Mejoras y Nuevas Mejoras y Nuevas Características de ISA Server Características de ISA Server

2004 2004

Chema AlonsoChema AlonsoMVP Windows Server SecurityMVP Windows Server Securityjmalonso@informatica64.comjmalonso@informatica64.com

ArquitecturaArquitectura Soporte Infraestructura de Red. Soporte Infraestructura de Red. Gestión VPN.Gestión VPN. Administración de seguridad Firewall. Administración de seguridad Firewall.

Reglas de Acceso.Reglas de Acceso. Publicación de servidores. Publicación de servidores. Tunneling y Bridging. Tunneling y Bridging. Filtros de Aplicación.Filtros de Aplicación.

Gestión de Caché.Gestión de Caché. Monitorización.Monitorización.

AgendaAgenda

ArquitecturaArquitectura

MS ISA Server 2004MS ISA Server 2004

-Soporte multiredSoporte multired

- NAT y RoutingNAT y Routing

- Filtrado a nivel de Filtrado a nivel de paquete, red y paquete, red y aplicación.aplicación.

- Reglas de Acceso.Reglas de Acceso.

-Publicación de Publicación de ServidoresServidores

-Add insAdd ins

- Sistema Detección Sistema Detección AtaquesAtaques

FirewallFirewall ProxyProxy VPNVPN

- Soporte de Soporte de Trabajos.Trabajos.

- Multiples unidades Multiples unidades de Cache.de Cache.

- Reglas de caché.Reglas de caché.

- Cache Activa.Cache Activa.

- Cache pasiva.Cache pasiva.

- Cache negativa.Cache negativa.

- Servidor VPN Servidor VPN integrado.integrado.

- Soporte de red VPN.Soporte de red VPN.

- Soporte de redes de Soporte de redes de quarentena.quarentena.

- Soporte publicación Soporte publicación serviodores VPN.serviodores VPN.

- Integración RADIUS.Integración RADIUS.

- Monitorización de Monitorización de sesiones.sesiones.

Soporte MultiredSoporte Multired ISA Server 2004 divide los sistemas de red ISA Server 2004 divide los sistemas de red

en función de las necesidades planteadas en función de las necesidades planteadas en el marco de la seguridad.en el marco de la seguridad.

Cada adaptador del servidor será Cada adaptador del servidor será conectado a cada una de las redes de la conectado a cada una de las redes de la empresa.empresa.

Se establecen reglas para cada una de las Se establecen reglas para cada una de las diferentes redes en función de sus diferentes redes en función de sus características.características.

Soporte MultiredSoporte Multired Una red viene determinada por una o más máquinas Una red viene determinada por una o más máquinas

correspondiendo normalmente con una red física.correspondiendo normalmente con una red física.

Se pueden especificar reglas a una o más redes.Se pueden especificar reglas a una o más redes.

La red determina cuales son los clientes que van a La red determina cuales son los clientes que van a disponerse.disponerse.

ISA genera una preconfiguración de redes.ISA genera una preconfiguración de redes.

Las redes pueden ser agrupadas en conjunto de redes Las redes pueden ser agrupadas en conjunto de redes para su administración.para su administración.

Reglas de Conexión de RedReglas de Conexión de Red Determinan como se van a establecer la Determinan como se van a establecer la

conectividad entre las diferentes redes.conectividad entre las diferentes redes.

Las redes pueden ser conectadas siguiendo una Las redes pueden ser conectadas siguiendo una de estas dos metodologías.de estas dos metodologías. Enrutamiento.Enrutamiento. NAT.NAT.

Dentro de una red la comunicación entre equipos Dentro de una red la comunicación entre equipos se considera como enrutada.se considera como enrutada.

VPNVPN ISA Server permite una integración de las conexiones ISA Server permite una integración de las conexiones

remotas con la solución Firewall.remotas con la solución Firewall.

Se pueden publicar otros servidores VPN.Se pueden publicar otros servidores VPN.

Las VPN están sujetas a las reglas de la red. Las VPN están sujetas a las reglas de la red.

Se determina por donde pueden conectarse los clientes.Se determina por donde pueden conectarse los clientes.

Todos los clientes conectados por VPN forman una red.Todos los clientes conectados por VPN forman una red.

Se pueden monitorizar las sesiones.Se pueden monitorizar las sesiones.

Redes de CuarentenaRedes de Cuarentena

Cuando se establece una conexión remota Cuando se establece una conexión remota VPN se puede evaluar un conjunto de reglas VPN se puede evaluar un conjunto de reglas o conectar con Connection Manager y Radius.o conectar con Connection Manager y Radius.

Se evalúa el cumplimiento de los requisitos.Se evalúa el cumplimiento de los requisitos.

