FACULDADE DE TECNOLOGIA OSWALDO CRUZ F ATEC Mantenedora Pr -T cnica Paulista S/C LTDA Curso Superior de Tecnologia em Redes Operacionais

TRABALHO ISA SERVER Redes Operacionais 4 M d ulo

Leandro Marques Douglas Alexandre Jadilson Santos Wagner Chamas Rondineli Saad

SUMRIO
SUMRIO...............................................................................................................................................2

1 - Introduo

A Internet tem se tornando um fator extremamente importante para a realizao de acesso a servios e comunicao entre as corporaes, para realizao de negcios. Com isso um desafio e necessidade se tornaram importante que a proteo do acesso rede interna das corporaes e bloqueios de determinados servios que possam comprometer a funcionalidade da rede interna. Trs fatores se tornaram importante: Garantir a segurana da rede interna, pois contem servidores operacionais com dados confidenciais da empresa;

Controle de acesso internet aos usurios, pois sabemos que acesso a contedos sem fins profissionais diminui a produtividade dos funcionrios;

Minimizar os custos com banda de acesso internet.

O ISA Server foi concebido sobre quatro pilares:

Segurana Utilizando um firewall escalonvel e multicamadas; Performance - Rpido acesso com um cach escalonvel e de alta performance;

Gerenciamento Gerenciamento e polticas robusto e integrado ao Windows 2000 e 2003;

Extensibilidade Plataforma superior para a extenso e customizao, utilizando-se de recursos de terceiros para ter uma maior disponibilidade nos servios.

2 - ISA Server

O Microsoft Internet Security & Acceleration (ISA) Server 2004 um firewall de camada de aplicao e inspeo avanada de pacotes, um servidor de rede privada virtual (VPN), soluo de deteco de intrusos e uma soluo de cache Web que permite aos clientes maximizarem facilmente os investimentos em TI aumentando a segurana e o desempenho da rede. Pode ser encontrados em duas edies, Standard Edition e Enterprise Edition, ambas possuindo o mesmo conjunto de funes, sendo a edio Standard voltada para servidor nico, suportando at quatro processadores, enquanto a segunda adequada para implementaes em larga escala, suporte a cadeias de servidores e polticas de vrios nveis com mais de quatro processadores. O Microsoft Internet Security and Acceleration (ISA) Server fornece suporte a trs tipos de clientes:

Clientes firewall so computadores clientes que possuem um software Firewall Client instalado e habilitado.

Clientes SecureNAT (converso de endereo de rede seguro) so computadores clientes que no possuem o Firewall Client instalado.

Clientes de proxy da Web so aplicativos Web clientes configurados para usar o ISA Server.

Os computadores Cliente firewall e Cliente SecureNAT podem ser tambm Clientes de proxy da Web. Se o aplicativo da Web no computador estiver configurado

explicitamente para usar o ISA Server, todas as solicitaes da Web (HTTP, FTP, HTTPS e Gopher) sero enviadas diretamente ao servio de Proxy da Web. Todas as outras solicitaes sero tratadas primeiro pelo servio de Firewall.

A tabela a seguir compara os clientes ISA Server. Recurso Cliente SecureNAT Cliente firewall Cliente de proxy da Web

Requisitos de instalao

Algumas alteraes na Sim configurao de rede exigidas

No. Configurao de navegador da Web exigida Todas as plataformas, mas por meio de aplicativos da Web

Suporte para sistema Qualquer sistema Somente operacional operacional que plataformas fornea suporte para Windows TCP/IP (Protocolo de Controle de Transmisso/Protocol o Internet) Suporte a protocolo Filtros de aplicativos Todos os para vrios protocolos aplicativos de conexo exigidos Winsock

HTTP (Protocolo de Transferncia de Hipertexto), HTTPS (HTTP seguro), FTP (Protocolo de Transferncia de Arquivo) e Gopher Sim

Autenticao no nvel do usurio Aplicativos de servidor

Algumas alteraes na Sim configurao de rede exigidas Nenhuma configurao ou instalao exigida Arquivo de configurao exigido

