Secure ISA Agenda Proteggere Isa Server Il servizio Firewall di Isa Server: Packet Filter Application Filter Proteggere Isa Server Sistema Operativo Interfaccia Configurazione Sicura di Isa Server Rendere Sicuro il Sistema Operativo Fix, Service Pack e Patch Non installare Applicazioni e Servizi, evitare: DHCP, DNS, Wins Certificate Service IIS (WWW, SMTP, NNTP, FTP anche di terze parti) Mail Server E Mail Client Web Browser, NetMeeting Disabilitare Servizi e Applicazioni Built-in Alerter Clipbook Computer Browser (No SBS) DFS Fax Service File Replication Service Indexing Service Internet Connection Sharing Disabilitare Servizi e Applicazioni Built-in Intersite Messaging Kerberos Key Distribution Center Domain Controller (eccetto Array) Licens Logging Service Messanger NetMeeting Remote Desktop Sharing Network DDE Print Spooler QoS Rsvp Removable Storage RunAs Telnet Disabilitare e poi testare se funziona tutto … ISA & Windows 2003 Installate Windows Server 2003 Installate ISA Server 2000 (non preoccupatevi degli errori generati) Installate ISA Server Service Pack 1 Installate isahf255.exe Proteggere la scheda esterna Scheda Esterna di default contiene: Problemi: File and Print Sharing for Ms Network Client for Ms Network Vanno disabilitati Permettono di condividere/accedere risorse SMB/CIFS Abilita porte Netbios e/o Direct Hosting Disable Netbios over TCP/IP per sicurezza e efficenza (no Broadcast, no Browsing di rete) Disable LMHOSTS lookup DNS ISA è membro del Dominio interno az.net Append Primary and Connection Specific DNS Suffixes Nimda e Red Code usano www in http request header Alle risoluzioni http://www che arrivano alla scheda esterna viene aggiunto il Suffisso Primario: az.net NON c’è Web Publishing Rule per Destination Set htp://www MA c’è per Destination Set www.az.net Append these Suffixes: Lippa.com … DNS: Client interni Anche per i client (Firewall e Web Proxy client) il resolver appende un nome di dominio alle richieste non qualificate Il Browser bypassa ISA per richieste non qualificate Stoppare la risoluzione di richieste non qualificate: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\W3Proxy\Parameters\SkipNameResolutionF orPublishingRules : DWORD : 1 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet \Services\W3Proxy\Parameters\SkipNameResolutionF orAccessAndRoutingRules : DWORD : 1 Attack !!! Port Scanning Tool di Attacco Scan dell’Interfaccia esterna Port Scanning Metodo per vedere se un sever è operativo e se ha delle porte aperte ICMP Scan : solo per vedere se risponde TCP/UDP Scan : rivela le porte aperte sull’interfaccia Tipi di TCP/UDP scan: TCP “IP half Scan” UDP Port Scan Source Port Manipulation TCP “IP half Scan” TCP “IP half Scan” Sfrutta 3 Way Handshake Client: Syn flag Server: Syn e Ack flag Client: Ack flag Genera 3 Way Handshake su tutte le porte (solo quelle conosciute per velocizzare) 3 Way Handshake senza ultimo Ack (mi basta il Syn/Ack dal server) UDP Port Scan UDP è Connectionless Mando pacchetto UDP a una porta: non risponde = è disponibile ICMP Destination Unreachable message = NON è disponibile Se Amministratore ha disabilitato ICMP Destination Unreachable message, tutte le porte sembrano disponibili Ci vogliono investigazioni ulteriori: DNS query verso UDP 53 Il servizio Firewall di Isa Server Certificato ICSA Analisi del traffico a livello: Pacchetto Circuito Applicazione Publishing Sicuro Intrusion Detection Integrato Basato su tecnologia ISS Problemi di sicurezza attuali Attacchi basati su Virus, Worm, a livello Applicativo Application Presentation Intercettazione dei dati, Man-in-Middle, etc.. Session Transport “vecchi attacchi” – SYN Flood, etc.. Network “vecchi attacchi” – IP