Si los cumple -> Red VPN.Si los cumple -> Red VPN.

Si no los cumple -> Red de Cuarentena.Si no los cumple -> Red de Cuarentena.

VENTAJAS DE VPN EN ISA SOBRE VENTAJAS DE VPN EN ISA SOBRE WINDOWS 2003WINDOWS 2003

Control de las conexión y seguridad: ISA es capaz Control de las conexión y seguridad: ISA es capaz de inspeccionar el tráfico y aceptarlo o de inspeccionar el tráfico y aceptarlo o discriminarlo en función de origen y contenido.discriminarlo en función de origen y contenido.

Balanceo de carga con VPN en ISA 2004 no Balanceo de carga con VPN en ISA 2004 no soportado en Windows 2003.soportado en Windows 2003.

Puesta en cuarentena de las conexiones de VPN Puesta en cuarentena de las conexiones de VPN hasta el establecimiento de la conexión. En hasta el establecimiento de la conexión. En Windows 2003 esta cuarentena está limitada a Windows 2003 esta cuarentena está limitada a los clientes que autentifican a través de RADIUS.los clientes que autentifican a través de RADIUS.

Mejora el rendimientoMejora el rendimiento

Clientes VPNClientes VPN

Pueden establecerse como cliente Pueden establecerse como cliente cualquier S.O. de la familia Windows.cualquier S.O. de la familia Windows.

Hay soporte para los protocolos de Hay soporte para los protocolos de comunicaciones PPTP y L2TP.comunicaciones PPTP y L2TP.

Se pueden establecer diferentes sistemas Se pueden establecer diferentes sistemas de autentificación para clientes remotos: de autentificación para clientes remotos: PAP, CHAP, MS-CHAP, MS-CHAP v2, SPAP y PAP, CHAP, MS-CHAP, MS-CHAP v2, SPAP y EAPEAP

Filtrado de PaquetesFiltrado de Paquetes

Sistema Firewall Sistema Firewall

IDSIDS

Se inspeccionan los flags de los paquetes IP.Se inspeccionan los flags de los paquetes IP.Se descartan/admiten en función de flags de cabeceras.Se descartan/admiten en función de flags de cabeceras.

Se detectan ataques que se produccen contra sistemas no actualizados.Se detectan ataques que se produccen contra sistemas no actualizados.SDK ampliable mediante programas de terceros.SDK ampliable mediante programas de terceros.

Reglas de AccesoReglas de Acceso

Sistema Firewall Sistema Firewall

Publicación ServidoresPublicación Servidores

Filtran Nivel de Red y Nivel de Aplicación.Filtran Nivel de Red y Nivel de Aplicación.Utilizan sistema encadenado. La primera que se cumpla.Utilizan sistema encadenado. La primera que se cumpla.Integradas con Active Directory.Integradas con Active Directory.

Reglas de acceso a servicios ofrecidos.Reglas de acceso a servicios ofrecidos.Integradas con Reglas de acceso.Integradas con Reglas de acceso.Publicación Bridging y Tunneling.Publicación Bridging y Tunneling.

Tunneling / Bridging HTTP-sTunneling / Bridging HTTP-s

Tunneling HTTPS por cualquier puerto.Tunneling HTTPS por cualquier puerto. MS ISA Server 2000 hay que configurar MS ISA Server 2000 hay que configurar

puertos SSL.puertos SSL.

Bridging HTTPS con:Bridging HTTPS con: Cifrado entre cliente-firewall y firewall Cifrado entre cliente-firewall y firewall

servidor.servidor. Cifrado entre cliente-firewall.Cifrado entre cliente-firewall. Cifrado entre firewall-Servidor.Cifrado entre firewall-Servidor.

Reglas de AccesoReglas de Acceso

Add-insAdd-ins

Son Filtros a nivel de Aplicación.Son Filtros a nivel de Aplicación.

Inspeccionan el contenido de un determinado Inspeccionan el contenido de un determinado protocolo y toman decisiones.protocolo y toman decisiones.

Por defecto tenemos filtros SMTP (Message Por defecto tenemos filtros SMTP (Message Screener), HTTP, RPC, etc.., pero pueden ser Screener), HTTP, RPC, etc.., pero pueden ser ampliados por terceros.ampliados por terceros.

ISA Server 2004 oferta un SDK para el desarrollo ISA Server 2004 oferta un SDK para el desarrollo de Add-ins.de Add-ins.

Detección de IntrusosDetección de Intrusos

El servicio proporciona un mecanismo para El servicio proporciona un mecanismo para identificar cuando se está produciendo un identificar cuando se está produciendo un ataque.ataque.

ISA Server compara el tráfico de red con ISA Server compara el tráfico de red con registros y patrones de ataques bien registros y patrones de ataques bien conocidos.conocidos.

