User Tools

Site Tools


formationsecurite:firewallwindows

20/05/2005

ISA server 2000

Introduction aux firewalls

Firewall=composant de la sécurité Definition : methodologie dont l'objectif est de protéger le réseau de l'extérieur via 2 Types de firewall :

  • software : ex checkpoint,zone alarm, iptable,isa
    • acheter hardware
    • acheter OS ou linux+installation + securite
    • acheter software +installation + configuration
    • aucune certification sécurité (confiance uniquement)
    • obligé de suivre les patches de sécurite de l'OS,Software
  • > cout plus important car maintenance trop grande et mtbf faible
  • hardware ou appliance : Ciscopix, netscreen,checkpoint
    • hardware dedicace
    • système secure pour le role qu'il va jouer (satisfaire les carac icsa)
    • mtbf élevé: temp moyen avant premiere panne
    • Installation deja réalisée
    • Possede une certification securite élevé
  • > futur : appliance

ISA intègre par défaut les authentifications Windows Caractéristiques:

  • capable de Packet filtering et stateful inspection
  • stateful:
    • communication ok de l'intérieur vers l'extérieur + suivi des connexions
    • ext→ int KO, canal peut s'ouvrir sous certaines conditions
    • peut se faire sur n'importe quelle couche (ISA va jusqu'à la couche 7)
  • capable de faire du transport mode si firewall en cascade et NAT configure sur tous les firewall → ralentissement du trafiic
  • capable de faire de l'IDS basé sur les attaques les plus connues

Proxy

Définition : quelqu'un qui va faire quelque chose pour quelqu'un d'autre Caractéristiques :

  • capable de faire du NAT
  • va chercher l'info au nom de ?
  • capable de faire du packet filtering
  • capable de gérer selon l'authentification
  • web caching: stocke les pages web déjà visitées (efficacité mauvaise dûe à la grandeur de la ligne internet)

ISA

2 types :

  • standard edition
    • max 4 CPU
    • stand alone server only
    • cache hiérarchisé
    • pas d'AD
  • enterprise edition :
    • pas de limite de CPU
    • grouper plusieurs serveurs ISA pour faire de la fault tolerance ou distribuer la web cache, load balancing
    • totalement integre à l'AD
    • configuration centralisée

Caractéristiques :

  • packet filtering
    • application filtering (Verifie le contenu des data)
    • socket filtering
    • email security
    • web security
    • secure server publishing
    • secure VPN: permet de passer à travers
    • system hardening: procédure du bridage de l'OS
    • identification forte: Kerberos, Certificat, NTLM
    • IDS:
      • scan de tout les ports
      • scan d'un port + slide 14
    • web caching
      • scheduled caching: met en cache hors heure de pointe
      • smart caching
      • distributed caching: fractionner ,seulement sur la version entreprise
      • hierarchical caching: va chercehr sur le serveur isa le plus proche

3 types de client ISA

  • secure NAT: nimporte quel machine qui a comme defaut Gateway ISA server
    • pas de gestion de l'authentification
    • sur n'importe quel OS
  • firewall client: intercepte toute les application qui cree des socket en Windows et les analyse
    • gestion de l'authentification
    • seulement sur OS windows
  • web proxy client: configurer directement sur le browser
    • gestion de l'authentification
    • sur n'importe quel OS
    • support HTTP, HTTPS

Dessin d'une architecture reseau securise

DMZ ou perimeter network = zone sécurisée pour publier des services de l'interieur vers l'extérieur → three perimeter port:

  • 1 pour intenet
  • 1 pour le DMZ
  • 1 pour le réseau privé

→ Back to back perimeter network : 2 firewalls (page 22)

Chaque règle est basée sur 3 choses:

  • IP
  • protocole
  • port

IP de la DMZ est soit privée (doit avoir un firewall NAT) soit publique (firewall transparent).

23/05/2005

On ne met jamais un serveur de mail qui stocke des mails dans une DMZ (sinon on baisse la sécurité).

