Novas características técnicas e implementação para proteção de dados e aplicativos-

Parte 1

ISA Server 2006:

É um avançado Firewall que ajuda a proteger o ambiente de TI das ameaças
provenientes da internet, enquanto fornece aos seus usuários acesso remoto rápido e
seguro para as aplicações e dados. Assim como usuários que estão na sua rede interna
poder acessar recursos da internet.
trabalha na camada de aplicação, VPN e solução em cachê que vai possibilitar você e a
sua empresa maximizar os investimentos em TI enquanto aumenta a segurança e
performance da sua rede. Resumindo, possibilita o acesso de quem esta fora da sua rede,
entrar na sua rede interna, ou quem esta na sua rede interna poder acessar recursos da
internet.

Proteção avançada do ISA Server:

Inspeção na camadas de aplicação dos pacotes Tcp trafegados na rede. Um pacote
básico de rede vai ter endereço Ip, endereçamento de dados e endereçamento de portas.
Os firewalls normais não fazem a checagem na camada de aplicação.
A maioria do ataques hoje ocorrem na camada de aplicação.
Ex: Code Red, Sasser, Blaster.

Versões do ISA Server 2006:

Isa 2006 Standard Edition.
Isa 2006 Enterprise Edition.
Isa 2006 Amppliaces.

Novidades do ISA Server 2006:

Autenticação Multi-Fator melhorada: podemos autenticar com Active Directory e
outros.
Delegação de autenticação melhorada: quando publicamos o servidor Exchange para a
internet, você esta publicando através do Isa Server, quem vai fazer a checagem se o
usuário é valido ou não no Exchange é o ISA Server.
Bits Caching: É um caching das atulizaçoes Microsoft Update.
Resistência Flood melhorada (DoS, DDos)
Resistência Worm melhorada.

Gerenciamento eficiente:
Administração de certificados melhorada.
Publicação Web Load Balancing. Pode ter dois sites na rede interna na mesma rede e
fazer o balanceamento entre os dois.
Propagação rápida, otimização de banda.
Já possui Manegement Pack para o MOM 2005.
Single sing on.
Link Transalation.
Http Traffic Compression and Caching.
Melhor utilização da banda (Diffserv).

Segurança:
Proteção contra ataques embutidos em conteúdo criptografado. Solução: SSL Bridging.
Melhor uso da autenticação do AD. Solução: autenticação Multi-Fator melhorada,
suporte a autenticação LDAP, pré-autenticação baseada em Form.
Métodos de autenticação mais fortes. Solução: delegação de autenticação melhorada,
gerenciamento de sessão melhorada.

Acesso do usuário:
Single sing-on.
Automatic link translation.
Proteção da filial - Novas características de gerenciamento:
-Ferramentas automatizadas de conexão VPN. Arquivos de respostas em mídia
removível.
-Propagação rápida das políticas da empresa.
-Gerenciamento remoto seguro.
-Arquitetura de múltiplas redes. Templates de redes e ferramentas de configuração.

Melhorias no Firewall e no Proxy:

Hoje temos que nos proteger de quem esta na rede externa quanto da rede interna. Esses
micros podem ser infectados por algum Spyware ou Mallware, infectando assim os
outros micros da rede e que estão conectados no internet. Com o Isa Server você
consegue diagnosticar e identificar quem são os micros que estão infectados. Sem
precisar ficar vendo Logs pra saber quem esta infectado. Configurando alerta no Isa
Server, ele ira informar ao administrador essas informações ganhando tempo.

Resistência Flood.
Log Throlttling: Quando o Isa Server estourar o seu espaço em disco, ele não ira parar
de funcionar, não vai travar, ira parar de fazer o Log ate que você resolva isso..
Controle de memória:
Controle de DNS pendentes:
Novas características técnicas e implementação para proteção de dados e aplicativos -
Parte 2.

Firewall é um dispositivo com a capacidade de prevenir o acesso não autorizado de ou

para uma rede cruzada, é a porta de entrada da sua rede corporativa.

Wikipédia:
Firewall é o nome dado ao dispositivo de uma rede de computadores que tem por
objetivo aplicar uma política de segurança a um determinado ponto de controle da rede.
Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a
transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para
outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de
aplicações, comumente associados a redes TCP/IP.

Firewall é um dispositivo de rede que tem o objetivo de aplicar uma política de

segurança a um determinado ponto de controle da rede.
Ele tem a função de regular o trafego de dados entre redes diferentes e impedir a
transmissão ou recepção de acesso não autorizado de uma rede para a outra.

