati i limiti per-source• Verifica della quantità di Non-Paged Pool

Memory. Ferma l’accettazione di nuove connessioni al superamento del 90% NPPM in uso

• Pulisce la tabella delle conessioni da quelle in idle

• Non è un attacco comune• Può portare a DoS permanente su ISA 2004• Pochi altri firewall sul mercato possono gestire

questo attacco

| piergiorgio.malusardi@microsoft.com |

Scenari di attacco mitigatiExploit Pending DNS• ISA configurato per vietare connessioni a

domini non desiderati (o consentire connessioni solo a specifici domini)

• Host infetti mandano molte connessioni TCP a IP random; ISA esegue reverse DNS

• Blocco di nuove richieste al superamento dell’80% dei threads in uso

• Continua a servire richieste che non necessitano di reverse DNS o dove la risposta è in cache

• Causa più comune: propagazione di worm• Può portare a DoS temporanei su ISA 2004

| piergiorgio.malusardi@microsoft.com |

Scenari di attacco mitigati

Flood con connessioni sequenziali TCP• L’attaccante sequenzialmente apre e quindi

chiude molte connessioni• Usata la stessa tecnica di mitigazione della

diffusione dei worm: riconoscimento di un elevato numero di connessioni dallo stesso IP

• Blocco dell’IP• Attacco non comune• Su ISA 2004 può portare a DoS temporanei

| piergiorgio.malusardi@microsoft.com |

Scenari di attacco mitigati

DoS HTTP su connessioni esistenti• Attaccante stabilisce una connessione sul

server web• Invia numerose richieste HTTP, superando la

soglia• ISA riconosce il superamento della soglia e

limita il tasso di richieste dal client• In aumento di popolarità• Può condurre a DoS temporanei su ISA 2004

| piergiorgio.malusardi@microsoft.com |

Generazione degli alert

IP sorgente in

eccezione?

É un attacco?

| piergiorgio.malusardi@microsoft.com |

Cos’altro?

| piergiorgio.malusardi@microsoft.com |

Appliance• Versione “rafforzata” di W2K3

• Alcuni componenti aggiuntivi–Accelleratori di protocollo

–Antivirus

–Filtro dei contenuti (URL, web)

–Filtri antispam

–Add-ons per high availability

• Versione Standard e Enterprise

• Farm di appliance–NLB, CARP

–Console di controllo multi-server

–Configurazione di storage dedicata

• Distribuzione unattended–USB drive

–Wizard per branch office

| piergiorgio.malusardi@microsoft.com |

Webcast per approfondire

ISA 2006 Overview 19/09/2006

10:00-11:00

ISA 2006 Gestione degli accessi 13/10/2006

10:00-11:00

ISA 2006 Pubblicazione di Exchange e SharePoint 24/10/2006

10:00-11:30

ISA 2006 Gestire al meglio la connessione con i branch office 09/11/2006

14:00-15:00

ISA 2006 Il single sign-on 07/12/2006

14:00-15:00

ISA 2006 Pubblicazione di applicazioni con Whale Communications IAG

21/12/2006

14:00-15:00

© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.

MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

top related