protection des ressources de l'entreprise : isa server 2004 & filtrage applicatif
DESCRIPTION
Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif. Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France. Agenda. Introduction Présentation d’ISA Server 2004 Protection des accès sortants Protections des accès entrants - PowerPoint PPT PresentationTRANSCRIPT
Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif
Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif
Stanislas Quastana, CISSPStanislas Quastana, CISSPArchitecte InfrastructureArchitecte InfrastructureMicrosoft FranceMicrosoft France
AgendaAgenda
IntroductionIntroduction
Présentation d’ISA Server 2004Présentation d’ISA Server 2004
Protection des accès sortantsProtection des accès sortants
Protections des accès entrantsProtections des accès entrants
Protections des réseaux internes et VPNProtections des réseaux internes et VPN
SynthèseSynthèse
Ressources utilesRessources utiles
Questions / RéponsesQuestions / Réponses
IntroductionIntroductionIntroductionIntroduction
Quelques chiffresQuelques chiffres
95% de toutes les failles évitables avec une configuration alternative (CERT 2002)
Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group)
Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp)
De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)
Attaques au niveau de la Attaques au niveau de la couche applicationcouche application
Attaques au niveau de la Attaques au niveau de la couche applicationcouche application
Usurpation d’identité Site web défiguré Accès non autorisés Modification des données
et journaux Vol d’informations
propriétaire Interruption de service
ImplicationsImplicationsImplicationsImplications
Mise en conformité ISO 17799 Bâle 2 (EU) Data Protection Act (EU) HIPAA (US) Sarbanes Oxley (US)
Litiges Partage de fichiers illicites
Piratage Responsabilités juridiques
des entreprises et des RSSI En France le RSSI a
obligation de moyens
Impact sur les entreprisesImpact sur les entreprises
Défense en profondeurDéfense en profondeur
Données et Ressources
Défenses des applications
Défenses des machines
Défenses du réseau
Défenses du périmètre
L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures.
Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche
La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure
Les pare-feu sont un élément de protection du périmètre et du réseau
Sécurité physique
Politiques de sécurité
Application Layer Application Layer ContentContent
????????????????????????????????????????
Un paquet IP vu par un pare-Un paquet IP vu par un pare-feu « traditionnel »feu « traditionnel »
Seul l’entête du paquet est analyséSeul l’entête du paquet est analyséLe contenu au niveau de la couche application est comme une “boite Le contenu au niveau de la couche application est comme une “boite noire”noire”
IP HeaderIP HeaderSource Address,Dest. Address,
TTL, Checksum
TCP HeaderTCP HeaderSequence Number
Source Port,Destination Port,
Checksum
La décision de laisser passer est basée sur les numéros de portsLa décision de laisser passer est basée sur les numéros de portsLe trafic légitime et les attaques applicatives utilisent les mêmes Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80)ports (ex : 80)
Internet Trafic HTTP attendu
Trafic HTTP non prévu
Attaques
Trafic non-HTTP
Réseau d’entreprise
Top 10 des attaques : 80% Top 10 des attaques : 80% d’attaques au niveau de la d’attaques au niveau de la couche 7couche 7
DCOM RPC
HTTP
SQL Server
SMTP
Top attacks (source : Symantec Corporation)
Le problèmeLe problème
Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles
Les pare-feux traditionnels se focalisent sur le filtrage de Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspectionpaquets et le statefull inspection
Aujourd’hui, la plupart des attaques contournent ce type Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : de protection. Quelques exemples :
Code RedCode Red & & NimdaNimda sur les serveurs IIS 4 et 5 sur les serveurs IIS 4 et 5
OpenSSL/OpenSSL/SlapperSlapper
BlasterBlaster, , WelchiaWelchia sur le RPC Endpoint Mapper de Windows sur le RPC Endpoint Mapper de Windows
SlammerSlammer sur les serveurs SQL (ou MSDE) sur les serveurs SQL (ou MSDE)
Santy-ASanty-A sur les forums phpBB (Linux et Windows) sur les forums phpBB (Linux et Windows)Le premier ver dans la nature (in the wild) à exploiter une Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Webvulnérabilité d’une application Web
Les ports et protocoles ne permettent plus de contrôler Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateursce que font les utilisateurs
Réseau public
Réseau public Vers réseau interne, Vers réseau interne,
DMZ, …DMZ, …Vers réseau interne, Vers réseau interne,
DMZ, …DMZ, …
Pare-feu niveau Pare-feu niveau ApplicationApplication
Pare-feu niveau Pare-feu niveau ApplicationApplication
Pare-feu Pare-feu traditionneltraditionnel
Pare-feu Pare-feu traditionneltraditionnel
Quel pare-feu utiliser ?Quel pare-feu utiliser ?