Tipos de Firewall:
- Packet Filtering: Firewall de primeira geração. Checa apenas portas (protocolos),
origem e destino. Nenhuma checagem avançada é realizada.
- Stateful Inspection: Firewall de segunda geração. Checa portas (protocolos), origem,
destino e alem disso mantêm e inspeciona o estado de todas as conexão ativas
existentes. Com isso você consegue um status integral de tudo que acontece com seu
Firewall.
- Full Inpection: Firewall de ultima geração. Checa portas (protocolos), origem, destino,
inspeciona o estado da conexão e checa diversos protocolos na camada de aplicação.
Isso significa que podemos controlar a forma como, por exemplo, um Browser de um
cliente externo se comunicara com um servidor Web interno de sua empresa que esta
disponibilizado na internet.

Como um Firewall normal enxerga um pacote:

Num Firewall tradicional apenas o cabeçalho do pacote é inspecionado, o conteúdo da
camada de aplicação desse pacote é ignorado. Esse tipo de Firewall não consegue
distinguir uma chamada licita, ou seja, uma chamada permitida, de uma ilícita, que não
seja permitida no modelo de acesso normal, utilizando o protocolo http, com isso o
atacante poderia explorar uma vulnerabilidade de um servidor Web enviando uma serie
de comandos arbitrários não reconhecidos pelo servidor causando a sua parada ou ate
mesmo a sua invasão.
Como o ISA Serve enxerga o pacote:
Ele verifica o cabeçalho assim como o conteúdo na camada de aplicação do pacote.
Com isso podemos barrar o trafego ilícito antes de chegar ao nosso servidor interno.
Evitando portanto a exploração de alguma vulnerabilidade, através de comando
arbitrários não reconhecidos pelo servidor.

Regras de acesso (Firewall Policy):

Como todo Firewall de ultima geração, o ISA lê as regras de forma crescente, ou seja da
primeira regra para a ultima. Todo cuidado no posicionamento da regras é pouco, visto
que elas farão o seu Firewall funcionar corretamente ou não. Lembrando que ação
padrão do ISA é negar, ou seja, se não houver uma regra explicitamente liberando
algum recurso ou acesso, por padrão esse acesso será negado.
Existem dois tipos básico de ações numa regra de acesso: permitir ou negar.
Para criar uma regra de acesso de permissão é necessário informar protocolos
permitidos, origens, destinos, e os grupos sobre a qual aquela regra será aplicada.
Lembrando que tanto a origem e destino não precisam ser exatamente redes, podem ser
domínios, sites, sub-redes, computadores, ou redes de VPN remotos.
A melhor estratégia do ponto de vista de segurança é a de negar tudo e permitir somente
o necessário. Essa estratégia deve ser implementada com bastante cuidado envolvendo
os usuários em um treinamento bastante intenso e complexo no intuito de minimizar o
impacto do bloqueio diante dos usuários. Mudanças são sempre complicadas. E é muito
importante manter os usuários a par das políticas de segurança da empresa. Para que os
mesmos entendam a importância de algo ser ou não permitido.
Trabalhando com o modelo de negação podemos trabalhar com um filtro bastante
poderoso no ISA Server, chamado de http Filter. Com este Filter temos a possibilidade
de fazer um controle extremamente rígido sobre a forma como os seus usuários irão
utilizar o acesso a internet a sua empresa. Com ele podemos bloquear varias aplicações
como, MSN, Emule, programas de Torrents, e outras aplicações.
Alem do http Filter podemos usar também os Content Tipes, onde selecionamos os tipos
de arquivos ou documentos que poderão ser acessados via Web. Por exemplo: você criar
um bloqueio para a execução de áudio e vídeo através de um Content Tipe.

VPN (Virtual Private Network)

O uso de conexões VPN vem crescendo ao longo dos últimos anos, com o barateamento
do uso das conexões rápidas a internet, as VPNs tem sido cada vez mais usadas nas
comunicação entre funcionários em viagem e suas corporações, filias de suas empresas
e suas matrizes, alem de um modelo bastante conhecido entre os pessoas que trabalham
na área de TI, o home-Office. Alem das possibilidades de você para prestar suporte.
Com as conexões VPN temos uma forma segura e controlada de acessar os dados da
empresa para a execução do nosso trabalho.

Tipos:
Site to site: Geralmente ela é utilizada para prover conectividade entre empresas
parceiras ou filiais com matriz. Com o ISA Server 2006 temos assistência de criação
para VPN Site to Site, que auxilia bastante no processo de criação de conexão. Alem
disso podemos controlar de forma bastante extensa a maneira como rede da filial ira se
comunicar com a matriz. Informando exatamente o que será permitido ou não de uma
rede a outra.

