Il nuovo Microsoft ISA Server 2006 | [email protected] | Di cosa parleremo? | [email protected] | Pubblicazione sicura di applicazioni | Sicurezza integrata Gateway per uffici remoti Gestione efficiente Accesso protetto a Internet Accesso rapido e sicuro [email protected] | Pubblicazione sicura di applicazioni Sicurezza Autenticazione multifattore avanzata integrata Integrazione con AD/LDAP Autenticazione forms-based personalizzabile Delega avanzata dell’autenticazione Gestione migliorata delle sessioni Gestione Bilanciamento delle pubblicazioni Web efficiente Tool automatizzati per Exchange, SharePoint altri server web Gestione dei certificati migliorata Accesso rapido e Maggiori scelte per il sign-on sicuro Traduzione automatica dei link | [email protected] | Gateway per uffici remoti Sicurezza BITS caching integrata Gestione Tool per la connessione automatizzata alle efficiente VPN Answer file su media rimovibili Rapida propagazione delle policy di enterprise Accesso rapido e Compressione del traffico HTTP sicuro Gestione dei signali DiffServ BITS caching, compressione HTTP e DiffServ sono gli stessi di ISA Server 2004 service pack 2 | [email protected] | Protezione degli accessi ad Internet Sicurezza Restistenza ai flood migliorata integrata Resistenza ai worm migliorata Miglioramenti nella creazione degli avvisi Gestione Controllo delle risorse migliorato efficiente | [email protected] | Pubblicazione sicura | [email protected] | I numeri > 35% Accessi non autorizzati alle risorse di calcolo 1:1 Rapporto tra attacchi interni ed esterni CSI/FBI 2005 report | [email protected] | Più wizards •Oggetti Web-based –OWA –SharePoint –Web server –Oggetti per regole e reti •Altri oggetti –Posta SMTP –Exchange RPC –Regole personalizzate •I wizard creano gli elementi di rete e configurano la traduzione dei link se necessario | [email protected] | Wizard per creare web listener •Autenticazione •Gestione dei certificati •Compressione HTTP | [email protected] | Attributi usabili nell’autenticazione User ID | Gruppi di appartenenza [email protected] | Protocollo usato Tempo Autenticazione: da client a ISA 2006 •Form HTML –RADIUS –OTP –SecurID •HTTP Basic •SSL lato client –Combinato con fallback su altro metodo •Nessuno •Add-on di terze parti | [email protected] | Autenticazione: da ISA 2006 al validatore •Active Directory –Kerberos –LDAP •RADIUS •RADIUS OTP •SecurID | [email protected] | Flusso di autenticazione Autenticazione sul listener? Si No Ricerca di regola di pubblicazione “All users” è nella regola? No SI AuthN richiesta nel backend? No | [email protected] | Si Richiesta di credenziali Mostra il contenuto pubblicato Client richiede un sito web Metodi di autenticazione Front-end HTTP Basic Digest Negoziazione Client SSL Ignore Accept • Chiede certificato. Ritorna all’AuthN del listener se non fornito Require • Chiede certificato regola fallisce se non fornito • Si ottiene two-factor AuthN combinandolo con richiesta di credenziali sull’AuthN del listener Form HTML Per-listener o per-regola; 26 lingue • Username + password • Username + passcode • Username + password + passcode Solo browser; Non-browser devono usare HTTP basic | [email protected] | Metodi di autenticazione Gateway Kerberos ISA appartiene al dominio LDAP ISA è standalone Dominio Windows 2000 o 2003 LDAP Non-AD non funziona Round-robin con flag di disponibilità RADIUS ISA è standalone Round-robin con flag di disponibilità (Windows, FreeRADIUS, GNU RADIUS, altri) OTP ISA è standalone Time- o counter-based Fornisce cookie per non Re-AuthN (Aladdin, Vasco, ActivCard, Secure Computing) SecurID | Supporto è built-in [email protected] | Metodi di autenticazione Back-end Nessuno Blocca Pass-through HTTP Basic Negotiate • Prova Kerberos quindi passa a NTLM Kerberos Supporta delega S4U2Proxy • Solo per domini Windows 2003 domains | [email protected] | Metodi di autenticazione Delega avanzata Intefaccia di front-end Provider Delega verso Back-end Commenti HTML form HTTP basic WinLogon LDAP RADIUS None (passthrough) None (blocca) HTTP basic Kerberos S4U2Proxy Negotiate • Supporta SSO Digest Integrated WinLogon None (passthrough) None (blocca) Form con Passcode SecurID None (passthrough) None (blocca) SecurID • Supporta SSO Form con passcode e password SecurID None (passthrough) None (blocca) HTTP basic Kerberos S4U2Proxy Negotiate SecurID • Supports SSO Client SSL WinLogon n/a • Combinazione con SecurID • Può richiedere certificato per two-factor AuthN per two-factor AuthN | [email protected] | Processo di delega access-request URL 401 Form OWA URL + cred basic Variabili di form access-accept group attribs RADIUS