Les pare-feu applicatif sont aujourd’hui nécessaires pour Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des attaques évoluées car ils permettent une se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux.analyse approfondie du contenu des paquets réseaux.
Comprendre ce qu’il y a dans la partie données est désormais un pré requis
Néanmoins, le remplacement n’est pas forcément la meilleure solution
Présentation d’ISA Server Présentation d’ISA Server 20042004
Présentation d’ISA Server Présentation d’ISA Server 20042004
►2ème génération de pare-feu de Microsoft►Pare-feu multicouches (3,4 et 7) ►Capacité de filtrage extensible►Proxy applicatif►Nouvelle architecture ►Intégration des fonctionnalités de VPN
ISA Server 2004 en quelques ISA Server 2004 en quelques motsmots
La vue d’un paquet IP par ISALa vue d’un paquet IP par ISA
Les entêtes du paquet et le contenu sont inspectésLes entêtes du paquet et le contenu sont inspectésSous réserve de la présence d’un filtre applicatif (comme le Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)filtre HTTP)
Application Layer ContentApplication Layer Content<html><head><meta http-
quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet"
IP HeaderIP Header
Source Address,Dest. Address,
TTL, Checksum
TCP HeaderTCP Header
Sequence NumberSource Port,
Destination Port,Checksum
Les décisions de laisser passer sont basées sur le contenuLes décisions de laisser passer sont basées sur le contenuSeul le trafic légitime et autorisé est traitéSeul le trafic légitime et autorisé est traité
Internet Trafic HTTP Attendu
Trafic HTTP non attendu
Attacks
Trafic non HTTP
Réseau d’entreprise
PolicyPolicyEngineEngine
NDIS
TCP/IP Stack
Architecture d’ISA Server Architecture d’ISA Server 2004 2004
Firewall EngineFirewall Engine
FirewallFirewall serviceservice
Application Filter API
AppAppFilterFilter
Web Proxy FilterWeb Proxy Filter
Web Filter API (ISAPI)
Webfilter
Webfilter
User Mode
Kernel Mode
SMTPSMTPFilterFilter
RPCRPCFilterFilter
DNSDNSFilterFilter
PolicyStore
Packet layer filtering
1
Protocol layer filtering
2
Application layer filtering
3
Kernel mode data pump:
Performanceoptimization
4
Les filtres d’ISA Server 2004Les filtres d’ISA Server 2004
Filtres applicatifsFiltres applicatifsFTP FTP : : permet de bloquer les envoisSMTP SMTP : : gestion des commandes et filtrage des messages (contenu, gestion des commandes et filtrage des messages (contenu, extension, taille…)extension, taille…)POP3 POP3 : : détection d’intrusiondétection d’intrusionRTSP, MMS, PNM, H.323RTSP, MMS, PNM, H.323: Streaming: StreamingDNS: DNS: détection d’intrusions, transfert de zonesdétection d’intrusions, transfert de zonesRPC: RPC: publication de serveurs, filtrage sur les interfacespublication de serveurs, filtrage sur les interfacesPPTP : PPTP : permet la traversée de connexions VPN (Tunneling)permet la traversée de connexions VPN (Tunneling)SOCKS V4SOCKS V4Web Proxy Web Proxy : gestion de HTTP, HTTPs (filtres web…): gestion de HTTP, HTTPs (filtres web…)
Filtres WebFiltres WebFiltre HTTP Filtre HTTP : analyse du contenu : analyse du contenu
des requêtes web (entêtes et données)des requêtes web (entêtes et données)Authentification RSA SecureIDAuthentification RSA SecureIDAuthentification RadiusAuthentification RadiusAuthentification OWA Web FormsAuthentification OWA Web FormsTranslateur de liens Translateur de liens : : réécriture d’URLréécriture d’URL
ISA Server 2004 : un produit ISA Server 2004 : un produit évolutifévolutif
Filtrage applicatifFiltrage applicatif
Haute disponibilitéHaute disponibilité
AntivirusAntivirus
Détection d’intrusionDétection d’intrusion
ReportingReporting
Accélérateurs SSLAccélérateurs SSL
Contrôle d’URLsContrôle d’URLs
AuthentificationAuthentification
Plus de partenaires sur :http://www.microsoft.com/isaserver/partners/default.asp
+ d’une trentaine de partenaires !!!
