Microsoft ISA Server 2004:

Microsoft ISA Server 2004: Pare-feu applicatif contre les attaques internes et externes Stanislas Quastana Microsoft France - Consultant

Agenda • Partie 1 : Présentation générale ISA Server 2004 (5 minutes) • Partie 2 : Sécuriser l’accès vers Internet depuis les réseaux locaux pour les utilisateurs de l’entreprise (10 minutes) • Partie 3 : protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet. Exemple avec Exchange Server (25 minutes) • Partie 4 : protection des serveurs et des réseaux contre les menaces internes (25 minutes) • Synthèse • Questions / Réponses (10 minutes)

ISA Server 2004 en quelques mots • 2ème génération de pare-feu Microsoft • Pare-feu multicouches (3,4 et 7) • Capacité de filtrage extensible • Proxy applicatif • Nouvelle architecture • Intégration des fonctionnalités de VPN

ISA Server 2004Facilité de mise en oeuvre Architecture multi réseau Nombre de réseaux illimité Stratégie de filtrage définie par réseau Règles de routage / NAT inter réseaux Topologies réseau type Assistant de définition des relations entre les différents réseaux Support de scénarios complexes Éditeur de stratégies Stratégie de sécurité Pare-feu/VPN unifiée Import-export de configuration (XML) Outils de diagnostique Tableau de bord de supervision Visualisation des journaux temps réel

ISA Server 2004Protection avancée Inspection de contenu avancée Filtres applicatifs HTTP et SMTP Stratégies riches et flexibles Protection des serveurs de messagerie Filtre applicatif RPC (MAPI et autres) Sécurité Outlook Web Access accrue Filtrage HTTP évolué Méthodes: POST, HEAD... Signatures: mots clés ou chaînes de caractères dans URL, En-tête, Corps Authentification flexible Windows, RADIUS et RSA SecurID Délégation d’authentification

Application layer filtering PolicyStore Web Filter API (ISAPI) Web Proxy Filter Protocol layer filtering 3 2 Kernel mode data pump: Performance optimization 4 Packet layer filtering 1 ISA Server 2004 Architecture Policy Engine Web filter Web filter SMTP Filter RPC Filter DNSFilter AppFilter Application Filter API Firewallservice User Mode Firewall Engine TCP/IP Stack Kernel Mode NDIS

Structure des règles de pare-feu ISA Server 2004 • Ensemble de règles ordonnées • Plus logique et plus facile à comprendre (vs ISA Server 2000 notamment) • Destination network • Destination IP • Destination site • Allow • Block • User actionontrafficfromuserfrom sourcetodestinationwithconditions • Protocol • IP Port / Type • Source network • Source IP • Originating user • Published server • Published web site • Schedule • Filtering properties

Les besoins des entreprises connectées vus par l’administrateur « Je veux contrôler les protocoles réseaux utilisés par mes utilisateurs » « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) » « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux » « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »

Contrôle des protocoles • ISA Server 2004 propose en standard une liste des protocoles les plus utilisés • Il est possible de compléter celle-ci en créant les définitions des protocoles utilisés par vos applications. • Les règles de pare-feu permette une grande granularité dans leur définition

Contrôle des contenus • ISA Server 2004 permet de filtrer les contenus des requêtes HTTP et FTP • Plusieurs catégories sont prédéfinies et peuvent être personnalisées ou complétées.

Filtrage applicatif : filtre HTTP • Le filtre HTTP peut être défini sur toutes les règles de pare-feu qui utilisent HTTP. • Les options suivantes sont disponibles: • Limiter la taille maximale des entêtes (header) dans les requêtes HTTP • Limiter la taille de la charge utile (payload) dans les requêtes • Limiter les URLs qui peuvent être spécifiées dans une requête • Bloquer les réponses qui contiennent des exécutables Windows • Bloquer des méthodes HTTP spécifiques • Bloquer des extensions HTTP spécifiques • Bloquer des entêtes HHTP spécifiques • Spécifier comment les entêtes HTTP sont retournés • Spécifier comment les entêtes HTTP Via sont transmis ou retournés • Bloquer des signatures HTTP spécifiques

Utilisation du filtre HTTP • Le filtre applicatif HTTP peut être utilisé pour bloquer les applications utilisant HTTP comme méthode d’encapsulation pour d’autres protocoles : • Messageries instantanées : MSN Messenger, Yahoo Messenger… • Logiciels P2P : Kazaa, Emule… • Spyware : Gator… • Chevaux de Troie

Filtre applicatif HTTPExemple de filtrage en fonction du contenu de l’en-tête POST http://64.4.1.18/gtw/gtw.dll?SessID=1 HTTP/1.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133) Host: 64.4.1.18 Proxy-Connection: Keep-Alive Connection: Keep-Alive Pragma: no-cache Content-Type: application/x-msn-messenger Content-Length: 7

Démonstration : utilisation du filtre applicatif HTTP

Partie 3 - protection des serveurs et des réseaux d’entreprise vis-à-vis d’Internet • La problématique des pare-feux traditionnels • Le besoin des pare-feux niveau applicatifs (niveau 7) • Le modèle ISA Server : pare-feu multicouches • Quelques filtres applicatifs d’ISA 2004 • Le filtre HTTP • Le filtre SMTP • Exemple avec Exchange Server • Publication Web : protection d’Outlook Web Access (OWA) • Publication de serveur : SMTP

Le problème • Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection • Aujourd’hui, la plupart des attaques contournent ce type de protection (ex: Nimda, Code Red, openssl/Slapper…). • Les ports et protocoles ne suffisent plus à contrôler ce que font les utilisateurs • Hier, les port 80 et 443 était utilisées pour surfer sur le Web • Aujourd’hui, ces ports sont utilisés pour la navigation sur le Web, les Webmail, les messageries instantanées, les Web Services, les logiciels P2P… Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques d’aujourd’hui !

