Firewalls

ISA Server 2004 como Firewall

de Aplicación
Bit Defender Chema Alonso
MS MVP Windows Server Security
Informatica64

José Parada
IT Pro Evangelist
Microsoft
Firewalls
Conceptos Básicos
La seguridad como necesidad
Los sistemas ya no están
aislados.
Localmente conectados en redes
LAN.
Amenazas internas.
Globalmente conectados a través
de Internet.
Amenazas externas.
Estrategia de Seguridad

Para que la seguridad sea efectiva, ha de

implementarse en múltiples capas.
En la conexión con Internet
Entre departamentos
En cada máquina.
En cada punto se ha de poder
inspeccionar el trafico.
Firewalls ó Cortafuegos
Se introducen entre redes para cortar
tráfico.
Implican la separación física de las redes
para permitir que pasen o no los mensajes.
Pueden inspeccionar la torre completa de
comunicaciones y reconocer sesiones.
Nos defienden de ataques de red, Virus y
Spam
Sirven como herramienta de Auditoria.
Arquitecturas:
Hardware vs Software
Hardware o Appliance
Montados con arquitectura de PC normal o sobre
un ASIC (Aplication Specific Circuit)
Sistema Operativo pre-configurado para máxima
seguridad.
Actualizaciones mas costosas.
Software
Se puede instalar sobre varios SO y sobre varias
plataformas.
Mas fáciles de actualizar
Arquitectura:
Host vs De Red
De Host: Los implementados en la propia máquina
Solo protegen una máquina
Tienen funcionalidades limitadas
Ejemplos: Windows Xp ó 2003
De Red: Los implementados para proteger una red
o subred.
Protegen un conjunto de máquinas
Gestionan mas trafico y mas protocolos para múltiples
redes
Tienen mas funcionalidades como logs, reportes y
administración. Mas caros
Niveles de Filtrado
7. Aplicación (HTML, SMTP, etc..) Filtrado de Aplicación
6. Presentación

5. Sesión

4. Transporte (TCP,UDP) Filtrado de Red

3. Red (IP) Filtrado de Paquetes

2. Conexión

1.Físico
Filtrado de Paquetes

Examinan la direcciones IP y las opciones

de las cabeceras y en función del análisis
permiten o deniegan el trafico.
Utilizan tres tecnologías:
Filtrado estático
Filtrado dinámico
Filtrado con inspección de estado
Filtrado de Red

Filtrado de direcciones IP, puertos, tipo

de protocolos y flags de cabeceras.
Pueden restringir tráfico en función de las
maquinas que lo generan, pero no de los
usuarios.
Inspeccionan la sesión de
comunicaciones. Una sesión puede tener
mas de una conexión.
Filtrado de aplicación
Filtran los paquetes basándose en la
información de los datos que contiene el
paquete
Inspeccionan y reconocen el protocolo utilizado
en una sesión.
Pueden utilizar para la toma de decisiones
todos los objetos de seguridad de una red
integrándolos en un árbol LDAP.
Reglas complejas que pueden requerir el
establecimiento de sesiones completas entre
firewall y el cliente.
Microsoft y la Seguridad
Originalmente Windows fue diseñados como
SO para PC’s de usuario y no como SO de
Red.
En este escenario la seguridad era menos
importante que las funcionalidades o facilidades
para los usuarios.
Con los problemas de seguridad crecientes,
Microsoft tiene que cambiar la filosofía de sus
productos.
Trustworthy Computing. SD3
Productos específicos para la seguridad (ISA
Server)
Errores de Concepto

Los Firewalls vía software son inseguros

Cualquier Firewall sobre plataforma
Windows es inseguro.
ISA Server es una buena solución como
Proxy, pero además necesito un Firewall.
Un buen Firewall ha de ser complicado de
configurar y su configuración ha de ser
mediante comandos.
ISA Server EE
ISA Server: Novedades
Enterprise Edition
Gestión Empresarial
Arrays
Network Load Balancing
ISA Server 2004 Appliance
Pre-configurado y Pre-testeado
Configuración bastionada para reducir la
superficie de ataque
Sencillez
ISA Server SE 2004 SP1
Introducción
Arquitectura ISA Server 2004

Firewall multired:
Nivel de Red.
Nivel de Aplicación.
Servidor VPN:
Túneles.
Clientes.
Servidor Caché.
Soporte Multired
ISA Server 2004 divide los sistemas de red en función de las
necesidades planteadas en el marco de la seguridad.
Definición de redes y grupos de redes.
Definición de la interconexión entre redes mediante NAT o
enrutamiento.

Permite gestión independiente.

Presenta soporte para redes.

