Isa 2004
Fabrizio grossi
Agenda

Nuova Architettura:




di rete
dei filtri
delle policy
Gestione e configurazione


Configurazione di rete
Policy
Architettura di rete

Disegno a reti multiple




Supporto per topologie multi-rete
Client VPN visti come una delle reti da gestire
La macchina firewall è vista come rete da gestire 
devono essere definite regole di accesso
Regole di traslazione degli indirizzi

Relazioni di routing assegnabili:



NAT
Stateful routing
Definizione di policy simmetriche
Modello di rete di ISA 2000
(vecchio)
• “In” (LAT) e “out” (Internet, DMZ)
• Packet filter solo su interfacce esterne
Internet
• Singola policy di “uscita”
Static PF
• Filtro statico tra DMZ e Internet
ISA 2000
Internal
Network
DMZ 1
Modello di rete di ISA Server 2004
• Qualsiasi numero di reti
• Relazioni tra le reti assegnate
• Appartenenza dinamica ad alcune reti
Internet
• Packet filter su tutte le interfacce
• Policy per rete
VPN
Network
• VPN rappresentate come rete
DMZ 1
ISA Server
2004
Network B
DMZ 2
Network A
Modello di sicurezza a reti multiple
ISA 2000
 Rete interna singola
 Una policy di sicurezza
 Stateful inspection solo
per traffico da/per LAT
 Sempre NAT per traffico
dalla LAT
 Traffico da/per il firewall
protetto da filtri statici

No stateful filtering per il
traffico VPN
ISA 2004
 Reti multiple
 Policy per-network
 Stateful inspection per
tutto il traffico
 Relazioni di NAT o Routing
tra le reti
 Stateful inspection
completa per tutto il
traffico da/per il firewall
 VPN supportate
nativamente con la rete
VPN
 Motore di filtraggio multilayered
Agenda

Nuova Architettura:




di rete
dei filtri
delle policy
Gestione e configurazione


Configurazione di rete
Policy
Architettura di ISA 2004
Web
filter
Filtro a livello
Applicativo
Web
filter
Web Filter API
Filtro a livello
Protocollo
Policy
Engine
Web proxy filter
Application
filter
Application
filter
Application
filter
Application
filter
Application Filter API
Firewall service
(WSPSRV.EXE – NETWORK SERVICE)
Filtro a livello
Pacchetto
Firewall Engine
NDIS
IP Stack
Data Pump in
Kernel mode :
Ottimizzazione
delle Prestazioni
Cos’è un Application Filter?





È una DLL eseguita nello spazio di
indirizzamento del servizio firewall (usermode)
Un Add-on al servizio firewall
Aggancia le connessioni firewall,
gestisce il trasferimento di dati per un
dato protocollo
Gestito dalla console di ISA Server 2004
Fornito da Microsoft o da terze parti
(Microsoft usa le stesse API messe a disposizione delle
terze parti)
Funzionalità dei Filtri






Eseguono il “data pump” tra socket
Mantengono lo stato della sessione a
livello di protocollo
Modificano il flusso in accordo alle
regole definite nel filtro
Gestiscono il traffico in ingresso e
uscita
Generano gli alert
Mantengono i Log delle connessioni
Filtri Applicativi Built in








HTTP: Analisi approfondita della sintassi
SMTP: Filtro per commandi e messaggi
RPC: blocco a livello interfaccia
FTP: supporto per read only
H.323: filtro delle proprietà dei media
DNS: intrusion detection
POP3: intrusion detection
Streaming media: supporto stateful
separato per



MMS
RTSP
PNM
Cos’è un filtro Web?
 Obiettivo:

Estendere le policy HTTP
URL scanning, Virus Scanning
È
una Dll caricata dal Web Proxy
 Basato sul modello ISAPI di IIS
 Gestisce diversi eventi durante la “vita” di
una richiesta HTTP




Può fermare il processamento della richiesta
Può modificare i dati nella richiesta
Può cambiare i dati nella risposta
Può aggiornate i dati di log per la richiesta
Autenticazione a livello Filtro
 Modifica
delle informazioni utente (Basic
auth)

Modifica di user name e password
 Prendere


le info degli utenti autenticati
GetUserToken, GetHeader, AddHeader,
SetHeader
Es: Creare header di cookie basati sulle info
degli utenti
 Filtrare
l’autenticazione usando schemi di
autenticazione esistenti o nuovi
 Il Filtro esegue l’autenticazione in luogo del
Proxy
Policy per regola
 Obiettivo:
Applicare policy HTTP aggiuntive
per regola e non globali
 Per esempio:

Regola:
Consenti il traffico Http verso www.microsoft.com

Policy di filtro per la regola:
Vieta l’uso del metodo POST
Nota:
Le policy di filtro non sono parte dei match criteria
Agenda

Nuova Architettura:




di rete
dei filtri
delle policy
Gestione e configurazione


Configurazione di rete
Policy
Nuovo modello di policy

Basato su regole singole e ordinate



Più logico e facile da capire
Più facile da vedere e controllare
Le regole di ISA 2000 sono mappate in
una nuova regola unificata