Cuando un ataque es reconocido se realiza Cuando un ataque es reconocido se realiza una alerta.una alerta.

Solución ProxySolución Proxy Mejora las condiciones de acceso a Internet Mejora las condiciones de acceso a Internet

mediante:mediante:

Control de los usuarios para la conexión a los Control de los usuarios para la conexión a los servicios de Internet.servicios de Internet.

Almacenamiento y gestión en caché de las Almacenamiento y gestión en caché de las Páginas Web a las que acceden los usuarios para Páginas Web a las que acceden los usuarios para una aceleración a la conexión de las mismas.una aceleración a la conexión de las mismas.

Proporciona confidencialidad de la red interna al Proporciona confidencialidad de la red interna al realizar una translación del direccionamiento IPrealizar una translación del direccionamiento IP

CachéCaché Soporte de Trabajos.Soporte de Trabajos.

Se pueden descargar en franjas de tiempo de poca actividad.Se pueden descargar en franjas de tiempo de poca actividad.

Reglas de caché por tipos de objetos, protocolo y Reglas de caché por tipos de objetos, protocolo y redes.redes.

Cache Activa. Sistema pro-activo de predicción de Cache Activa. Sistema pro-activo de predicción de comportamiento.comportamiento.

Cache pasiva. Sistema de almacenamiento de los Cache pasiva. Sistema de almacenamiento de los objetos ya descargados.objetos ya descargados.

Cache negativa. Sistema de reutilización de objetos Cache negativa. Sistema de reutilización de objetos de error.de error.

AdministraciónAdministración

ISA Server 2004 proporciona una nueva ISA Server 2004 proporciona una nueva consola de administración mejorada.consola de administración mejorada.

El sistema va a permitir la exportación de El sistema va a permitir la exportación de datos así como la importación de los mismos datos así como la importación de los mismos para realizar sistemas de implantación de para realizar sistemas de implantación de servidores.servidores.

El sistema incluye una herramienta para El sistema incluye una herramienta para realizar la copia de seguridad y restauración realizar la copia de seguridad y restauración de los datos del servidor.de los datos del servidor.

Roles Administrativos.Roles Administrativos. La organización y administración en ISA La organización y administración en ISA

Server está determinado por roles. Cuando Server está determinado por roles. Cuando un rol es asignado a un usuario se le está un rol es asignado a un usuario se le está permitiendo realizar determinadas tareas.permitiendo realizar determinadas tareas.

Los roles administrativos son 3:Los roles administrativos son 3: ISA Server Basic Monitoring.ISA Server Basic Monitoring. ISA Server Extended Monitoring.ISA Server Extended Monitoring. ISA Server Full AdministratorISA Server Full Administrator

Servicio de AlertaServicio de Alerta Va a ser el encargado de realizar una Va a ser el encargado de realizar una

notificación cuando ocurre algún suceso.notificación cuando ocurre algún suceso.

Cuando una alerta se produce Cuando una alerta se produce desencadena una serie de acciones para desencadena una serie de acciones para realizar notificaciones o la programación realizar notificaciones o la programación de acciones.de acciones.

La definición de las alertas pueden ser La definición de las alertas pueden ser configurados y modificados. configurados y modificados.

Registros de UtilizaciónRegistros de Utilización

Cuando se instala ISA Server 2004 Cuando se instala ISA Server 2004 por defecto se habilitan todos los por defecto se habilitan todos los registros de los componentes, registros de los componentes, aunque hay posibilidad de aunque hay posibilidad de deshabilitarlos.deshabilitarlos.

La información puede ser La información puede ser almacenada en diferentes formatos almacenada en diferentes formatos para su análisis posterior.para su análisis posterior.

InformesInformes

Los informes resumen y analizan Los informes resumen y analizan diferentes aspectos de la diferentes aspectos de la comunicación.comunicación.

ISA Server proporciona mecanismo ISA Server proporciona mecanismo para la automatización de informes, para la automatización de informes, especificación el período en el cual van especificación el período en el cual van a ser recogidos los datos y cuando va a a ser recogidos los datos y cuando va a ser generado dicho informe.ser generado dicho informe.

Plantillas de Implantación.Plantillas de Implantación.

ISA 2004 provee de plantillas para ISA 2004 provee de plantillas para una rápida implantación del sistema una rápida implantación del sistema de seguridad en las empresas.de seguridad en las empresas.

Las plantillas dan soluciones Las plantillas dan soluciones eficientes a algunos de los eficientes a algunos de los planteamientos normales de planteamientos normales de seguridad en las empresas.seguridad en las empresas.

Demo: ISA Server 2004Demo: ISA Server 2004