No aplicvel

2.1 - Firewall

Mecanismo utilizado para controlar pacotes que trafegam nas suas interfaces da rede, analisando os cabealhos dos pacotes, verificando quais tipos de servios estes pacotes est requisitando. O firewall tem de 2 a 3 interfaces de rede, possibilitando uma segmentao e separao entre as redes, criando assim redes perimetrais para fins de segurana. Por exemplo, com duas interfaces de redes o firewall separaria a rede Internet da rede Interna e com 3 interfaces de rede o firewall separa a rede Internet da rede DMZ (rede desmilitarizada) e as duas da rede Interna, ou seja 3 redes distintas se formam neste layout apresentado, controlando o acesso indevido nestas redes. O sistema de proteo do firewall ISA Server multi-camadas, ou seja, atinge vrias camadas de rede, desde camadas inferiores filtrando os pacotes at a camada de aplicao.

O ISA Server por padro vem com todas as regras negando o servio, cabendo o administrador a permitir tanto o acesso da rede interna quanto a rede Internet. Utilizando uma tecnologia licenciada pela Internet Security System o ISA capaz de detectar qualquer tentativa de invaso vinda da rede Internet. O ISA permiti configurar alertas a serem enviadas via e-mails, relatrios ou parada de servios caso aja uma tentativa de invaso. Na camada de aplicao existem os filtros smart que inspeciona os pacotes e so capazes de tratar os dados baseados no protocolo utilizado. Por exemplo, o protocolo SMTP ter um filtro SMTP que tratar os dados pela origem, destino, contedo, anexo e comandos do SMTP.

2.1.1 - Modelo Bastion Host

Topolia que utiliza o ISA Server com duas interfaces de rede, uma destinada a rede Interna e outra a rede Internet, controlando assim o trfego de pacotes entrantes e saintes.

Internet

MZ-LAN

2.1.2 - Three-Homed

Mais conhecida como rede de permetro, ou rede Desmilitarizada, onde o ISA Server instalada com 3 interfaces de rede.
Internet

DMZ

MZ-LAN

2.1.3 - Modelo Back-to-Back

Topologia que utiliza 2 firewall, ou seja, cria uma redundncia na proteo.

Internet

DMZ

MZ-LAN

2.2. - SecureNAT

A tcnica chamada NAT que converte o endereo de origem e destino em um endereo vlido na rede que so transmitidas.

O ISA Server compartilha o acesso a internet utilizando uma tcnica chamada NAT (N:1), onde ao tentar acessar a rede Internet o endereo de origem o endereo da estao, enquanto que o endereo de destino o endereo Internet. Ao passar pelo servidor NAT o endereo de origem alterado e o endereo pblico do NAT utilizado, tornando o pacote vlido para a comunicao na Internet. Para o host de destino quem comeou a comunicao foi o Servidor NAT e no a estao da rede Interna. Quando o pacote retorna, ele volta para o Servidor NAT que consulta a sua tabela de IP e encaminha o pacote para a estao correspondente, tornando assim a comunicao transparente para todas as estaes da rede Interna. Para a publicao de Servidores Internos a tcnica NAT(1:1) utilizada. A partir de uma regra de publicao, define-se que todas as requisies oriundas da internet em uma determinada porta sejam redirecionadas para um endereo ip interno utilizando uma determinada porta. Ao receber uma solicitao o NAT converte o endereo de destino e a respectiva porta e a entrega no Servidor Interno. No retorno novamente feita converso para que assim ocorra de uma forma transparente a comunicao para os clientes na web. Com estes servios, pode-se hospedar Servidores que disponibilizam servios para a Internet, utilizando protocolos TCP e UDP. Abaixo layout da implementao do modelo Secure Publishing, onde usado o NAT (1:1):

Rotas
Fonte: Cliente IP Destino: Servidor Interno Porta: 80

Servidor de Publicao

Internet
ISA

Rotas
Fonte: Cliente IP Internet Destino: IP Pblico do ISA Porta: 80

2.3 - VPN

Redes Privadas interconectadas de forma segura atravs de uma rede pblica (internet), ou seja, de qualquer lugar do mundo o usurio pode se conectar a rede corporativa utilizando todos os recursos presentes na rede. O ISA Server estende o servio de VPN presente no Windows 2000 e 2003 Server, protegendo com os recursos de firewall, permitindo uma comunicao segura que podem ser baseado em dois protocolos de enfunilamento o PPTP (implementao mais simples) e o L2TP (baseado na infra-estrutura de chave pblica e por isso considerado ainda mais seguro). Para a encriptao dos pacotes o protocolo MPPE e utilizado em conjunto com o PPTP e o IPSec utilizado em conjunto com o L2TP. Abaixo segue o layout da implementao do recurso VPN usando o ISA Server:

