Il nuovo
Microsoft ISA Server 2006
|
[email protected] |
Di cosa parleremo?
|
[email protected] |
Pubblicazione
sicura di
applicazioni
|
Sicurezza
integrata
Gateway
per uffici
remoti
Gestione
efficiente
Accesso
protetto a
Internet
Accesso
rapido e
sicuro
[email protected] |
Pubblicazione sicura di applicazioni
Sicurezza Autenticazione multifattore avanzata
integrata Integrazione con AD/LDAP
Autenticazione forms-based
personalizzabile
Delega avanzata dell’autenticazione
Gestione migliorata delle sessioni
Gestione Bilanciamento delle pubblicazioni Web
efficiente Tool automatizzati per Exchange,
SharePoint altri server web
Gestione dei certificati migliorata
Accesso rapido e Maggiori scelte per il sign-on
sicuro Traduzione automatica dei link
|
[email protected] |
Gateway per uffici remoti
Sicurezza BITS caching
integrata
Gestione Tool per la connessione automatizzata alle
efficiente VPN
Answer file su media rimovibili
Rapida propagazione delle policy di
enterprise
Accesso rapido e Compressione del traffico HTTP
sicuro Gestione dei signali DiffServ
BITS caching, compressione HTTP e DiffServ sono gli stessi
di ISA Server 2004 service pack 2
|
[email protected] |
Protezione degli accessi ad Internet
Sicurezza Restistenza ai flood migliorata
integrata Resistenza ai worm migliorata
Miglioramenti nella creazione degli avvisi
Gestione Controllo delle risorse migliorato
efficiente
|
[email protected] |
Pubblicazione sicura
|
[email protected] |
I numeri
> 35% Accessi non autorizzati alle risorse di calcolo
1:1 Rapporto tra attacchi interni ed esterni
CSI/FBI 2005 report
|
[email protected] |
Più wizards
•Oggetti Web-based
–OWA
–SharePoint
–Web server
–Oggetti per regole e reti
•Altri oggetti
–Posta SMTP
–Exchange RPC
–Regole personalizzate
•I wizard creano gli elementi
di rete e configurano la
traduzione dei link se
necessario
|
[email protected] |
Wizard per creare web listener
•Autenticazione
•Gestione dei certificati
•Compressione HTTP
|
[email protected] |
Attributi usabili nell’autenticazione
User ID
|
Gruppi di
appartenenza
[email protected] |
Protocollo
usato
Tempo
Autenticazione: da client a ISA 2006
•Form HTML
–RADIUS
–OTP
–SecurID
•HTTP Basic
•SSL lato client
–Combinato con fallback su
altro metodo
•Nessuno
•Add-on di terze parti
|
[email protected] |
Autenticazione: da ISA 2006 al validatore
•Active Directory
–Kerberos
–LDAP
•RADIUS
•RADIUS OTP
•SecurID
|
[email protected] |
Flusso di autenticazione
Autenticazione
sul listener?
Si
No
Ricerca di regola
di pubblicazione
“All users” è
nella regola?
No
SI
AuthN richiesta
nel backend?
No
|
[email protected] |
Si
Richiesta di
credenziali
Mostra il contenuto pubblicato
Client richiede
un sito web
Metodi di autenticazione
Front-end
HTTP
Basic
Digest
Negoziazione
Client
SSL
Ignore
Accept
• Chiede certificato. Ritorna all’AuthN del listener se
non fornito
Require
• Chiede certificato regola fallisce se non fornito
• Si ottiene two-factor AuthN combinandolo con richiesta
di credenziali sull’AuthN del listener
Form
HTML
Per-listener o per-regola; 26 lingue
• Username + password
• Username + passcode
• Username + password + passcode
Solo browser;
Non-browser devono usare HTTP basic
|
[email protected] |
Metodi di autenticazione
Gateway Kerberos ISA appartiene al dominio
LDAP
ISA è standalone
Dominio Windows 2000 o 2003
LDAP Non-AD non funziona
Round-robin con flag di disponibilità
RADIUS ISA è standalone
Round-robin con flag di disponibilità
(Windows, FreeRADIUS, GNU RADIUS, altri)
OTP
ISA è standalone
Time- o counter-based
Fornisce cookie per non Re-AuthN
(Aladdin, Vasco, ActivCard, Secure Computing)
SecurID
|
Supporto è built-in
[email protected] |
Metodi di autenticazione
Back-end
Nessuno Blocca
Pass-through
HTTP
Basic
Negotiate
• Prova Kerberos quindi passa a NTLM
Kerberos Supporta delega S4U2Proxy
• Solo per domini Windows 2003 domains
|
[email protected] |
Metodi di autenticazione
Delega
avanzata
Intefaccia
di front-end
Provider
Delega verso
Back-end
Commenti
HTML form
HTTP basic
WinLogon
LDAP
RADIUS
None (passthrough)
None (blocca)
HTTP basic
Kerberos S4U2Proxy
Negotiate
• Supporta SSO
Digest
Integrated
WinLogon
None (passthrough)
None (blocca)
Form con
Passcode
SecurID
None (passthrough)
None (blocca)
SecurID
• Supporta SSO
Form con
passcode e
password
SecurID
None (passthrough)
None (blocca)
HTTP basic
Kerberos S4U2Proxy
Negotiate
SecurID
• Supports SSO
Client SSL
WinLogon
n/a
• Combinazione con SecurID
• Può richiedere certificato
per two-factor AuthN
per two-factor AuthN
|
[email protected] |
Processo di delega
access-request
URL
401
Form OWA
URL + cred basic
Variabili di form
access-accept
group attribs
RADIUS
browser
WinLogon
cookie
AD
ISA Server
data
|
[email protected] |
token
URL +
basic creds
data
WinLogon
token
IIS
Single sign-on
•Eseguito automaticamente tra le applicazioni
pubblicate attraverso lo stesso listener
•Pensate un listener come un contenitore per le
impostazioni di autenticazione condivise da tutti i
siti pubblicati attraverso il listener
|
[email protected] |
Single sign-on flow