DMZ_1
Modèle réseau ISA Server Modèle réseau ISA Server 20042004
Nombre de réseaux Nombre de réseaux illimitéillimité
Type d’accès Type d’accès NAT/RoutageNAT/Routagespécifique à chaque spécifique à chaque réseauréseau
Les réseaux VPN sont Les réseaux VPN sont considérés comme des considérés comme des réseaux à part entièreréseaux à part entière
La machine ISA est La machine ISA est considéré comme un considéré comme un réseau (LocalHost)réseau (LocalHost)
Stratégie de filtrage par Stratégie de filtrage par réseauréseau
Filtrage de paquet sur Filtrage de paquet sur toutes les interfacestoutes les interfaces
InternetVPN
ISA 2004
Toutes topologies / stratégiesToutes topologies / stratégies
CorpNet_1DMZ_n
Local AreaNetwork CorpNet_n
VPN Quarantaine
actionaction sur traffictraffic pour utilisateurutilisateur depuis sourcesource vers destinationdestination avec conditions conditions
Structure des règles de pare-Structure des règles de pare-feu ISAfeu ISA
• Autoriser• Interdire
• Protocole IP• Port(s) TCP/UDP
• Réseau(x)• Adresse(s) IP• Machine(s)
• Réseau(x)• Adresse(s) IP• Machine(s)
• Serveur publié• Site Web publié• Planning• Filtre applicatif
• Utilisateur(s)• Groupe(s)
• Ensemble de règles ordonnées•Règles systèmes puis règles utilisateur
• Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment)
Scénarios de mise en œuvre Scénarios de mise en œuvre d’ISA Server 2004d’ISA Server 2004
Pare feu de périmètrePare feu de périmètreMulti réseauxMulti réseauxDMZDMZ
Protection des applications et réseaux internesProtection des applications et réseaux internesPasserelle de filtrage applicatifPasserelle de filtrage applicatif
Serveurs WebServeurs WebServeurs de messagerieServeurs de messagerie
Protection des réseaux internesProtection des réseaux internes
Accès sécurisé et optimisé à InternetAccès sécurisé et optimisé à InternetStratégies d’accèsStratégies d’accèsCache WebCache Web
Réseaux multi sitesRéseaux multi sitesSécurisation sites distantsSécurisation sites distantsIntégration du VPNIntégration du VPNIPSec en mode TunnelIPSec en mode Tunnel
Les versions d’ISA Server Les versions d’ISA Server 20042004Édition StandardÉdition Standard
Inclus toutes les Inclus toutes les fonctionnalités de :fonctionnalités de :
Pare-feu (niveaux Pare-feu (niveaux 3,4,7)3,4,7)
Passerelle VPNPasserelle VPN
Proxy cache Proxy cache
sur un même serveursur un même serveur
Disponible depuis Mai Disponible depuis Mai 20042004
1 licence par 1 licence par processeur physiqueprocesseur physique
Également disponible Également disponible sous la forme sous la forme d’applianced’appliance
Édition EntrepriseÉdition Entreprise
Ajoute la haute Ajoute la haute disponibilité et la disponibilité et la tolérance de pannetolérance de panne
Ajoute la capacité à Ajoute la capacité à monter en charge en monter en charge en utilisant plusieurs utilisant plusieurs serveurs (groupes)serveurs (groupes)
Ajoute l’administration Ajoute l’administration centralisée au niveau centralisée au niveau entrepriseentreprise
Disponible depuis Mars Disponible depuis Mars 20052005
