Secure ISA
Agenda


Proteggere Isa Server
Il servizio Firewall di Isa Server:


Packet Filter
Application Filter
Proteggere Isa Server



Sistema Operativo
Interfaccia
Configurazione Sicura di Isa Server
Rendere Sicuro il Sistema
Operativo


Fix, Service Pack e Patch
Non installare Applicazioni e Servizi,
evitare:





DHCP, DNS, Wins
Certificate Service
IIS (WWW, SMTP, NNTP, FTP anche di terze
parti)
Mail Server E Mail Client
Web Browser, NetMeeting
Disabilitare Servizi e
Applicazioni Built-in








Alerter
Clipbook
Computer Browser (No SBS)
DFS
Fax Service
File Replication Service
Indexing Service
Internet Connection Sharing
Disabilitare Servizi e
Applicazioni Built-in


Intersite Messaging
Kerberos Key Distribution Center











Domain Controller (eccetto Array)
Licens Logging Service
Messanger
NetMeeting Remote Desktop Sharing
Network DDE
Print Spooler
QoS Rsvp
Removable Storage
RunAs
Telnet
Disabilitare e poi testare se funziona tutto …
ISA & Windows 2003




Installate Windows Server 2003
Installate ISA Server 2000 (non
preoccupatevi degli errori generati)
Installate ISA Server Service Pack 1
Installate isahf255.exe
Proteggere la scheda esterna

Scheda Esterna di default contiene:




Problemi:




File and Print Sharing for Ms Network
Client for Ms Network
Vanno disabilitati
Permettono di condividere/accedere risorse
SMB/CIFS
Abilita porte Netbios e/o Direct Hosting
Disable Netbios over TCP/IP per
sicurezza e efficenza (no Broadcast, no
Browsing di rete)
Disable LMHOSTS lookup
DNS


ISA è membro del Dominio interno az.net
Append Primary and Connection Specific
DNS Suffixes




Nimda e Red Code usano www in http
request header
Alle risoluzioni http://www che arrivano alla
scheda esterna viene aggiunto il Suffisso
Primario: az.net
NON c’è Web Publishing Rule per
Destination Set htp://www MA c’è per
Destination Set www.az.net
Append these Suffixes: Lippa.com …
DNS: Client interni



Anche per i client (Firewall e Web Proxy client)
il resolver appende un nome di dominio alle
richieste non qualificate
Il Browser bypassa ISA per richieste non
qualificate
Stoppare la risoluzione di richieste non
qualificate:


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\W3Proxy\Parameters\SkipNameResolutionF
orPublishingRules : DWORD : 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Services\W3Proxy\Parameters\SkipNameResolutionF
orAccessAndRoutingRules : DWORD : 1
Attack !!!



Port Scanning
Tool di Attacco
Scan dell’Interfaccia esterna
Port Scanning

Metodo per vedere se un sever è
operativo e se ha delle porte aperte



ICMP Scan : solo per vedere se risponde
TCP/UDP Scan : rivela le porte aperte
sull’interfaccia
Tipi di TCP/UDP scan:



TCP “IP half Scan”
UDP Port Scan
Source Port Manipulation
TCP “IP half Scan”

TCP “IP half Scan”

Sfrutta 3 Way Handshake





Client: Syn flag
Server: Syn e Ack flag
Client: Ack flag
Genera 3 Way Handshake su tutte le porte
(solo quelle conosciute per velocizzare)
3 Way Handshake senza ultimo Ack (mi basta
il Syn/Ack dal server)
UDP Port Scan


UDP è Connectionless
Mando pacchetto UDP a una porta:




non risponde = è disponibile
ICMP Destination Unreachable message =
NON è disponibile
Se Amministratore ha disabilitato ICMP
Destination Unreachable message, tutte le
porte sembrano disponibili
Ci vogliono investigazioni ulteriori:

DNS query verso UDP 53
Il servizio Firewall di Isa Server


Certificato ICSA
Analisi del traffico a livello:





