ISA Server 2006

Pitufos

Pitufilandia

Pitufos

Papa Pitufo

Pitufo Gruñon

Gárgamel

Azrael

Pitufo-ISA Server 2K6

Pitufo Laguna

Chema Pitufonso

¿Pitufas ISA Server 2k6?

Firewall Servidor VPN Caché-Multired - Site-to-Site - Activa/Pasiva/Negativa-Nivel Red y Aplicación - Clientes to Site - Jobs/unidades/arrays

Pitufo-Firewall Multired

• Sin limitación en número de redes– Definidas por Interfaz

– Definidas por rangos

• Grupos de redes

• Enrutamiento o NAT

• Soporte para redes VPNs y Quarentena

• “Pitufo, luego Existo”

Pitufo-Firewall Multired• Pitufo-Filtros IP

– Valores en cabeceras concretos

– Paquetes Fragmentados

• Pitufo-Reglas de acceso.

– Protocolo, usuarios, objetos de red, franjas de tiempo, tipos de contenido

• Pitufo-Publicación de servicios

– Web, Mail, Exchange, Sharepoint, …

• Pitufo-Filtros de aplicación

– A nivel de protocolo

– A nivel de red: HTTP Filtering, Mail, WebProxy, RPC…

• Pitufo-Detección y alertas contra intrusos

– Ataques DNS, Netflooding, DOS,..

DEMO 1: LE PITUFAMOS PITUFONET A LOS PITUFOS

Pitufo http Filtering

Aplicación Petición Cabecera HTTP Firma

Windows Messenger Request headers User-Agent: MSMSGS

AOL Messenger (and Gecko browsers)

Request headers User-Agent: Gecko/

Yahoo Messenger Request headers Host msg.yahoo.com

Kazaa Request headers P2P-Agent Kazaa, Kazaaclient:

Kazaa Request headers User-Agent: KazaaClient

Kazaa Request headers X-Kazaa-Network: KaZaA

Gnutella Request headers User-Agent: GnutellaGnucleus

Edonkey Request headers User-Agent: e2dk

Morpheus Response header Server Morpheus

DiffServ

• Mediante el filtro Diffserv pueden establecerse prioridades del envío de paquetes HTTP

• La asignación de prioridades se asignan sobre los objetos Redes de ISA Server 2006

• El establecimiento de prioridades se realiza sobre:– URL– Dominios

• La asignación de prioridades se establece mediante la definición de valores.

DEMO 2: LE PITUFAMOS PITUFONET A LOS PITUFOS SIN PITUFOSEX

“Problemática” HTTP-s

• Conexiones HTTP-s ofrecen:– Autenticación mediante certificados.– Cifrado mediante tuneles SSL.

• Conexiones HTTP-s condicionan:– Transmisión datos extremo-extremo.– Paso a través de sistemas de protección de forma oculta.

• Conexiones HTTP-s– Firewalls e IDS no pueden inspeccionar tráfico.– Ataques pasan sin ser detectados por firewalls:

• SQL Injections.• Cross-Site Scripting (XSS)• Red Code.• Unicode.

“Problemática” HTTP-s• Cifrado y autenticado es útil contra:

– Sniffers.– Man In The Middle.

• Pero hay que dejar que los sistemas de protección inspeccionen el contenido.– Firewalls.– IDS.

• Bridging HTTP-s– El proceso de Bridging en conexiones HTTP-s permite

que las conexiones se cifren en dos tramos.• Entre cliente y Firewall• Entre Firewall y Servidor.

Bridging HTTP-s• Ventajas:

– El Firewall puede inspeccionar el contenido– Se pueden aplicar reglas mediante filtros– Se pueden detectar ataques– No se pierde seguridad– Si se desea, se puede dejar descifrado para inspecciones NIDS

• Tunneling HTTPS por cualquier puerto.