1 licence par 1 licence par processeur physiqueprocesseur physique
SBS 2003SBS 2003
Le Service Le Service Pack 1 de Pack 1 de Windows Windows 2003 2003 SSmall mall BBusiness usiness SServer 2003 erver 2003 met à jour met à jour les version les version Premium Premium avec ISA avec ISA Server 2004 Server 2004 Standard Standard SP1SP1
DisponibleDisponible depuis Mai depuis Mai 20052005
Disponible en applianceDisponible en applianceRimApp ROADBLOCKRimApp ROADBLOCK FirewallFirewall http://www.rimapp.com/roadblock.htmhttp://www.rimapp.com/roadblock.htm
HP ProLiant DL320 Firewall/VPN/Cache HP ProLiant DL320 Firewall/VPN/Cache ServerServer http://h18004.www1.hp.com/products/servers/softwarehttp://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.html/microsoft/ISAserver/index.html
Network Engines NS AppliancesNetwork Engines NS Appliances http://www.networkengines.com/sol/nsapplianceseries.http://www.networkengines.com/sol/nsapplianceseries.aspx aspx
Celestix Application-Layer Firewall, VPN Celestix Application-Layer Firewall, VPN and Caching Appliance and Caching Appliance http://www.celestix.com/products/isa/index.htmhttp://www.celestix.com/products/isa/index.htm
Pyramid Computer ValueServer Security Pyramid Computer ValueServer Security 20042004 http://www.pyramid.de/e/produkte/server/isa_2004.php http://www.pyramid.de/e/produkte/server/isa_2004.php
► Avantis ISAwallAvantis ISAwall http://www.avantisworld.com/02_securityappliances.asp http://www.avantisworld.com/02_securityappliances.asp
► Corrent Corrent http://www.corrent.com/Products/products_sr225.htmlhttp://www.corrent.com/Products/products_sr225.html
Contrôle des accès Contrôle des accès sortantssortants
Contrôle des accès Contrôle des accès sortantssortants
Les besoins des entreprises Les besoins des entreprises connectées vus par connectées vus par l’administrateurl’administrateur
« Je veux contrôler (limiter) les protocoles « Je veux contrôler (limiter) les protocoles réseaux utilisés par mes utilisateurs »réseaux utilisés par mes utilisateurs »
« Je veux administrer les accès de manière « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) »(domaines NT, Active Directory, RADIUS) »
« Je veux empêcher mes utilisateurs de « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux »télécharger des fichiers illégaux ou dangereux »
« Je veux qu’Internet soit un outil de travail et « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »là où ils veulent. »
Contrôle des flux et Contrôle des flux et contenuscontenus
Les pare-feu permettent une grande granularité Les pare-feu permettent une grande granularité dans la définition des règles d’accèsdans la définition des règles d’accès
Filtrage spécifique sur un protocoleFiltrage spécifique sur un protocole
Authentification des postes ou utilisateursAuthentification des postes ou utilisateurs
Certains protocoles comme HTTP, FTP ou SMTP Certains protocoles comme HTTP, FTP ou SMTP peuvent être restreints sur le contenu (MIME, peuvent être restreints sur le contenu (MIME, extension de fichiers, pièce jointe…)extension de fichiers, pièce jointe…)