10

ISA

l e n T
Host Remoto

N P V

2.4 - Web Caching

Para um sensvel acrscimo de performance e otimizao da banda da Internet disponvel, o ISA Server disponibiliza um robusto sistema de cache de objetos HTTP e FTP. O cache disponibilizado em memria que minimiza o uso de disco e aumenta a performance geral de cache, sendo 20% mais rpido que o Proxy Server. Sites onde o acesso constante o download pode ser agendado para um maior desempenho.

2.4.1 - Foward Caching

11

Possibilita que seja armazenado o contedo do site que foi visitado para que um outro usurio possa utiliz-lo sem a necessidade de se fazer o download novamente. Sendo os objetos entregues pelo ISA Server diretamente para o prximo usurio solicitante.

2.5 - Monitoramento

Alertas podem ser configuradas no ISA Server, onde a ao de envio de mensagens de correio eletrnico, execuo de arquivos e registro em log do sistema, podem ser disparados quando determinados eventos ocorrerem no ISA. Entre os eventos suportados esto: Tentativa de invaso; parada de servios; falha do cache e aes de filtros. Os seguintes recursos no ISA Server so encontrados:

Dashboard - Viso centralizada do status do Firewall: Tempo, Dados consolidados, Fcil de detectar problemas. Alerts Um nico local para todos os problemas: Histrico dos alertas, Gerncia dos alertas, Serveridade e categoria. Sessions Vizualiza sesses ativas: Mecanismo poderoso de consultas, Sesses VPN, Possibilidade de desconectar uma sesso. Services Status do ISA e servios dependentes: Parar e iniciar os servios Reports - Conjunto completo de relatrios de atividade Relatrios peridicos, Notificao por e-mail, Publicao dos relatrios. Conectividade Monitora conectividade aos servios crticos: Tipos de requisio, Tempo de resposta & limites para alerta, Agrupamento. Logs e Histrico Visualizar o trfego passando pelo ISA: Modo tempo real, Histrico, Mecanismo poderoso de consulta.

2.6 - Logs

Registra todo o trfego que passa pelo firewall e pelo Web Proxy. Os logs podem ser customizados, podendo ser selecionados os campos mais destacveis e pela freqncia dos registros.

2.7 - Registros

12

O ISA Server suporta a criao de relatrios, sendo estes gerados pela coleta da informao de trfegos que passam pelo servidor. Os dados que geralmente geram o registro so: dados sobre o uso de web caching; usurios que mais utilizam a internet; protocolos mais usados; sites mais acessados e outros parmetros.

3 - Concorrentes OpenSources do ISA Server

Para implementar todos os recursos que so encontrados no ISA Server utilizando o Opensource, deveremos utilizar ferramentas autnomas que geraro resultados parecidos com os encontrados no ISA Server. Abaixo esto relao de recursos utilizados no mundo opensource:

Sniffer A maioria das distribuies opensources por padro traz sniffers poderosos como tcpdump, ngrep, sendo estes utilizados em modo console. Para o modo grfico podemos destacar o Ethereal, Netpeek, Netdude e Etherape.

Anlise de vulnerabilidade Alguns programas so utilizados para analisar portas abertas que podem danificar a rede, problema no SMTP, Backdoors, Denial of Services e outros. O Nessus um programa utilizado tanto no modo console quanto no grfico para exibir vulnerabilidades encontradas na rede. O Nessus exibe os resultados em um relatrio que pode ser gerado por vulnerabilidades especificas que foi solicitada pelo Administrador.

Firewall Para a proteo contra invases na rede utilizado o firewall IPTables que utiliza o modo Pacote Stateful , onde o host X ao requisitar o uso da porta X com o host Y, ao receber a resposta o host Y no precisa fazer uma outra requisio pois o caminho j foi decorado pelo Firewall.

IDS Para a identificao de intruso utilizada o SNORT uma ferramenta open-source poderosa de IDS, que trabalha com uma base de assinaturas de

13

ataques em vrios sistemas operacionais e servios entre quais podemos destacar: IIS, SQL Server, Trojans (Subseven, BO2K, NetBus).

