Hardening di ISA Server 2004
e
Opzioni di difesa
Agenda
 Sicurezza del server ISA Server 2004






Gestione degli update
Accesso fisico
Hardening di Windows
Gestione di Permessi e Ruoli
Riduzione della superficie di attacco
Lockdown mode
 Sicurezza della configurazione di ISA Server 2004
 Monitoring
Sicurezza del server
Gestione degli update
 Come ogni macchina della rete il server
ISA deve essere mantenuto aggiornato:
 Aggiornare il sistema operativo
 Aggiornare ISA Server 2004
 Aggiornare ogni componente addizionale
installato:




MSDE
Office Web Component
AD/AM (versione Enterprise)
Altro (non ci dovrebbe essere, ma…)
Sicurezza del server
Gestione degli update
“Se un cattivo ragazzo può accedere
fisicamente al tuo computer, questo non è
più il tuo computer”
 L’accesso fisico al server può consentire:
 Spegnimenti indesiderati (DoS)
 Installazione di software pensato per
aggirare la sicurezza
 Installazione di hardware pensato per
aggirare la sicurezza
Sicurezza del server
Domino vs Workgroup
 ISA 2004 (anche la EE) può essere installato
in dominio o in workgroup
 Se ISA 2004 costituisce il punto di accesso
ad Internet si consiglia:
 Installare ISA 2004 in una foresta separata da
quella aziendale
 Creare una relazione di trust mono direzionale
tra la foresta di ISA 2004 e quella aziendale
 L’installazione in dominio consente la
configurazione della sicurezza usando le group
policy
Sicurezza del server
Hardening di Windows – dove partire
 Lo strumento principe per configurare Windows
Server 2003 su cui si installa ISA 2004 è
Windows Server 2003 Security Guide
 Usare il template di sicurezza High Security –
Bastion host
 Applicabile via group policy se il server ISA 2004
è in dominio
 Applicabile con secedit se il server ISA 2004 è in
workgroup
Sicurezza del server
Hardening di Windows – servizi necessari
Nome del servizio
Razionale
Avvio
COM+ Event System
Core operating system
Manual
Cryptographic Services
Core operating system (sicurezza)
Automatic
Event Log
Core operating system
Automatic
IPSec Services
Core operating system (sicurezza)
Automatic
Logical Disk Manager
Core operating system (gestione dei dischi)
Automatic
Logical Disk Manager Administrative Service
Core operating system (gestione dei dischi)
Manual
Microsoft Firewall
Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Control
Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Job Scheduler
Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Storage
Richiesto per il normale funzionamento di ISA Server
Automatic
MSSQL$MSFW
Richiesto quando MSDE è richiesto per I log ISA Server
Automatic
Network Connections
Core operating system (infrastruttura di rete)
Manual
NTLM Security Support Provider
Core operating system (sicurezza)
Manual
Plug and Play
Core operating system
Automatic
Protected Storage
Core operating system (sicurezza)
Automatic
Sicurezza del server
Hardening di Windows – servizi necessari
Nome del servizio
Razionale
Avvio
Protected Storage
Core operating system (sicurezza)
Automatic
Remote Access Connection Manager
Richiesto per il normale funzionamento di ISA Server
Manual
Remote Procedure Call (RPC)
Core operating system
Automatic
Secondary Logon
Core operating system (sicurezza)
Automatic
Security Accounts Manager
Core operating system
Automatic
Server
Richiesto per lo share ISA Server Firewall Client (Togliere!!)
Automatic
Smart Card
Core operating system (sicurezza)
Manual
SQLAgent$MSFW
Richiesto quando MSDE è richiesto per I log ISA Server
Manual
System Event Notification
Core operating system
Automatic
Telephony
Richiesto per il normale funzionamento di ISA Server
Manual
Virtual Disk Service (VDS)
Core operating system (gestione dei dischi)
Manual
Windows Management Instrumentation (WMI)
Core operating system (WMI)
Automatic
WMI Performance Adapter
Core operating system (WMI)
Manual
Sicurezza del server
Hardening di Windows – ruoli del server
Ruolo del server
Servizi richiesti
Avvio
Routing and Remote Access
Server
Routing and Remote Access
Manual
Remote Access Connection Manager
Manual
Telephony
Manual
Workstation
Automatic
Server
Automatic
Server
Automatic
Terminal Services
Manual
Terminal Server per
l’amministrazione via
Remote Desktop
 Il servizio server deve essere in Automatic quando:
 Share di FW Client sul server con ISA 2004 (sconsigliato)
 Si usa RRAS per configurare le VPN al posto di ISA 2004
 Altre applicazioni o ruoli del server lo richiedono
Demo: Creazione e applicazione di
un template di sicurezza
Sicurezza del server
Ruoli amministrativi e permessi
 Per l’assegnazione dei permessi di
esecuzione delle attività ISA 2004 sfrutta il
concetto di ruoli amministrativi
 Assegnare un ruolo ad un utente significa
assegnare i permessi di eseguire
determinate operazioni
Sicurezza del server
Ruoli amministrativi e permessi
Ruolo
Descrizione
ISA Server Basic Gli utenti a cui è assegnato questo ruolo possono
Monitoring
controllare l’attività del server ISA e l’attività di rete, ma
non possono impostare nessuna delle funzionalità di
firewall o del monitoring.