Hélas, beaucoup de ces mécanismes deviennent Hélas, beaucoup de ces mécanismes deviennent insuffisants/obsolètesinsuffisants/obsolètes face aux méthodes face aux méthodes d’encapsulation…d’encapsulation…
Quand pare-feu te Quand pare-feu te bloquerabloquera
HTTP tu utiliseras…HTTP tu utiliseras…
Http : le protocole Http : le protocole universel…universel…
… … pour pour outrepasser un pare-feu ou un proxyoutrepasser un pare-feu ou un proxy
Aujourd’hui, de nombreuses applications utilisent Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode HTTP comme méthode d’encapsulation des protocolesd’encapsulation des protocoles propriétaires afin de s’affranchir des propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants :ouvertures de ports spécifiques sur les équipements filtrants :
Messageries instantanées :Messageries instantanées :
MSN Messenger, Yahoo MSN Messenger, Yahoo
Messenger, ICQ…Messenger, ICQ…
Logiciels P2P : Kazaa, Emule, Logiciels P2P : Kazaa, Emule,
Bitorrent, Exeem…Bitorrent, Exeem…
Messagerie : Outlook 2003Messagerie : Outlook 2003
(RPC sur HTTP)…(RPC sur HTTP)…
Adware, Spyware : Gator…Adware, Spyware : Gator…
Chevaux de TroieChevaux de Troie
Protection des accès sortantsProtection des accès sortants
ClientClientISA Server 2004ISA Server 2004Pare feu Pare feu
traditionneltraditionnel
InternetHTTP http, https, FTP
IM, P2P, MS RPC…HTTP, https, FTP…
IM
P2P
MS RPC…
IM, P2P, MS RPC…
Analyse HTTP Analyse HTTP (URL, entêtes, (URL, entêtes,
contenu…)contenu…)
Exemples de signature d’applications :http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx
Filtre applicatif HTTPFiltre applicatif HTTPExemple de filtrage en fonction du contenu de l’en-têteExemple de filtrage en fonction du contenu de l’en-tête
POST http://64.4.1.18/gtw/gtw.dll?SessID=1POST http://64.4.1.18/gtw/gtw.dll?SessID=1HTTP/1.1HTTP/1.1Accept: */*Accept: */*Accept-Language: en-usAccept-Language: en-usAccept-Encoding: gzip, deflateAccept-Encoding: gzip, deflateUser-Agent: User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT Mozilla/4.0 (compatible; MSIE 6.0; Windows NT
5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133)5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133)Host: 64.4.1.18Host: 64.4.1.18Proxy-Connection: Keep-AliveProxy-Connection: Keep-AliveConnection: Keep-AliveConnection: Keep-AlivePragma: no-cachePragma: no-cacheContent-Type: Content-Type: application/x-msn-messengerapplication/x-msn-messengerContent-Length: 7Content-Length: 7
Common Application Signatureshttp://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx
Démonstration : filtre HTTPDémonstration : filtre HTTP
Analyse HTTP Analyse HTTP (URL, entêtes, (URL, entêtes,
contenu…)contenu…)
Une fois la session SSL établie, les proxies ou les pare-Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. feu sont incapables de voir les données échangée. De nombreuses logiciels utilisent déjà cette solution.De nombreuses logiciels utilisent déjà cette solution.
