Hardening
|
[email protected] |
Agenda
Sicurezza del server ISA Server 2004
Gestione degli update
Accesso fisico
Hardening di Windows
Gestione di Permessi e Ruoli
Riduzione della superficie di attacco
Lockdown mode
Sicurezza della configurazione di ISA Server 2004
Monitoring
|
[email protected] |
Sicurezza del server
Gestione degli update
Come ogni macchina della rete il server ISA
deve essere mantenuto aggiornato:
Aggiornare il sistema operativo
Aggiornare ISA Server 2004
Aggiornare ogni componente addizionale installato:
MSDE
Office Web Component
AD/AM (versione Enterprise)
Altro (non ci dovrebbe essere, ma…)
|
[email protected] |
Sicurezza del server
Gestione degli update
“Se un cattivo ragazzo può accedere fisicamente
al tuo computer, questo non è più il tuo computer”
L’accesso fisico al server può consentire:
Spegnimenti indesiderati (DoS)
Installazione di software pensato per aggirare la
sicurezza
Installazione di hardware pensato per aggirare la
sicurezza
|
[email protected] |
Sicurezza del server
Domino vs Workgroup
ISA 2004 (anche la EE) può essere installato in
dominio o in workgroup
Se ISA 2004 costituisce il punto di accesso ad
Internet si consiglia:
Installare ISA 2004 in una foresta separata da quella
aziendale
Creare una relazione di trust mono direzionale tra la
foresta di ISA 2004 e quella aziendale
L’installazione in dominio consente la configurazione
della sicurezza usando le group policy
|
[email protected] |
Sicurezza del server
Hardening di Windows – dove partire
Lo strumento principe per configurare Windows Server
2003 su cui si installa ISA 2004 è Windows Server 2003
Security Guide
Usare il template di sicurezza High Security – Bastion host
Applicabile via group policy se il server ISA 2004 è in
dominio
Applicabile con secedit se il server ISA 2004 è in
workgroup
|
[email protected] |
Sicurezza del server
Hardening di Windows – servizi necessari
|
Nome del servizio
Razionale
Avvio
COM+ Event System
Core operating system
Manual
Cryptographic Services
Core operating system (sicurezza)
Automatic
Event Log
Core operating system
Automatic
IPSec Services
Core operating system (sicurezza)
Automatic
Logical Disk Manager
Core operating system (gestione dei dischi)
Automatic
Logical Disk Manager Administrative Service
Core operating system (gestione dei dischi)
Manual
Microsoft Firewall
Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Control
Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Job Scheduler
Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Storage
Richiesto per il normale funzionamento di ISA Server
Automatic
MSSQL$MSFW
Richiesto quando MSDE è richiesto per I log ISA Server
Automatic
Network Connections
Core operating system (infrastruttura di rete)
Manual
NTLM Security Support Provider
Core operating system (sicurezza)
Manual
Plug and Play
Core operating system
Automatic
Protected Storage
Core operating system (sicurezza)
Automatic
[email protected] |
Sicurezza del server
Hardening di Windows – servizi necessari
|
Nome del servizio
Razionale
Avvio
Protected Storage
Core operating system (sicurezza)
Automatic
Remote Access Connection Manager
Richiesto per il normale funzionamento di ISA Server
Manual
Remote Procedure Call (RPC)
Core operating system
Automatic
Secondary Logon
Core operating system (sicurezza)
Automatic
Security Accounts Manager
Core operating system
Automatic
Server
Richiesto per lo share ISA Server Firewall Client (Togliere!!)
