isa server

18
FACULDADE DE TECNOLOGIA OSWALDO CRUZ – FATEC Mantenedora Pró-Técnica Paulista S/C LTDA Curso Superior de Tecnologia em Redes Operacionais TRABALHO ISA SERVER Redes Operacionais – 4º Módulo Leandro Marques Douglas Alexandre Jadilson Santos Wagner Chamas Rondineli Saad São Paulo 2005

Upload: fernandes-mendes-da-silva

Post on 26-Jun-2015

317 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: ISA Server

FACULDADE DE TECNOLOGIA OSWALDO CRUZ – FATECMantenedora Pró-Técnica Paulista S/C LTDA

Curso Superior de Tecnologia em Redes Operacionais

TRABALHO ISA SERVER Redes Operacionais – 4º Módulo

Leandro MarquesDouglas AlexandreJadilson SantosWagner ChamasRondineli Saad

São Paulo2005

Page 2: ISA Server

SUMÁRIO

SUMÁRIO...............................................................................................................................................2

1 - Introdução

A Internet tem se tornando um fator extremamente importante para a realização de

acesso a serviços e comunicação entre as corporações, para realização de negócios.

Com isso um desafio e necessidade se tornaram importante que é a proteção do

acesso à rede interna das corporações e bloqueios de determinados serviços que

possam comprometer a funcionalidade da rede interna. Três fatores se tornaram

importante:

• Garantir a segurança da rede interna, pois contem servidores operacionais

com dados confidenciais da empresa;

• Controle de acesso à internet aos usuários, pois sabemos que acesso a

conteúdos sem fins profissionais diminui a produtividade dos funcionários;

• Minimizar os custos com banda de acesso à internet.

O ISA Server foi concebido sobre quatro pilares:

• Segurança – Utilizando um firewall escalonável e multicamadas;

• Performance - Rápido acesso com um cachê escalonável e de alta

performance;

2

Page 3: ISA Server

• Gerenciamento – Gerenciamento e políticas robusto e integrado ao Windows

2000 e 2003;

• Extensibilidade – Plataforma superior para a extensão e customização,

utilizando-se de recursos de terceiros para ter uma maior disponibilidade nos

serviços.

2 - ISA Server

O Microsoft Internet Security & Acceleration (ISA) Server 2004 é um firewall de

camada de aplicação e inspeção avançada de pacotes, um servidor de rede privada

virtual (VPN), solução de detecção de intrusos e uma solução de cache Web que

permite aos clientes maximizarem facilmente os investimentos em TI aumentando a

segurança e o desempenho da rede.

Pode ser encontrados em duas edições, Standard Edition e Enterprise Edition, ambas

possuindo o mesmo conjunto de funções, sendo a edição Standard voltada para

servidor único, suportando até quatro processadores, enquanto a segunda é adequada

para implementações em larga escala, suporte a cadeias de servidores e políticas de

vários níveis com mais de quatro processadores.

O Microsoft® Internet Security and Acceleration (ISA) Server fornece suporte a três

tipos de clientes:

• Clientes firewall são computadores clientes que possuem um software

Firewall Client instalado e habilitado.

• Clientes SecureNAT (conversão de endereço de rede seguro) são

computadores clientes que não possuem o Firewall Client instalado.

• Clientes de proxy da Web são aplicativos Web clientes configurados para

usar o ISA Server.

Os computadores Cliente firewall e Cliente SecureNAT podem ser também Clientes

de proxy da Web. Se o aplicativo da Web no computador estiver configurado

3

Page 4: ISA Server

explicitamente para usar o ISA Server, todas as solicitações da Web (HTTP, FTP,

HTTPS e Gopher) serão enviadas diretamente ao serviço de Proxy da Web. Todas as

outras solicitações serão tratadas primeiro pelo serviço de Firewall.

A tabela a seguir compara os clientes ISA Server.

Recurso Cliente SecureNAT Cliente firewall Cliente de proxy daWeb

4

Page 5: ISA Server

Requisitos deinstalação

Algumas alterações naconfiguração de redeexigidas

Sim Não. Configuraçãode navegador da Webexigida

Suporte para sistemaoperacional

Qualquer sistemaoperacional queforneça suporte paraTCP/IP (Protocolo deControle deTransmissão/Protocolo Internet)

SomenteplataformasWindows

Todas asplataformas, mas pormeio de aplicativosda Web

Suporte a protocolo Filtros de aplicativospara vários protocolosde conexão exigidos

Todos osaplicativosWinsock

HTTP (Protocolo deTransferência deHipertexto), HTTPS(HTTP seguro), FTP(Protocolo deTransferência deArquivo) e Gopher