Internas.
Perimetrales.
Externas.
Interconexión sitios VPN.
VPN de Cuarentena
Características de seguridad.
Filtros IP.

Reglas de acceso.

Publicación de servicios.

Filtros de aplicación.
Filtros IP

Filtrado IP a nivel de paquetes.

Inspección de parámetros en cabeceras.

Bloqueos de fragmentos IP.

Reglas de acceso

Controlan el tráfico de información a través de las

redes.

Determinan la configuración de origen, destino,

protocolos y usuarios que realizan la conexión.

La aplicación de las reglas se determinan en un orden,

quedando predefinida una regla que deniega cualquier
tráfico de red.
Reglas de acceso
ISA Server 2004 proporciona una serie de reglas con
los que se puede controlar la información que circula
por la red en función de:
Protocolos.

Usuarios.

Tipos de contenido.

Franjas de tiempo.

Objetos de red.
Reglas de Publicación
Se utilizan para publicar servidores.

Asistentes de publicación:
Web Server.

Secure Web Server.

Mail Server.

Definición de servidores por servicios.

Firewall de aplicación
Necesidades
Inspeccionar el tráfico al nivel de aplicación.

Permitir o denegar el paso de datos a determinados

contenidos o aplicaciones.

Proporcionan controles sobre determinados ataques.

Sistema extensible sobre filtrados de conexiones.

Métodos de implementación
Implementadas directamente sobre las reglas de
acceso y las publicaciones.

Como un añadido sobre reglas y publicaciones.

Como funcionalidad sobre ISA a nivel Firewall.

Filtro HTTP
Las necesidades de la empresa permiten el tráfico a
través del puerto 80.

Por el puerto 80 no solo viaja tráfico HTTP puro, sino

que puede disfrazar otras comunicaciones.
Malware.
P2P.
Servicios de mensajería …

Determinados ataques contra Servicios Web pueden

ser controlados a este nivel.
Controles HTTP
Mediante el filtro HTTP pueden ser controlados estos
aspectos de la comunicación:

Técnicas de Buffer Overflow.

Denegación de servicio.

Subida de datos en escenarios de publicación.

Control de métodos.

Control de cabeceras.
Filtro contenido HTTP
Controlan el tráfico de datos a través de firmas.
En transmisión de datos.

En recepción de datos.

Impedir tráfico a palabras claves.

Control de acceso a sitios web.

Detención de comunicaciones de aplicaciones por firma

y cabecera.
Control de aplicaciones HTTP
Aplicación Petición Cabecera HTTP Firma
Windows Messenger Request headers User-Agent: MSMSGS

AOL Messenger (and Request headers User-Agent: Gecko/

Gecko browsers)

Yahoo Messenger Request headers Host msg.yahoo.com

Kazaa Request headers P2P-Agent Kazaa, Kazaaclient:

Kazaa Request headers User-Agent: KazaaClient

Kazaa Request headers X-Kazaa-Network: KaZaA

Gnutella Request headers User-Agent: Gnutella

Gnucleus
Edonkey Request headers User-Agent: e2dk
Morpheus Response header Server Morpheus
Filtro Proxyweb
Se aplica de forma directa sobre HTTP.

Permite la extensión del filtro HTTP y de autentificación

sobre otros protocolos.

Garantiza el control sobre comunicaciones en entornos

propietarios.
Protocolos RPC
Un número considerables de servicios se establecen
mediante RPC.

Problemática de las transmisiones RPC.

Inicio de comunicación sobre 135 para localizar el puerto de
comunicación.

Establece comunicación en puertos por encima de 1024.

El administrador no debería abrir todos los puertos por

encima del 1024.
Filtro RPC
Las comunicaciones RPC se pueden parametrizar por
el UUID.
Identificador del servicio RPC.
Identificador del interface.

ISA Server 2004 presenta un asistente para la creación

de protocolos RPC basados en UUID.
Manual.
Automáticamente conectando a un servidor y seleccionando sus
UUID correspondientes.

El servicio de Firewall aplica con posterioridad los filtros

para permitir la transferencia de datos a UUID
determinados.
Transmisión RPC
Filtro SMTP

ISA Server 2004 para el protocolo SMTP presenta

un filtro que realiza el control de los comandos
SMTP.

Se puede ampliar la funcionalidad del filtro SMTP

mediante Message Screener.
Message Screener

Message Screener se instala como un componente adicional

de MS ISA 2004.

Puede ser instalado sobre cualquier servidor que ejecute IIS

5.0 o 6.0 y tenga instalado el Servidor SMTP.

No se recomienda su implementación sobre el servidor MS

Exchange Server 2003, ya que podría interferir en los filtros
propios.
Implicaciones de Implantación
En función de los escenarios de implantación, habrá
que tener en cuenta las siguientes medidas:

Publicar DNS para reconocer los Servidores de

correo Internos.