Exemple : Outlook 2003 (RPC over https)Exemple : Outlook 2003 (RPC over https)
Comment réduire le risque ?Comment réduire le risque ?Limiter les accès https : utilisation de listes blanchesLimiter les accès https : utilisation de listes blanchesBloquer les requêtes dans la phase de négociationBloquer les requêtes dans la phase de négociationDéchiffrer le SSL en sortie au niveau du Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) proxy/firewall (Man In The Middle)
Concept intéressant en terme de sécurité mais pas vraiment Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialitéen terme de confidentialité
Plus fort que http : https Plus fort que http : https
DNS : un futur « standard » DNS : un futur « standard » pour l’encapsulation ?pour l’encapsulation ?LA question :« Est il possible pour le DNS de faire des choses plus intéressantes que la résolution de noms qualifiés en adresse IP ? »La réponse est OUI
• droute: DNS Stream Router• TCP Streaming over DNS• Utilisable pour du Shell ou de la messagerie instantanée uniquement
• NSTX:
• Uniquement sur Linux
Informations complémentaires : Attacking Distributed Systems: The DNS Case Study by Dan Kaminsky. http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Kaminsky.pdf
Contrôle des accès Contrôle des accès entrantsentrants
Contrôle des accès Contrôle des accès entrantsentrants
Ressources exposéesRessources exposées
Plateforme Web classique Plateforme Web classique et risques associéset risques associés
2 zones réseau (Front 2 zones réseau (Front End et Back End) + 2 End et Back End) + 2 pare-feupare-feu……mais toujours des mais toujours des risques en cas d’absence risques en cas d’absence de filtrage applicatifde filtrage applicatif
Le risque ici est Le risque ici est principalement l’attaque principalement l’attaque applicative. Par exemple applicative. Par exemple : :
injections HTMLinjections HTMLinjections SQLinjections SQLInjections PHPInjections PHP……..
Internet
Front Office
Serveur Web
Back Office
Pare feu interne
Pare feu externe (périphérie)
Serveur de base de données
Poste client
TCP 80 (HTTP)
TCP 443 (HTTPS)
TCP 1433 (MS-SQL)
Augmentation des risques Augmentation des risques sur les applications Websur les applications Web
Augmentation des vulnérabilités documentées sur les applications Web depuis 18 mois
( Source : Symantec Corporation : http://ses.symantec.com/pdf/ThreatReportVII.pdf )
Certificat « Privé »+ sa clé privée
Certificat « Public »+ sa clé privée
L’analyse des URL par ISA 2004 L’analyse des URL par ISA 2004 peut stopper les attaques Web au peut stopper les attaques Web au périmètre du réseau, y compris en périmètre du réseau, y compris en
cas d’utilisation de SSLcas d’utilisation de SSL
Protection des serveurs WebProtection des serveurs Web
Pare-feu Pare-feu traditionneltraditionnelPare-feu Pare-feu
traditionneltraditionnelWebWeb
ClientClient
Si le serveur Web fait une demande Si le serveur Web fait une demande d’authentification - tout utilisateur sur d’authentification - tout utilisateur sur Internet peut accéder à cette demandeInternet peut accéder à cette demande
SSLSSLSSLSSL
SSL passe au travers des pare-SSL passe au travers des pare-feu traditionnels sans contrôle feu traditionnels sans contrôle
du fait du chiffrement…du fait du chiffrement…
……ce qui permet aux attaques ce qui permet aux attaques applicatives, virus ou autres applicatives, virus ou autres
vers de se propager sans vers de se propager sans être détectés…être détectés…
……et d’infecter les serveurs internes !et d’infecter les serveurs internes !
ISA Server 2004ISA Server 2004
Délégation d’authentificationDélégation d’authentificationISA pré authentifie les utilisateurs, ISA pré authentifie les utilisateurs, éliminant les boites de dialogues éliminant les boites de dialogues redondantes et n’autorise que le redondantes et n’autorise que le
trafic valide à passertrafic valide à passer
Filtrage avancé de HTTPFiltrage avancé de HTTP
SSL or SSL or HTTPHTTP
SSL or SSL or HTTPHTTP
SSLSSLSSLSSL
ISA peut déchiffrer et ISA peut déchiffrer et inspecter le trafic SSLinspecter le trafic SSL
Une fois inspecté le trafic peut être envoyé vers Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.le serveur interne de nouveau chiffré ou en clair.