browser WinLogon cookie AD ISA Server data | [email protected] | token URL + basic creds data WinLogon token IIS Single sign-on •Eseguito automaticamente tra le applicazioni pubblicate attraverso lo stesso listener •Pensate un listener come un contenitore per le impostazioni di autenticazione condivise da tutti i siti pubblicati attraverso il listener | [email protected] | Single sign-on flow dev Documenti, prego Documenti, prego eng.example.com sup.example.com www.domain.com dev.example.com ID+passGià visto eng sup mktg example.com Anche se il listener condivide lo stesso profilo di autenticazione ed è abilitato SSO | [email protected] | www.domain.com Tipi di certificati Richiesti Front-end Autenticazione di ISA Server e creazione di una connessione SSL verso il client remoto Back-end Autenticazione dei server pubblicati e apertura di una connessione SSL verso ISA Server Opzionali ISA Server Autenticazione di ISA Server verso i server come client pubblicati Client Autenticazione dei client remoti verso ISA remoto Server | [email protected] | Gestione dei certificati • Certificati multipli per i listener –Insieme unico di impostazioni di autenticazione per siti multipli –Elimina la necessità di uso dei certificati con wildcard (molto più costosi) • Possibile usare differenti certificati per differenti server nell’array –Non devono essere certificati thumbprint •Possibile usare hardware SSL | [email protected] | Stato dei certificati •Certificati installati in modo errato –In store errato (dev’essere computer, non user) –Mancanza di chiave privata •Stato su ogni membro dell’array •Avvisi se il certificato è scaduto | [email protected] | Avvisi amministrativi relativi ai certificati •Problemi con i certificati sono riportati negli alert amministrativi •Messaggi migliori di quello generico di ISA 2004 “certificate not installed somewhere” | [email protected] | Autenticazione HTML forms-based •Funziona per ogni sito web pubblicato –Premium: browser con funzioni avanzate –Basic: browser con capacità limitate –Mobile: browser a bassa risoluzione •Tre form per ogni classe –Logon –Logoff –SecurID •Linguaggi –Scelta dipende dal linguaggio del browser –Sovrascrivibile | [email protected] | Formati delle form •Username e password •Username e passcode •Combinazione (inserire entrambe) –ID+passcode: per SecurID o RADIUS OTP •Validati da ISA Server –ID+password: per delega •Validati dal back-end •Insieme predefinito di form (essenzialmente logo) –Generico di ISA Server –Microsoft Exchange | [email protected] | Form generica | [email protected] | Insieme di form personalizzate •Possono essere differenti per ogni listener •Le regole di pubblicazione possono sovrascrivere le form impostate nel listener | [email protected] | Gestione delle sessioni •Cookie –Persistenti –Di sessione •Timeout –Idle time –Durata della sessione –Attività Non-user non può reimpostare il timer del cookie •Logoff –Aggiunta dell’ URL di logoff alla regola di publishing –Cancella il cookie; aggiunta alla revocation list –Log dell’identità dell’utente remoto | [email protected] | Link translation http://www.example.com <HREF=http://teams/eng> ? | [email protected] | Link translation http://www.example.com <HREF=http://teams/eng> <HREF=http://teams.example.com/eng | [email protected] | Link translation •Ca c’è di buono? –Mantiene privati i dettagli interni –Consente agli utenti esterni di accedere ai link interni senza modificare le applicazioni •Cosa c’è di nuovo? –Abilitato automaticamente –Traduzione più rapida | [email protected] | Link translation negli array •Traduce i link anche se il contenuto web è in qualche altro array •Aiuta ad aumentare la disponibilità –Se qualche array in una regione geografica muore è possibile passare da altri array senza perdere la traduzione dei link | [email protected] | Server farm •Definite come un oggetto di rete •Usabili in qualsiasi regola di pubblicazione si desideri | [email protected] | Server farm •Consente di definire un’opzione di verifica della connessione –HTTP/S “GET” –Ping –Connessione TCP ad una porta | [email protected] | Bilanciamento del carico di pubblicazioni web • Usa una web server farm • Preserva il contenuto applicativo –Solamente affinità singola • Non serve NLB sui server pubblicati –Eliminati problemi con NAT e routing –La non dipendenza dall’IP di ISA assicura l’uso equanime di tutti i server •Scelta del tipo di balance – Cookie (default per OWA) – IP sorgente (default per RPC/HTTP) | [email protected] | Controllo dello stato dei server •Attivo •In esaurimento •Rimosso | [email protected] | Controllo dello stato dei server Active Stato