Exercice

Comment calibrer une DMZ?

http://callendor.zongo.be/wiki/images/ex_fw.png

DG = default gateway

  • ajouter un relais SMTP dans la DMZ
  • ajouter un DNS public dans la DMZ: on rajoute un mapping: 164.15.59.11 → 192.168.1.11

#|

private internet remarque
192.168.0.0/24 any any 0.0.0.0 any any tout le trafic sortant est autorisé
DMZ Internet remarque
192.168.0.10/32 TCP 25 any TCP 25 envoyer les emails vers l'extérieur
192.168.0.11/32 DNS any TCP DNS DNS peut interroger les DNS publics pour la résolution de noms
Internet DMZ remarque
any TCP any 164.15.59.210 TCP 25 recevoir les emails de l'extérieur
any UDP any 164.15.59.211 TCP-UDP DNS autoriser l'interrogation du DNS depuis l'extérieur
DMZ private remarque
192.168.1.10/32 TCP 25 192.168.0.11/32 TCP 25 relais SMTP vers exchange
private DMZ remarque
192.168.1.11/32 DNS any TCP DNS exchange peut contacter SMTP relay dans DMZ

Problème: on est open DNS: pour changer ça, refuser les recursives queries et DNS ne peut pas sortir de lui-même (initier). Pour la résolution DNS du SMTP relay (pour pouvoir envoyer les mails), il doit interroger le DNS dans la zone privée (ou bien ajouter un autre DNS server dans la DMZ juste pour ça.

Open DNS: consomme BP et process → peut réduire la disponibilité → c'est un problème de sécurité.

Exercice 2

Même schéma, on remplace le serveur DNS par un serveur web (HTTP) dans la DMZ. Ce serveur web doit accéder à une base de données. Où va-t-on la placer?

2 types de DB:

  • serveur (type SQL, authentification dépend du serveur)
  • flat files (authentification NTFS)

2 endroits:

  • DMZ
  • private

Si accès fichier en private: on fait un share

  • RPC
  • Netbios
  • protocoles d'authentification

Pas très efficace → Si flat file, on le met en DMZ.

Si accès DB → Single sign on → authentification Windows.

Avec la DB dans la DMZ, on met une copie dans la private et une copie dans la DMZ (accédée par le serveur web).

Exemples:

  • catalogue e-business online

DB dans private (mise à jour par user) et DB dans DMZ (mise à jour pas webserver)

Parfois: 2 DMZ:

  • HTTP, DNS, etc.
  • SQL

Exchange avec webmail.

Exchange en private Webserver + Exchange (sans mailboxes) dans DMZ Authentification → accès à Exchange en privé (avec données = mailboxes)

On choisit donc l'architecture en fonction des besoins et des contraintes. “Il n'y a pas une bonne solution.”

MS Sharepoint portal server (basé sur SQL server): CMS avec partage de documents. Si met SQL server dans privé, problème avec firewall (parce que plusieurs connexions en même temps) → parfois on laisse la DB sur le serveur portail: pas top point de vue sécurité, mais difficile de faire autrement.

On a oublié les mises à jour du serveur web (gestion serveur):

  • gestion patches
    • mbsacli.exe /hf
    • télécharger XML
    • télécharger patches
  • > il pouvoir sortir en HTTP
  • si serveur planté: accès à distance

Gestion outbound: modem Gestion inbound: réseau

On va autoriser depuis quelques IP de machines internes l'accès au serveur.

Ajouter dans le DNS interne un record www vers le serveur web (sinon il n'y arrive jamais, puisque c'est test.be des 2 côtés).

Installation d'ISA 2000

AD Logical Structure Design

Installer::

  • hors du domaine (stand alone): pas de groupe :(
  • member server: on peut faire des groupes → intégration authentification :)
  • DC: dangereux: si craque firewall: accès à l'AD

Il faut créer un nouveau domaine hors de la forêt:

  • un DC pour créer la nouvelle forêt
  • un serveur ISA
  • one way trust du domaine ISA server vers chacun des domaines de la forêt: ISA fait confiance à furniture.com → on peut s'authentifier sur DC dans domaine du serveur ISA pour accéder à l'extérieur

Hardware

  • redondance disque
  • UPS
  • processeur:
    • < 10 Mbs → Pentium II 300 MHz
    • 10-50 Mbs → Pentium III 500 MHz (+ 1 CPU par 50 bps supplémentaire)
  • mémoire:
    • < 250 users → 192 Mo
    • > 2000 users = 256 Mo
  • disque dur
    • 10 Go par 2000 utilisateurs
  • une license ISA par processeur

Installation

3 modes (choix une fois pour toutes):

  • firewall
  • cache
  • intégré: proxy + cache + firewall

D'abord installer Windows 2000, patcher, puis installer ISA. Extension du schema → irréversible

RAS remplacé par son propre service NAT remplaceé par son propre service stack IP remplacé par stack propre à ISA

Si IIS sur ISA, faire très attention parce qu'ISA utilise certains ports à usage du proxy (8080: admin IIS et proxy ISA) Attention: définir “l'intérieur” et “l'extérieur”: dans la local area table (que réseau privé, pas DMZ), pas toujours se fier à l'automatique.

