Embed Size (px)
Citation preview
Conhecendo o ISA Server 2004Conhecendo o ISA Server 2004
Eduardo PetizmeEduardo PetizmeMCPMCP
[email protected]@hotmail.com
AgendaAgenda
Gerenciando riscosGerenciando riscosISA Server 2004, novidades e melhoriasISA Server 2004, novidades e melhorias
Novos RecursosNovos RecursosProteção da VPN e QuarentenaProteção da VPN e Quarentena
Modelo de Rede e PolíticasModelo de Rede e Políticas
Cenários de usoCenários de usoOWA, Firewall Interno, outros cenáriosOWA, Firewall Interno, outros cenários
Mais informaçõesMais informações
• 90% tiveram incidentes de segurança 90% tiveram incidentes de segurança 66
• 85% foram infectados por vírus de computador 85% foram infectados por vírus de computador 66
• 95% de todos os incidentes seriam evitados com 95% de todos os incidentes seriam evitados com o uso de uma outra configuração o uso de uma outra configuração 77
• Aproximadamente 70% de todos os ataques na Aproximadamente 70% de todos os ataques na Web ocorrem na camada de aplicaçãoWeb ocorrem na camada de aplicação 88
• 14B de equipamentos na Internet em 2010 14B de equipamentos na Internet em 2010 11
• 35M de usuários remotos em 2005 35M de usuários remotos em 2005 22
• 65% de aumentos nos Web Sites dinâmicos 65% de aumentos nos Web Sites dinâmicos 33
• De 2000 a 2002 incidentes reportados subiram de De 2000 a 2002 incidentes reportados subiram de 21756 para 8209421756 para 82094 44
• Quase 80% das 445 pessoas pesquisados Quase 80% das 445 pessoas pesquisados disseram que a Internet foi um ponto freqüente de disseram que a Internet foi um ponto freqüente de ataque, contra 57% há quatro anos atrásataque, contra 57% há quatro anos atrás 55
Os RiscosOs Riscos
Os Pontos Os Pontos FracosFracos
Gerenciando os riscos …Gerenciando os riscos …
1 Fonte: Forrester Research2 Fonte: Information Week, 26 Novembro 2001
3 Fonte: Netcraft 4 Fonte: CERT, 2003
5 Fonte: CSI/FBI Computer Crime and Security Survey6 Fonte: Computer Security Institute (CSI) Computer Crime and Security Survey 2002
7 Fonte: CERT, 20028 Fonte: Gartner Group
Bloqueio de acesso a Bloqueio de acesso a todos os arquivos .EXEtodos os arquivos .EXE
ISA 2004
Controle de download Controle de download HTTP baseado no tipo do HTTP baseado no tipo do
arquivoarquivo
Garante a segurança da Garante a segurança da publicação de servidores publicação de servidores Exchange Server - RPCExchange Server - RPC
FTP PolicyFTP Policy
Link TranslatorLink Translator
Firewall user groupsFirewall user groups
Firewall Rules WizardFirewall Rules Wizard
AuthenticationAuthentication
OWA Publishing WizardOWA Publishing Wizard
Secure WEB PublishingSecure WEB Publishing
Port redirection for FTP Port redirection for FTP ServerServer
Firewall Rules ordered listFirewall Rules ordered list
Novidades Melhorias
Firewalls TradicionaisFirewalls TradicionaisAberto aos Aberto aos
ataques mais ataques mais avançados avançados
Aberto aos Aberto aos ataques mais ataques mais avançados avançados
Code Red, NimdaCode Red, Nimda Ataques usando SSLAtaques usando SSL
Code Red, NimdaCode Red, Nimda Ataques usando SSLAtaques usando SSL
Escolha Escolha Performance X Performance X
SegurançaSegurança
Escolha Escolha Performance X Performance X
SegurançaSegurança
Banda de rede muito caraBanda de rede muito cara Muitas “partes móveis”Muitas “partes móveis”
Banda de rede muito caraBanda de rede muito cara Muitas “partes móveis”Muitas “partes móveis”
Capacidade de Capacidade de crescimento crescimento
limitadalimitada
Capacidade de Capacidade de crescimento crescimento
limitadalimitada
Upgrade difícilUpgrade difícil Não escala junto com a demandaNão escala junto com a demanda