Automatic
Smart Card
Core operating system (sicurezza)
Manual
SQLAgent$MSFW
Richiesto quando MSDE è richiesto per I log ISA Server
Manual
System Event Notification
Core operating system
Automatic
Telephony
Richiesto per il normale funzionamento di ISA Server
Manual
Virtual Disk Service (VDS)
Core operating system (gestione dei dischi)
Manual
Windows Management Instrumentation (WMI)
Core operating system (WMI)
Automatic
WMI Performance Adapter
Core operating system (WMI)
Manual
[email protected] |
Sicurezza del server
Hardening di Windows – ruoli del server
Ruolo del server
Servizi richiesti
Avvio
Routing and Remote Access Server
Routing and Remote Access
Manual
Remote Access Connection Manager
Manual
Telephony
Manual
Workstation
Automatic
Server
Automatic
Server
Automatic
Terminal Services
Manual
Terminal Server per l’amministrazione
via Remote Desktop
Il servizio server deve essere in Automatic quando:
Share di FW Client sul server con ISA 2004 (sconsigliato)
Si usa RRAS per configurare le VPN al posto di ISA 2004
Altre applicazioni o ruoli del server lo richiedono
|
[email protected] |
Demo: Creazione e applicazione di un
template di sicurezza
|
[email protected] |
Sicurezza del server
Ruoli amministrativi e permessi
Per l’assegnazione dei permessi di esecuzione
delle attività ISA 2004 sfrutta il concetto di ruoli
amministrativi
Assegnare un ruolo ad un utente significa
assegnare i permessi di eseguire determinate
operazioni
|
[email protected] |
Sicurezza del server
Ruoli amministrativi e permessi
Ruolo
Descrizione
ISA Server Basic
Monitoring
Gli utenti a cui è assegnato questo ruolo possono controllare l’attività
del server ISA e l’attività di rete, ma non possono impostare nessuna
delle funzionalità di firewall o del monitoring.
ISA Server Extended Gli utenti a cui è assegnato questo ruolo possono effettuare tutte le
Monitoring
attività di monitoring inclusa la configurazione dei log, la definizione
degli alert oltre a tutte le attività concesse al ruolo precedente.
ISA Server Full
Administrator
|
Gli utenti a cui è assegnato questo ruolo possono effettuare qualsiasi
operazione su ISA Server. Per default gli amministratori della
macchina hanno questo ruolo.
[email protected] |
Sicurezza del server
Ruoli amministrativi e permessi
Attività
|
Basic Monitoring
Extended Monitoring
Full Administrator
Controllo di Dashboard, alerts,
connettività, sessioni, servizi
X
X
X
Accettazione degli alert
X
X
X
Controllo delle informazioni di log
X
X
Creazione della definizione di alert
X
X
Creazione di report
X
X
Avvio e arresto di servizi e sessioni
X
X
Controllo delle policy di firewall
X
X
Configurazione delle policy di firewall
X
Configurazione della cache
X
Configurazione delle VPN
X
[email protected] |
Sicurezza del server
Ruoli amministrativi e permessi – Buone pratiche
Usare il principio dei minori privilegi
Mantenere il gruppo Administrator con pochi
elementi
Fare logon al server con l’account con i minor
privilegi necessari a svolgere l’operazione
Disabilitare l’account Guest
|
[email protected] |
Sicurezza del server
Ruoli amministrativi e permessi - DACL
In fase di installazione ISA 2004 modifica le DACL per tener
conto del suo funzionamento e dei ruoli amministrativi
Le DACL sono modificate anche durante l’assegnazione dei
ruoli
Non vengono impostate DACL su:
Folder per i report
File di configurazione creati in fase di export o backup
File di log copiati in folder diversi dagli originari
NON MODIFICARE A MANO LE DACL DI DEFAULT
|
[email protected] |
Demo: Assegnazione dei ruoli
|
[email protected] |
Sicurezza del server
Riduzione della superficie di attacco
Meno c’è meglio è
Non eseguire applicazioni o servizi non necessari sul
server con ISA 2004
Disabilitare le funzioni di ISA 2004 che non si usano
(VPN, Cache, Specifici add-in)
Disabilitare le System policy che non servono in base alla
propria modalità di gestione di ISA 2004
Applicare le System policy a specifiche entità di rete
|
[email protected] |
Sicurezza del server
Riduzione della superficie di attacco – System policy
Servizi di rete
|
Gruppo di
configurazione
Nome della regola
Descrizione della regola
DHCP
Allow DHCP requests from ISA
Server to Internal
Allow DHCP replies from DHCP
servers to ISA Server
Consente al server ISA l’accesso alla
rete interna con i protocolli DHCP
(reply) e DHCP (request).