ISA Server
Extended
Monitoring
Gli utenti a cui è assegnato questo ruolo possono
effettuare tutte le attività di monitoring inclusa la
configurazione dei log, la definizione degli alert oltre a
tutte le attività concesse al ruolo precedente.
ISA Server Full
Administrator
Gli utenti a cui è assegnato questo ruolo possono
effettuare qualsiasi operazione su ISA Server. Per default
gli amministratori della macchina hanno questo ruolo.
Sicurezza del server
Ruoli amministrativi e permessi
Attività
Basic Monitoring Extended Monitoring
Full Administrator
Controllo di Dashboard, alerts,
connettività, sessioni, servizi
X
X
X
Accettazione degli alert
X
X
X
Controllo delle informazioni di log
X
X
Creazione della definizione di alert
X
X
Creazione di report
X
X
Avvio e arresto di servizi e sessioni
X
X
Controllo delle policy di firewall
X
X
Configurazione delle policy di
firewall
X
Configurazione della cache
X
Configurazione delle VPN
X
Sicurezza del server
Ruoli amministrativi e permessi – Buone pratiche
 Usare il principio dei minori privilegi
 Mantenere il gruppo Administrator con
pochi elementi
 Fare logon al server con l’account con i
minor privilegi necessari a svolgere
l’operazione
 Disabilitare l’account Guest
Sicurezza del server
Ruoli amministrativi e permessi - DACL
 In fase di installazione ISA 2004 modifica le DACL
per tener conto del suo funzionamento e dei ruoli
amministrativi
 Le DACL sono modificate anche durante
l’assegnazione dei ruoli
 Non vengono impostate DACL su:
 Folder per i report
 File di configurazione creati in fase di export o backup
 File di log copiati in folder diversi dagli originari
 NON MODIFICARE A MANO LE DACL DI
DEFAULT
Demo: Assegnazione dei ruoli
Sicurezza del server
Riduzione della superficie di attacco




Meno c’è meglio è
Non eseguire applicazioni o servizi non
necessari sul server con ISA 2004
Disabilitare le funzioni di ISA 2004 che non si
usano (VPN, Cache, Specifici add-in)
Disabilitare le System policy che non servono in
base alla propria modalità di gestione di ISA
2004
Applicare le System policy a specifiche entità di
rete
Sicurezza del server
Riduzione della superficie di attacco – System policy
 Servizi di rete
Gruppo di
Nome della regola
configurazione
Descrizione della regola
DHCP
Allow DHCP requests from ISA
Server to Internal
Allow DHCP replies from DHCP
servers to ISA Server
Consente al server ISA l’accesso
alla rete interna con i protocolli
DHCP (reply) e DHCP (request).
DNS
Allow DNS from ISA Server to
selected servers
Consente al server ISA di accedere
a tutte le reti usando il protocollo
DNS.
NTP
Allow NTP from ISA Server to
trusted NTP servers
Consente al server ISA l’accesso
ala rete interna usando il protocollo
NTP (UDP).
Sicurezza del server
Riduzione della superficie di attacco – System policy
 Servizi di autenticazione
Gruppo di
configurazione
Nome della regola
Descrizione della regola
Active Directory
Allow access to directory services for
authentication purposes
Allow RPC from ISA Server to trusted servers
Allow Microsoft CIFS from ISA Server to trusted
servers
Allow Kerberos authentication from ISA Server
to trusted servers
Consente al server con ISA 2004 l’accesso alla rete
interna con diversi protocolli LDAP, RPC (tutte le
interfacce), diversi protocolli CIFS, diversi
protocolli Kerberos, tutti usati da Active Directory.
RSA SecurID
Allow SecurID authentication from ISA Server to
trusted servers
Consente al server con ISA 2004 l’accesso alla rete
interna con il protocollo RSA SecurID®.
RADIUS
Allow RADIUS authentication from ISA Server to
trusted RADIUS servers
Consente al server con ISA 2004 l’accesso alla rete
interna con il protocollo RADIUS.
Certificate
Revocation List
Allow HTTP from ISA Server to all networks for
CRL downloads
Consente al server con ISA 2004 l’accesso in HTTP
a reti selezionate per scaricare le CRL.
Sicurezza del server
Riduzione della superficie di attacco – System policy
 Gestione da remoto
Gruppo di
configurazione
Nome della regola
Descrizione della regola
Microsoft
Management
Console
Allow remote management from
selected computers using MMC
Allow MS Firewall Control
communication to selected computers
Consente ai computer inseriti nel computer
set Remote Management Computers di
accedere al server con ISA con i protocolli
MS Firewall Control e RPC (tutte le
interfacce).
Terminal server
Allow remote management from
selected computers using Terminal
Server
Consente ai computer inseriti nel computer
set Remote Management Computers di
accedere al server con ISA usando il
protocolli RDP (Terminal Services).