Upgrade difícilUpgrade difícil Não escala junto com a demandaNão escala junto com a demanda
Difícil de Difícil de gerenciargerenciarDifícil de Difícil de gerenciargerenciar
Segurança é complexaSegurança é complexa Área de TI já sobrecarregadaÁrea de TI já sobrecarregada
Segurança é complexaSegurança é complexa Área de TI já sobrecarregadaÁrea de TI já sobrecarregada
Evolução da Segurança de Perímetro
Evolução da Segurança de Perímetro
Aberto aos Aberto aos ataques mais ataques mais
avançadosavançados
Aberto aos Aberto aos ataques mais ataques mais
avançadosavançadosProteção em camada de aplicaçãoProteção em camada de aplicaçãoProteção em camada de aplicaçãoProteção em camada de aplicação
Escolha Escolha Performance X Performance X
SegurançaSegurança
Escolha Escolha Performance X Performance X
SegurançaSegurançaSegurança Segurança ee performance performanceSegurança Segurança ee performance performance
Capacidade de Capacidade de crescimento crescimento
limitadalimitada
Capacidade de Capacidade de crescimento crescimento
limitadalimitadaExtensibilidade e escalabilidadeExtensibilidade e escalabilidadeExtensibilidade e escalabilidadeExtensibilidade e escalabilidade
Difícil de Difícil de gerenciargerenciarDifícil de Difícil de gerenciargerenciar Mais fácil de usarMais fácil de usarMais fácil de usarMais fácil de usar
A solução deA solução de firewall de camada de aplicação, VPN e cachefirewall de camada de aplicação, VPN e cache Web Web que permite a você maximizar os seu investimento, melhorando que permite a você maximizar os seu investimento, melhorando
a segurança de rede com alta performancea segurança de rede com alta performance
Proteção avançadaProteção avançadaSegurança em Camada de Aplicação desenhada para proteger sites Segurança em Camada de Aplicação desenhada para proteger sites
Web e aplicativos MicrosoftWeb e aplicativos Microsoft
Proteção avançadaProteção avançadaSegurança em Camada de Aplicação desenhada para proteger sites Segurança em Camada de Aplicação desenhada para proteger sites
Web e aplicativos MicrosoftWeb e aplicativos Microsoft
Acesso rápido e seguroAcesso rápido e seguroPermite você conectar os usuários e dar acesso aos recursos da Permite você conectar os usuários e dar acesso aos recursos da
sua rede de uma maneira segura e eficiente sua rede de uma maneira segura e eficiente
Acesso rápido e seguroAcesso rápido e seguroPermite você conectar os usuários e dar acesso aos recursos da Permite você conectar os usuários e dar acesso aos recursos da
sua rede de uma maneira segura e eficiente sua rede de uma maneira segura e eficiente
Fácil de usarFácil de usarImplemente, gerencie e habilite novos cenários de uso de forma eficienteImplemente, gerencie e habilite novos cenários de uso de forma eficiente
Fácil de usarFácil de usarImplemente, gerencie e habilite novos cenários de uso de forma eficienteImplemente, gerencie e habilite novos cenários de uso de forma eficiente
ISA Server 2004ISA Server 2004
Novos Recursos ISA Server 2004 Arquitetura de Segurança Atualizada
Novos Recursos ISA Server 2004 Arquitetura de Segurança Atualizada
Proteção AvançadaProteção AvançadaSegurança avançada em camada de aplicaçãoSegurança avançada em camada de aplicação
Proteção AvançadaProteção AvançadaSegurança avançada em camada de aplicaçãoSegurança avançada em camada de aplicação
Inspeção Inspeção profunda do profunda do
conteúdoconteúdo
Inspeção Inspeção profunda do profunda do
conteúdoconteúdo
• Filtros avançados de HTTP e outros protoc.• Políticas completas e flexíveis• Inspeção com estado para todo o tráfego
• Filtros avançados de HTTP e outros protoc.• Políticas completas e flexíveis• Inspeção com estado para todo o tráfego