Autenticação nonível do usuário

Algumas alterações naconfiguração de redeexigidas

Sim Sim

Aplicativos deservidor

Nenhumaconfiguração ouinstalação exigida

Arquivo deconfiguraçãoexigido

Não aplicável

2.1 - Firewall

Mecanismo utilizado para controlar pacotes que trafegam nas suas interfaces da rede,

analisando os cabeçalhos dos pacotes, verificando quais tipos de serviços estes

pacotes está requisitando. O firewall tem de 2 a 3 interfaces de rede, possibilitando

uma segmentação e separação entre as redes, criando assim redes perimetrais para

fins de segurança. Por exemplo, com duas interfaces de redes o firewall separaria a

rede Internet da rede Interna e com 3 interfaces de rede o firewall separa a rede

Internet da rede DMZ (rede desmilitarizada) e as duas da rede Interna, ou seja 3 redes

distintas se formam neste layout apresentado, controlando o acesso indevido nestas

redes.

O sistema de proteção do firewall ISA Server é multi-camadas, ou seja, atinge várias

camadas de rede, desde camadas inferiores filtrando os pacotes até a camada de

aplicação.

5

Page 6: ISA Server

O ISA Server por padrão vem com todas as regras negando o serviço, cabendo o

administrador a permitir tanto o acesso da rede interna quanto a rede Internet.

Utilizando uma tecnologia licenciada pela Internet Security System o ISA é capaz de

detectar qualquer tentativa de invasão vinda da rede Internet. O ISA permiti

configurar alertas a serem enviadas via e-mails, relatórios ou parada de serviços caso

aja uma tentativa de invasão.

Na camada de aplicação existem os filtros “smart” que inspeciona os pacotes e são

capazes de tratar os dados baseados no protocolo utilizado. Por exemplo, o protocolo

SMTP terá um filtro SMTP que tratará os dados pela origem, destino, conteúdo,

anexo e comandos do SMTP.

2.1.1 - Modelo Bastion Host

Topolia que utiliza o ISA Server com duas interfaces de rede, uma destinada a rede

Interna e outra a rede Internet, controlando assim o tráfego de pacotes entrantes e

saintes.

MZ-LAN

Internet

2.1.2 - Three-Homed

6

Page 7: ISA Server

Mais conhecida como rede de perímetro, ou rede Desmilitarizada, onde o ISA Server

é instalada com 3 interfaces de rede.

DMZ

MZ-LAN

Internet

2.1.3 - Modelo Back-to-Back

Topologia que utiliza 2 firewall, ou seja, cria uma redundância na proteção.

MZ-LAN

Internet

DMZ

2.2. - SecureNAT

A técnica chamada NAT que converte o endereço de origem e destino em um

endereço válido na rede que são transmitidas.

7

Page 8: ISA Server

O ISA Server compartilha o acesso a internet utilizando uma técnica chamada NAT

(N:1), onde ao tentar acessar a rede Internet o endereço de origem é o endereço da

estação, enquanto que o endereço de destino é o endereço Internet. Ao passar pelo

servidor NAT o endereço de origem é alterado e o endereço público do NAT é

utilizado, tornando o pacote válido para a comunicação na Internet. Para o host de

destino quem começou a comunicação foi o Servidor NAT e não a estação da rede

Interna. Quando o pacote retorna, ele volta para o Servidor NAT que consulta a sua

tabela de IP e encaminha o pacote para a estação correspondente, tornando assim a

comunicação transparente para todas as estações da rede Interna.

Para a publicação de Servidores Internos a técnica NAT(1:1) é utilizada. A partir de

uma regra de publicação, define-se que todas as requisições oriundas da internet em

uma determinada porta sejam redirecionadas para um endereço ip interno utilizando

uma determinada porta. Ao receber uma solicitação o NAT converte o endereço de

destino e a respectiva porta e a entrega no Servidor Interno. No retorno novamente é

feita à conversão para que assim ocorra de uma forma transparente a comunicação

para os clientes na web. Com estes serviços, pode-se hospedar Servidores que

disponibilizam serviços para a Internet, utilizando protocolos TCP e UDP.

Abaixo layout da implementação do modelo Secure Publishing, onde é usado o NAT

(1:1):

8

Page 9: ISA Server

InternetISA

Servidor de Publicação

RotasFonte: Cliente IP InternetDestino: IP Público do ISAPorta: 80

RotasFonte: Cliente IPDestino: Servidor InternoPorta: 80

2.3 - VPN

Redes Privadas interconectadas de forma segura através de uma rede pública

(internet), ou seja, de qualquer lugar do mundo o usuário pode se conectar a rede

corporativa utilizando todos os recursos presentes na rede. O ISA Server estende o

serviço de VPN presente no Windows 2000 e 2003 Server, protegendo com os

recursos de firewall, permitindo uma comunicação segura que podem ser baseado em

dois protocolos de enfunilamento o PPTP (implementação mais simples) e o L2TP

(baseado na infra-estrutura de chave pública e por isso é considerado ainda mais

seguro). Para a encriptação dos pacotes o protocolo MPPE e utilizado em conjunto

com o PPTP e o IPSec é utilizado em conjunto com o L2TP.

