pitufo isa server 2 k6
DESCRIPTION
Charla daba en Infosecurity 2008 en Madrid por Pedro Lagnua y Chema Alonso de Informática64 sobre ISA Server 2006.TRANSCRIPT
![Page 1: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/1.jpg)
ISA Server 2006
![Page 2: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/2.jpg)
Pitufos
![Page 3: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/3.jpg)
Pitufilandia
![Page 4: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/4.jpg)
Pitufos
![Page 5: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/5.jpg)
Papa Pitufo
![Page 6: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/6.jpg)
Pitufo Gruñon
![Page 7: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/7.jpg)
Gárgamel
![Page 8: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/8.jpg)
Azrael
![Page 9: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/9.jpg)
Pitufo-ISA Server 2K6
Pitufo Laguna
Chema Pitufonso
![Page 10: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/10.jpg)
¿Pitufas ISA Server 2k6?
Firewall Servidor VPN Caché-Multired - Site-to-Site - Activa/Pasiva/Negativa-Nivel Red y Aplicación - Clientes to Site - Jobs/unidades/arrays
![Page 11: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/11.jpg)
Pitufo-Firewall Multired
• Sin limitación en número de redes– Definidas por Interfaz
– Definidas por rangos
• Grupos de redes
• Enrutamiento o NAT
• Soporte para redes VPNs y Quarentena
• “Pitufo, luego Existo”
![Page 12: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/12.jpg)
Pitufo-Firewall Multired• Pitufo-Filtros IP
– Valores en cabeceras concretos
– Paquetes Fragmentados
• Pitufo-Reglas de acceso.
– Protocolo, usuarios, objetos de red, franjas de tiempo, tipos de contenido
• Pitufo-Publicación de servicios
– Web, Mail, Exchange, Sharepoint, …
• Pitufo-Filtros de aplicación
– A nivel de protocolo
– A nivel de red: HTTP Filtering, Mail, WebProxy, RPC…
• Pitufo-Detección y alertas contra intrusos
– Ataques DNS, Netflooding, DOS,..
![Page 13: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/13.jpg)
DEMO 1: LE PITUFAMOS PITUFONET A LOS PITUFOS
![Page 14: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/14.jpg)
Pitufo http Filtering
Aplicación Petición Cabecera HTTP Firma
Windows Messenger Request headers User-Agent: MSMSGS
AOL Messenger (and Gecko browsers)
Request headers User-Agent: Gecko/
Yahoo Messenger Request headers Host msg.yahoo.com
Kazaa Request headers P2P-Agent Kazaa, Kazaaclient:
Kazaa Request headers User-Agent: KazaaClient
Kazaa Request headers X-Kazaa-Network: KaZaA
Gnutella Request headers User-Agent: GnutellaGnucleus
Edonkey Request headers User-Agent: e2dk
Morpheus Response header Server Morpheus
![Page 15: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/15.jpg)
DiffServ
• Mediante el filtro Diffserv pueden establecerse prioridades del envío de paquetes HTTP
• La asignación de prioridades se asignan sobre los objetos Redes de ISA Server 2006
• El establecimiento de prioridades se realiza sobre:– URL– Dominios
• La asignación de prioridades se establece mediante la definición de valores.
![Page 16: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/16.jpg)
DEMO 2: LE PITUFAMOS PITUFONET A LOS PITUFOS SIN PITUFOSEX
![Page 17: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/17.jpg)
“Problemática” HTTP-s
• Conexiones HTTP-s ofrecen:– Autenticación mediante certificados.– Cifrado mediante tuneles SSL.
• Conexiones HTTP-s condicionan:– Transmisión datos extremo-extremo.– Paso a través de sistemas de protección de forma oculta.
• Conexiones HTTP-s– Firewalls e IDS no pueden inspeccionar tráfico.– Ataques pasan sin ser detectados por firewalls:
• SQL Injections.• Cross-Site Scripting (XSS)• Red Code.• Unicode.
![Page 18: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/18.jpg)
“Problemática” HTTP-s• Cifrado y autenticado es útil contra:
– Sniffers.– Man In The Middle.
• Pero hay que dejar que los sistemas de protección inspeccionen el contenido.– Firewalls.– IDS.
• Bridging HTTP-s– El proceso de Bridging en conexiones HTTP-s permite
que las conexiones se cifren en dos tramos.• Entre cliente y Firewall• Entre Firewall y Servidor.
![Page 19: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/19.jpg)
Bridging HTTP-s• Ventajas:
– El Firewall puede inspeccionar el contenido– Se pueden aplicar reglas mediante filtros– Se pueden detectar ataques– No se pierde seguridad– Si se desea, se puede dejar descifrado para inspecciones NIDS
• Tunneling HTTPS por cualquier puerto.