Integração com o Integração com o Exchange ServerExchange ServerIntegração com o Integração com o Exchange ServerExchange Server
• Suporte para RPC sobre HTTP do Outlook• Segurança avançada para OWA• Wizard de configuração para o cenário
• Suporte para RPC sobre HTTP do Outlook• Segurança avançada para OWA• Wizard de configuração para o cenário
VPN totalmente VPN totalmente integradosintegrados
VPN totalmente VPN totalmente integradosintegrados
• Filtragem unificada VPN-Firewall• Suporte nativo para IPSec site-site (Tunel)• Integrado com a Quarentena Windows
• Filtragem unificada VPN-Firewall• Suporte nativo para IPSec site-site (Tunel)• Integrado com a Quarentena Windows
IIS e Sharepoint IIS e Sharepoint segurosseguros
IIS e Sharepoint IIS e Sharepoint segurosseguros
• Bridging SSL para IIS e Sharepoint• Wizards para publicação de sites• Autenticação AD, RADIUS, SecurID
• Bridging SSL para IIS e Sharepoint• Wizards para publicação de sites• Autenticação AD, RADIUS, SecurID
Filtragem Camada de AplicaçãoFiltragem Camada de AplicaçãoAmeaças modernas exigem uma inspeção Ameaças modernas exigem uma inspeção mais aprofundadamais aprofundada
Protege os recursos da rede contra ataques de camada Protege os recursos da rede contra ataques de camada de aplicação: Nimda, Slammer...de aplicação: Nimda, Slammer...Provê a abilidade de definir uma política mais Provê a abilidade de definir uma política mais específica e granular, em camada de aplicaçãoespecífica e granular, em camada de aplicaçãoMelhor proteção para aplicações Microsoft Melhor proteção para aplicações Microsoft
Modelo de inspeção de aplicaçõesModelo de inspeção de aplicaçõesFiltros incluídos para protocolos mais comunsFiltros incluídos para protocolos mais comuns
HTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming mediaHTTP, SMTP, RPC, FTP, H.323, DNS, POP3, Streaming media
WizardsWizards de customização para os diversos cenários de customização para os diversos cenáriosArquitetura extensível por plug-insArquitetura extensível por plug-ins
Proteção VPNProteção VPNTráfego tunelado também é inspecionadoTráfego tunelado também é inspecionado
Colocado de volta na pilha TCP/IPColocado de volta na pilha TCP/IPISA Server consegue enxergar todo o tráfegoISA Server consegue enxergar todo o tráfego
Tráfego VPN é segregadoTráfego VPN é segregadoRede VPN: todos os endereços alocados para os usuários VPNRede VPN: todos os endereços alocados para os usuários VPNEndereços IP dinamicamente acrescentados/removidos Endereços IP dinamicamente acrescentados/removidos Rede VPN disponível na console do ISA Server Rede VPN disponível na console do ISA Server
Suporte a IPSec em Tunnel ModeSuporte a IPSec em Tunnel ModeProvê conectividade entre filiais e unidades com VPNProvê conectividade entre filiais e unidades com VPNFerramentas simplificadas de administração Ferramentas simplificadas de administração
Suporte a Quarentena de Acesso RemotoSuporte a Quarentena de Acesso RemotoUsuarios da quarentena são colocados na rede de quarentenaUsuarios da quarentena são colocados na rede de quarentenaEndereços IP dos clientes adicionados/removidos dinamicamenteEndereços IP dos clientes adicionados/removidos dinamicamenteRede de quarentena disponível nas regras do ISA ServerRede de quarentena disponível nas regras do ISA Server
Quarentena de Acesso Remoto
Quarentena de Acesso Remoto
Quarentena de Acesso Remoto garante Quarentena de Acesso Remoto garante que a configuração dos usuários remotos que a configuração dos usuários remotos está adequada à sua política de está adequada à sua política de segurança segurança