ISA services:

  • MS Firewall
  • MS H323 gatekeeper
  • ISA server control
  • scheduled cache content download
  • MS search
  • MS web proxy

Install:

  • NTFS 5 Go
  • ISA = DC (pas bon en prod, mais ici c'est pour voir l'authentification)
  • AD = forêt
  • domain1.be
  • NIC PCI: 10.10.3.1 (DG = default gateway = 10.10.3.250)
  • USB: 10.10.5.1

Installation de base

cocher IIS

Post-installation

  • installer les pilotes nvidia fournis sur le CD-ROM
  • installer le DNS: Start → Settings → Control Panel → Add / Remove Program → Add /

Remove Windows Component → Network → DNS

<code>dcpromo</code>
  * new domain, tree, forest

Je me suis trompé: 10.10.5.1, c'est l'adresse IP pour le DC (sur l'interface USB), puisque le firewall doit

être sur un autre réseau (10.10.3.1, puisque le gateway de la salle,c'est 10.10.3.250). Donc, c'est auprès de 10.10.5.1 qu'on doit s'enregistrer comme DNS.

My Network places → click droit → properties → choisir le réseau pour la carte USB (le

2e) → clic droit → propriétés → ~TCP/IP → propriétés

Installer ISA:

  • mettre le CD
  • installer ISA
  • key: tous des 1
  • full installation
  • computer can't join an array: do you want to continue? → Yes
  • choisir integrated
  • IIS publishing service stopped: reconfigurer IIS pour qu'il n'utilise pas les ports 80 et 8080 ou bien désinstaller IIS
  • cache tout par défaut
  • local address table: carte interne 10.10.5.0/24 (exclure 10.10.3.0/24, c'est l'extérieur)
  • ne pas démarrer le wizard

sur la workstation

Il y a une workstation qu'il faut faire rentrer dans domain1.be avec l'IP 10.10.5.11 qui s'appelle ws11. La brancher sur le switch avec le serveur ISA. Enregistrer la machine dans le domaine. Il y avait une erreur, la machine s'appellait ws31 et il y en avait une autre qui s'appellait comme ça sur le même switch. J'ai dû la sortir du domaine (workgroup), rebooter, la renommer, la remettre dans le domaine, rebooter.

Patches pour ISA: aller chez MS, récupérer le dernier service pack et l'installer, plus

patches après.

Sur l'interface externe, décocher “Client for MS networks” dans Internet Properties et aussi

diable Netbios over ~TCP/IP

Gestion: Start → Programs → Microsoft ISA server → ISA Management View → Advanced Internet Security and Acceleration Server → servers and arrays → ISA1 → computer → ISA1

(dans l'autre fenêtre) → clic droit → secure… → choisir “Secure” system security level Reboot Vérifier

  • LAT: ISA1 → Network → Local Address Table
  • que les 3 services tournent ISA1 → Monitoring → Services

Il y a des feature packs qui ajoutent des règles de filtrage.

Planning ISA Client Config

Il existe un client pour NT: \\ISA1\mspclnt

On n'installe jamais le client firewall sur un serveur ISA.

Le client une fois installé essaie de trouver le serveur ISA.

Quand on a installé le client sur une workstation, lorsqu'on clique sur MSIE, il installe

pour l'utilisateur (uniquement) les paramètres proxies. Pour tous les autres utilisateurs, s'ils doivent aussi utiliser le proxy, soit détection

dans les settings MSIE (auto-discovery), soit GPO.

Auto-discovery: ISA: ISA1 → click droit → properties → tab auto-discovery → cocher Configurer dans serveur DHCP: WPAD: se trouve à l'URL: http://isa1.domain1.be:80/wpad.dat

Local Domain Table: domaines internes (pour lesquels il ne faut pas sortir).

Backup de la config: ISA1 → clic droit → Backup… et restore quand ça s'impose.

ACLs Windows intégrés dans ISA: On peut donc le cas échéant attribuer la configuration d'une partie d'ISA à une personne spécifique. Cependant, en règle générale, la gestion d'ISA est confiée à une personne ou une équipe.

Monitoring

Gestion des alertes: ISA1 → Monitoring Configuration → Alerts On peut choisir d'être averti pas log (event viewer), email, SMS, etc.

Logs: ISA1 → Monitoring Configuration → Logs On peut les envoyer dans une DB. A conserver (seule preuve d'attaque, de tentative d'intrusion, etc.).

Rapports: ISA1 → Monitoring Configuration → Report Jobs cf. slides 81-82.