Abaixo segue o layout da implementação do recurso VPN usando o ISA Server:

9

Page 10: ISA Server

Túnel VPN

Host Remoto

ISA

2.4 - Web Caching

Para um sensível acréscimo de performance e otimização da banda da Internet

disponível, o ISA Server disponibiliza um robusto sistema de cache de objetos HTTP

e FTP. O cache é disponibilizado em memória que minimiza o uso de disco e

aumenta a performance geral de cache, sendo 20% mais rápido que o Proxy Server.

Sites onde o acesso é constante o download pode ser agendado para um maior

desempenho.

2.4.1 - Foward Caching

10

Page 11: ISA Server

Possibilita que seja armazenado o conteúdo do site que foi visitado para que um

outro usuário possa utilizá-lo sem a necessidade de se fazer o download novamente.

Sendo os objetos entregues pelo ISA Server diretamente para o próximo usuário

solicitante.

2.5 - Monitoramento

Alertas podem ser configuradas no ISA Server, onde a ação de envio de mensagens

de correio eletrônico, execução de arquivos e registro em log do sistema, podem ser

disparados quando determinados eventos ocorrerem no ISA. Entre os eventos

suportados estão: Tentativa de invasão; parada de serviços; falha do cache e ações de

filtros.

Os seguintes recursos no ISA Server são encontrados:

• Dashboard - Visão centralizada do status do Firewall: Tempo, Dadosconsolidados, Fácil de detectar problemas.

• Alerts – Um único local para todos os problemas: Histórico dos alertas,Gerência dos alertas, Serveridade e categoria.

• Sessions – Vizualiza sessões ativas: Mecanismo poderoso de consultas,Sessões VPN, Possibilidade de desconectar uma sessão.

• Services – Status do ISA e serviços dependentes: Parar e iniciar os serviços• Reports - Conjunto completo de relatórios de atividade Relatórios periódicos,

Notificação por e-mail, Publicação dos relatórios.• Conectividade – Monitora conectividade aos serviços críticos: Tipos de

requisição, Tempo de resposta & limites para alerta, Agrupamento.• Logs e Histórico – Visualizar o tráfego passando pelo ISA: Modo “tempo

real”, Histórico, Mecanismo poderoso de consulta.

2.6 - Logs

Registra todo o tráfego que passa pelo firewall e pelo Web Proxy. Os logs podem ser

customizados, podendo ser selecionados os campos mais destacáveis e pela

freqüência dos registros.

2.7 - Registros

11

Page 12: ISA Server

O ISA Server suporta a criação de relatórios, sendo estes gerados pela coleta da

informação de tráfegos que passam pelo servidor. Os dados que geralmente geram o

registro são: dados sobre o uso de web caching; usuários que mais utilizam a internet;

protocolos mais usados; sites mais acessados e outros parâmetros.

3 - Concorrentes OpenSources do ISA Server

Para implementar todos os recursos que são encontrados no ISA Server utilizando o

Opensource, deveremos utilizar ferramentas autônomas que gerarão resultados

parecidos com os encontrados no ISA Server. Abaixo estão à relação de recursos

utilizados no mundo opensource:

• Sniffer – A maioria das distribuições opensources por padrão traz sniffers

poderosos como tcpdump, ngrep, sendo estes utilizados em modo console.

Para o modo gráfico podemos destacar o Ethereal, Netpeek, Netdude e

Etherape.

• Análise de vulnerabilidade – Alguns programas são utilizados para analisar

portas abertas que podem danificar a rede, problema no SMTP, Backdoors,

Denial of Services e outros. O Nessus é um programa utilizado tanto no modo

console quanto no gráfico para exibir vulnerabilidades encontradas na rede. O

Nessus exibe os resultados em um relatório que pode ser gerado por

vulnerabilidades especificas que foi solicitada pelo Administrador.

• Firewall – Para a proteção contra invasões na rede é utilizado o firewall

IPTables que utiliza o modo Pacote Stateful , onde o host X ao requisitar o

uso da porta X com o host Y, ao receber a resposta o host Y não precisa fazer

uma outra requisição pois o caminho já foi decorado pelo Firewall.