Complementa a estratégia de patch Complementa a estratégia de patch managementmanagement
Ajuda a “ganhar tempo” para a aplicação de Ajuda a “ganhar tempo” para a aplicação de patchespatches
Habilita e força o patch management para fora Habilita e força o patch management para fora das fronteiras da rededas fronteiras da rede
Exemplo: Quarentena de VPNExemplo: Quarentena de VPN
Consiste de cinco componentesConsiste de cinco componentesServiço de Política da Quarentena – ServidorServiço de Política da Quarentena – Servidor
Serviço de Controle da Quarentena – Servidor Serviço de Controle da Quarentena – Servidor
QuarantineClient.EXE – Cliente QuarantineClient.EXE – Cliente
Configuração do ISAConfiguração do ISAISA Server 2004 – Regras do Firewall + ImplementaçãoISA Server 2004 – Regras do Firewall + Implementação
RRAS – Integrado com o ISARRAS – Integrado com o ISA
RedeInterna
RRAS + ISA + Serviço de Controle da
Quarentena
Internet
Conexão VPNUsuário
REDE QUARENTENA
Serviço de Polítca de Quarentena
ClienteQuarentena
Novos Recursos ISA Server 2004
Novas ferramentas de gerência e interface gráfica
Novos Recursos ISA Server 2004
Novas ferramentas de gerência e interface gráfica
Arquitetura Multi-Arquitetura Multi-RedeRede
Arquitetura Multi-Arquitetura Multi-RedeRede
• Definições e tipos de rede sem limite• Política de firewall válida para todo o tráfego• Relações de roteamento entre redes
• Definições e tipos de rede sem limite• Política de firewall válida para todo o tráfego• Relações de roteamento entre redes
Templates Templates e e wizardswizards de de
configuraçãoconfiguração
Templates Templates e e wizardswizards de de
configuraçãoconfiguração
• Wizard automatiza configuração das redes• Suporta 5 topologias mais comuns• Facilmente customizável para outros cenários
• Wizard automatiza configuração das redes• Suporta 5 topologias mais comuns• Facilmente customizável para outros cenários
Editor gráfico de Editor gráfico de políticaspolíticas
Editor gráfico de Editor gráfico de políticaspolíticas
• Política unificada firewall/VPN com únicoconjunto de regras
• Edição drag n’ drop com wizardsb
• Política unificada firewall/VPN com únicoconjunto de regras
• Edição drag n’ drop com wizardsb
Diagnóstico e Diagnóstico e monitoração monitoração Diagnóstico e Diagnóstico e monitoração monitoração
• Novo dashboard de gerência• Visualizador de log em tempo teal• Painel de atividades sensível ao contexto
• Novo dashboard de gerência• Visualizador de log em tempo teal• Painel de atividades sensível ao contexto
Fácil de UsarFácil de UsarImplemente e gerencie cenários de uso de forma fácil e eficiente Implemente e gerencie cenários de uso de forma fácil e eficiente
Fácil de UsarFácil de UsarImplemente e gerencie cenários de uso de forma fácil e eficiente Implemente e gerencie cenários de uso de forma fácil e eficiente
Modelo de Rede (velho) do ISA 2000Modelo de Rede (velho) do ISA 2000
Rede Interna
Internet
DMZ 1
Filtro Estático
Zonas fixasZonas fixas““IN” = LATIN” = LAT
““OUT” = DMZ, InternetOUT” = DMZ, Internet
Filtro de pacotes Filtro de pacotes somente na interface somente na interface externaexterna
Única política de saídaÚnica política de saídaNAT sempreNAT sempre
Filtragem estática da Filtragem estática da DMZ para InternetDMZ para Internet
ISA 2000
Modelo de Rede ISA 2004Modelo de Rede ISA 2004
CorpNet_1CorpNet_1
CorpNet_nCorpNet_n
Net ANet A
Internet VPNVPN
ISA 2004
DMZ_nDMZ_n
DMZ_1DMZ_1
Rede Host Rede Host LocalLocal
Qualquer quantidade Qualquer quantidade de redesde redes
VPN como redeVPN como rede
Localhost como redeLocalhost como rede
Relações Relações configuráveis configuráveis (NAT/Route)(NAT/Route)
Política por redePolítica por rede
