Pitufo Isa Server 2 K6

ISA Server 2006

Pitufos

Pitufilandia

Pitufos

Papa Pitufo

Pitufo Gruñon

Gárgamel

Azrael

Pitufo-ISA Server 2K6 Pitufo Laguna Chema Pitufonso

¿Pitufas ISA Server 2k6?
Firewall Servidor VPN Caché
Multired - Site-to-Site - Activa/Pasiva/Negativa
Nivel Red y Aplicación - Clientes to Site - Jobs/unidades/arrays

Pitufo-Firewall Multired
Sin limitación en número de redes
Definidas por Interfaz
Definidas por rangos
Grupos de redes
Enrutamiento o NAT
Soporte para redes VPNs y Quarentena
“ Pitufo, luego Existo”

Pitufo-Firewall Multired
Pitufo-Filtros IP
Valores en cabeceras concretos
Paquetes Fragmentados
Pitufo-Reglas de acceso.
Protocolo, usuarios, objetos de red, franjas de tiempo, tipos de contenido
Pitufo-Publicación de servicios
Web, Mail, Exchange, Sharepoint, …
Pitufo-Filtros de aplicación
A nivel de protocolo
A nivel de red: HTTP Filtering, Mail, WebProxy, RPC…
Pitufo-Detección y alertas contra intrusos
Ataques DNS, Netflooding, DOS,..

DEMO 1: LE PITUFAMOS PITUFONET A LOS PITUFOS

Pitufo http Filtering Aplicación Petición Cabecera HTTP Firma Windows Messenger Request headers User-Agent: MSMSGS AOL Messenger (and Gecko browsers) Request headers User-Agent: Gecko/ Yahoo Messenger Request headers Host msg.yahoo.com Kazaa Request headers P2P-Agent Kazaa, Kazaaclient: Kazaa Request headers User-Agent: KazaaClient Kazaa Request headers X-Kazaa-Network: KaZaA Gnutella Request headers User-Agent: Gnutella Gnucleus Edonkey Request headers User-Agent: e2dk Morpheus Response header Server Morpheus

DiffServ
Mediante el filtro Diffserv pueden establecerse prioridades del envío de paquetes HTTP
La asignación de prioridades se asignan sobre los objetos Redes de ISA Server 2006
El establecimiento de prioridades se realiza sobre:
URL
Dominios
La asignación de prioridades se establece mediante la definición de valores.

DEMO 2: LE PITUFAMOS PITUFONET A LOS PITUFOS SIN PITUFOSEX

“ Problemática” HTTP-s
Conexiones HTTP-s ofrecen:
Autenticación mediante certificados.
Cifrado mediante tuneles SSL.
Conexiones HTTP-s condicionan:
Transmisión datos extremo-extremo.
Paso a través de sistemas de protección de forma oculta.
Conexiones HTTP-s
Firewalls e IDS no pueden inspeccionar tráfico.
Ataques pasan sin ser detectados por firewalls:
SQL Injections.
Cross-Site Scripting (XSS)
Red Code.
Unicode.

“ Problemática” HTTP-s
Cifrado y autenticado es útil contra:
Sniffers.
Man In The Middle.
Pero hay que dejar que los sistemas de protección inspeccionen el contenido.
Firewalls.
IDS.
Bridging HTTP-s
El proceso de Bridging en conexiones HTTP-s permite que las conexiones se cifren en dos tramos.
Entre cliente y Firewall
Entre Firewall y Servidor.

Bridging HTTP-s
Ventajas:
El Firewall puede inspeccionar el contenido
Se pueden aplicar reglas mediante filtros
Se pueden detectar ataques
No se pierde seguridad
Si se desea, se puede dejar descifrado para inspecciones NIDS
Tunneling HTTPS por cualquier puerto.
Bridging HTTPS con:
Cifrado entre cliente-firewall y firewall servidor
Cifrado entre cliente-firewall
Cifrado entre firewall-Servidor

DEMO 3: PITUFAMOS EL PITUFO WEB ACCESS

PPP
Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto.
Encapsula Paquetes IP
Cuatro fases en la negociación de la conexión:
Establecimiento de la conexión (LCP)
Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP)
Control de devolución de llamada (CBCP)
Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE)
Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4

Protocolos de túnel
PPTP
Desarrollado por Microsoft, es un estándar de facto
Esta ampliamente implementado y existen varias implementaciones compatibles
Suficientemente seguro para casi todas las aplicaciones
L2TP
Estándar de la “Internet Engineering Task Force” (IETF)
Unión entre L2F y PPTP
Algunos problemas de interoperabilidad.
Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios.

PPTP PPTP Interface Encapsulado PPP IP Interface IP Header TCP Header Payload Data PPP Header IP GRE Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header IP GRE Header IP Header Paquete TCP/IP Ehernet

Encapsulado L2TP/IPSec sobre IP L2TP Interface Encapsulado PPP UDP Interface IP Header TCP Header Payload Data PPP Header L2TP Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header Paquete TCP/IP Ehernet IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IPSec Inteface IP Inteface IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IP Header IPSec ESP Trailer IPSec ESP Trailer IPSec AUTH Trailer IPSec AUTH Trailer

Metodos de Autenticación NO RECOMENDADOS
Password Authentication Protocol (PAP)
Envía la password en texto claro.
NO RECOMEDADO
Shiva Password Authentication Protocol (SPAP)
Utiliza cifrado reversible
NO RECOMNDADO
Challenge Handshake Authentication Protocol (CHAP)
Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta
Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC)
NO RECOMENDADO
MS-CHAP
Existen debilidades conocidas NO RECOMENDADO

Metodos de Autenticación RECOMENDADO
MS-CHAP v2
Versión mejorada de MS-CHAP
Usada frecuentemente
Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP
Recomendada cuando no es posible implementar EAP-TLS

EAP
Extensible Authentication Protocol
Soporta varios tipos de Autenticación
EAP-MD5: Desafió/Respuesta. No muy seguro.
EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards
EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS
El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios.

PEAP: Protected EAP
Proteje las negociaciones EAP envolviendolas con TLS
Se usa solo para conexiones wireless 802.11
Soporta reconexiones rapidas para entornos grandes con roaming
Puede usar PEAP plus
EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar.
EAP-TLS: Muy seguro; requiere una infraestructura PKI
Hay documentación completa de como implementarlo en la Web de TechNet

VPN para acceso remoto de clientes

VPN conexión entre sedes

DEMO 4: PITUFOVPN SITE-TO-SITE

nAppliance.com

En un pitufo de tiempo
Este verano
ISA Server 2006 SP1
Windows Essential Buisness Server
2009
Forefront Thread Management Gateway
Forefront Codename “Stirling”
2010

Informatica64: Technews

Pitufo-manos a la obra
http://www.microsoft.es/HOLSistemas

Sólo para Pitufos

¿Pitufantas?
Chema Alonso
[email_address]
http://elladodelmal.blogspot.com
Pedro Laguna
[email_address]
http://www.equilibrioinestable.com
Vista Técnica
http://geeks.ms/blogs/vista-tecnica

http://www.elladodelmal.com	517
http://elladodelmal.blogspot.com	322
http://www.slideshare.net	6
http://www.elladodelmal.blogspot.com	4
http://127.0.0.1:8795	3
http://feeds.feedburner.com	2
http://webcache.googleusercontent.com	1

Pitufo Isa Server 2 K6

by Chema Alonso

Accessibility

Categories

Upload Details

Usage Rights

7 Embeds 855

Statistics

Pitufo Isa Server 2 K6 Presentation Transcript