Publicar o crear las reglas de acceso

necesarias para los servidores SMTP.

Establecer conexiones entre servidores SMTP.

Message Screener
Message Screener aporta mayores
funcionalidades que el filtro smtp controlando:

Palabras en cabecera o cuerpo del mensaje.

Permite parar Virus difundidos por e-mail cuando aún no
hay vacunas.

Bloqueos de remitente y dominios.

Correos con attachments.

Message Screener

Cuando se aplica una regla de filtrado se

pueden establecer 3 acciones diferentes:

Eliminar el mensaje.

Retener el mensaje para inspeccionarlo

posteriormente.

Enviar una notificación a una dirección de correo.

Filtro FTP
Controla la conexión a través de los puertos dinámicos
FTP.

Realiza la conversión de las direcciones para los

clientes SecureNat.

Controla los procesos de escritura, prioritariamente en

entornos de publicación.
Filtros de autentificación
ISA Server 2004 presenta una serie de
mecanismos para garantizar los procedimientos
de autentificación.

Integración con Directorio Activo.

Filtro Web RSA para autentificación de usuarios SecurID.

Filtro de autentificación Radius.

Filtros de formulario de autentificación para OWA.

 Demo
Filtro HTTP
Message Screener
Bridging HTTP-s con ISA
Server 2004
“Problemática” HTTP-s
Conexiones HTTP-s ofrecen:
Autenticación mediante certificados.

Cifrado mediante tuneles SSL.

Conexiónes HTTP-s condicionan:

Transmisión datos extremo-extremo.

Paso a través de sistemas de protección de forma

oculta.
“Problemática” HTTP-s

Conexiones HTTP-s
Firewalls e IDS no pueden inspeccionar
tráfico.

Ataques pasan sin ser detectados por

firewalls:
SQL Injections.
Cross-Site Scripting (XSS)
Red Code.
Unicode.
“Problemática” HTTP-s

Cifrado y autenticado es útil contra:

Sniffers.
Man In The Middle.

Pero hay que dejar que los sistemas de

protección inspeccionen el contenido.
Firewalls.
IDS.
Bridging HTTP-s

El proceso de Bridging en conexiones

HTTP-s permite que las conexiones se
cifren en dos tramos.

Entre cliente y Firewall.

Entre Firewall y Servidor.

Bridging HTTP-s
Ventajas:
El Firewall puede inspeccionar el contenido.

Se pueden aplicar reglas mediante filtros.

Se pueden detectar ataques.

No se pierde seguridad.

Si se desea, se puede dejar descifrado para

inspecciones NIDS.
Bridging HTTP-s
MS ISA Server 2004 permite:

Tunneling HTTPS por cualquier puerto.

MS ISA Server 2000 hay que configurar
puertos SSL.

Bridging HTTPS con:

Cifrado entre cliente-firewall y firewall servidor.
Cifrado entre cliente-firewall.
Cifrado entre firewall-Servidor.
 Demo
Bridging HTTPS
Sistema de detección de
intrusos
Detección de Intrusos

El servicio proporciona un mecanismo para

identificar cuando se está produciendo un
ataque.

ISA Server compara el tráfico de red con

registros y patrones de ataques bien conocidos.

Cuando un ataque es reconocido se genera

una alerta.
Controles
Ataques Winnuke.

Ataques tipo Land.

Ping de la muerte.

Ataques Half-Scan.

Bombas UDP.

Escaneo de puertos.
Detección de ataques DNS

Desbordamiento de nombres de HOST

sobre DNS.

Desbordamiento de longitud DNS.

Control de trasferencias de zona.

Addons
Addons

ISA Server 2004 presenta una

arquitectura abierta para:
Desarrollar (SDK ISA Server).
Implementar nuevas herramientas.

Software de terceros amplían las

funcionalidades de ISA Server 2004.
Tipos de Addons
Implementaciones de antivirus para ISA Server.

Gestión de tráfico web. Websense.

Gestión de tráfico y aplicación de cuotas.

Ampliación de los componentes Sockets.

Mejoras en sistemas de detección de intrusos.

BitDefender for MS ISA Servers
Why BitDefender for MS ISA Servers?
Firewall Security AV Protection

Microsoft HTTP & FTP BitDefender for

ISA Server traffic MS ISA Servers

With corporate networks being increasingly bombarded by Internet-based attackers, firewalls

are a necessity for today’s enterprise networks. But as firewalls cannot proactively and
completely stop malware, an antivirus scanning of the http & ftp traffic is equally necessary.
BitDefender for MS ISA Servers
What is BitDefender for MS ISA Servers?