dev
Documenti, prego
Documenti, prego
eng.example.com
sup.example.com
www.domain.com
dev.example.com
ID+passGià visto
eng
sup
mktg
example.com
Anche se il listener condivide lo
stesso profilo di autenticazione ed è
abilitato SSO
|
[email protected] |
www.domain.com
Tipi di certificati
Richiesti
Front-end Autenticazione di ISA Server e creazione di una
connessione SSL verso il client remoto
Back-end Autenticazione dei server pubblicati e apertura
di una connessione SSL verso ISA Server
Opzionali
ISA Server Autenticazione di ISA Server verso i server
come client pubblicati
Client Autenticazione dei client remoti verso ISA
remoto Server
|
[email protected] |
Gestione dei certificati
• Certificati multipli per i
listener
–Insieme unico di impostazioni di
autenticazione per siti multipli
–Elimina la necessità di uso dei
certificati con wildcard (molto
più costosi)
• Possibile usare differenti
certificati per differenti
server nell’array
–Non devono essere certificati
thumbprint
•Possibile usare hardware SSL
|
[email protected] |
Stato dei certificati

•Certificati installati in
modo errato
–In store errato
(dev’essere computer,
non user)
–Mancanza di chiave
privata
•Stato su ogni membro
dell’array
•Avvisi se il certificato è
scaduto
|
[email protected] |
Avvisi amministrativi relativi ai certificati
•Problemi con i
certificati sono
riportati negli alert
amministrativi
•Messaggi migliori di
quello generico di ISA
2004 “certificate not
installed somewhere”
|
[email protected] |
Autenticazione HTML forms-based
•Funziona per ogni sito web pubblicato
–Premium: browser con funzioni avanzate
–Basic: browser con capacità limitate
–Mobile: browser a bassa risoluzione
•Tre form per ogni classe
–Logon
–Logoff
–SecurID
•Linguaggi
–Scelta dipende dal linguaggio del browser
–Sovrascrivibile
|
[email protected] |
Formati delle form
•Username e password
•Username e passcode
•Combinazione (inserire entrambe)
–ID+passcode: per SecurID o RADIUS OTP
•Validati da ISA Server
–ID+password: per delega
•Validati dal back-end
•Insieme predefinito di form (essenzialmente logo)
–Generico di ISA Server
–Microsoft Exchange
|
[email protected] |
Form generica
|
[email protected] |
Insieme di form personalizzate
•Possono essere
differenti per ogni
listener
•Le regole di
pubblicazione possono
sovrascrivere le form
impostate nel listener
|
[email protected] |
Gestione delle sessioni