Filtro de pacotes em Filtro de pacotes em todas as interfacestodas as interfaces
Suporte para PnP & Suporte para PnP & DoDDoD
Qualquer topologia, Qualquer topologia, qualquer políticaqualquer política
Templates de RedeTemplates de Rede
Objetivo Configuração de rede simplificada
Recursos• 5 templates• Regras de roteamento automáticas• Customizável
Objetivo Configuração de rede simplificada
Recursos• 5 templates• Regras de roteamento automáticas• Customizável
Modelo de Política do ISA 2004Modelo de Política do ISA 2004Conjunto de regras único, ordenadoConjunto de regras único, ordenado
Mais lógico e mais fácil de entenderMais lógico e mais fácil de entenderFácil de visualizar e auditarFácil de visualizar e auditar
Nova estrutura unificada de regrasNova estrutura unificada de regrasAplicável a todos os tipos de políticaAplicável a todos os tipos de políticaTrês tipos principais de “templates” de regras Três tipos principais de “templates” de regras
Regras de acessoRegras de acessoRegras de publicação de servidorRegras de publicação de servidorRegras de publicação WebRegras de publicação Web
Propriedades de filtragem de aplicação são Propriedades de filtragem de aplicação são parte da regra parte da regra
Política default do sistemaPolítica default do sistema
Estrutura de uma RegraEstrutura de uma Regra
Regras básicas ISA 2004:Regras de protocolo
Regras de sites e conteúdo
Filtros de pacote estáticos
Regras de publicação de servidor
Regras de publicação web
Configurações de filtragem específicas
Outras regras ISA 2004:Regras de tradução de endereço
Regras de roteamento web
Política firewall
Política configuração
ação sobre tráfego do usuário de origem para destino sob condiçõesação sobre tráfego do usuário de origem para destino sob condições
PermitirNegar
PermitirNegar
Rede origemIP origemUsuário origem
Rede origemIP origemUsuário origem
Rede destinoIP destinoSite destino
Rede destinoIP destinoSite destino
ProtocoloPorta / Tipo IP
ProtocoloPorta / Tipo IP
•Servidor publicado•Site web publicado•Horário•Propriedades filtragem
•Servidor publicado•Site web publicado•Horário•Propriedades filtragem
Qualquer usuário Usuários autenticados Grupo/usuário específico
Qualquer usuário Usuários autenticados Grupo/usuário específico
Editor de Regras ISA 2004Editor de Regras ISA 2004
Visão “Dashboard”Visão “Dashboard”
Objetivo Visão centralizada do status do firewall
Recursos• Tempo• Dados consolidados• Fácil de detectar problemas
Objetivo Visão centralizada do status do firewall
Recursos• Tempo• Dados consolidados• Fácil de detectar problemas
AlertasAlertas
Objetivo Um único local para todos os problemas
Recursos• Histório dos alertas• Gerência dos alertas• Severidade e categoria
Objetivo Um único local para todos os problemas
Recursos• Histório dos alertas• Gerência dos alertas• Severidade e categoria
SessõesSessões
Objetivo Visualiza sessões ativas
Recursos• Mecanismo poderoso de consultas• Sessões VPN• Possibilidade de desconectar uma sessão
Objetivo Visualiza sessões ativas
Recursos• Mecanismo poderoso de consultas• Sessões VPN• Possibilidade de desconectar uma sessão
ServiçosServiços
Objetivo Status do ISA e serviços dependentes
Recursos• Parar e iniciar os serviços
Objetivo Status do ISA e serviços dependentes
Recursos• Parar e iniciar os serviços
RelatóriosRelatórios
Objetivo Conjunto completo de relatórios de atividade
Recursos• Relatórios periódicos• Notificação por email• Publicação dos relatórios
Objetivo Conjunto completo de relatórios de atividade
Recursos• Relatórios periódicos• Notificação por email• Publicação dos relatórios
ConectividadeConectividade
ObjetivoMonitora conectividade aos serviços críticos
