A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Conhecendo o ISA Server 2004 Eduardo Petizme

Apresentações semelhantes


Apresentação em tema: "Conhecendo o ISA Server 2004 Eduardo Petizme"— Transcrição da apresentação:

1

2 Conhecendo o ISA Server 2004 Eduardo Petizme

3 Agenda Gerenciando riscos ISA Server 2004, novidades e melhorias Novos Recursos Proteção da VPN e Quarentena Modelo de Rede e Políticas Cenários de uso OWA, Firewall Interno, outros cenários Mais informações

4 90% tiveram incidentes de segurança 690% tiveram incidentes de segurança 6 85% foram infectados por vírus de computador 685% foram infectados por vírus de computador 6 95% de todos os incidentes seriam evitados com o uso de uma outra configuração 795% de todos os incidentes seriam evitados com o uso de uma outra configuração 7 Aproximadamente 70% de todos os ataques na Web ocorrem na camada de aplicação 8Aproximadamente 70% de todos os ataques na Web ocorrem na camada de aplicação 8 14B de equipamentos na Internet em B de equipamentos na Internet em M de usuários remotos em M de usuários remotos em % de aumentos nos Web Sites dinâmicos 365% de aumentos nos Web Sites dinâmicos 3 De 2000 a 2002 incidentes reportados subiram de para De 2000 a 2002 incidentes reportados subiram de para Quase 80% das 445 pessoas pesquisados disseram que a Internet foi um ponto freqüente de ataque, contra 57% há quatro anos atrás 5Quase 80% das 445 pessoas pesquisados disseram que a Internet foi um ponto freqüente de ataque, contra 57% há quatro anos atrás 5 Os Riscos Os Pontos Fracos Gerenciando os riscos … 1 Fonte: Forrester Research 2 Fonte: Information Week, 26 Novembro Fonte: Netcraft 4 Fonte: CERT, Fonte: CSI/FBI Computer Crime and Security Survey 6 Fonte: Computer Security Institute (CSI) Computer Crime and Security Survey Fonte: CERT, Fonte: Gartner Group

5 Bloqueio de acesso a todos os arquivos.EXE ISA 2004 Controle de download HTTP baseado no tipo do arquivo Garante a segurança da publicação de servidores Exchange Server - RPC FTP Policy Link Translator Firewall user groups Firewall Rules Wizard Authentication OWA Publishing Wizard Secure WEB Publishing Port redirection for FTP Server Firewall Rules ordered list Novidades Melhorias

6 Firewalls Tradicionais Aberto aos ataques mais avançados Code Red, Nimda Code Red, Nimda Ataques usando SSL Ataques usando SSL Escolha Performance X Segurança Banda de rede muito cara Banda de rede muito cara Muitas partes móveis Muitas partes móveis Capacidade de crescimento limitada Upgrade difícil Upgrade difícil Não escala junto com a demanda Não escala junto com a demanda Difícil de gerenciar Segurança é complexa Segurança é complexa Área de TI já sobrecarregada Área de TI já sobrecarregada

7 Evolução da Segurança de Perímetro Aberto aos ataques mais avançados Proteção em camada de aplicação Escolha Performance X Segurança Segurança e performance Capacidade de crescimento limitada Extensibilidade e escalabilidade Difícil de gerenciar Mais fácil de usar

8 A solução de firewall de camada de aplicação, VPN e cache Web que permite a você maximizar os seu investimento, melhorando a segurança de rede com alta performance Proteção avançada Segurança em Camada de Aplicação desenhada para proteger sites Web e aplicativos Microsoft Acesso rápido e seguro Permite você conectar os usuários e dar acesso aos recursos da sua rede de uma maneira segura e eficiente Fácil de usar Implemente, gerencie e habilite novos cenários de uso de forma eficiente ISA Server 2004

9 Novos Recursos ISA Server 2004 Arquitetura de Segurança Atualizada Proteção Avançada Segurança avançada em camada de aplicação Inspeção profunda do conteúdo Filtros avançados de HTTP e outros protoc. Políticas completas e flexíveis Inspeção com estado para todo o tráfego Integração com o Exchange Server Suporte para RPC sobre HTTP do Outlook Segurança avançada para OWA Wizard de configuração para o cenário VPN totalmente integrados Filtragem unificada VPN-Firewall Suporte nativo para IPSec site-site (Tunel) Integrado com a Quarentena Windows IIS e Sharepoint seguros Bridging SSL para IIS e Sharepoint Wizards para publicação de sites Autenticação AD, RADIUS, SecurID