Client to Site: Serve para prover acesso de usuários remotos a redes da corporação. Você
pode dizer nesse modelo o que os seus usuários terão direito de acessar na sua rede
interna, permitir ou negar acesso ao servidor de arquivos de acordo com a necessidade
de seus clientes remotos.

Quarantined VPN Client: É uma conexão Client to Site onde existe a possibilidade de
realizar uma serie de controles. Com ela é possível solicitar que seu cliente remoto
obedeça a uma serie de requisitos para se conectar a rede da empresa.

Isso funciona da seguinte maneira, no momento em que o cliente faz a conexão com a
rede corporativa ele é jogado numa rede chamada rede de quarentena, essa rede por
padrão não tem acesso a nenhum tipo de servidor ou protocolo da rede interna, ele fica
localizado nessa rede de VPN até que seja executado um Script que ira enviar as
informações do cliente ao servidor. O Script é executado localmente no cliente remoto e
faz as verificações necessárias, uma vez em posse das informações ele envia a resposta
para o seu servidor ISA, e o seu cliente obedecendo a todas as políticas definidas ele
será direcionado para a rede de clientes de VPN e a partir daí poderá ter acesso aos
recursos da rede interna.

Protocolos disponíveis para VPN:

- Site to Site: PPTP, L2TP e IPSec.
- Client to Site: PPTP E L2TP.
Soluções seguras para as filiais com ISA Server – Parte 3.

- implementando o branch office

- configurando features branch office
Configurando http compression
Configurando bits caching
Configurando dif serve
- monitorando isa server com mom 2005

Branch Office:
É uma ferramenta usada em conjunto com o ISA Server para prover a interligação entre
a matriz e a filial ou escritórios remotos que precisam estar acessando o conteúdo da
rede interna de uma determinada empresa de modo seguro.

Soluções de segurança do Branch Office:

Firewall Access Controls -
Firewall Application Filtering – publicação de uma aplicação.
Worm and Flood Protection
Intrusion Detection and Prevention -
Web Proxy Access Controls – a filial deve acessar primeiramente a matriz pra poder ter
acesso a intenet
Web Proxy Application Filtering
Logging and Reporting -
Real-Time Alerts – ver em tempo real o que todos os usuários estão acessando.

- Controle de acesso de Firewall: no modelo de Firewall Enterprise, com um único ISA

Server você pode gerenciar todos os demais ISAs, onde você aplicando uma política em
uma matriz você pode replicar essa política para todas as filiais.

Features do Branch Office

Bits caching aceleram o processo de atualização de software e mantêm os computadores
remotos protegidos.
Controle de banda ao acesso a internet de um modo mais aprimorado. Num exemplo de
um uma empresa que possui três filiais, e em alguma da filiais alguém precisa acessar
um site, então ele faz a requisição para o isa server local que contacta o isa server da
matriz e buscou esse conteúdo na internet. O segundo usuário que buscar o mesmo
conteúdo (site) vai pegar esse conteudo no isa server local. Ou seja, ele guarda em cachê
o conteúdo pra que o próximo usuário que requisitar o mesmo conteúdo não precisar
buscar na internet. Dessa forma ele poderá acessar as paginas mais rapidamente.
O isa server também guarda em chaching atualizações da microsoft. Eliminando o
consumo de banda excessivo, e evita que vários usuários baixem o mesmo conteúdo
varias vezes.

Compreensão de conteúdo http: e colocação de cachê para melhorar o tempo de

carregamento das paginas de Web e reduzir os custos da Wan para os usuários das
filiais.
Quando um usuário acessa uma pagina alguns browsers solicita que ela já venha no
modelo comprensado, conteúdo http compactado. E hoje nem todos os firewalls
conseguem trabalhar com essa feature de compreensão. E o isa server 2006 foi
implementado essa feature de compreensão onde ele consegue trabalhar com esse
modelo de conteúdo web compactado.

O Diffserv garante que as aplicações com prioridades mais elevadas tem preferência
sobre outro trafego da rede, melhor utilização da largura de banda e tempos de respostas
mais rápidos para os recursos da Web mais importantes. Com essa ferramenta também é
possível fazer a priorização de banda por site.

Priorização de trafego – com a versão 2006 pode-se fazer um QOS de URL. Pode
determina uma quantidade em byte em que pode ser usado por site. Priorização de
banda por request de sites diferenciados.