Spoofing, etc.. Data Link Physical Packet / Application Layer Firewall Porte e Protocolli non bastano più per “fidarsi degli” scopi del traffico utente Esempio di abuso del traffico su Porta 80: Red Code e Nimda Bisogna analizzare cosa c’è nel payload del pacchetto. internal Internet network Packet filtering firewall/router Applicationlayer firewall (ISA Server) Red Code Worm GET http://<ipaddress>/default.ida?NNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN NNNNN%u9090%u6858%uc bd3%u7801%u9090%u6858%ucbd3%u7801%u9090% u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8 b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Packet vs Application Layer Firewall I pericoli arrivano da traffico “imbustato” in HTTP, FTP, SMTP Packet Filter lascia passare solo traffico HTTP, SMTP, blocca il resto. Non controlla se in SMTP c’è attach .VBS! Non controlla se HTTP contiene NIMDA Red Code o URL malformata Application Filter analizza le info di tutta la sessione SMTP, ANCHE il campo dati: Trova attach non permessi, Blocca Sender Controlla URL Analisi a livelli diversi Firewall tradizionale vs. application-layer firewall Internet Firewall tradizionale - Application filter - Web filter app net Internet = ispezione ip Ispezione Multi-layer (incluso application-layer filtering) Analisi a livelli diversi Firewall tradizionale vs. application-layer firewall Packet Filter controlla l’accesso usando: Circuit Level Filter verifica la sessione determinando se i pacchetti sono: Indirizzo IP Sorgente o Destinazione Protocollo di comunicazione e Porta Una richiesta di connessione Una connessione stabilita FTP Application Level Filter Packet Filter Dinamico ISA Server = Application-Layer Security Packet filtering & stateful inspection Application-layer filtering Advanced proxy architecture Extensible/pluggable architecture Analisi approfondita del contenuto delle connessioni 30+ partners Best firewall for Microsoft environments Packet Filtering Attivare il Packet Filtering Abilitare il Fragment Filtering Abilitare Filtering of IP Options Abilitare l’Intrusione Detection NON abilitare IP Routing (salvo casi particolari) Application Filter Abilitare gli Application Filter: DNS Intrusion Detection Filter POP Intrusion Detection Filter SMTP Filter: Controlla Buffer Overflow su comandi SMTP SMTP Message Screener Filtro SMTP avanzato Usa le funzionalità di application-layer filtering di ISA Server Filtra le e-mail with aumentando la sicurezza e l’affidabilità di diversi attributi: Sender Domain Keyword Attachment extension, name, size Any SMTP command and its length Configuring the SMTP Filter SMTP Filter Properties General Attachments Users/Domains Keywords SMTP Commands SMTP Filter Vendor: Microsoft Version: 3.0 RC 1 Description: Filters SMTP traffic Enable this filter OK Cancel Cancel Setup del filtro SMTP Configurazione su più server ISA Server in frontiera Un server IIS 5.0 + SMTP + Message Screener, sulla rete interna Un server SMTP/POP3 sulla rete interna) ISA e IIS + SMTP comunicano via DCOM VendorDataClass (è necessario modificare le permission) Configurazione su un solo server Installate SMTP e Message Screener sul server ISA Web Server Publishing con SSL Bridging app net Internet HTTP ? Internet ip HTTP app net ip SSL SSL app net ip Internet HTTP or SSL HTTPS (SSL) = inspection Estendibilità della piattaforma Application Filter ISA Server SDK contiene un esempio di filtro (SMTP) Filtri ISAPI ISA supporta lo sviluppo e l’implementazione di filtri ISAPI Indipendente da IIS, usa la definizione delle funzioni ISAPI del W2k SDK Demo Port Scanning Languard e Fscan Abilitare Packet Filter Attivare gli alert Ripetere il Port scan Analisi degli Application Filter