•Cookie
–Persistenti
–Di sessione
•Timeout
–Idle time
–Durata della sessione
–Attività Non-user non può
reimpostare il timer del
cookie
•Logoff
–Aggiunta dell’ URL di logoff
alla regola di publishing
–Cancella il cookie; aggiunta
alla revocation list
–Log dell’identità dell’utente
remoto
|
[email protected] |
Link translation
http://www.example.com
<HREF=http://teams/eng>
?
|
[email protected] |
Link translation

http://www.example.com
<HREF=http://teams/eng>
<HREF=http://teams.example.com/eng

|
[email protected] |
Link translation
•Ca c’è di buono?
–Mantiene privati i
dettagli interni
–Consente agli utenti
esterni di accedere ai
link interni senza
modificare le
applicazioni
•Cosa c’è di nuovo?
–Abilitato
automaticamente
–Traduzione più rapida
|
[email protected] |
Link translation negli array
•Traduce i link anche se
il contenuto web è in
qualche altro array
•Aiuta ad aumentare la
disponibilità
–Se qualche array in una
regione geografica
muore è possibile
passare da altri array
senza perdere la
traduzione dei link
|
[email protected] |
Server farm
•Definite come un
oggetto di rete
•Usabili in qualsiasi
regola di pubblicazione
si desideri
|
[email protected] |
Server farm
•Consente di definire
un’opzione di verifica
della connessione
–HTTP/S “GET”
–Ping
–Connessione TCP ad una
porta
|
[email protected] |
Bilanciamento del carico di pubblicazioni web
• Usa una web server farm
• Preserva il contenuto
applicativo
–Solamente affinità singola
• Non serve NLB sui server
pubblicati
–Eliminati problemi con NAT e
routing
–La non dipendenza dall’IP di ISA
assicura l’uso equanime di tutti i
server
•Scelta del tipo di balance
– Cookie (default per OWA)
– IP sorgente (default per
RPC/HTTP)
|
[email protected] |
Controllo dello stato dei server
•Attivo
•In esaurimento
•Rimosso
|
[email protected] |
Controllo dello stato dei server

Active Stato ordinario quando il server è aggiunto
all’array ed è in grado di accettare richieste in
ingresso
Draining In fase di modifica di stato, termina le richieste
in coda, non accetta nuove richieste
Out of Stato impostato automaticamente da ISA
service quando il server non risponde alla verifica di
connessione
Removed Rimosso dall’array e dalla UI
Non accetta alcuna richiesta
Quando un server in errore si ripristina, accetta
nuove richieste; le precedenti richieste rimangono
sul server che le aveva accettate
|
[email protected] |
Reverse caching
Cache in
Trasferisce
Trasferisce
L’ho!
RAM
su discoin RAM

|
[email protected] |
Pubblicazione di server di posta
•Accessi Non-web
–SMTP
–RPC
–POP-3
–IMAP-4
–NNTP
•Accessi Web
–OWA
–RPC/HTTPS
–OMA
–EAS
|
[email protected] |
Integrazione con Exchange
• Selezione della versione di
Exchange
–Anche per le farm
• Selezione dei metodi
• Con Exchange 2007, ISA
2006 fornisce accesso
pieno (non solo in lettura)
a:
–Librerie SharePoint
–Share di rete
• Usa una UI dedicata a
OWA
–Non il tab “Documents” di
OWA 2007
|
[email protected] |