10 Filtragem Camada de Aplicação Ameaças modernas exigem uma inspeção mais aprofundada Protege os recursos da rede contra ataques de camada de aplicação: Nimda, Slammer... Provê a abilidade de definir uma política mais específica e granular, em camada de aplicação Melhor proteção para aplicações Microsoft Modelo de inspeção de aplicações Filtros incluídos para protocolos mais comuns HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media Wizards de customização para os diversos cenários Arquitetura extensível por plug-ins

11 Proteção VPN Tráfego tunelado também é inspecionado Colocado de volta na pilha TCP/IP ISA Server consegue enxergar todo o tráfego Tráfego VPN é segregado Rede VPN: todos os endereços alocados para os usuários VPN Endereços IP dinamicamente acrescentados/removidos Rede VPN disponível na console do ISA Server Suporte a IPSec em Tunnel Mode Provê conectividade entre filiais e unidades com VPN Ferramentas simplificadas de administração Suporte a Quarentena de Acesso Remoto Usuarios da quarentena são colocados na rede de quarentena Endereços IP dos clientes adicionados/removidos dinamicamente Rede de quarentena disponível nas regras do ISA Server

12 Quarentena de Acesso Remoto Quarentena de Acesso Remoto garante que a configuração dos usuários remotos está adequada à sua política de segurança Complementa a estratégia de patch management Ajuda a ganhar tempo para a aplicação de patches Habilita e força o patch management para fora das fronteiras da rede

13 Exemplo: Quarentena de VPN Consiste de cinco componentes Serviço de Política da Quarentena – Servidor Serviço de Controle da Quarentena – Servidor QuarantineClient.EXE – Cliente Configuração do ISA ISA Server 2004 – Regras do Firewall + Implementação RRAS – Integrado com o ISA

14 Novos Recursos ISA Server 2004 Novas ferramentas de gerência e interface gráfica Arquitetura Multi- Rede Definições e tipos de rede sem limite Política de firewall válida para todo o tráfego Relações de roteamento entre redes Templates e wizards de configuração Wizard automatiza configuração das redes Suporta 5 topologias mais comuns Facilmente customizável para outros cenários Editor gráfico de políticas Política unificada firewall/VPN com único conjunto de regras Edição drag n drop com wizardsb Diagnóstico e monitoração Novo dashboard de gerência Visualizador de log em tempo teal Painel de atividades sensível ao contexto Fácil de Usar Implemente e gerencie cenários de uso de forma fácil e eficiente

15 Modelo de Rede (velho) do ISA 2000 Rede Interna Internet DMZ 1 Filtro Estático Zonas fixas IN = LAT OUT = DMZ, Internet Filtro de pacotes somente na interface externa Única política de saída NAT sempre Filtragem estática da DMZ para Internet ISA 2000

16 Modelo de Rede ISA 2004 CorpNet_1 CorpNet_n Net A Internet VPN ISA 2004 DMZ_n DMZ_1 Rede Host Local Qualquer quantidade de redes VPN como rede Localhost como rede Relações configuráveis (NAT/Route) Política por rede Filtro de pacotes em todas as interfaces Suporte para PnP & DoD Qualquer topologia, qualquer política

17 Templates de Rede Objetivo Configuração de rede simplificada Recursos 5 templates Regras de roteamento automáticas Customizável Objetivo Configuração de rede simplificada Recursos 5 templates Regras de roteamento automáticas Customizável

18 Modelo de Política do ISA 2004 Conjunto de regras único, ordenado Mais lógico e mais fácil de entender Fácil de visualizar e auditar Nova estrutura unificada de regras Aplicável a todos os tipos de política Três tipos principais de templates de regras Regras de acesso Regras de publicação de servidor Regras de publicação Web Propriedades de filtragem de aplicação são parte da regra Política default do sistema

19 Estrutura de uma Regra Regras básicas ISA 2004: Regras de protocolo Regras de sites e conteúdo Filtros de pacote estáticos Regras de publicação de servidor Regras de publicação web Configurações de filtragem específicas Outras regras ISA 2004: Regras de tradução de endereço Regras de roteamento web Política firewall Política configuração ação sobre tráfego do usuário de origem para destino sob condições Permitir Negar Permitir Negar Rede origem IP origem Usuário origem Rede origem IP origem Usuário origem Rede destino IP destino Site destino Rede destino IP destino Site destino Protocolo Porta / Tipo IP Protocolo Porta / Tipo IP Servidor publicado Site web publicado Horário Propriedades filtragem Servidor publicado Site web publicado Horário Propriedades filtragem Qualquer usuário Usuários autenticados Grupo/usuário específico Qualquer usuário Usuários autenticados Grupo/usuário específico