• Bridging HTTPS con:– Cifrado entre cliente-firewall y firewall servidor– Cifrado entre cliente-firewall– Cifrado entre firewall-Servidor
![Page 20: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/20.jpg)
DEMO 3: PITUFAMOS EL PITUFO WEB ACCESS
![Page 21: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/21.jpg)
PPP• Diseñado para enviar datos a través de conexiones bajo
demanda o punto a punto. • Encapsula Paquetes IP• Cuatro fases en la negociación de la conexión:
1. Establecimiento de la conexión (LCP)2. Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2,
EAP)3. Control de devolución de llamada (CBCP)4. Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
• Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4
![Page 22: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/22.jpg)
Protocolos de túnel• PPTP
– Desarrollado por Microsoft, es un estándar de facto– Esta ampliamente implementado y existen varias implementaciones
compatibles– Suficientemente seguro para casi todas las aplicaciones
• L2TP– Estándar de la “Internet Engineering Task Force” (IETF) – Unión entre L2F y PPTP– Algunos problemas de interoperabilidad.
• Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.
![Page 23: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/23.jpg)
PPTP
PPTPInterface
EncapsuladoPPP
IPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
IPHeader
TCPHeader
PayloadData
IPHeader
TCPHeader
PayloadData
PPPHeader
IP GREHeader
IPHeader
Paquete TCP/IP
Ehernet
![Page 24: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/24.jpg)
Encapsulado L2TP/IPSec sobre IP
L2TPInterface
EncapsuladoPPP
UDPInterface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
IPHeader
TCPHeader
PayloadData
PPPHeader
IPHeader
TCPHeader
PayloadData
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
Paquete TCP/IP
Ehernet
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPSec ESPHeader
IPSecInteface
IPInteface
IPHeader
TCPHeader
PayloadData
PPPHeader
L2TPHeader
UDPHeader
IPSec ESPHeader
IPHeader
IPSec ESPTrailer
IPSec ESPTrailer
IPSecAUTHTrailer
IPSecAUTHTrailer
![Page 25: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/25.jpg)
Metodos de AutenticaciónNO RECOMENDADOS
• Password Authentication Protocol (PAP)– Envía la password en texto claro.– NO RECOMEDADO
• Shiva Password Authentication Protocol (SPAP)– Utiliza cifrado reversible– NO RECOMNDADO
• Challenge Handshake Authentication Protocol (CHAP) – Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta– Requiere almacenar las contraseñas con cifrado reversible en el servidor
(DC)– NO RECOMENDADO
• MS-CHAP – Existen debilidades conocidas NO RECOMENDADO
![Page 26: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/26.jpg)
Metodos de AutenticaciónRECOMENDADO
• MS-CHAP v2– Versión mejorada de MS-CHAP
– Usada frecuentemente
– Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP
– Recomendada cuando no es posible implementar EAP-TLS
![Page 27: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/27.jpg)
Metodos de AutenticaciónRECOMENDADO
• EAP– Extensible Authentication Protocol
– Soporta varios tipos de Autenticación• EAP-MD5: Desafió/Respuesta. No muy seguro.
• EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards
• EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS
– El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.
![Page 28: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/28.jpg)
Metodos de AutenticaciónRECOMENDADO
• PEAP: Protected EAP– Proteje las negociaciones EAP envolviendolas con TLS– Se usa solo para conexiones wireless 802.11
• Soporta reconexiones rapidas para entornos grandes con roaming– Puede usar PEAP plus
• EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar.
• EAP-TLS: Muy seguro; requiere una infraestructura PKI– Hay documentación completa de como implementarlo en la
Web de TechNet
![Page 29: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/29.jpg)
VPN para acceso remoto de clientes
Cliente VPN`
Red Interna
Internet
FW / VPN Gateway
![Page 30: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/30.jpg)
VPN conexión entre sedes
`
Sede B
Internet
FW / VPN Gateway
`
Sede A
FW / VPN Gateway
![Page 31: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/31.jpg)
DEMO 4: PITUFOVPN SITE-TO-SITE
![Page 32: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/32.jpg)
nAppliance.com
![Page 33: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/33.jpg)
En un pitufo de tiempo
• Este verano– ISA Server 2006 SP1
– Windows Essential Buisness Server
• 2009– Forefront Thread Management Gateway
– Forefront Codename “Stirling”
• 2010
![Page 34: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/34.jpg)
Informatica64: Technews
![Page 36: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/36.jpg)
Sólo para Pitufos
![Page 37: Pitufo Isa Server 2 K6](https://reader033.vdocuments.mx/reader033/viewer/2022052601/55964a781a28ab781d8b4668/html5/thumbnails/37.jpg)
¿Pitufantas?
• Chema Alonso– [email protected]
– http://elladodelmal.blogspot.com
• Pedro Laguna– [email protected]
– http://www.equilibrioinestable.com
• Vista Técnica– http://geeks.ms/blogs/vista-tecnica