Você está na página 1de 42

3.

Estrela ISA Server 2004 Contedo Tcnico


Eduardo Petizme MVP ISA Server http://blog.petizme.com

Agenda
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Complemento Externo
Vdeo Introdutrio da 3 Estrela.
Caso seja de interesse, saiba com mais detalhes quais contedos sero explicados nesta apresentao.

Durao: Aproximadamente 2 minutos. Formato: .avi

Agenda
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Qual a configurao padro do ISA Server 2004?


A configurao padro do ISA Server bloqueia todo trfego de rede entre as redes conectada ao ISA Server

Filtragem e Polticas
Viso geral de filtragem
Determine quais pacotes so permitidos passar pelo Firewall
Tanto para o trfego de entrada quanto sada Filtrar por protocolo, porta, ou contedo Permitir certos trfegos enquanto nega outros

Filtragem de Aplicao
Autenticao e verificao de vrus

Filtragem dinmica de pacotes


Abra porta quando necessrio

Filtragem e Polticas
Filtros de Aplicao
Filtros baseados no contedo dos pacotes FTP Abre portas dinamicamente Deteco de Intruso Ataques DNS Ataques de POP3 buffer overflow STMP Bloqueio de spam, vrus, e cdigo perigoso Streaming de mdia Especificar protocolos de streaming de mdia

Filtragem e Polticas
Stateful Inspection
Inspeciona origem e destino do trfego Tambm conhecido com o filtragem dinmica de pacotes
Abre portas quando requisitado pelo usuario Fecha portas quando a comunicao acaba

Pacotes saindo que pedem tipos especiais de trfego vindo so monitorados


S responde quando retornam

Filtragem e Polticas
Viso geral de polticas de Firewall
Regras de Rede
Determina como duas redes esto conectadas

Regras de poltica de firewall


Regras de acesso Regras de publicao

Requisies de sada
Verifica regras de rede Verifica regras de acesso

Requisies de entrada
Verifica regras de publicao Verifica regras de web encadeadas (Web chaining)

Agenda
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Modelo de Poltica
Simples, regra baseada em ordem
Mais lgica e fcil de compreender Fcil de visualizar e auditar

Nova estrutura de regras unificada


Aplicvel a todos os tipos de polticas Trs tipos principais de modelos de regras
Regras de acesso Regras de publicao de servidores Regras de publicao web

Propriedades de filtros de aplicao fora das regras

Polticas de Sistema Padro

Estrutura de regras & Polticas unificadas


Allow Deny Any user Authenticated users Specific User/Group Destination network Destination IP Destination site

ao em trafgo do usurio da origem ao destino com condies


Published server Published web site Schedule Filtering properties

Protocol IP Port/Type

Source network Source IP Originating user

Regras basicas do ISA 2004:


Regras de protocolos Regras de sites e contedos Filtros de Pacotes Regras de publicao de Servidores Regras de publicao de Web

Firewall policy Configuration policy

Outras regras do ISA Server 2004:


Regras para Address translation Regras para roteamento web

Implementando Web Filtragem HTTP no ISA Server 2004


Use filtragem HTTP Web para:
Filtrar o trfego dos clientes internos para redes externas Filtrar o trfego vindo da Internet para servidores Web internos

Filtragem HTTP Web regra especfica-pode-se configurar especfica-podediferentes filtros para cada acesso ou regra de publicao Filtragem HTTP Web pode bloquear pacotes HTTP baseado:
No tamanho do cabealho ou payload do requisitante No tamanho da URL Mtodo de requisio HTTP Extenso do arquivo na requisio HTTP Requisio HTTP ou cabealho de resposta Assinatura ou padro do corpo ou cabealho de resposta

Agenda
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Complemento Externo
Screencast Como criar uma regra de firewall para acesso web e ftp. ftp.
Aprenda como criar uma regra de acesso web para internet no ISA Server 2004

Durao: Aproximadamente 8 minutos e 11 segundos. Formato: avi

Complemento Externo
Screencast Bloqueando acesso determinados sites. sites.
Aprenda como criar uma regra de bloqueio de sites no ISA Server 2004

Durao: Aproximadamente 6 minutos e 41 segundos. Formato: avi

Agenda
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Regras de Publishing
Permite acesso aos servidores na rede interna ou na rede de permetro Web publishing Precisa listener HTTP or HTTPS Servidor de e-mail e RPC, POP3, SMTP clients Clientes Web OWA, OMA Servidor para Servidor

Firewall - Viso tradicional


Somente os cabealhos dos pacotes so inspecionados
Camada de aplicao tratada como uma caixa preta
IP Header: Source Address, Dest. Address, TTL, Checksum TCP Header: Sequence Number Source Port, Destination Port, Checksum Application Layer Content: ??????????????????????????????? ??????????????????????????????? ???????????????????????????????