• Bridging HTTPS con:– Cifrado entre cliente-firewall y firewall servidor– Cifrado entre cliente-firewall– Cifrado entre firewall-Servidor

DEMO 3: PITUFAMOS EL PITUFO WEB ACCESS

PPP• Diseñado para enviar datos a través de conexiones bajo

demanda o punto a punto. • Encapsula Paquetes IP• Cuatro fases en la negociación de la conexión:

1. Establecimiento de la conexión (LCP)2. Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2,

EAP)3. Control de devolución de llamada (CBCP)4. Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)

• Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4

Protocolos de túnel• PPTP

– Desarrollado por Microsoft, es un estándar de facto– Esta ampliamente implementado y existen varias implementaciones

compatibles– Suficientemente seguro para casi todas las aplicaciones

• L2TP– Estándar de la “Internet Engineering Task Force” (IETF) – Unión entre L2F y PPTP– Algunos problemas de interoperabilidad.

• Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

PPTP

PPTPInterface

EncapsuladoPPP

IPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

IPHeader

TCPHeader

PayloadData

IPHeader

TCPHeader

PayloadData

PPPHeader

IP GREHeader

IPHeader

Paquete TCP/IP

Ehernet

Encapsulado L2TP/IPSec sobre IP

L2TPInterface

EncapsuladoPPP

UDPInterface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

IPHeader

TCPHeader

PayloadData

PPPHeader

IPHeader

TCPHeader

PayloadData

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

Paquete TCP/IP

Ehernet

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPSec ESPHeader

IPSecInteface

IPInteface

IPHeader

TCPHeader

PayloadData

PPPHeader

L2TPHeader

UDPHeader

IPSec ESPHeader

IPHeader

IPSec ESPTrailer

IPSec ESPTrailer

IPSecAUTHTrailer

IPSecAUTHTrailer

Metodos de AutenticaciónNO RECOMENDADOS

• Password Authentication Protocol (PAP)– Envía la password en texto claro.– NO RECOMEDADO

• Shiva Password Authentication Protocol (SPAP)– Utiliza cifrado reversible– NO RECOMNDADO

• Challenge Handshake Authentication Protocol (CHAP) – Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta– Requiere almacenar las contraseñas con cifrado reversible en el servidor

(DC)– NO RECOMENDADO

• MS-CHAP – Existen debilidades conocidas NO RECOMENDADO

Metodos de AutenticaciónRECOMENDADO

• MS-CHAP v2– Versión mejorada de MS-CHAP

– Usada frecuentemente

– Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP

– Recomendada cuando no es posible implementar EAP-TLS

Metodos de AutenticaciónRECOMENDADO

• EAP– Extensible Authentication Protocol

– Soporta varios tipos de Autenticación• EAP-MD5: Desafió/Respuesta. No muy seguro.

• EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards

• EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS

– El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

Metodos de AutenticaciónRECOMENDADO

• PEAP: Protected EAP– Proteje las negociaciones EAP envolviendolas con TLS– Se usa solo para conexiones wireless 802.11

• Soporta reconexiones rapidas para entornos grandes con roaming– Puede usar PEAP plus

• EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar.

• EAP-TLS: Muy seguro; requiere una infraestructura PKI– Hay documentación completa de como implementarlo en la

Web de TechNet

VPN para acceso remoto de clientes

Cliente VPN`

Red Interna

Internet

FW / VPN Gateway

VPN conexión entre sedes

`

Sede B

Internet

FW / VPN Gateway

`

Sede A

FW / VPN Gateway

DEMO 4: PITUFOVPN SITE-TO-SITE

nAppliance.com

En un pitufo de tiempo

• Este verano– ISA Server 2006 SP1

– Windows Essential Buisness Server

• 2009– Forefront Thread Management Gateway

– Forefront Codename “Stirling”

• 2010

Informatica64: Technews

Pitufo-manos a la obra

• http://www.microsoft.es/HOLSistemas

Sólo para Pitufos

¿Pitufantas?

• Chema Alonso– chema@informatica64.com

– http://elladodelmal.blogspot.com

• Pedro Laguna– plaguna@informatica64.com

– http://www.equilibrioinestable.com

• Vista Técnica– http://geeks.ms/blogs/vista-tecnica