Tipi di regole:




Regole di Accesso
Regole di pubblicazione dei server
Regole di pubblicazione Web
Le proprietà dei filtri applicativi sono parte
delle regole
Tipi di regole in ISA 2004

Regole base di ISA 2000:







Protocol rules
Site and Content rules
Static packet filters
Publishing rules
Web publishing rules
Configurazione dei Filtri
Firewall policy
Altre regole ISA 2000:



Address translation rules
Web routing rules
Cache rules
Configuration policy
Tipi di regole in ISA 2004
Consenti
Blocca
Utente
Rete Destinazione
IP Destinazione
Sito Destinazione
action on traffic from user from source to destination with conditions
Protocollo
IP Porta / Tipo
Rete Sorgente
IP Sorgente
Utente Originario
•Server Pubblicato
•Sito Web Pubblicato
•Periodi consentiti
•Proprietà di filtro
Agenda

Nuova Architettura:




di rete
dei filtri
delle policy
Gestione e configurazione


Configurazione di rete
Policy
Pre requisiti per l’installazione
Hardware

CPU: 550 MHz
RAM: 256 MB


Software

Server




Windows server 2003 o Windows 2000 + SP4 + IE6
Workgroup o membro di Dominio
ISA 2000 + SP1 (per upgrade In-Place)
Client


Windows 98 e successivi
Gestione Remota


Windows 2000 e successivi
Stato della macchina e delle policy
a fine installazione


Tutto è bloccato
System policy di default



In uscita
 Active Directory
 DNS
 DHCP
In ingresso
 Gestione Remota (RDP)
 Accesso allo share per Firewall Client
Cache disabilitata
Installazione di Firewall client


ISA 2004 è compatibile con ISA 2000 Firewall
client
Lo share di installazione può essere:





Sul server ISA 2004
Su un File Server  raccomandato
Nessun reboot (SI in caso di win98 e NT4).
Supportata l’installazione unattended
Sono necessari i privilegi di amministratore per
l’installazione
Aggiornamento da ISA 2000
ISA 2000
Modalità
Standard
Integrata
Standard
Firewall
Standard
Cache
Standard
VPN
ISA 2004
Standard & Cache abilitata
Standard
Standard & Cache abilitata *
Consentita solo nella versione Enterprise
* Le policy di Firewall devono consentire tutto il traffico

Server



Upgrade In-place
Export e Import
Client



Upgrade In-place
Distribuzione dell’aggiornamento usando SMS o
Group Policy
Mantenere ISA 2000 client
Cosa c’è sotto il cappello?



Componenti Installati:
Componenti
Scopo
MSDE
Log avanzato
Office web component
Generazione di report
Componenti di OS opzionali:
Componenti
Scopo
RRAS
SMTP Server
VPN
SMTP Message screener
MSI 2.0 è usato come tecnologia di setup (Server e Client)
Agenda

Nuova Architettura:




di rete
dei filtri
delle policy
Gestione e configurazione


Configurazione di rete
Policy
Configurazione di Rete




Reti
Insiemi di Reti
Regole di traslazione degli indirizzi
Altri oggetti di rete
External
Internal
DMZ
Template di Rete
Cosa sono



Possibilità di selezionare una configurazione
completa di rete da una lista
Configurazioni pre definite per scenari
comuni
Personalizzazione della configurazione dopo
l’esecuzione del template
Benefici




Definizione di una configurazione iniziale con
solo un “point and click”.
I template pre definiti sono ampiamente
provati
Molti utenti nelle organizzazioni medio
piccole possono usare i template senza
modifiche
I template definisco reti ben note che
possono essere usate per definire le policy
iniziali
Agenda

Nuova Architettura:




di rete
dei filtri
delle policy
Gestione e configurazione


Configurazione di rete
Policy
Policy
Regole





Basate su regole singole
Le regole sono valutate nell’ordine in cui si trovano
Supporto per molteplici reti
Le regole sono applicate come un gruppo
Vengono integrate dai filtri applicativi
Policy
Elementi per le regole

Ricco insieme di elementi pre costruiti







Oggetti di rete: computer, network,
range di indirizzi, ecc.
Protocolli
Utenti, Gruppi, Insiemi di utenti
Periodi
Tipi di contenuti
Gli oggetti sono disponibili dove si creano le
regole in un’apposita Toolbox
Si possono creare, modificare e cancellare
oggetti al volo, anche usando “drag and drop”
dalla Toolbox
Policy
System Policy


Controllano l’accesso da/per il firewall
 Servizi di rete necessari per le
corrette operazioni (es. DNS)
 Accesso dai computer client (es. per
gestione remota)
 Applicazioni attive sul firewall (es.
Tool di diagnostica)
Nascoste per default nel policy editor
 Possono essere mostrate quando
necessario
 Raggruppate per comodità