ICMP (Ping)
Allow ICMP (PING) requests from
selected computers to ISA Server
Consente ai computer inseriti nel computer
set Remote Management Computers di
accedere al server con ISA usando il
protocollo ICMP, e vice versa.
Sicurezza del server
Riduzione della superficie di attacco – System policy
 Controllo da remoto e log
Gruppo di
configurazione
Nome della regola
Descrizione della regola
Remote logging
(NetBIOS)
Allow remote logging to trusted
servers using NetBIOS
Consente al server con ISA 2004 di
accedere alla rete interna con il
protocollo NetBIOS.
Remote Logging
(SQL)
Allow remote SQL logging from ISA
Server to selected servers
Consente al server con ISA 2004 di
accedere alla rete interna con il
protocollo Microsoft SQL.
Remote
Performance
Monitoring
Allow remote performance
Consente ai computer nel computer set
monitoring of ISA Server from trusted Remote Management Computers
servers
computer di accedere al server con ISA
2004 con il protocollo NetBIOS.
Microsoft
Operations
Manager
Allow remote monitoring from ISA
Server to trusted servers, using
Microsoft Operations Manager
(MOM) Agent
Consente al server con ISA 2004
l’accesso alla rete interna usando
l’agent Microsoft Operations Manager.
Demo: System policy
Sicurezza del server
Modalità Lockdown
 Una funzione critica dei firewall è reagire
agli attacchi
 Una tecnica potrebbe essere isolare la rete
difesa sconnettendosi dalla rete da cui
parte l’attacco: Non è un buon approccio!
 Gli attacchi devono essere gestiti per
quanto possibile  Lockdown mode
Sicurezza del server
Modalità Lockdown
 Introdotta per combinare necessità di
isolamento e necessità di rimanere
connessi
 Attivata quando il servizio Firewall
 Viene spento in automatico
 Con la definizione degli alert è possibile
configurare quali eventi provocano lo spegnimento
del servizio Firewall
 Viene spento manualmente
 Disattivata al riavvio del servizio firewall
Sicurezza del server
Modalità Lockdown
 Quando in lockdown mode:
 Il packet filter engine applica le policy di firewall
 Il traffico in uscita da localhost verso tutte le reti (e relative
risposte in ingresso) è consentito
 Nessun traffico in ingresso è consentito salvo che sia consentito
da una System policy
 Traffico DHCP da localhost a tutte le reti (e relative risposte) è
sempre consentito
 Seguenti System policy sono sempre attive:
 Allow ICMP from trusted server to the local host
 Allow remote management of the firewall using MMC (RPC through
port 3847)
 Allow remote management of the firewall using RDP
 Accessi in VPN negati (tutti i tipi)
 Ogni modifica alla configurazione diventa attiva solo dopo il
riavvio del servizio firewall
 ISA 2004 alza nessun alert
Sicurezza della configurazione
VPN – buone pratiche
 Si raccomando l’uso di L2TP su IPSec
 Adottare password complesse e lunghe 
si può togliere Account lockout
 Considerare la possibilità di forzare il SO
usato sui client remoti
 Usare le reti di quarantena
 Usare autenticazione forte EAP-TLS o EAPMS-CHAPv2
Sicurezza della configurazione
Link traslation
 ISA Server effettua la link traslation degli header
HTTP anche se non abitata esplicitamente
 Problema pubblicando un server Web con Any
domain name come destinazione:
 Un attaccante può usare header con contenuto
maligno
 Può essere fatto il poisonning dell’header della
risposta inserendo un link al server dell’attaccante
 Se messo in cache questo può essere inviato ad altri
richiedenti
Sicurezza della configurazione
Limite nelle connessioni
 ISA 2004 limita il numero di connessioni
simultanee consentite:
 1000 connessioni per secondo per regola
 160 connessioni simultanee per client (TCP e nonTCP)
 Modificabili le Connessioni/s per regola per UDP,
ICMP e altri protocolli Raw IP
 Quando si raggiunge il limite vengono negate altre
connessioni
 I limiti non si applicano a TCP
 Impostare il valore minimo che non impatta sulle
funzionalità richieste
Demo: Limiti alle connessioni
Monitoring
Buone pratiche
 I log consentono di controllare le attività di rete in essere e
trascorse
 Verificare con regolarità i log
 Salvare i log su dischi NTFS diversi da quelli di sistema
 Imporre restrizioni di accesso ai file di log
 Se si usa SQL per i log
 Usare Windows Authentication
 IPSec per dialogo ISA 2004 – SQL Server
 Se l’attività di log si interrompe  attivare lockdown mode
 Configurare gli alert perché notifichino gli amministratori
Demo: Log e alert
Risorse
 Documento di riferimento:
http://www.microsoft.com/technet/prodtechnol/isa/2004/
plan/securityhardeningguide.mspx
 Sicurezza di Windows Server 2003
http://www.microsoft.com/technet/security/prodtech/wind
owsserver2003/w2003hg/sgch00.mspx
 Sicurezza di Windows 2000 Server
http://www.microsoft.com/downloads/details.aspx?family
id=15E83186-A2C8-4C8F-A9D0A0201F639A56&displaylang=en
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.