ordinario quando il server è aggiunto all’array ed è in grado di accettare richieste in ingresso Draining In fase di modifica di stato, termina le richieste in coda, non accetta nuove richieste Out of Stato impostato automaticamente da ISA service quando il server non risponde alla verifica di connessione Removed Rimosso dall’array e dalla UI Non accetta alcuna richiesta Quando un server in errore si ripristina, accetta nuove richieste; le precedenti richieste rimangono sul server che le aveva accettate | [email protected] | Reverse caching Cache in Trasferisce Trasferisce L’ho! RAM su discoin RAM | [email protected] | Pubblicazione di server di posta •Accessi Non-web –SMTP –RPC –POP-3 –IMAP-4 –NNTP •Accessi Web –OWA –RPC/HTTPS –OMA –EAS | [email protected] | Integrazione con Exchange • Selezione della versione di Exchange –Anche per le farm • Selezione dei metodi • Con Exchange 2007, ISA 2006 fornisce accesso pieno (non solo in lettura) a: –Librerie SharePoint –Share di rete • Usa una UI dedicata a OWA –Non il tab “Documents” di OWA 2007 | [email protected] | Gateway per i Branch Office | [email protected] | I numeri 30% Organizzazioni USA con uffici remoti 33% Quantità di budget IT consumata per la gestione degli uffici remoti $25.000.000.000 Spese per WAN delle organizzazioni con più di 1000 dipendenti 55% Organizzazioni USA con più di 1000 dipendenti negli uffici remoti 0 Dimensioni tipiche dello staff IT negli uffici remoti Harte-Hanks 2004; AMI Partners 2003 | [email protected] | Configuration storage server •Instanza di ADAM –Directory LDAP – No DNS, no domini Windows •Dettagli di installazione – Su ISA, computer in dominio o in workgroup – Per avere replica multimaster deve essere in dominio – Numero qualsiasi di array –Può essere replicato su più server •Gestito da uno snap-in –Funzionano anche tool AD e LDAP •Configurazione letta in blocchi larghi – < 1 minuto per propagare la singola modifica –20-30 minuti per replica completa | [email protected] | Branch office wizard Sede centrale Ufficio remoto 1. Creazione di una VPN site-to-site con File risposte | l’ufficio centrale 2. Associazione del server ISA nell’ufficio remoto con il Configuration Storage Server nell’ufficio centrale e sicronizzazione 3. Associazione dell’ISA nell’ufficio remoto con uno specifico array [email protected] | Cache degli update con BITS •Regole ed elementi built-in per il caching dei download da Microsoft Update •I client prendono gli update dalla cache •Vengono onorati i range richiesti dai client –ISA mette in cache solo gli update richiesti dai sistemi operativi in uso –Salva uso della banda e spazio disco •Ogni regola di pubblicazione web può usare BITS... | [email protected] | Compressione HTTP •GZip e Deflate; richiede HTTP 1.1 •Scope: per-listener (nuovo in ISA 2006) o globale –Nessuna possibilità di impostazione per regola •Implementata come web filter –In alto nell’ordine dei filtri; alta priorità –Deve decomprimere prima che ISA possa ispezionare il traffico •Contenuti in cache forniti compressi se il client lo richiede –Anche se salvati in modo non compresso –Può impattare le prestazione; nel caso pulire la cache •Disabilitare la funzione di caching •Cancellare i file di cache nel folder Urlcache su ogni disco •HTTPS non è mai compresso | [email protected] | Compressione HTTP sui client •I client HTTP 1.1 richiedono automaticamente la compressione •Si deve abilitare l’impostazione nel browser | [email protected] | Caching e compressione Prego comprimere Non comprimere | [email protected] | Caching e compressione Prego comprimere Prego comprimere | [email protected] | Incomprimibile Caching, compressione e ispezione Prego comprimere Ispezione:off Ispezione: on Prego comprimere | Per mitigare problemi di prestazione, pulire la cache se si esclude l’ispezione [email protected] | Prioritizzazione con DiffServ •Policy HTTP globali • Assegnazione della priorità in base a URL o domini • Concordanza di configurazione con i router • Solo per HTTP e HTTPS mettere bit DiffServ ad altri protocolli –Non –Possono essere rimossi bit DiffServ da pacchetti NonHTTP-HTTPS | [email protected] | Protezione degli accessi ad Internet | [email protected] | I numeri 70% Attacchi che avvengo a livello applicativo 95% Attacchi consentiti da errori nella configurazione Orgoglio Motivazione meno frequente per gli attacchi Profitto Motivazione più frequente per gli attacchi Studi vari | [email protected] | Resistenza ai flood •Protegge ISA Server da –Propagazione di worm –Syn flood –Denials of service –Distributed DoS –Bombe HTTP •In alcuni casi sono protetti anche i computer dietro ISA, ma