BitDefender for MS ISA Servers is the

antivirus solution that offers protection for
HTTP and FTP traffic by integrating with
Microsoft ISA 2004 and 2000 Servers.
 BitDefender for MS ISA Servers -
Brief
Main Features

 HTTP & FTP antivirus scanning

 Filters management
 MMC based, easy to use interface
 Automatic Update
 Reports & Statistics
 Network Management (BDEM)

BitDefender for MS ISA Servers integrates with the firewall and the web cache server,
Microsoft ISA Server (2004 and 2000), through two application (ISAPI) filters offering
antivirus protection for the HTTP, FTP and FTP through HTTP traffic.
BitDefender for MS ISA Servers –
functional diagram
BitDefender for MS ISA Servers

HTTP and FTP Antivirus Scanning

 HTTP filter
 Antivirus scan of HTTP traffic

 Browser comforting

 FTP Filter
 Antivirus scan of FTP Upload traffic

 Antivirus scan of FTP Download traffic

 BitDefender for MS ISA Servers
Antivirus Filters Management
Intelligent system that manages antivirus filters for HTTP and FTP traffic. This system is based
on rules which combine three elements: client groups, content groups and scanning actions.

Rules

Actions
Content Client
per
Groups Groups
protocol
BitDefender for MS ISA Servers
 Content Groups
 Specify lists of MIME (Multipurpose Internet Mail Extensions) types and
extensions.

 Client Groups
 Specify sets of clients identifiable by their IP.

 Actions
 Specify the scanning process per type of protocol: HTTP, FTP upload and FTP
download.
BitDefender for MS ISA Servers
New and Easy to Use Interface

 MMC based interface that offers a

friendly working environment.

 The wizard system implemented in the

interface enhances the usability of the
product while the snap-in system provides
the management functionality.
BitDefender for MS ISA Servers
 Update Module
 Automatic update
 Update through a proxy server
 Update Now (on-demand)
BitDefender for MS ISA Servers
Reports & Statistics
Useful reports with virus statistics and reports regarding the FTP and HTTP traffic.
BitDefender for MS ISA Servers
 Notifications
 The “Alerts” module is a tool used to alert the administrator in case a virus, warning
or error occurred.
 The Alerts are sent through Microsoft ISA Server system

 Integrated with BitDefender Enterprise Manager

 Network management
 Update from a network location
 Demo
Demo: HTTP & FTP AV
Protection
BitDefender Engines Certifications
 BitDefender vs Others
Kasperksy Trend Micro Panda Symant McAfee Bitdefender for
AV for ISA Servers Products Comparative AV for ISA Interscan ISA ec AV Security MS ISA
Server Webprotect for ISA Secure for ISA Shield Server

Antivirus heuristic scan      

Engines
Scan inside archives      

Microsoft ISA 2000 Server integration      

General Microsoft ISA 2004 Server integration      

Create policies for client/content groups      

Enable/disable HTTP scan      

Scan only specified content groups      

AV HTTP Scan traffic from only selected client groups      

Define URL white list      

Browser comforting      

Enable/disable FTP scan      

Enable/disable FTP scanning on upload and/or download      

FTP Scan only specified content groups      

Scan traffic from only selected client groups      

FTP white list (upload and/or download)      

Automatic update      

Update Manual update      

Specify proxy settings      

View statistics      
Reports
Generate reports      

Alerts Notify via ISA Server      

Availability / System Requirements
PRODUCT BitDefender v2 for MS ISA Servers

PLATFORMS Microsoft Windows 2000 Server or Advanced Server + SP4; Windows 2000 Datacenter
Server; or Windows Server 2003 Standard Edition or Enterprise Edition.

DESCRIPTION BitDefender for MS ISA Servers offers antivirus protection for web traffic, including
protection for data received through webmail. BitDefender for MS ISA Servers
integrates with the firewall and the web cache server, Microsoft ISA Server, through
two application (ISAPI) filters offering antivirus protection for the HTTP, FTP and
FTP through HTTP traffic.

AVAILABILITY of April 2005

4th

The product is available on all the BitDefender websites, and through local distributors.

LANGUAGES English (by 4th of April 2005)

PRICING* $180 for 10 users
$775 for 50 users
$1300 for 100 users
LICENSE The license includes:
 Technical support
 Automatic virus definitions updates
 Upgrade to any new product version
 Guaranteed 24 hours response for any suspicious file
Bottom Line

Preguntas
Contacto

Guía de la consolidación de Seguridad de ISA

Server 2004.
http://www.microsoft.com/spain/technet/recursos/articulos/
securityhardeningguide.mspx

Chema Alonso
[email protected]

José Parada
[email protected]
Alfonso Tapia
[email protected]