Outbound access

3 types d'access policies pour les accès sortants:

1.  site & content
2. protocol rules
3. IP packet filtering

Pour que 1 et 2 fonctionnent, il faut une intersection entre les règles. Par défaut, dans 1 tout est autorisé, rien dans 2. Si on rajoute une règle (dans 2) “HTTP only” qui autorise le HTTP uniquement: ISA1 → Access Policy → Protocol Rules → clic droit → New → rule → allow → selected protocols → http

N.B: sur le browser de la machine cliente, ajouter un proxy (adresse = serveur ISA, port: 8080).

Pour packet filtering (3), il bypass 1 et 2. slide 88 et 110.

Une règles désactivée != règle deny

Règle deny > règle allow

Si une règle dit: en sortie, tout est permis 2e règle dit: si POP3, deny → si qqn veut faire accès POP, il est refusé

Dans un firewall traditionnel: dès qu'il trouve une règle qui matche, il applique → l'ordre des règles importe

24/05/2005

Avantages du client firewall par rapport au secure nat (NAT qui est installé d'office avec ISA server): on peut sortir en smtp parce que les socks sont gérés différemment.

Authentification: Il faut que pour 1 et pour 2, aucune règle ne peut être anonyme → basé sur groupes Windows. Si on veut sortir avec MSIE en bypassant le proxy, pas possible. Comme client du proxy, possible après authentification.

Tous les firewalls sont basés sur des objets. Ex: heures de travail:

  • utilisateur lambda: de 12 à 14: smtp, pop3, http, https
  • département informatique: tous les protocoles n'importe quand
  • utilisateur privilégié: smtp, pop3, http, https tout la journée

Définir:

  • horaires
  • protocoles
  • groupe Windows à créer

Client address set: ensemble d'IP à un nom

Dans l'outbound access, on n'utilise pas les IP Packet filters. Uniquement avec Site & Content Rules et Protocol Rules. Parfois pas possible (ICMP), alors on l'utilise.

Policy Elements → Protocol Definitions: on y définit les protocoles pour Access Policy → Protocol Rules

Des bonnes règles dans un firewall sont pré-établies: je veux arriver à tel résultat, je planifie les Protocol Definitions et puis je les utilise dans Protocol Rules + Site & Content Rules.

Créer des groupes (policy element), y mettre les utilisateurs ou d'IP dedans et puis faire deny everything sauf HTTP.

Pour définir des règles liées à des groups Windows (définis dans l'Active Directory): Site & Content Rules → rule → clic droit → properties → onglet applies to → Users and groups specified below → add

Pour éviter de télécharger des types de fichiers (défini selon l'extension et en HTTP uniquement), on peut définir ce qui est autorisé ou non: Policy Elements → Content Groups pour la définition Site and Content Rules → règle → Properties → onglet HTTP content

Cache configuration: config cache.

Inbound access

On utilise le packet filtering. Par défaut, elle est activée, mais pas la détection d'intrusion: ISA1 → Access Policy → IP Packet Filter → clic droit → Properties → tab General

“Enable IP routing”: c'est pour que les protocoles de bases couches ISO (ex: ICMP) puissent passer.

Quand on a activé la détection d'intrusion, on peut la configurer (définir ce qu'il faut surveiller): ISA1 → Access Policy → IP Packet Filter → clic droit → Properties → tab Intrusion Detection

Il faut donc aller activer la surveillance de toutes les tentatives d'intrusion → cf. log policies (section Monitoring ci-dessus) pour voir ce qu'il faut faire.

On peut également rajouter des filtres avec un wizard. ISA1 → Access Policy → IP Packet Filter → clic droit → new → filter

Ports dynamiques (> 1024): utilisé après initialisation de la connection. Se retrouve dans les connexions interieur → extérieur: on ne doit pas utiliser les packet filters pour ça. Peut se retrouver entre intérieur (private) et DMZ (ex: pour un backup sharepoint si on n'a pas fixé les ports).

Applications filters: ISA scanne le trafic. Quand il trouve quelque chose qui correspond à l'application et la règle définie, il exécute la règle. Ex: refuser les emails de hotmail.com, jeter les emails avec un attachement .exe Il existe des API pour les développeurs pour créer de nouveaux filtres applicatifs, mais au niveau utilisateur on ne peut pas rajouter de filtres.

N.B: quand on redémarre les services ISA, toutes les connexions internet sont coupées.

Designing Perimetric Networks

Accès aux serveurs internes via DMZ.