questo non è il principale obbiettivo di questa funzionalità | [email protected] | I default per le impostazioni Mitigazioni Default Eccez. Concurrent TCP connections allowed per source IP 100 400 600 6000 100 400 Mitiga gli attacchi TCP flood dove gli host attaccanti mantengono numerose connessioni TCP con ISA o host alle spalle di ISA HTTP requests created per minute per source IP Mitiga attacchi DoS su HTTP dove gli host attaccanti inviano numerose richieste HTTP ai siti web vittime Concurrent non-TCP connections allowed per IP Mitiga attacchi Non-TCP dove host attaccanti inviano numerosi messaggi UDP o ICMP alle vittime dietro ISA Non-TCP sessions per minute per rule 1000 Mitiga attacchi DDoS Non-TCP dove molti host zombie partecipano all’attacco con molti pacchetti Non-TCP Trigger event when denied packets per minute per IP exceeds limit L’Alert notifica agli amministratori di ISA l’IP attaccante | [email protected] | 100 Controllo delle risorse Log Ferma il log dei record denied dopo il throttling raggiungimento di una certa soglia Consumo Rifiuta nuove connessioni se si raggiunge il 90% di memoria d’uso della Non-Paged Pool Memory • Continua a servire le connessioni esistenti • Completamente automatizzato Query Limita il numero di query DNS in attesa dopo il DNS superamento dell’80% d’uso dei thread • FW client richiede a ISA di risolvere l’hostname • ISA risolve i nome DNS come parti della regola | [email protected] | Scenario di attacco mitigati Propagazione dei worm • Host interni infetti mandano numerose richieste TCP a IP random sulla medesima porta • Verifica delle soglie di connessione • Verifica che gli IP sorgenti non siano “spooffati” • Blocca questi IP fino all’approvazione dell’amministratore • Forma più comune di attacchi flood • ISA 2004 non protegge completamente | [email protected] | Scenari di attacco mitigati Exploit su ISA connection table • Attaccanti possono usare molti IP non “spooffati” per eseguire DoS su ISA con connessioni TCP • Non vengono superati i limiti per-source • Verifica della quantità di Non-Paged Pool Memory. Ferma l’accettazione di nuove connessioni al superamento del 90% NPPM in uso • Pulisce la tabella delle conessioni da quelle in idle • Non è un attacco comune • Può portare a DoS permanente su ISA 2004 • Pochi altri firewall sul mercato possono gestire questo attacco | [email protected] | Scenari di attacco mitigati Exploit Pending DNS • ISA configurato per vietare connessioni a domini non desiderati (o consentire connessioni solo a specifici domini) • Host infetti mandano molte connessioni TCP a IP random; ISA esegue reverse DNS • Blocco di nuove richieste al superamento dell’80% dei threads in uso • Continua a servire richieste che non necessitano di reverse DNS o dove la risposta è in cache • Causa più comune: propagazione di worm • Può portare a DoS temporanei su ISA 2004 | [email protected] | Scenari di attacco mitigati Flood con connessioni sequenziali TCP • L’attaccante sequenzialmente apre e quindi chiude molte connessioni • Usata la stessa tecnica di mitigazione della diffusione dei worm: riconoscimento di un elevato numero di connessioni dallo stesso IP • Blocco dell’IP • Attacco non comune • Su ISA 2004 può portare a DoS temporanei | [email protected] | Scenari di attacco mitigati DoS HTTP su connessioni esistenti • Attaccante stabilisce una connessione sul server web • Invia numerose richieste HTTP, superando la soglia • ISA riconosce il superamento della soglia e limita il tasso di richieste dal client • In aumento di popolarità • Può condurre a DoS temporanei su ISA 2004 | [email protected] | Generazione degli alert IP sorgente in eccezione? | É un attacco? [email protected] | Cos’altro? | [email protected] | Appliance • Versione “rafforzata” di W2K3 • Alcuni componenti aggiuntivi –Accelleratori di protocollo –Antivirus –Filtro dei contenuti (URL, web) –Filtri antispam –Add-ons per high availability • Versione Standard e Enterprise • Farm di appliance –NLB, CARP –Console di controllo multi-server –Configurazione di storage dedicata • Distribuzione unattended –USB drive –Wizard per branch office | [email protected] | Webcast per approfondire ISA ISA ISA ISA ISA ISA | 2006 2006 2006 2006 2006 2006 Overview Gestione degli accessi Pubblicazione di Exchange e SharePoint Gestire al meglio la connessione con i branch office Il single sign-on Pubblicazione di applicazioni con Whale Communications IAG [email protected] | 19/09/200610:00-11:00 13/10/200610:00-11:00 24/10/200610:00-11:30 09/11/200614:00-15:00 07/12/200614:00-15:00 21/12/200614:00-15:00 © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.