Analyse HTTP Analyse HTTP (URL, (URL,
contenu…)contenu…)
InternetInternet
Démonstration : publication Démonstration : publication OWAOWA
Démonstration : publication Démonstration : publication FTPFTP
Filtre FTPFiltre FTP
Serveur FTP
Protection des accès aux Protection des accès aux réseaux de l’entreprise (VPN réseaux de l’entreprise (VPN
et Locaux)et Locaux)
Protection des accès aux Protection des accès aux réseaux de l’entreprise (VPN réseaux de l’entreprise (VPN
et Locaux)et Locaux)Gestion des accès distants et Gestion des accès distants et des équipements connectésdes équipements connectés
Développement du marché des PC portables et du nombre de Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise systèmes non administrés dans les réseaux l’entreprise
Postes personnels mais connectés sur le réseau de l’entreprisePostes personnels mais connectés sur le réseau de l’entreprise
Postes des intervenants externesPostes des intervenants externes
Points d’accès Wi-fi non déclarésPoints d’accès Wi-fi non déclarés
Ordinateur portables qui ne sont pas à jour (du fait de leur Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature mobilité) au niveau de correctifs de sécurité, signature anti-virale…anti-virale…
Connexion à des réseaux tiers « inconnus » Connexion à des réseaux tiers « inconnus »
(hot spot wifi, clients, partenaires…)(hot spot wifi, clients, partenaires…)
Accès VPN nomades, réseaux sans filsAccès VPN nomades, réseaux sans fils
Augmentation des risques Augmentation des risques avec le développement de la avec le développement de la mobilitémobilité
Les attaques viennent Les attaques viennent aussiaussi de de l’internel’interne
Étude et statistiques sur la sinistralité informatique en France (2002)
Réseau de l’entreprise Réseau de l’entreprise
Le meilleur exemple est la propagation d’un ver Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou comme Blaster (exploitation d’une faille RPC) ou Sasser.Sasser.
InternetDimancheJour J de l’infection
LundiJour J+1 de l’infection
Les attaques internes ne sont pas Les attaques internes ne sont pas toujours déclenchées de manière toujours déclenchées de manière intentionnelleintentionnelle
Réseau de l’entreprise
Passerelle VPN
Le même exemple de propagation d’un ver comme Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPNBlaster ou Sasser au travers d’un VPN
InternetDimancheJour J de l’infection
LundiJour J+1 de l’infection
Les connexions distantes Les connexions distantes peuvent également peuvent également compromettre la sécuritécompromettre la sécurité
Tunnel VPN
Une approche de la Une approche de la segmentationsegmentation
En terme de sécurité, les pare-feux sont En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internetd’entreprise des réseaux publics comme Internet
Aujourd’hui, il est devenu nécessaire de procéder à Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs)delà de la simple segmentation réseau (VLANs)
La segmentation des réseaux internes revient à La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du implémenter le principe du pare-feu au cœur du réseau de l’entreprise réseau de l’entreprise en intégrant l’analyse en intégrant l’analyse (jusqu’au niveau de la couche application) des flux(jusqu’au niveau de la couche application) des flux
Principes de la segmentation Classification Classification
Réseau « publique »
Réseau de confiance
Réseau sensible
Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées.
Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise.
Fonctionnement des RPC DCEFonctionnement des RPC DCE
Serveur RPC Serveur RPC (ex: Exchange)(ex: Exchange)Serveur RPC Serveur RPC
(ex: Exchange)(ex: Exchange)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)Client RPC Client RPC
(ex: Outlook)(ex: Outlook)
ServiceService UUIDUUID PortPort
ExchangeExchange {12341234-{12341234-1111…1111…
44044022
AD AD replicationreplication
{01020304-{01020304-4444…4444…
35435444
MMCMMC {19283746-{19283746-7777…7777…
92392333
Les services RPC Les services RPC obtiennent des port obtiennent des port aléatoires (> 1024) lors aléatoires (> 1024) lors de leur démarrage, le de leur démarrage, le serveur maintient une serveur maintient une tabletable
135/tcp135/tcp
Le client se Le client se connecte au connecte au
portmapper sur le portmapper sur le serveur (port tcp serveur (port tcp
135)135)
Le client connaît Le client connaît l’UUID du service l’UUID du service
qu’il souhaite qu’il souhaite utiliserutiliser
{12341234-1111…}{12341234-1111…}
Le client accède à Le client accède à l’application via l’application via le port reçule port reçu
Le client demande Le client demande quel port est quel port est associé à l’UUID ?associé à l’UUID ?