Parfois, pas utiliser packet filter, mais du publishing, une technique propre à MS. Exemple: accéder à un web server en interne depuis l'extérieur ISA1 → Access Policy → Publishing → Web Publishing Rules → clic droit → new → rule

ISA1 → Access Policy → Publishing → Server Publishing Rules → clic droit → secure mail server: on définit un serveur mail externe et on le mappe avec une IP interne

ISA1 → Access Policy → Publishing → Server Publishing Rules → clic droit → new → rule On peut choisir un tas de scénario (DNS, HTTP)

Avantage du publishing par rapport au mapping: mapping ne contrôle pas la connexion. Exemple: si publie serveur mail: autorise pas telnet sur port 25.

NAT = prendre un socket et le transformer en un autre socket.

Listeners

Par défaut, ISA n'écoute pas: il s'en fout de ce qui vient de l'extérieur. ISA1 → clic droit → properties → tab Incoming Web Requests Une fois publié quelque chose qui doit être accessible de l'extérieur, il faut rajouter un listener.

Requête en HTTPS de l'extérieur → ISA → web serveur en SSL avec certificat Il faut ramener le certificat du web serveur sur le serveur ISA. Une fois que le browser client de l'extérieur a accepté le certificat, ISA laisse passer la connexion jusqu'au web server, mais en HTTP. Avantage: le firewall peut contrôler ce qui passe dans les requêtes HTTP et il peut éventuellement filter.

Reverse proxying utilisé pour sécurisation de serveurs dans DMZ.

Pourquoi avoir 2 ISPs?

  • plus de bande passante
  • redondance: définir failover sur firewall (avec BGP et une classe C: pour être complet en utilisant BGP, il faut une classe C)

ISA et PPTP VPNs

PPTP ou IPSEC à travers un proxy ne marche pas (c'est le proxy qui va chercher pour moi). On peut avoir des tunnels entrants PPTP avec ISA

ISA1 → Access Policy → IP Packet Filter → clic droit → new → filter → allow packet transmission → predefined filter → PPTP call

ISA 2004

  • plusieurs DMZ possibles
  • interface graphique différence
  • VPN quarantaine
    • cf. conférence sécurité: le problème = les clients (zombies, etc.) - VPN (ex: avec portable): tout passe une fois la connexion établie
    • VPN quarantaine: signature virus > 10 jours, pas d'anti-virus, il manque des patches Windows → si satisfait à toutes les règles, accès limité au réseau interne (ex: accès à un serveur mail pour télécharger ses emails), sinon refus
  • SSL appliance
    • VPN: client VPN → tunnel → VPN gateway (authentifie, etc.) = compliqué: installer un client sur la machine → install server mail (Exchange) + certificat, et je donne accès en HTTPS via un webmail - avantage: pas besoin de client, un browser suffit
    • pourquoi mettre à disposition que de HTTP? Pourquoi ne pas faire ça avec des fichiers internes (possible avec IIS ou on fait un share qu'on mappe sur un virtual directory sur HTTPS) → les gens n'aimaient pas
    • autre solution: SSL appliance
      • mobilité
      • pas de client
      • business (gagner de l'argent): il n'y a rien de nouveau, c'est fashion
    • accéder à ressources internes: accès à SSL appliance (box): browser s'y connecte; dans la box, il y a des services publiés (ex: webmail en HTTPS; la box redirige le browser du client vers le serveur webmail)
    • qu'est-ce qui est plus sécurisé? le client VPN avec certificat parce qu'il faut le client VPN (soft), le certificat
    • ajouter des nouveaux services (marketing): service de collaboration (instant messaging)
    • la SSL appliance doit être dans une DMZ (derrière le firewall), pas à côté du firewall (SSL appliance ne détecte pas les attaques, si elle est craquée, on est tout nu)
    • destination du VPN peut être la DMZ
    • SSL appliance ne remplace pas le firewall, c'est un service en plus → on paie (de l'ordre de 3000 EUR HTVA pour 10 utilisateurs chez Juniper)
    • on peut même acheter 2 SSL appliances pour faire un tunnel SSL pour relier 2 sites distants à travers internet

SSL vs IPSEC

SSL juste en-dessous de couche 5. SSL ne fournit que l'encryption, pas l'authentification (parce qu'on se trimbale pas avec son certificat, sinon c'est plus clientless)

IPSEC fait l'authentification, il n'est pas sensible au man-in-the-middle et à l'IP spoofing, ce qui n'est pas le cas avec SSL (puisqu'il est au-dessus de ~TCP/IP).

formationsecurite/firewallwindows.txt · Last modified: 2013/01/30 17:52 (external edit)