20 Editor de Regras ISA 2004

21 Visão Dashboard Objetivo Visão centralizada do status do firewall Recursos Tempo Dados consolidados Fácil de detectar problemas Objetivo Visão centralizada do status do firewall Recursos Tempo Dados consolidados Fácil de detectar problemas

22 Alertas Objetivo Um único local para todos os problemas Recursos Histório dos alertas Gerência dos alertas Severidade e categoria Objetivo Um único local para todos os problemas Recursos Histório dos alertas Gerência dos alertas Severidade e categoria

23 Sessões Objetivo Visualiza sessões ativas Recursos Mecanismo poderoso de consultas Sessões VPN Possibilidade de desconectar uma sessão Objetivo Visualiza sessões ativas Recursos Mecanismo poderoso de consultas Sessões VPN Possibilidade de desconectar uma sessão

24 Serviços Objetivo Status do ISA e serviços dependentes Recursos Parar e iniciar os serviços Objetivo Status do ISA e serviços dependentes Recursos Parar e iniciar os serviços

25 Relatórios Objetivo Conjunto completo de relatórios de atividade Recursos Relatórios periódicos Notificação por Publicação dos relatórios Objetivo Conjunto completo de relatórios de atividade Recursos Relatórios periódicos Notificação por Publicação dos relatórios

26 Conectividade Objetivo Monitora conectividade aos serviços críticos Recursos Tipos de requisição Tempo de resposta & limites para alerta Agrupamento Objetivo Monitora conectividade aos serviços críticos Recursos Tipos de requisição Tempo de resposta & limites para alerta Agrupamento

27 Logs e Histórico Objetivo Visualizar o tráfego passando pelo ISA Recursos Modo tempo real Histórico Mecanismo poderoso de consulta Objetivo Visualizar o tráfego passando pelo ISA Recursos Modo tempo real Histórico Mecanismo poderoso de consulta

28 Novos Recursos ISA Server 2004 Compromisso continuado com a integração Acesso Rápido e Seguro Permite a você conectar usuários a Internet com segurança Arquitetura Melhorada Transporte de dados com alta performance Transporte de dados com alta performance Aproveita o hardware e software mais novo Bridging SSL alivia carga de servidores web Cache Web Regras atualizadas de política Enviam o conteúdo localmente Busca conteúdo fora dos horários de pico Controle de Acesso Internet Controle de uso da web baseado em usuários e grupos Extensível por plug-ins de terceiros Modelo Completo de Autenticação Suporte para RADIUS e RSA SecurID Política de acesso por usuários e grupos Extensível por plug-ins de terceiros

29 Controle de Acesso de Usuários Bloqueando aplicações com HTTP Aplicação Procura na Cabeçalho HTTP Assinatura MSN Messenger RequisiçãoUser-Agent: Windows Messenger RequisiçãoUser-Agent:MSMSGS AOL Messenger (and Gecko browsers) RequisiçãoUser-Agent:Gecko/ Yahoo Messenger RequisiçãoHostmsg.yahoo.com KazaaRequisiçãoP2P-Agent Kazaa, Kazaaclient: KazaaRequisiçãoUser-Agent:KazaaClient KazaaRequisiçãoX-Kazaa-Network:KaZaA GnutellaRequisiçãoUser-Agent:GnutellaGnucleus EdonkeyRequisiçãoUser-Agent:e2dk MorpheusRespostaServerMorpheus

30 Firewall Client Atualizado O que é o ISA Firewall Client? Habilita / desabilita conectividade Winsock para a Internet Proporciona acesso a rede por meio do ISA para aplicações compatíveis com Winsock Toma decisões inteligentes sobre o destino do tráfego baseado no endereço de destino. Detecta automaticamente o firewall disponível na rede O que tem de novo no ISA Firewall Client 2004? Usa um canal seguro encriptado com o ISA Server 2004 Suporta vários perfis de configuração de usuário Permite que o usuário crie dois perfis diferentes para configurar o Firewall Client para usar servidores proxy diferentes

31 Versão Enterprise Edition Diferenças em relação à versão Standard Maior escalabilidade e disponibilidade Gerência distribuída: implementações em larga escala com uso de arrays e políticas corporativas Principais recursos Suporte a NLB bi-direcional para uso em arrays Gerência e distribuição corporativa das políticas Console de monitoração para todo o array Armazenamento das políticas usando AD/AM CARP e cache hierárquico Sem limite de processadores Integração com o MOM (MOM pack) Configuração automática de arrays / wizards Log e alertas em nível de array