DNS
Allow DNS from ISA Server to
selected servers
Consente al server ISA di accedere a
tutte le reti usando il protocollo DNS.
NTP
Allow NTP from ISA Server to
trusted NTP servers
Consente al server ISA l’accesso ala
rete interna usando il protocollo NTP
(UDP).
[email protected] |
Sicurezza del server
Riduzione della superficie di attacco – System policy
Servizi di autenticazione
|
Gruppo di
configurazione
Nome della regola
Descrizione della regola
Active Directory
Allow access to directory services for
authentication purposes
Allow RPC from ISA Server to trusted servers
Allow Microsoft CIFS from ISA Server to trusted
servers
Allow Kerberos authentication from ISA Server
to trusted servers
Consente al server con ISA 2004 l’accesso alla rete
interna con diversi protocolli LDAP, RPC (tutte le
interfacce), diversi protocolli CIFS, diversi
protocolli Kerberos, tutti usati da Active Directory.
RSA SecurID
Allow SecurID authentication from ISA Server to
trusted servers
Consente al server con ISA 2004 l’accesso alla rete
interna con il protocollo RSA SecurID®.
RADIUS
Allow RADIUS authentication from ISA Server to
trusted RADIUS servers
Consente al server con ISA 2004 l’accesso alla rete
interna con il protocollo RADIUS.
Certificate
Revocation List
Allow HTTP from ISA Server to all networks for
CRL downloads
Consente al server con ISA 2004 l’accesso in HTTP
a reti selezionate per scaricare le CRL.
[email protected] |
Sicurezza del server
Riduzione della superficie di attacco – System policy
Gestione da remoto
|
Gruppo di
configurazione
Nome della regola
Descrizione della regola
Microsoft
Management
Console
Allow remote management from
selected computers using MMC
Allow MS Firewall Control
communication to selected computers
Consente ai computer inseriti nel computer
set Remote Management Computers di
accedere al server con ISA con i protocolli
MS Firewall Control e RPC (tutte le
interfacce).
Terminal server
Allow remote management from
selected computers using Terminal
Server
Consente ai computer inseriti nel computer
set Remote Management Computers di
accedere al server con ISA usando il
protocolli RDP (Terminal Services).
ICMP (Ping)
Allow ICMP (PING) requests from
selected computers to ISA Server
Consente ai computer inseriti nel computer
set Remote Management Computers di
accedere al server con ISA usando il
protocollo ICMP, e vice versa.
[email protected] |
Sicurezza del server
Riduzione della superficie di attacco – System policy
Controllo da remoto e log
|
Gruppo di
configurazione
Nome della regola
Descrizione della regola
Remote logging
(NetBIOS)
Allow remote logging to trusted servers
using NetBIOS
Consente al server con ISA 2004 di accedere
alla rete interna con il protocollo NetBIOS.
Remote Logging
(SQL)
Allow remote SQL logging from ISA Server
to selected servers
Consente al server con ISA 2004 di accedere
alla rete interna con il protocollo Microsoft
SQL.
Remote
Performance
Monitoring
Allow remote performance monitoring of
ISA Server from trusted servers
Consente ai computer nel computer set
Remote Management Computers computer
di accedere al server con ISA 2004 con il
protocollo NetBIOS.
Microsoft
Operations
Manager
Allow remote monitoring from ISA Server
to trusted servers, using Microsoft
Operations Manager (MOM) Agent
Consente al server con ISA 2004 l’accesso
alla rete interna usando l’agent Microsoft
Operations Manager.