Pacotes encaminhados com base nos nmeros das portas


Trfego seguro ou um ataque na camada de aplicao usam as mesmas portas
Trfego HTTP esperado Trfego de entrada Trfego HTTP inesperado Ataques ao WEB Server Trfego Non-HTTP

Internet

Web Server

Publicao de um Servidor WEB Tradicional Todo o trfego usado na porta 80 enviado ao Web Server Um Web server por endereo IP
http://www.contoso.com http://39.1.1.1 http://www.contoso.com/../cmd?.. http://www.contoso.com/%20%20 http://www.contoso.com/scripts/ http://www.contoso.com/partners/

Incoming Traffic

Internet Web Server

Firewall - ISA Server


Cabealho e camada de aplicao so inspecionados
IP Header: Source Address, Dest. Address, TTL, Checksum TCP Header: Sequence Number Source Port, Destination Port, Checksum Application Layer Content: GET www.contoso.com/partners/default.htm

Encaminhamento com base no contedo


Somente trfego HTTP legtimo enviado ao Web server
Trfego HTTP esperado Trfego HTTP inesperado Trfego de entrada Ataques ao Web Server Trfego Non-HTTP

Internet

Web Server

http://www.dominio.com/scripts/..%5c../winnt/system32/ cmd.exe?/c+dir+c:\

Publicao de um Servidor WEB - ISA ISA Server verifica e requisio HTTP


Somente as aprovadas so encaminhadas

ISA Server pode publicar mltiplos servidores


http://www.contoso.com http://39.1.1.1 http://www.contoso.com/../cmd?.. http://www.contoso.com/%20%20 http://www.contoso.com/scripts/ http://www.fabrikam.com/partners

Incoming Traffic

Internet Web Servers

Trfego SSL - ISA


SSL: Confidencialidade mas no possui inspeo de trfego SSL Bridging:
1. Cliente externo criptografa as informaes 2. ISA Server descriptografa e inspeciona o trfego 3. ISA Server envia o trfego permitido para o servidor WEB, se necessrio, criptografa novamente

Bridging de SSL
ISA Server com Filtragem HTTP Delegao de Autenticao
ISA Server pode Servidor ISA Server pr-autentica, prdecriptarFiltroHTTP pode parar ataques e inspecionar web pede eliminando os vrios pedidostrfego SSL que virus de permite que autenticao qualquer web na borda da rede, mesmo os passem Internet por pessoa na sem autenticao e somente e worms Filtro HTTP encriptados com SSL chegar permitindo trfego autenticado deteco aqui

SSL

SSL

SSL ou HTTP

Internet

cliente

Firewall ISAServer 2004 tradicional

Conexes SSL passam pelos firewalls tradicionaisTrfego e infecta servidores internos! para inspecionado pode ser enviado porque elas esto servidor em claro ou re-encriptado reencriptadas

Web Srv/ OWA

O que ISA Server Publishing?


ISA Server permite trs tipos de regras de publicao:
1. 2. 3.

Regra de publicao Web para publicao de Web sites usando HTTP Regra de publicao Web Segura para publicao de Web sites que exigem SSL para criptografia Regra de publicao de servidor para publicao de servidores que no usam HTTP ou HTTPS

Implementando regras de publicao Web


Para Criar uma regra de publicao Web, configure:
Ao Nome ou Endereo IP Usurios Trfego de Origem Nome pblico Web listener Path mappings Bridging Link translation

Implementando regras de publicao Web segura


Para criar uma regra de publicao Web segura:
Escolha entre SSL bridging mode ou SSL tunneling Instale certificado digital no ISA Server e no servidor Web Configure um Web listener para SSL Configur um regra de publicao Web segura