Gateway per i Branch Office
|
[email protected] |
I numeri
30% Organizzazioni USA con uffici remoti
33% Quantità di budget IT consumata per la
gestione degli uffici remoti
$25.000.000.000 Spese per WAN delle organizzazioni con
più di 1000 dipendenti
55% Organizzazioni USA con più di 1000
dipendenti negli uffici remoti
0 Dimensioni tipiche dello staff IT negli uffici
remoti
Harte-Hanks 2004; AMI Partners 2003
|
[email protected] |
Configuration storage server
•Instanza di ADAM
–Directory LDAP
– No DNS, no domini Windows
•Dettagli di installazione
– Su ISA, computer in dominio o in
workgroup
– Per avere replica multimaster deve
essere in dominio
– Numero qualsiasi di array
–Può essere replicato su più server
•Gestito da uno snap-in
–Funzionano anche tool AD e LDAP
•Configurazione letta in blocchi larghi
– < 1 minuto per propagare la singola
modifica
–20-30 minuti per replica completa
|
[email protected] |
Branch office wizard
Sede centrale
Ufficio remoto
1. Creazione di una VPN site-to-site con
File
risposte
|
l’ufficio centrale
2. Associazione del server ISA nell’ufficio
remoto con il Configuration Storage Server
nell’ufficio centrale e sicronizzazione
3. Associazione dell’ISA nell’ufficio remoto
con uno specifico array
[email protected] |
Cache degli update con BITS
•Regole ed elementi built-in per il caching dei
download da Microsoft Update
•I client prendono gli update dalla cache
•Vengono onorati i range richiesti dai client
–ISA mette in cache solo gli update richiesti dai sistemi
operativi in uso
–Salva uso della banda e spazio disco
•Ogni regola di pubblicazione web può usare BITS...
|
[email protected] |
Compressione HTTP
•GZip e Deflate; richiede HTTP 1.1
•Scope: per-listener (nuovo in ISA 2006) o globale
–Nessuna possibilità di impostazione per regola
•Implementata come web filter
–In alto nell’ordine dei filtri; alta priorità
–Deve decomprimere prima che ISA possa ispezionare il traffico
•Contenuti in cache forniti compressi se il client lo richiede
–Anche se salvati in modo non compresso
–Può impattare le prestazione; nel caso pulire la cache
•Disabilitare la funzione di caching
•Cancellare i file di cache nel folder Urlcache su ogni disco
•HTTPS non è mai compresso
|
[email protected] |
Compressione HTTP sui client
•I client HTTP 1.1
richiedono
automaticamente la
compressione
•Si deve abilitare
l’impostazione nel
browser
|
[email protected] |
Caching e compressione
Prego
comprimere
Non
comprimere
|
[email protected] |
Caching e compressione
Prego
comprimere
Prego
comprimere
|
[email protected] |
Incomprimibile
Caching, compressione e ispezione

Prego
comprimere
Ispezione:off
Ispezione:
on
Prego
comprimere
|
Per mitigare problemi di prestazione,
pulire la cache se si esclude
l’ispezione
[email protected] |
Prioritizzazione con DiffServ
•Policy HTTP globali
• Assegnazione della
priorità in base a URL o
domini
• Concordanza di
configurazione con i
router
• Solo per HTTP e HTTPS
mettere bit DiffServ
ad altri protocolli
–Non
–Possono essere rimossi bit
DiffServ da pacchetti NonHTTP-HTTPS
|
[email protected] |