32 Cenários de Uso: Proteção do OWA

33 Desenho Típico - OWA Bom: performance Separa o servidor de protocolo do servidor de caixas-postais Proteção de rede Ruim: segurança Túnel passando pelo firewall externo: sem inspeção Muitos buracos no firewall interno para autenticação Conexão inicial para OWA feita anonimamente ExBE AD OWA

34 Proteção do OWA com ISA Maior segurança em camada de aplicação ISA Server vira um bastion host Proxy web recebe todas as conexões Decripta HTTPS Inspeciona conteúdo Inspeciona URL (com filtro HTTP) Re-encripta para conexão até o servidor OWA OWA ISAServer ExchangeAD x36dj23s2oipn49v

35 Bridging de SSL Firewall tradicional Web Srv/ OWA cliente Servidor web pede autenticação qualquer pessoa na Internet por chegar aqui SSL Conexões SSL passam pelos firewalls tradicionais porque elas estão encriptadas …que permite que virus e worms passem sem detecção… …e infecta servidores internos! ISA Server 2004 Delegação de Autenticação ISA Server pré-autentica, eliminando os vários pedidos de autenticação e somente permitindo tráfego autenticado ISA Server com Filtragem HTTP SSL ou HTTP SSL ISA Server pode decriptar e inspecionar tráfego SSL Tráfego inspecionado pode ser enviado para servidor em claro ou re-encriptado Filtro HTTP Filtro HTTP pode parar ataques web na borda da rede, mesmo os encriptados com SSL Internet

36 Proteção do OWA com ISA Melhor autenticação dos usuários Fácil autenticação com o Active Directory Pré-autentica a comunicação ISA Server pede as credenciais do usuário Verifica com o AD ISA Server deve fazer parte (ou confiar) no domínio Inclui autenticação no cabeçalho HTTP para OWA Evita segundo pedido de autenticação! OWA ISAServer ExchangeAD 404

37 Cenários de Uso: ISA como Firewall Interno

38 ISA Server Melhora a Infra- Estrutura Existente ISA Server 2004 pode ser colocado atrás da DMZ para criar uma configuração de firewall back-to-back ISA Server 2004 pode ser colocado na rede corporativa ou DMZ como proxy web com uma única interface de rede ISA 2004 pode ser colocado em filiais como uma solução barata para firewall remoto e VPN IPSec entre localidades

39 ISA Server Melhora a Infra- Estrutura Existente

40 Cenários de Uso: ISA Server no Lugar do Firewall Atual

41 ISA Server no Lugar do Firewall Atual ISA Server 2004 provê filtragem em camada de aplicação avançada Filtragem em camada de aplicação pára worms, virus, e conteúdo malicioso na Web Firewalls de filtros de pacotes somente bloqueam portas e endereços IPs ISA Server 2004 permite a criação de DMZs isolando serviços externos e conexões VPN em redes separadas, com inspeção e filtragem entre as diversas redes

42 ISA Server como Firewall Externo

43 ISA Server com DMZ

44 VPN Entre Filiais e Matriz

45 Backup

46 Planejamento da Migração ISA 2000 SE -> ISA 2004 SE Ferramenta de migração de política Recomendada no entanto abordagem do zero ISA 2000 EE -> ISA 2004 EE Capacidade de migração da configuração ISA 2004 EE Beta -> ISA 2004 EE RTM Possibilidade de migração ainda a confirmar ISA 2004 SE > ISA 2004 EE Ferramenta de migração ainda a confirmar

47 Próximas Etapas 1.Conheça mais sobre o ISA Server 2004 Faça gratuitamente o download da versão trial 120 dias Faça gratuitamente o download da versão trial 120 dias (em inglês) Faça um laboratório virtual pela Internet: Faça um laboratório virtual pela Internet: (em inglês) Site do ISA Server dentro do Technet Brasil: Site do ISA Server dentro do Technet Brasil:http://www.microsoft.com/brasil/technet/DocumentacaoTecnica/ISA 2.Obter treinamento adicional de segurança Encontrar seminários de treinamento online e no local: Encontrar seminários de treinamento online e no local:http://www.technetbrasil.com.br/seguranca Encontrar um CTEC local para treinamento prático: Encontrar um CTEC local para treinamento prático: Academia Latino americana de segurança da Informação: Academia Latino americana de segurança da Informação:

48 Para Obter Mais Informações Site de segurança da Microsoft Site de segurança do TechNet Site do ISA Server (inglês) Site indicado (inglês) Colunas Technet

49


Carregar ppt "Conhecendo o ISA Server 2004 Eduardo Petizme"

Apresentações semelhantes


Anúncios Google