[email protected] |
Demo: System policy
|
[email protected] |
Sicurezza del server
Modalità Lockdown
Una funzione critica dei firewall è reagire agli
attacchi
Una tecnica potrebbe essere isolare la rete difesa
sconnettendosi dalla rete da cui parte l’attacco:
Non è un buon approccio!
Gli attacchi devo essere gestiti per quanto
possibile  Lockdown mode
|
[email protected] |
Sicurezza del server
Modalità Lockdown
Introdotta per combinare necessità di isolamento e
necessità di rimanere connessi
Attivata quando il servizio Firewall
Viene spento in automatico
Con la definizione degli alert è possibile configurare quali
eventi provocano lo spegnimento del servizio Firewall
Viene spento manualmente
Disattivata al riavvio del servizio firewall
|
[email protected] |
Sicurezza del server
Modalità Lockdown
Quando in lockdown mode:
Il packet filter engine applica le policy di firewall
Il traffico in uscita da localhost verso tutte le reti (e relative risposte in
ingresso) è consentito
Nessun traffico in ingresso è consentito salvo che sia consentito da una
System policy
Traffico DHCP da localhost a tutte le reti (e relative risposte) è sempre
consentito
Seguenti System policy sono sempre attive:
Allow ICMP from trusted server to the local host
Allow remote management of the firewall using MMC (RPC through port
3847)
Allow remote management of the firewall using RDP
Accessi in VPN negati (tutti i tipi)
Ogni modifica alla configurazione diventa attiva solo dopo il riavvio del
servizio firewall
ISA 2004 alza nessun alert
|
[email protected] |
Sicurezza della configurazione
VPN – buone pratiche
Si raccomando l’uso di L2TP su IPSec
Adottare password complesse e lunghe  si può
togliere Account lockout
Considerare la possibilità di forzare il SO usato sui
client remoti
Usare le reti di quarantena
Usare autenticazione forte EAP-TLS o EAP-MSCHAPv2
|
[email protected] |
Sicurezza della configurazione
Link traslation
ISA Server effettua la link traslation degli header HTTP
anche se non abitata esplicitamente
Problema pubblicando un server Web con Any domain
name come destinazione:
Un attaccante può usare header con contenuto maligno
Può essere fatto il poisonning dell’header della risposta
inserendo un link al server dell’attaccante
Se messo in cache questo può essere inviato ad altri richiedenti
|
[email protected] |
Sicurezza della configurazione
Limite nelle connessioni
ISA 2004 limita il numero di connessioni simultanee
consentite:
1000 connessioni per secondo per regola
160 connessioni simultanee per client (TCP e non-TCP)
Modificabili le connessioni per regola per UDP, ICMP e altri
protocolli Raw IP
Quando si raggiunge il limite vengono negate altre connessioni
I limiti non si applicano a TCP
Impostare il valore minimo che non impatta sulle
funzionalità richieste
|
[email protected] |
Demo: Limiti alle connessioni
|
[email protected] |
Monitoring
Buone pratiche
I log consentono di controllare le attività di rete in essere e trascorse
Verificare con regolarità i log
Salvare i log su dischi NTFS diversi da quelli di sistema
Imporre restrizioni di accesso ai file di log
Se si usa SQL per i log
Usare Windows Authentication
IPSec per dialogo ISA 2004 – SQL Server
Se l’attività di log si interrompe  attivare lockdown mode
Configurare gli alert perché notifichino gli amministratori
|
[email protected] |
Demo: Log e alert
|
[email protected] |
Risorse
Documento di riferimento:
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/security
hardeningguide.mspx
Sicurezza di Windows Server 2003
http://www.microsoft.com/technet/security/prodtech/windowsserver2
003/w2003hg/sgch00.mspx
Sicurezza di Windows 2000 Server
http://www.microsoft.com/downloads/details.aspx?familyid=15E8318
6-A2C8-4C8F-A9D0-A0201F639A56&displaylang=en
|
[email protected] |
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
|
[email protected] |