Protezione degli accessi ad
Internet
|
[email protected] |
I numeri
70% Attacchi che avvengo a livello applicativo
95% Attacchi consentiti da errori nella configurazione
Orgoglio Motivazione meno frequente per gli attacchi
Profitto Motivazione più frequente per gli attacchi
Studi vari
|
[email protected] |
Resistenza ai flood
•Protegge ISA Server da
–Propagazione di worm
–Syn flood
–Denials of service
–Distributed DoS
–Bombe HTTP
•In alcuni casi sono protetti anche i computer dietro
ISA, ma questo non è il principale obbiettivo di
questa funzionalità
|
[email protected] |
I default per le impostazioni
Mitigazioni
Default Eccez.
Concurrent TCP connections allowed per source IP
100
400
600
6000
100
400
Mitiga gli attacchi TCP flood dove gli host attaccanti mantengono
numerose connessioni TCP con ISA o host alle spalle di ISA
HTTP requests created per minute per source IP
Mitiga attacchi DoS su HTTP dove gli host attaccanti inviano
numerose richieste HTTP ai siti web vittime
Concurrent non-TCP connections allowed per IP
Mitiga attacchi Non-TCP dove host attaccanti inviano numerosi
messaggi UDP o ICMP alle vittime dietro ISA
Non-TCP sessions per minute per rule
1000
Mitiga attacchi DDoS Non-TCP dove molti host zombie partecipano
all’attacco con molti pacchetti Non-TCP
Trigger event when denied packets per minute per IP
exceeds limit
L’Alert notifica agli amministratori di ISA l’IP attaccante
|
[email protected] |
100
Controllo delle risorse
Log Ferma il log dei record denied dopo il
throttling raggiungimento di una certa soglia
Consumo Rifiuta nuove connessioni se si raggiunge il 90%
di memoria d’uso della Non-Paged Pool Memory
• Continua a servire le connessioni esistenti
• Completamente automatizzato
Query Limita il numero di query DNS in attesa dopo il
DNS superamento dell’80% d’uso dei thread
• FW client richiede a ISA di risolvere l’hostname
• ISA risolve i nome DNS come parti della regola
|
[email protected] |
Scenario di attacco mitigati
Propagazione dei worm
• Host interni infetti mandano numerose richieste
TCP a IP random sulla medesima porta
• Verifica delle soglie di connessione
• Verifica che gli IP sorgenti non siano “spooffati”
• Blocca questi IP fino all’approvazione
dell’amministratore
• Forma più comune di attacchi flood
• ISA 2004 non protegge completamente
|
[email protected] |
Scenari di attacco mitigati
Exploit su ISA connection table
• Attaccanti possono usare molti IP non “spooffati”
per eseguire DoS su ISA con connessioni TCP
• Non vengono superati i limiti per-source
• Verifica della quantità di Non-Paged Pool Memory.
Ferma l’accettazione di nuove connessioni al
superamento del 90% NPPM in uso
• Pulisce la tabella delle conessioni da quelle in idle
• Non è un attacco comune
• Può portare a DoS permanente su ISA 2004
• Pochi altri firewall sul mercato possono gestire
questo attacco
|
[email protected] |
Scenari di attacco mitigati
Exploit Pending DNS
• ISA configurato per vietare connessioni a domini
non desiderati (o consentire connessioni solo a
specifici domini)
• Host infetti mandano molte connessioni TCP a IP
random; ISA esegue reverse DNS
• Blocco di nuove richieste al superamento dell’80%
dei threads in uso
• Continua a servire richieste che non necessitano di
reverse DNS o dove la risposta è in cache
• Causa più comune: propagazione di worm
• Può portare a DoS temporanei su ISA 2004
|
[email protected] |
Scenari di attacco mitigati
Flood con connessioni sequenziali TCP
• L’attaccante sequenzialmente apre e quindi chiude
molte connessioni
• Usata la stessa tecnica di mitigazione della
diffusione dei worm: riconoscimento di un elevato
numero di connessioni dallo stesso IP
• Blocco dell’IP
• Attacco non comune
• Su ISA 2004 può portare a DoS temporanei
|
[email protected] |
Scenari di attacco mitigati
DoS HTTP su connessioni esistenti
• Attaccante stabilisce una connessione sul server
web
• Invia numerose richieste HTTP, superando la soglia
• ISA riconosce il superamento della soglia e limita il
tasso di richieste dal client
• In aumento di popolarità
• Può condurre a DoS temporanei su ISA 2004
|
[email protected] |
Generazione degli alert
IP sorgente
in
eccezione?
|
É un
attacco?
[email protected] |
Cos’altro?
|
[email protected] |
Appliance
• Versione “rafforzata” di W2K3
• Alcuni componenti aggiuntivi
–Accelleratori di protocollo
–Antivirus
–Filtro dei contenuti (URL, web)
–Filtri antispam
–Add-ons per high availability
• Versione Standard e Enterprise
• Farm di appliance
–NLB, CARP
–Console di controllo multi-server
–Configurazione di storage dedicata
• Distribuzione unattended
–USB drive
–Wizard per branch office
|
[email protected] |
Webcast per approfondire
ISA
ISA
ISA
ISA
ISA
ISA
|
2006
2006
2006
2006
2006
2006
Overview
Gestione degli accessi
Pubblicazione di Exchange e SharePoint
Gestire al meglio la connessione con i branch office
Il single sign-on
Pubblicazione di applicazioni con Whale Communications IAG
[email protected] |
19/09/200610:00-11:00
13/10/200610:00-11:00
24/10/200610:00-11:30
09/11/200614:00-15:00
07/12/200614:00-15:00
21/12/200614:00-15:00
© 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not
be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.