Hardening | [email protected] | Agenda Sicurezza del server ISA Server 2004 Gestione degli update Accesso fisico Hardening di Windows Gestione di Permessi e Ruoli Riduzione della superficie di attacco Lockdown mode Sicurezza della configurazione di ISA Server 2004 Monitoring | [email protected] | Sicurezza del server Gestione degli update Come ogni macchina della rete il server ISA deve essere mantenuto aggiornato: Aggiornare il sistema operativo Aggiornare ISA Server 2004 Aggiornare ogni componente addizionale installato: MSDE Office Web Component AD/AM (versione Enterprise) Altro (non ci dovrebbe essere, ma…) | [email protected] | Sicurezza del server Gestione degli update “Se un cattivo ragazzo può accedere fisicamente al tuo computer, questo non è più il tuo computer” L’accesso fisico al server può consentire: Spegnimenti indesiderati (DoS) Installazione di software pensato per aggirare la sicurezza Installazione di hardware pensato per aggirare la sicurezza | [email protected] | Sicurezza del server Domino vs Workgroup ISA 2004 (anche la EE) può essere installato in dominio o in workgroup Se ISA 2004 costituisce il punto di accesso ad Internet si consiglia: Installare ISA 2004 in una foresta separata da quella aziendale Creare una relazione di trust mono direzionale tra la foresta di ISA 2004 e quella aziendale L’installazione in dominio consente la configurazione della sicurezza usando le group policy | [email protected] | Sicurezza del server Hardening di Windows – dove partire Lo strumento principe per configurare Windows Server 2003 su cui si installa ISA 2004 è Windows Server 2003 Security Guide Usare il template di sicurezza High Security – Bastion host Applicabile via group policy se il server ISA 2004 è in dominio Applicabile con secedit se il server ISA 2004 è in workgroup | [email protected] | Sicurezza del server Hardening di Windows – servizi necessari | Nome del servizio Razionale Avvio COM+ Event System Core operating system Manual Cryptographic Services Core operating system (sicurezza) Automatic Event Log Core operating system Automatic IPSec Services Core operating system (sicurezza) Automatic Logical Disk Manager Core operating system (gestione dei dischi) Automatic Logical Disk Manager Administrative Service Core operating system (gestione dei dischi) Manual Microsoft Firewall Richiesto per il normale funzionamento di ISA Server Automatic Microsoft ISA Server Control Richiesto per il normale funzionamento di ISA Server Automatic Microsoft ISA Server Job Scheduler Richiesto per il normale funzionamento di ISA Server Automatic Microsoft ISA Server Storage Richiesto per il normale funzionamento di ISA Server Automatic MSSQL$MSFW Richiesto quando MSDE è richiesto per I log ISA Server Automatic Network Connections Core operating system (infrastruttura di rete) Manual NTLM Security Support Provider Core operating system (sicurezza) Manual Plug and Play Core operating system Automatic Protected Storage Core operating system (sicurezza) Automatic [email protected] | Sicurezza del server Hardening di Windows – servizi necessari | Nome del servizio Razionale Avvio Protected Storage Core operating system (sicurezza) Automatic Remote Access Connection Manager Richiesto per il normale funzionamento di ISA Server Manual Remote Procedure Call (RPC) Core operating system Automatic Secondary Logon Core operating system (sicurezza) Automatic Security Accounts Manager Core operating system Automatic Server Richiesto per lo share ISA Server Firewall Client (Togliere!!) Automatic Smart Card Core operating system (sicurezza) Manual SQLAgent$MSFW Richiesto quando MSDE è richiesto per I log ISA Server Manual System Event Notification Core operating system Automatic Telephony Richiesto per il normale funzionamento di ISA Server Manual Virtual Disk Service (VDS) Core operating system (gestione dei dischi) Manual Windows Management Instrumentation (WMI) Core operating system (WMI) Automatic WMI Performance Adapter Core operating system (WMI) Manual [email protected] | Sicurezza del server Hardening di Windows – ruoli del server Ruolo del server Servizi richiesti Avvio Routing and Remote Access Server Routing and Remote Access Manual Remote Access Connection Manager Manual Telephony Manual Workstation Automatic Server Automatic Server Automatic Terminal Services Manual Terminal Server per l’amministrazione via Remote Desktop Il servizio server deve essere in Automatic quando: Share di FW Client sul server con ISA 2004 (sconsigliato) Si usa RRAS per configurare le VPN al posto di ISA 2004 Altre applicazioni o ruoli del server lo richiedono | [email protected] | Demo: Creazione e applicazione di un template di sicurezza | [email protected] | Sicurezza del server Ruoli amministrativi e permessi Per l’assegnazione dei permessi di esecuzione delle attività ISA 2004 sfrutta il concetto di ruoli amministrativi Assegnare un ruolo ad un utente significa assegnare i permessi di eseguire determinate operazioni | [email protected] | Sicurezza del server Ruoli amministrativi e permessi Ruolo Descrizione ISA Server Basic Monitoring Gli utenti a cui è assegnato questo ruolo possono controllare l’attività del server ISA e l’attività di rete, ma non possono impostare nessuna delle funzionalità di firewall o del monitoring. ISA Server Extended Gli utenti a cui è assegnato questo ruolo possono effettuare tutte le Monitoring attività di monitoring inclusa la configurazione dei log, la definizione degli alert oltre a tutte le attività concesse al ruolo precedente. ISA Server Full Administrator | Gli utenti a cui è assegnato questo ruolo possono effettuare qualsiasi operazione su ISA Server. Per default gli amministratori della macchina hanno questo ruolo. [email protected] | Sicurezza del server Ruoli amministrativi e permessi Attività | Basic Monitoring Extended Monitoring Full Administrator Controllo di Dashboard, alerts, connettività, sessioni, servizi X X X Accettazione degli alert X X X Controllo delle informazioni di log X X Creazione della definizione di alert X X Creazione di report X X Avvio e arresto di servizi e sessioni X X Controllo delle policy di firewall X X Configurazione delle policy di firewall X Configurazione della cache X Configurazione delle VPN X [email protected] | Sicurezza del server Ruoli amministrativi e permessi – Buone pratiche Usare il principio dei minori privilegi Mantenere il gruppo Administrator con pochi elementi Fare logon al server con l’account con i minor privilegi necessari a svolgere l’operazione Disabilitare l’account Guest | [email protected] | Sicurezza del server Ruoli amministrativi e permessi - DACL In fase di installazione ISA 2004 modifica le DACL per tener conto del suo funzionamento e dei ruoli amministrativi Le DACL sono modificate anche durante l’assegnazione dei ruoli Non vengono impostate DACL su: Folder per i report File di configurazione creati in fase di export o backup File di log copiati in folder diversi dagli originari NON MODIFICARE A MANO LE DACL DI DEFAULT | [email protected] | Demo: Assegnazione dei ruoli | [email protected] | Sicurezza del server Riduzione della superficie di attacco Meno c’è meglio è Non eseguire applicazioni o servizi non necessari sul server con ISA 2004 Disabilitare le funzioni di ISA 2004 che non si usano (VPN, Cache, Specifici add-in) Disabilitare le System policy che non servono in base alla propria modalità di gestione di ISA 2004 Applicare le System policy a specifiche entità di rete | [email protected] | Sicurezza del server Riduzione della superficie di attacco – System policy Servizi di rete | Gruppo di configurazione Nome della regola Descrizione della regola DHCP Allow DHCP requests from ISA Server to Internal Allow DHCP replies from DHCP servers to ISA Server Consente al server ISA l’accesso alla rete interna con i protocolli DHCP (reply) e DHCP (request). DNS Allow DNS from ISA Server to selected servers Consente al server ISA di accedere a tutte le reti usando il protocollo DNS. NTP Allow NTP from ISA Server to trusted NTP servers Consente al server ISA l’accesso ala rete interna usando il protocollo NTP (UDP). [email protected] | Sicurezza del server Riduzione della superficie di attacco – System policy Servizi di autenticazione | Gruppo di configurazione Nome della regola Descrizione della regola Active Directory Allow access to directory services for authentication purposes Allow RPC from ISA Server to trusted servers Allow Microsoft CIFS from ISA Server to trusted servers Allow Kerberos authentication from ISA Server to trusted servers Consente al server con ISA 2004 l’accesso alla rete interna con diversi protocolli LDAP, RPC (tutte le interfacce), diversi protocolli CIFS, diversi protocolli Kerberos, tutti usati da Active Directory. RSA SecurID Allow SecurID authentication from ISA Server to trusted servers Consente al server con ISA 2004 l’accesso alla rete interna con il protocollo RSA SecurID®. RADIUS Allow RADIUS authentication from ISA Server to trusted RADIUS servers Consente al server con ISA 2004 l’accesso alla rete interna con il protocollo RADIUS. Certificate Revocation List Allow HTTP from ISA Server to all networks for CRL downloads Consente al server con ISA 2004 l’accesso in HTTP a reti selezionate per scaricare le CRL. [email protected] | Sicurezza del server Riduzione della superficie di attacco – System policy Gestione da remoto | Gruppo di configurazione Nome della regola Descrizione della regola Microsoft Management Console Allow remote management from selected computers using MMC Allow MS Firewall Control communication to selected computers Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA con i protocolli MS Firewall Control e RPC (tutte le interfacce). Terminal server Allow remote management from selected computers using Terminal Server Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocolli RDP (Terminal Services). ICMP (Ping) Allow ICMP (PING) requests from selected