Implementando regras de publicao Servidor


Para criar regra de publicao de servidor, configure:
Ao Trfego Trfego de Origem Trfego de Destino Redes

Agenda
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Complemento Externo
Screencast Como publicar um servidor Web. Web.
Aprenda como criar uma regra para publicar um servidor Web no ISA Server 2004

Durao: Aproximadamente 6 minutos e 30 segundos. Formato: avi

Complemento Externo
Screencast Como publicar servidor Exchange. Exchange.
Aprenda como criar uma regra para publicar servidor Exchange no ISA Server 2004

Durao: Aproximadamente 5 minutos e 22 segundos. Formato: avi

Complemento Externo
Screencast Como publicar servidor comum. comum.
Aprenda como criar uma regra para publicar um servidor comum no ISA Server 2004. Neste exemplo, utilizaremos o FTP Server.

Durao: Aproximadamente 6 minutos e 7 segundos. Formato: avi

Agenda
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Proteo integrada do SMTP


Exchange Server 2003 SMTP anti-spam anti DNS Block Lists (RBL) Allow/Deny Lists Lista segura para envio Bloqueando Recipient Filtros de envio (Domain/User)

ISA Server 2004


Bloqueando, rejeitando comandos SMTP Bloqueando, Bloqueando trafgos no SMTP

Configurando o ISA Server para o Outlook Web Access


1 Para configurar o ISA para ativar o acesso OWA:

2 3

Use Mail Server Publishing Wizard para publica o servidor OWA Configure um modo bridging. Para maior segurana, protega bridging. a conexo do cliente ao ISA Server e do ISA Server ao servidor OWA Configure um listener Web para publicao OWA. Escolha autenticao baseada em formulrios.

Autenticao baseada em formulrios assegura que as credenciais de usurios no so armazendas na estao cliente

Proteo do OWA com ISA


Melhor autenticao dos usurios
404

ISA Server

Fcil autenticao com o Active Directory Pr-autentica a Prcomunicao


ISA Server pede as credenciais do usurio Verifica com o AD
ISA Server deve fazer parte (ou confiar) no domnio

OWA Exchange AD

Inclui autenticao no cabealho HTTP para OWA


Evita segundo pedido de autenticao!

Como o ISA Server Protege o OWA


OWA Traffic SSL Tunnel Inspection Authentication Password Guessing Web Server Attacks

Internet

Exchange Server OWA Front End

Autenticao
Requesies no autorizadas so bloqueadas antes do Exchange Server Refora todos os mtodos de autenticao do OWA no firewall Prove formas baseadas de autenticao no firewall antes do trafgo chegar ao OWA

Inspeo
Requisies HTTP invalidas ou requisies no OWA, os contedos so bloqueados Inspeo do trafgo SSL antes de chegar ao Servidor Exchange*

Confidentiality
Assegura a criptografia do trafgo sobre a internet no firewall Pode prever o download de anexos para os clientes separados dos usurios da intranet

*Note: Full ISA inspection is not available if GZip compression is used by OWA.

Resumo 3. Estrela
Polticas de Firewall Como planejar uma regra de firewall Como criar regra de acesso e bloqueio Polticas para Publicao Como publicar servidores
Web, Exchange, Comum

ISA & Exchange

Demonstraes
Screencast Como criar uma regra de firewall para acesso web e ftp. ftp. Screencast Bloqueando acesso determinados sites Screencast Como publicar um servidor Web. Screencast Como publicar servidor Exchange. Screencast Como publicar servidor comum.

Complemento Externo
Lista de links complementares para 3 Estrela.
No esquea de acessar a lista de links para complementar seus estudos.

Para mais informaes


Visite (e cadastra-se)TechNet Brasil cadastra-se)TechNet
http://www.microsoft.com/brasil/technet/
Artigos tcnicos traduzidos para o portugus Frum de discusso Relacionamento com outros profissionais de TI Relacionamento com funcionrios Microsoft

Seu potencial. Nossa inspirao.

MR

2006 Microsoft Corporation. Todos os direitos reservados.


O propsito desta apresentao apenas informativa. Microsoft no faz nenhuma garantia expressa ou implcita nesta apresentao. apresentao.