Pacchetto
Circuito
Applicazione
Publishing Sicuro
Intrusion Detection Integrato

Basato su tecnologia ISS
Problemi di sicurezza attuali
Attacchi basati su Virus, Worm, a livello Applicativo
Application
Presentation
Intercettazione dei dati, Man-in-Middle, etc..
Session
Transport
“vecchi attacchi” – SYN Flood, etc..
Network
“vecchi attacchi” – IP Spoofing, etc..
Data Link
Physical
Packet / Application Layer
Firewall
Porte
e Protocolli non bastano più per “fidarsi
degli” scopi del traffico utente
 Esempio
di abuso del traffico su Porta 80: Red Code e
Nimda
Bisogna
analizzare cosa c’è nel payload del
pacchetto.
internal
Internet
network
Packet filtering
firewall/router
Applicationlayer firewall
(ISA Server)
Red Code Worm
GET
http://<ipaddress>/default.ida?NNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN
NNNNN%u9090%u6858%uc
bd3%u7801%u9090%u6858%ucbd3%u7801%u9090%
u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3
%u0003%u8
b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
Packet vs Application Layer
Firewall


I pericoli arrivano da traffico “imbustato”
in HTTP, FTP, SMTP
Packet Filter lascia passare solo traffico
HTTP, SMTP, blocca il resto.



Non controlla se in SMTP c’è attach .VBS!
Non controlla se HTTP contiene NIMDA Red
Code o URL malformata
Application Filter analizza le info di tutta
la sessione SMTP, ANCHE il campo dati:


Trova attach non permessi, Blocca Sender
Controlla URL
Analisi a livelli diversi
Firewall tradizionale vs.
application-layer firewall
Internet
Firewall tradizionale
- Application filter
- Web filter
app
net
Internet
= ispezione
ip
Ispezione Multi-layer
(incluso application-layer filtering)
Analisi a livelli diversi
Firewall tradizionale
vs. application-layer firewall

Packet Filter controlla l’accesso usando:



Circuit Level Filter verifica la sessione
determinando se i pacchetti sono:





Indirizzo IP Sorgente o Destinazione
Protocollo di comunicazione e Porta
Una richiesta di connessione
Una connessione stabilita
FTP
Application Level Filter
Packet Filter Dinamico
ISA Server = Application-Layer
Security


Packet filtering & stateful inspection
Application-layer filtering



Advanced proxy architecture
Extensible/pluggable architecture


Analisi approfondita del contenuto delle
connessioni
30+ partners
Best firewall for Microsoft environments
Packet Filtering

Attivare il Packet Filtering




Abilitare il Fragment Filtering
Abilitare Filtering of IP Options
Abilitare l’Intrusione Detection
NON abilitare IP Routing (salvo casi
particolari)
Application Filter

Abilitare gli Application Filter:



DNS Intrusion Detection Filter
POP Intrusion Detection Filter
SMTP Filter:


Controlla Buffer Overflow su comandi SMTP
SMTP Message Screener
Filtro SMTP avanzato


Usa le funzionalità di application-layer
filtering di ISA Server
Filtra le e-mail with aumentando la
sicurezza e l’affidabilità di diversi attributi:





Sender
Domain
Keyword
Attachment extension, name, size
Any SMTP command and its length
Configuring the SMTP Filter
SMTP Filter Properties
General Attachments Users/Domains Keywords SMTP Commands
SMTP Filter
Vendor:
Microsoft
Version:
3.0 RC 1
Description: Filters SMTP traffic
Enable this filter
OK
Cancel
Cancel
Setup del filtro SMTP

Configurazione su più server





ISA Server in frontiera
Un server IIS 5.0 + SMTP + Message
Screener, sulla rete interna
Un server SMTP/POP3 sulla rete interna)
ISA e IIS + SMTP comunicano via DCOM
VendorDataClass (è necessario modificare le
permission)
Configurazione su un solo server

Installate SMTP e Message Screener sul
server ISA
Web Server Publishing con
SSL
Bridging
app
net
Internet HTTP
?
Internet
ip
HTTP
app
net
ip
SSL
SSL
app
net
ip
Internet
HTTP
or
SSL
HTTPS (SSL)
= inspection
Estendibilità della piattaforma

Application Filter


ISA Server SDK contiene un esempio di filtro
(SMTP)
Filtri ISAPI


ISA supporta lo sviluppo e l’implementazione
di filtri ISAPI
Indipendente da IIS, usa la definizione delle
funzioni ISAPI del W2k SDK
Demo





Port Scanning Languard e Fscan
Abilitare Packet Filter
Attivare gli alert
Ripetere il Port scan
Analisi degli Application Filter
Scarica

Application filter