computers to ISA Server Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocollo ICMP, e vice versa. [email protected] | Sicurezza del server Riduzione della superficie di attacco – System policy Controllo da remoto e log | Gruppo di configurazione Nome della regola Descrizione della regola Remote logging (NetBIOS) Allow remote logging to trusted servers using NetBIOS Consente al server con ISA 2004 di accedere alla rete interna con il protocollo NetBIOS. Remote Logging (SQL) Allow remote SQL logging from ISA Server to selected servers Consente al server con ISA 2004 di accedere alla rete interna con il protocollo Microsoft SQL. Remote Performance Monitoring Allow remote performance monitoring of ISA Server from trusted servers Consente ai computer nel computer set Remote Management Computers computer di accedere al server con ISA 2004 con il protocollo NetBIOS. Microsoft Operations Manager Allow remote monitoring from ISA Server to trusted servers, using Microsoft Operations Manager (MOM) Agent Consente al server con ISA 2004 l’accesso alla rete interna usando l’agent Microsoft Operations Manager. [email protected] | Demo: System policy | [email protected] | Sicurezza del server Modalità Lockdown Una funzione critica dei firewall è reagire agli attacchi Una tecnica potrebbe essere isolare la rete difesa sconnettendosi dalla rete da cui parte l’attacco: Non è un buon approccio! Gli attacchi devo essere gestiti per quanto possibile Lockdown mode | [email protected] | Sicurezza del server Modalità Lockdown Introdotta per combinare necessità di isolamento e necessità di rimanere connessi Attivata quando il servizio Firewall Viene spento in automatico Con la definizione degli alert è possibile configurare quali eventi provocano lo spegnimento del servizio Firewall Viene spento manualmente Disattivata al riavvio del servizio firewall | [email protected] | Sicurezza del server Modalità Lockdown Quando in lockdown mode: Il packet filter engine applica le policy di firewall Il traffico in uscita da localhost verso tutte le reti (e relative risposte in ingresso) è consentito Nessun traffico in ingresso è consentito salvo che sia consentito da una System policy Traffico DHCP da localhost a tutte le reti (e relative risposte) è sempre consentito Seguenti System policy sono sempre attive: Allow ICMP from trusted server to the local host Allow remote management of the firewall using MMC (RPC through port 3847) Allow remote management of the firewall using RDP Accessi in VPN negati (tutti i tipi) Ogni modifica alla configurazione diventa attiva solo dopo il riavvio del servizio firewall ISA 2004 alza nessun alert | [email protected] | Sicurezza della configurazione VPN – buone pratiche Si raccomando l’uso di L2TP su IPSec Adottare password complesse e lunghe si può togliere Account lockout Considerare la possibilità di forzare il SO usato sui client remoti Usare le reti di quarantena Usare autenticazione forte EAP-TLS o EAP-MSCHAPv2 | [email protected] | Sicurezza della configurazione Link traslation ISA Server effettua la link traslation degli header HTTP anche se non abitata esplicitamente Problema pubblicando un server Web con Any domain name come destinazione: Un attaccante può usare header con contenuto maligno Può essere fatto il poisonning dell’header della risposta inserendo un link al server dell’attaccante Se messo in cache questo può essere inviato ad altri richiedenti | [email protected] | Sicurezza della configurazione Limite nelle connessioni ISA 2004 limita il numero di connessioni simultanee consentite: 1000 connessioni per secondo per regola 160 connessioni simultanee per client (TCP e non-TCP) Modificabili le connessioni per regola per UDP, ICMP e altri protocolli Raw IP Quando si raggiunge il limite vengono negate altre connessioni I limiti non si applicano a TCP Impostare il valore minimo che non impatta sulle funzionalità richieste | [email protected] | Demo: Limiti alle connessioni | [email protected] | Monitoring Buone pratiche I log consentono di controllare le attività di rete in essere e trascorse Verificare con regolarità i log Salvare i log su dischi NTFS diversi da quelli di sistema Imporre restrizioni di accesso ai file di log Se si usa SQL per i log Usare Windows Authentication IPSec per dialogo ISA 2004 – SQL Server Se l’attività di log si interrompe attivare lockdown mode Configurare gli alert perché notifichino gli amministratori | [email protected] | Demo: Log e alert | [email protected] | Risorse Documento di riferimento: http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/security hardeningguide.mspx Sicurezza di Windows Server 2003 http://www.microsoft.com/technet/security/prodtech/windowsserver2 003/w2003hg/sgch00.mspx Sicurezza di Windows 2000 Server http://www.microsoft.com/downloads/details.aspx?familyid=15E8318 6-A2C8-4C8F-A9D0-A0201F639A56&displaylang=en | [email protected] | © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary. | [email protected] |