• IDS – Para a identificação de intrusão é utilizada o SNORT uma ferramentaopen-source poderosa de IDS, que trabalha com uma base de assinaturas de

12

Page 13: ISA Server

ataques em vários sistemas operacionais e serviços entre quais podemosdestacar: IIS, SQL Server, Trojans (Subseven, BO2K, NetBus).

• Controle de Conteúdo e Web Caching - Para o controle de lista negra,Controle temporizado, Controle por usuário, grupo e ou máquina, Definindoconteúdo em específico, Relatório legível das atividades (html), Controle debanda por usuário Cache de página para todos os usuários é utilizado o proxySquid.

• VPN - Permitir controle de acesso, integridade, confiabilidade,confidencialidade e autenticação no nível de rede através de criptografiaforte.usando IPSEC padrão aberto proposto pelo IETF, suporte a X.509certificate e compatibilidade com outros produtos de VPN (Win/2k/CheckPoint/ Cisco) Solução de segurança fim-a-fim entre roteadores, firewalls,estações de trabalho e servidores. Implementação em Linux com custoinferior a qualquer solução similar em outra plataforma. A ferramenta maispopular para VPN na comunidade Linux é o projeto FreeSwan Kernel 2.4 ouKame Kernel 2.6.

• Gerenciamento e Monitoramento – Para o gerenciamento dos servidoresque serão implantados no modelo de rede Opensource, será utilizado oWebmin, que via http, usando o protocolo SSL gera uma tela administrativacom todos os servidores existentes na rede. Para o Monitoramento da redeutilizaremos o software Netsaint e o Nagios que gera relatórios de erros e logsdos servidores.

4 - Simulação de Caso

Imagine uma empresa de médio porte que deseja fazer um projeto de criação dedomínio, Servidor de e-mail e integrar a rede de sua filial do Rio de Janeiro com suamatriz em São Paulo. No escopo do projeto foi definido que será necessário:

• Servidor DNS Primário e um Secundário;• Servidor de Correio e Webmail com criptografia;• Servidor Web para páginas dinâmicas (com ftp);• Sistema de Detecção de Intrusos ;• Firewalls;• VPN com a Filial.

4.1 - Situações Atual

13

Page 14: ISA Server

RIO SAO

Modem ADSL Modem ADSL

Internet Internet

4.2 - Ferramentas de Segurança para o Projeto

• Ferramentas para análises de vulnerabilidades _• Controle de Conteúdo da Web _• Sistemas de IDS _• Firewall _• VPN _• Monitoramento de Redes _• Sniffers _• Scanners _• Criptografia _• NAT

14

Page 15: ISA Server

4.3 - Solução com ISA Server

Rede Demilitarizada

E-mail DNS Rede Interna

Proxy Aplicativos

Rede Interna

Proxy Aplicativos

Recursos

Win2k3VPN

FirewallIDS

ProxyLogsNAT

Internet

ISAISA

SAO RIO

15

Page 16: ISA Server

4.4 - Solução com Software Livre

Rede Demilitarizada

E-mail DNS Rede Interna

Proxy Aplicativos

Rede Interna

Proxy Aplicativos

Recursos

LinuxVPN

FirewallIDS

ProxyGateway

LogsNAT

Internet

SAO RIO

16

Page 17: ISA Server

4. 5 - Solução com Ambos formando um modelo Back-to-Back

ISA

Acesso VPN

Rede Demilitarizada

E-mail DNS

Rede Interna

Proxy Aplicativos

IPTables

5 - Conclusão

O ISA Server é uma completa solução para o gerenciamento da segurança e acesso

web em redes corporativas, recursos como firewall integrado, suporte a VPN,

detecção de intrusões (IDS), Servidor Cache Corporativo, Servidor NAT(N:1) e NAT

(1:1); possibilidade de extensão para a solução acompanhar a evolução da empresa,

17

Page 18: ISA Server

faz o ISA Server uma solução recomendada para satisfazer a necessidade que

surgirem com o acesso a Internet. Contudo os recursos Opensources não deixa a

desejar, pois tem aplicativos que mantem a integridade da segurança na rede, porém

para implantar todos os recursos é necessário um conjunto de aplicativos

independentes e se preocupar em manter todos estes programas funcionais, senão a

falha no sistema se torna catastrófica.

6 – Bibliografia

MELO, Sandro. Implementando Projetos de Segurança de Redes usando

"Software Livre". 2005. Endereço Eletrônico:

http://www.4linux.com.br/pdf/Seg_softwarelivre_cnasi2005_2p.pdf

BRASIL, Technet. Tipos de cliente do ISA Server . 2005. Endereço Eletrônico:

http://www.technetbrasil.com.br/Downloads/ArtigosTecnicos/isa/ISASCT.doc

18