Internet Pare-feu traditionnel Pare-feu niveau Application Les Pare-feu niveau Application Sont nécessaires pour se protéger des attaques d’aujourd’hui… …, ils permettent une analyse approfondie du contenu des paquets réseaux… …car comprendre ce qu’il y a dans le Payload est désormais un pré requis Vers réseau interne

ISA Server = pare-feu multi couches • Filtrage de paquets & statefull inspection • Filtrage au niveau de la couche application (analyse approfondie du contenu) • Architecture proxy avancée • Produit évolutif et extensible http://www.microsoft.com/isaserver/partners/default.asp Partenaires certifiés sur la version bêta :  Un des meilleurs pare-feux pour les environnements Microsoft.

ISA Server 2004Filtres applicatifs HTTP: Site interdit HTTP: Virus • Analyse du contenu • Blocage / modification / redirection • Filtres applicatifs pour • Internet: HTTP, FTP, SMTP, POP3 • Streaming: RTSP, MMS, PNM, H.323 • DNS: Détection d’intrusions, transfert de zones • RPC: Publication de serveurs, filtrage sur les UUIDs • PPTP • SOCKS V4 Client DNS: Attaque de zone SMTP: VRFY * HTTP: Attaque/Vers Serveur

ISA Server 2004Protection des serveurs Web - Filtre applicatif HTTP • Filtre les requêtes entrantes en fonction d’un ensemble de règles • Permet de se protéger des attaques qui • Demandent des actions inhabituelles • Comportent un nombre important de caractères • Sont encodés avec un jeu de caractères spécifique • Peut être utilisé en conjonction avec l’inspection de SSL pour détecter les attaques sur SSL

SSL SSL SSL or HTTP Internet Pare-feu traditionnel OWA ISA Server Protection des serveurs OWA Délégation d’authentification Basic URLScan pour ISA Server ISA Server pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer ISA Server peut déchiffrer et inspecter le trafic SSL …ce qui permet aux virus et aux vers de se propager sans être détectés… L’analyse des URL par ISA Server peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL Le serveur OWA fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse URL par ISA Server Client SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair. …et d’infecter les serveurs internes !

Démonstration • Publication d’Exchange 2003 – Outlook Web Access

Filtre applicatif SMTP • ISA intercepte tout le trafic SMTP (Simple Mail Transfert Protocol) qui arrive sur le port 25 sur le serveur ISA. Le filtre SMTP accepte le trafic, l’analyse et le retransmet au vrai serveur SMTP publié uniquement si la règle de pare-feu l’autorise. • Enregistrement des mails bloqués : Si une commande SMTP est bloquée car elle viole une des conditions imposées par le filtre SMTP, le message bloqué est loggué. Cette journalisation n’est effective que si l’alerte SMTP Filter Event est activée (par défaut : désactivée)

Configuration du filtre SMTP

Les attaques viennent aussi de l’interne Étude et statistiques sur la sinistralité informatique en France (2002)

Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle • Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou Sasser.

4402/tcp 135/tcp Fonctionnement des RPC DCE Le RPC End Portmapper répond avec le port et met fin à la connexion Le client accède à l’application via le port reçu Le client demande quel port est associé à l’UUID ? Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connaît l’UUID du service qu’il souhaite utiliser 4402/tcp {12341234-1111…} Client RPC (ex: Outlook) Serveur RPC (ex: Exchange) • Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feu • L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnels Le serveur fait correspondre l’UUID avec le port courant… Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table

Attaques RPC potentielles • Reconnaissance / Fingerprinting • NETSTAT • RPCDump • RPCScan (http://www.securityfriday.com) • Déni de service contre le portmapper • Élévation de privilèges ou attaques sur d’autres services • Blaster !!!!!

ISA Server 2004Filtre applicatif RPC • Seul le port TCP 135 (RPC End Portmapper) est ouvert • Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) en fonction des besoins • Inspection du trafic vers le RPC End Portmapper au niveau applicatif • Seuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autre Serveur application RPC ISA Server Application cliente RPC

Démonstration : Filtrage RPC Scan RPC (utilisation de RPCScan)

Protection contre les attaques RPC • Reconnaissance? • NETSTAT net montre que 135/tcp • RPCDump, RPCScan ne fonctionnent pas simplement • DoS contre le portmapper? • Les attaques connues échouent • Les attaques qui fonctionnent laissent Exchange, AD protégés • Attaques de service sur Exchange, AD…? • L’obtention d’information n’est plus possible • Les connexions entre ISA Server et les applications RPC vont échouer tant que les connexions entre ISA et le client ne sont pas correctement formatées Oui! Oui! Oui!

En résuméISA 2004 pour protéger vos ressources • Un pare-feu qui permettant de concevoir un grand nombre de scénarii • Protection des flux sortant vers Internet • Protection des serveurs exposés sur Interne • Protection des ressources internes par segmentation et filtrage applicatif • … • Défense en profondeur • Analyse aux couches 3,4 et 7 • Nombreux filtres applicatifs inclus en standard (HTTP, RPC, SMTP, DNS…) • Nombreux filtres complémentaires disponible auprès d’éditeurs tiers • Produit extensible adaptable à vos besoins • De nouveaux filtres prévus dans des futures Feature Packs: XML, …

Questions / Réponses

Microsoft ISA Server 2004: