Your SlideShare is downloading. ×
0
ISA Server 2006
Pitufos
Pitufilandia
Pitufos
Papa Pitufo
Pitufo Gruñon
Gárgamel
Azrael
Pitufo-ISA Server 2K6 Pitufo Laguna Chema Pitufonso
¿Pitufas ISA Server 2k6? <ul><li>Firewall Servidor VPN Caché </li></ul><ul><li>Multired - Site-to-Site - Activa/Pasiva/Neg...
Pitufo-Firewall Multired <ul><li>Sin limitación en número de redes </li></ul><ul><ul><li>Definidas por Interfaz </li></ul>...
Pitufo-Firewall Multired <ul><li>Pitufo-Filtros IP </li></ul><ul><ul><li>Valores en cabeceras concretos </li></ul></ul><ul...
DEMO 1: LE PITUFAMOS PITUFONET A LOS PITUFOS
Pitufo http Filtering  Aplicación Petición Cabecera HTTP Firma Windows Messenger Request headers User-Agent: MSMSGS AOL Me...
DiffServ <ul><li>Mediante el filtro Diffserv pueden establecerse prioridades del envío de paquetes HTTP </li></ul><ul><li>...
DEMO 2: LE PITUFAMOS PITUFONET A LOS PITUFOS SIN PITUFOSEX
“ Problemática” HTTP-s <ul><li>Conexiones HTTP-s ofrecen: </li></ul><ul><ul><li>Autenticación mediante certificados. </li>...
“ Problemática” HTTP-s <ul><li>Cifrado y autenticado es útil contra: </li></ul><ul><ul><li>Sniffers. </li></ul></ul><ul><u...
Bridging HTTP-s <ul><li>Ventajas: </li></ul><ul><ul><li>El Firewall puede inspeccionar el contenido </li></ul></ul><ul><ul...
DEMO 3: PITUFAMOS EL PITUFO WEB ACCESS
PPP <ul><li>Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto.  </li></ul><ul><li>Encapsula P...
Protocolos de túnel <ul><li>PPTP </li></ul><ul><ul><li>Desarrollado por Microsoft, es un estándar de facto </li></ul></ul>...
PPTP PPTP Interface Encapsulado PPP IP Interface IP Header TCP Header Payload Data PPP Header IP GRE Header IP Header TCP ...
Encapsulado L2TP/IPSec sobre IP L2TP Interface Encapsulado PPP UDP Interface IP Header TCP Header Payload Data PPP Header ...
Metodos de Autenticación NO RECOMENDADOS <ul><li>Password Authentication Protocol (PAP) </li></ul><ul><ul><li>Envía la pas...
Metodos de Autenticación RECOMENDADO <ul><li>MS-CHAP v2 </li></ul><ul><ul><li>Versión mejorada de MS-CHAP </li></ul></ul><...
Metodos de Autenticación RECOMENDADO <ul><li>EAP </li></ul><ul><ul><li>Extensible Authentication Protocol </li></ul></ul><...
Metodos de Autenticación RECOMENDADO <ul><li>PEAP: Protected EAP </li></ul><ul><ul><li>Proteje las negociaciones EAP envol...
VPN para acceso remoto de clientes
VPN conexión entre sedes
DEMO 4: PITUFOVPN SITE-TO-SITE
nAppliance.com
En un pitufo de tiempo <ul><li>Este verano </li></ul><ul><ul><li>ISA Server 2006 SP1 </li></ul></ul><ul><ul><li>Windows Es...
Informatica64: Technews
Pitufo-manos a la obra <ul><li>http://www.microsoft.es/HOLSistemas </li></ul>
Sólo para Pitufos
¿Pitufantas? <ul><li>Chema Alonso </li></ul><ul><ul><li>[email_address] </li></ul></ul><ul><ul><li>http://elladodelmal.blo...
Upcoming SlideShare
Loading in...5
×

Pitufo Isa Server 2 K6

3,380

Published on

Charla daba en Infosecurity 2008 en Madrid por Pedro Lagnua y Chema Alonso de Informática64 sobre ISA Server 2006.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,380
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
94
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Pitufo Isa Server 2 K6"

  1. 1. ISA Server 2006
  2. 2. Pitufos
  3. 3. Pitufilandia
  4. 4. Pitufos
  5. 5. Papa Pitufo
  6. 6. Pitufo Gruñon
  7. 7. Gárgamel
  8. 8. Azrael
  9. 9. Pitufo-ISA Server 2K6 Pitufo Laguna Chema Pitufonso
  10. 10. ¿Pitufas ISA Server 2k6? <ul><li>Firewall Servidor VPN Caché </li></ul><ul><li>Multired - Site-to-Site - Activa/Pasiva/Negativa </li></ul><ul><li>Nivel Red y Aplicación - Clientes to Site - Jobs/unidades/arrays </li></ul>
  11. 11. Pitufo-Firewall Multired <ul><li>Sin limitación en número de redes </li></ul><ul><ul><li>Definidas por Interfaz </li></ul></ul><ul><ul><li>Definidas por rangos </li></ul></ul><ul><li>Grupos de redes </li></ul><ul><li>Enrutamiento o NAT </li></ul><ul><li>Soporte para redes VPNs y Quarentena </li></ul><ul><li>“ Pitufo, luego Existo” </li></ul>
  12. 12. Pitufo-Firewall Multired <ul><li>Pitufo-Filtros IP </li></ul><ul><ul><li>Valores en cabeceras concretos </li></ul></ul><ul><ul><li>Paquetes Fragmentados </li></ul></ul><ul><li>Pitufo-Reglas de acceso. </li></ul><ul><ul><li>Protocolo, usuarios, objetos de red, franjas de tiempo, tipos de contenido </li></ul></ul><ul><li>Pitufo-Publicación de servicios </li></ul><ul><ul><li>Web, Mail, Exchange, Sharepoint, … </li></ul></ul><ul><li>Pitufo-Filtros de aplicación </li></ul><ul><ul><li>A nivel de protocolo </li></ul></ul><ul><ul><li>A nivel de red: HTTP Filtering, Mail, WebProxy, RPC… </li></ul></ul><ul><li>Pitufo-Detección y alertas contra intrusos </li></ul><ul><ul><li>Ataques DNS, Netflooding, DOS,.. </li></ul></ul>
  13. 13. DEMO 1: LE PITUFAMOS PITUFONET A LOS PITUFOS
  14. 14. Pitufo http Filtering Aplicación Petición Cabecera HTTP Firma Windows Messenger Request headers User-Agent: MSMSGS AOL Messenger (and Gecko browsers) Request headers User-Agent: Gecko/ Yahoo Messenger Request headers Host msg.yahoo.com Kazaa Request headers P2P-Agent Kazaa, Kazaaclient: Kazaa Request headers User-Agent: KazaaClient Kazaa Request headers X-Kazaa-Network: KaZaA Gnutella Request headers User-Agent: Gnutella Gnucleus Edonkey Request headers User-Agent: e2dk Morpheus Response header Server Morpheus
  15. 15. DiffServ <ul><li>Mediante el filtro Diffserv pueden establecerse prioridades del envío de paquetes HTTP </li></ul><ul><li>La asignación de prioridades se asignan sobre los objetos Redes de ISA Server 2006 </li></ul><ul><li>El establecimiento de prioridades se realiza sobre: </li></ul><ul><ul><li>URL </li></ul></ul><ul><ul><li>Dominios </li></ul></ul><ul><li>La asignación de prioridades se establece mediante la definición de valores. </li></ul>
  16. 16. DEMO 2: LE PITUFAMOS PITUFONET A LOS PITUFOS SIN PITUFOSEX
  17. 17. “ Problemática” HTTP-s <ul><li>Conexiones HTTP-s ofrecen: </li></ul><ul><ul><li>Autenticación mediante certificados. </li></ul></ul><ul><ul><li>Cifrado mediante tuneles SSL. </li></ul></ul><ul><li>Conexiones HTTP-s condicionan: </li></ul><ul><ul><li>Transmisión datos extremo-extremo. </li></ul></ul><ul><ul><li>Paso a través de sistemas de protección de forma oculta. </li></ul></ul><ul><li>Conexiones HTTP-s </li></ul><ul><ul><li>Firewalls e IDS no pueden inspeccionar tráfico. </li></ul></ul><ul><ul><li>Ataques pasan sin ser detectados por firewalls: </li></ul></ul><ul><ul><ul><li>SQL Injections. </li></ul></ul></ul><ul><ul><ul><li>Cross-Site Scripting (XSS) </li></ul></ul></ul><ul><ul><ul><li>Red Code. </li></ul></ul></ul><ul><ul><ul><li>Unicode. </li></ul></ul></ul>
  18. 18. “ Problemática” HTTP-s <ul><li>Cifrado y autenticado es útil contra: </li></ul><ul><ul><li>Sniffers. </li></ul></ul><ul><ul><li>Man In The Middle. </li></ul></ul><ul><li>Pero hay que dejar que los sistemas de protección inspeccionen el contenido. </li></ul><ul><ul><li>Firewalls. </li></ul></ul><ul><ul><li>IDS. </li></ul></ul><ul><li>Bridging HTTP-s </li></ul><ul><ul><li>El proceso de Bridging en conexiones HTTP-s permite que las conexiones se cifren en dos tramos. </li></ul></ul><ul><ul><ul><li>Entre cliente y Firewall </li></ul></ul></ul><ul><ul><ul><li>Entre Firewall y Servidor. </li></ul></ul></ul>
  19. 19. Bridging HTTP-s <ul><li>Ventajas: </li></ul><ul><ul><li>El Firewall puede inspeccionar el contenido </li></ul></ul><ul><ul><li>Se pueden aplicar reglas mediante filtros </li></ul></ul><ul><ul><li>Se pueden detectar ataques </li></ul></ul><ul><ul><li>No se pierde seguridad </li></ul></ul><ul><ul><li>Si se desea, se puede dejar descifrado para inspecciones NIDS </li></ul></ul><ul><li>Tunneling HTTPS por cualquier puerto. </li></ul><ul><li>Bridging HTTPS con: </li></ul><ul><ul><li>Cifrado entre cliente-firewall y firewall servidor </li></ul></ul><ul><ul><li>Cifrado entre cliente-firewall </li></ul></ul><ul><ul><li>Cifrado entre firewall-Servidor </li></ul></ul>
  20. 20. DEMO 3: PITUFAMOS EL PITUFO WEB ACCESS
  21. 21. PPP <ul><li>Diseñado para enviar datos a través de conexiones bajo demanda o punto a punto. </li></ul><ul><li>Encapsula Paquetes IP </li></ul><ul><li>Cuatro fases en la negociación de la conexión: </li></ul><ul><ul><li>Establecimiento de la conexión (LCP) </li></ul></ul><ul><ul><li>Autenticación de usuario (PAP, CHAP, MS-CHAP, MS-CHAPv2, EAP) </li></ul></ul><ul><ul><li>Control de devolución de llamada (CBCP) </li></ul></ul><ul><ul><li>Protocolos de nivel de Red (IPCP, CCP, MPPC, MPPE) </li></ul></ul><ul><li>Fase de transmisión de Datos. Se encapsula los datos con una cabecera PPP y se comprimen y cifran según lo acordado en fase 1 y negociado en la fase 4 </li></ul>
  22. 22. Protocolos de túnel <ul><li>PPTP </li></ul><ul><ul><li>Desarrollado por Microsoft, es un estándar de facto </li></ul></ul><ul><ul><li>Esta ampliamente implementado y existen varias implementaciones compatibles </li></ul></ul><ul><ul><li>Suficientemente seguro para casi todas las aplicaciones </li></ul></ul><ul><li>L2TP </li></ul><ul><ul><li>Estándar de la “Internet Engineering Task Force” (IETF) </li></ul></ul><ul><ul><li>Unión entre L2F y PPTP </li></ul></ul><ul><ul><li>Algunos problemas de interoperabilidad. </li></ul></ul><ul><li>Tanto PPTP como L2TP utilizan PPP por debajo, lo que les proporciona gran parte de los requerimientos necesarios. </li></ul>
  23. 23. PPTP PPTP Interface Encapsulado PPP IP Interface IP Header TCP Header Payload Data PPP Header IP GRE Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header IP GRE Header IP Header Paquete TCP/IP Ehernet
  24. 24. Encapsulado L2TP/IPSec sobre IP L2TP Interface Encapsulado PPP UDP Interface IP Header TCP Header Payload Data PPP Header L2TP Header IP Header TCP Header Payload Data PPP Header IP Header TCP Header Payload Data IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header Paquete TCP/IP Ehernet IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IPSec Inteface IP Inteface IP Header TCP Header Payload Data PPP Header L2TP Header UDP Header IPSec ESP Header IP Header IPSec ESP Trailer IPSec ESP Trailer IPSec AUTH Trailer IPSec AUTH Trailer
  25. 25. Metodos de Autenticación NO RECOMENDADOS <ul><li>Password Authentication Protocol (PAP) </li></ul><ul><ul><li>Envía la password en texto claro. </li></ul></ul><ul><ul><li>NO RECOMEDADO </li></ul></ul><ul><li>Shiva Password Authentication Protocol (SPAP) </li></ul><ul><ul><li>Utiliza cifrado reversible </li></ul></ul><ul><ul><li>NO RECOMNDADO </li></ul></ul><ul><li>Challenge Handshake Authentication Protocol (CHAP) </li></ul><ul><ul><li>Utiliza MD5 para proporcionar autenticación mediante desafio-respuesta </li></ul></ul><ul><ul><li>Requiere almacenar las contraseñas con cifrado reversible en el servidor (DC) </li></ul></ul><ul><ul><li>NO RECOMENDADO </li></ul></ul><ul><li>MS-CHAP </li></ul><ul><ul><li>Existen debilidades conocidas NO RECOMENDADO </li></ul></ul>
  26. 26. Metodos de Autenticación RECOMENDADO <ul><li>MS-CHAP v2 </li></ul><ul><ul><li>Versión mejorada de MS-CHAP </li></ul></ul><ul><ul><li>Usada frecuentemente </li></ul></ul><ul><ul><li>Desde el punto de vista del cifrado es mas fuerte que PAP, CHAP, MS-CHAP </li></ul></ul><ul><ul><li>Recomendada cuando no es posible implementar EAP-TLS </li></ul></ul>
  27. 27. Metodos de Autenticación RECOMENDADO <ul><li>EAP </li></ul><ul><ul><li>Extensible Authentication Protocol </li></ul></ul><ul><ul><li>Soporta varios tipos de Autenticación </li></ul></ul><ul><ul><ul><li>EAP-MD5: Desafió/Respuesta. No muy seguro. </li></ul></ul></ul><ul><ul><ul><li>EAP-TLS: Basado en cerificados; requiere pertenencia a un dominio; diseñado para ser utilizado con Smart Cards </li></ul></ul></ul><ul><ul><ul><li>EAP-RADIUS: Mecanismo proxy de reenvió de datos en un formato EAP especifico a un servidor RADIUS </li></ul></ul></ul><ul><ul><li>El tipo a utilizar se puede especificar en el servidor o mediante políticas a un grupo especifico de usuarios. </li></ul></ul>
  28. 28. Metodos de Autenticación RECOMENDADO <ul><li>PEAP: Protected EAP </li></ul><ul><ul><li>Proteje las negociaciones EAP envolviendolas con TLS </li></ul></ul><ul><ul><li>Se usa solo para conexiones wireless 802.11 </li></ul></ul><ul><ul><ul><li>Soporta reconexiones rapidas para entornos grandes con roaming </li></ul></ul></ul><ul><ul><li>Puede usar PEAP plus </li></ul></ul><ul><ul><ul><li>EAP-MS-CHAPv2: añade autenticación mutua; requie que el cliente confie en los certificados del servidor; facil de implementar. </li></ul></ul></ul><ul><ul><ul><li>EAP-TLS: Muy seguro; requiere una infraestructura PKI </li></ul></ul></ul><ul><ul><li>Hay documentación completa de como implementarlo en la Web de TechNet </li></ul></ul>
  29. 29. VPN para acceso remoto de clientes
  30. 30. VPN conexión entre sedes
  31. 31. DEMO 4: PITUFOVPN SITE-TO-SITE
  32. 32. nAppliance.com
  33. 33. En un pitufo de tiempo <ul><li>Este verano </li></ul><ul><ul><li>ISA Server 2006 SP1 </li></ul></ul><ul><ul><li>Windows Essential Buisness Server </li></ul></ul><ul><li>2009 </li></ul><ul><ul><li>Forefront Thread Management Gateway </li></ul></ul><ul><ul><li>Forefront Codename “Stirling” </li></ul></ul><ul><li>2010 </li></ul>
  34. 34. Informatica64: Technews
  35. 35. Pitufo-manos a la obra <ul><li>http://www.microsoft.es/HOLSistemas </li></ul>
  36. 36. Sólo para Pitufos
  37. 37. ¿Pitufantas? <ul><li>Chema Alonso </li></ul><ul><ul><li>[email_address] </li></ul></ul><ul><ul><li>http://elladodelmal.blogspot.com </li></ul></ul><ul><li>Pedro Laguna </li></ul><ul><ul><li>[email_address] </li></ul></ul><ul><ul><li>http://www.equilibrioinestable.com </li></ul></ul><ul><li>Vista Técnica </li></ul><ul><ul><li>http://geeks.ms/blogs/vista-tecnica </li></ul></ul>
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×