Le serveur fait Le serveur fait correspondre l’UUID correspondre l’UUID avec le port courant…avec le port courant…
4402/tcp4402/tcp
Le RPC End Le RPC End Portmapper répond Portmapper répond avec le port et met avec le port et met fin à la connexionfin à la connexion
4402/tcp4402/tcp
Du fait de la nature aléatoire des ports utilisés par Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est les RPC, l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feudifficile sur la majorité des pare-feu
L’ensemble des 64,512 ports supérieurs à 1024 ainsi que L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu le port 135 doivent être ouverts sur des pare feu traditionnelstraditionnels
Attaques RPC potentiellesAttaques RPC potentielles
Reconnaissance (Reconnaissance (FingerprintingFingerprinting))RPCDumpRPCDump
RPCScan (http://www.securityfriday.com)RPCScan (http://www.securityfriday.com)
Déni de service contre le portmapperDéni de service contre le portmapper
Élévation de privilèges ou attaques sur d’autres servicesÉlévation de privilèges ou attaques sur d’autres services
VerVer : : Blaster, Welchia Blaster, Welchia
BotNet : GaoBot, Spybot, RandexBotNet : GaoBot, Spybot, Randex
Serveur Serveur application RPCapplication RPC
ISA Server ISA Server 2004 avec 2004 avec filtre RPCfiltre RPC
Seul le port TCP 135 (RPC End Portmapper) est ouvertSeul le port TCP 135 (RPC End Portmapper) est ouvertLes ports > 1024 sont ouverts/fermés dynamiquement pour Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) en fonction des besoinsles clients (applications RPC) en fonction des besoins
Inspection du trafic vers le RPC End Portmapper au Inspection du trafic vers le RPC End Portmapper au niveau applicatifniveau applicatif
Seuls les UUIDs de l’application RPC sont autorisés à Seuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autrel’exception de tout autre
Filtrage applicatif RPC - principe
Application cliente RPCApplication cliente RPC
Démonstration filtrage RPCDémonstration filtrage RPC
Scan
RPC
SynthèseSynthèse
Contrôle des flux applicatifsISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les
infrastructures Microsoft et non Microsoft.
Un pare-feu supportant un grand nombre de scénariosProtection des flux sortants vers Internet, des serveurs exposés
sur Internet, des ressources internes par segmentation, filtrage des connexions VPN.
Produit extensibleNombreux filtres complémentaires disponible auprès d’éditeurs tiers. Developpement de filtres adaptés à vos besoins grâce au SDK fourni.
Ressources utilesRessources utilesSite Web MicrosoftSite Web Microsoft
www.microsoft.com/isaserverwww.microsoft.com/isaserver
www.microsoft.com/france/isawww.microsoft.com/france/isa
Webcast et séminaires TechNetWebcast et séminaires TechNet (Gratuits) (Gratuits)
Sites externesSites externeswww.isaserver.orgwww.isaserver.org
www.isaserverfr.orgwww.isaserverfr.org
isatools.orgisatools.org
Newsgroup françaisNewsgroup françaisMicrosoft.public.fr.isaserverMicrosoft.public.fr.isaserver
Kits de déploiementKits de déploiement
BlogsBlogsBlogs.msdn.com/squastaBlogs.msdn.com/squasta
Kits d’évaluation ISA ServerKits d’évaluation ISA ServerVersion d’évaluation (120 jours)Version d’évaluation (120 jours)
CD (livres blancs et guide déploiemeCD (livres blancs et guide déploiement)nt)
Questions / RéponsesQuestions / Réponses
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com