Controle de Contedo e Web Caching - Para o controle de lista negra, Controle temporizado, Controle por usurio, grupo e ou mquina, Definindo contedo em especfico, Relatrio legvel das atividades (html), Controle de banda por usurio Cache de pgina para todos os usurios utilizado o proxy Squid. VPN - Permitir controle de acesso, integridade, confiabilidade, confidencialidade e autenticao no nvel de rede atravs de criptografia forte.usando IPSEC padro aberto proposto pelo IETF, suporte a X.509 certificate e compatibilidade com outros produtos de VPN (Win/2k/Check Point/ Cisco) Soluo de segurana fim-a-fim entre roteadores, firewalls, estaes de trabalho e servidores. Implementao em Linux com custo inferior a qualquer soluo similar em outra plataforma. A ferramenta mais popular para VPN na comunidade Linux o projeto FreeSwan Kernel 2.4 ou Kame Kernel 2.6. Gerenciamento e Monitoramento Para o gerenciamento dos servidores que sero implantados no modelo de rede Opensource, ser utilizado o Webmin, que via http, usando o protocolo SSL gera uma tela administrativa com todos os servidores existentes na rede. Para o Monitoramento da rede utilizaremos o software Netsaint e o Nagios que gera relatrios de erros e logs dos servidores.

4 - Simulao de Caso Imagine uma empresa de mdio porte que deseja fazer um projeto de criao de domnio, Servidor de e-mail e integrar a rede de sua filial do Rio de Janeiro com sua matriz em So Paulo. No escopo do projeto foi definido que ser necessrio: Servidor DNS Primrio e um Secundrio; Servidor de Correio e Webmail com criptografia; Servidor Web para pginas dinmicas (com ftp); Sistema de Deteco de Intrusos ; Firewalls; VPN com a Filial.

4.1 - Situaes Atual

14

Internet

Internet

Modem ADSL

Modem ADSL

RIO

SAO

4.2 - Ferramentas de Segurana para o Projeto

Ferramentas para anlises de vulnerabilidades _ Controle de Contedo da Web _ Sistemas de IDS _ Firewall _ VPN _ Monitoramento de Redes _ Sniffers _ Scanners _ Criptografia _ NAT

15

4.3 - Soluo com ISA Server

SAO RIO

Internet

Recursos

Rede Demilitarizada

ISA

Win2k3 VPN Firewall IDS Proxy Logs NAT

ISA

E-mail

DNS

Rede Interna

Rede Interna

Proxy

Aplicativos

Proxy

Aplicativos

16

4.4 - Soluo com Software Livre

SAO Internet RIO

Recursos

Rede Demilitarizada

Linux VPN Firewall IDS Proxy Gateway Logs NAT

E-mail

DNS

Rede Interna

Rede Interna

Proxy

Aplicativos

Proxy

Aplicativos

17

4. 5 - Soluo com Ambos formando um modelo Back-to-Back

Acesso VPN

ISA

Rede Demilitarizada

Rede Interna
IPTables

E-mail

DNS

Proxy

Aplicativos

5 - Concluso

O ISA Server uma completa soluo para o gerenciamento da segurana e acesso web em redes corporativas, recursos como firewall integrado, suporte a VPN, deteco de intruses (IDS), Servidor Cache Corporativo, Servidor NAT(N:1) e NAT (1:1); possibilidade de extenso para a soluo acompanhar a evoluo da empresa,

18

faz o ISA Server uma soluo recomendada para satisfazer a necessidade que surgirem com o acesso a Internet. Contudo os recursos Opensources no deixa a desejar, pois tem aplicativos que mantem a integridade da segurana na rede, porm para implantar todos os recursos necessrio um conjunto de aplicativos independentes e se preocupar em manter todos estes programas funcionais, seno a falha no sistema se torna catastrfica. 6 Bibliografia

MELO, Sandro. Implementando Projetos de Segurana de Redes usando "Software Livre". 2005. Endereo Eletrnico: http://www.4linux.com.br/pdf/Seg_softwarelivre_cnasi2005_2p.pdf

BRASIL, Technet. Tipos de cliente do ISA Server . 2005. Endereo Eletrnico: http://www.technetbrasil.com.br/Downloads/ArtigosTecnicos/isa/ISASCT.doc