Recursos• Tipos de requisição• Tempo de resposta & limites para alerta• Agrupamento
ObjetivoMonitora conectividade aos serviços críticos
Recursos• Tipos de requisição• Tempo de resposta & limites para alerta• Agrupamento
Logs e HistóricoLogs e Histórico
Objetivo Visualizar o tráfego passando pelo ISA
Recursos• Modo “tempo real”• Histórico • Mecanismo poderoso de consulta
Objetivo Visualizar o tráfego passando pelo ISA
Recursos• Modo “tempo real”• Histórico • Mecanismo poderoso de consulta
Novos Recursos ISA Server 2004
Compromisso continuado com a integração
Novos Recursos ISA Server 2004
Compromisso continuado com a integraçãoAcesso Rápido e SeguroAcesso Rápido e Seguro
Permite a você conectar usuários a Internet com segurançaPermite a você conectar usuários a Internet com segurançaAcesso Rápido e SeguroAcesso Rápido e Seguro
Permite a você conectar usuários a Internet com segurançaPermite a você conectar usuários a Internet com segurança
Arquitetura Arquitetura MelhoradaMelhoradaArquitetura Arquitetura MelhoradaMelhorada
• Transporte de dados com alta performanceTransporte de dados com alta performance• Aproveita o hardware e software mais novo• Bridging SSL alivia carga de servidores web
• Transporte de dados com alta performanceTransporte de dados com alta performance• Aproveita o hardware e software mais novo• Bridging SSL alivia carga de servidores web
Cache WebCache WebCache WebCache Web• Regras atualizadas de política• Enviam o conteúdo localmente• Busca conteúdo fora dos horários de pico
• Regras atualizadas de política• Enviam o conteúdo localmente• Busca conteúdo fora dos horários de pico
Controle de Controle de Acesso InternetAcesso Internet
Controle de Controle de Acesso InternetAcesso Internet
• Controle de uso da web baseado em usuários e grupos
• Extensível por plug-ins de terceiros
• Controle de uso da web baseado em usuários e grupos
• Extensível por plug-ins de terceiros
Modelo Completo Modelo Completo de Autenticaçãode Autenticação
Modelo Completo Modelo Completo de Autenticaçãode Autenticação
• Suporte para RADIUS e RSA SecurID• Política de acesso por usuários e grupos• Extensível por plug-ins de terceiros
• Suporte para RADIUS e RSA SecurID• Política de acesso por usuários e grupos• Extensível por plug-ins de terceiros
Controle de Acesso de UsuáriosBloqueando aplicações com HTTP
Controle de Acesso de UsuáriosBloqueando aplicações com HTTP
AplicaçãoAplicação Procura naProcura na Cabeçalho HTTPCabeçalho HTTP AssinaturaAssinatura
MSN MessengerMSN Messenger RequisiçãoRequisição User-Agent:User-Agent: MSN MessengerMSN Messenger
Windows MessengerWindows Messenger RequisiçãoRequisição User-Agent:User-Agent: MSMSGSMSMSGS
AOL Messenger (and AOL Messenger (and Gecko browsers)Gecko browsers)
RequisiçãoRequisição User-Agent:User-Agent: Gecko/Gecko/
Yahoo MessengerYahoo Messenger RequisiçãoRequisição HostHost msg.yahoo.commsg.yahoo.com
KazaaKazaa RequisiçãoRequisição P2P-AgentP2P-Agent Kazaa, KazaaclientKazaa, Kazaaclient::
KazaaKazaa RequisiçãoRequisição User-Agent:User-Agent: KazaaClient KazaaClient
KazaaKazaa RequisiçãoRequisição X-Kazaa-Network:X-Kazaa-Network: KaZaAKaZaA
GnutellaGnutella RequisiçãoRequisição User-Agent:User-Agent: GnutellaGnutellaGnucleusGnucleus
EdonkeyEdonkey RequisiçãoRequisição User-Agent:User-Agent: e2dke2dk
MorpheusMorpheus RespostaResposta ServerServer MorpheusMorpheus
Firewall Client AtualizadoFirewall Client Atualizado
O que é o ISA Firewall Client?O que é o ISA Firewall Client?Habilita / desabilita conectividade Winsock para a InternetHabilita / desabilita conectividade Winsock para a Internet
Proporciona acesso a rede por meio do ISA para aplicações Proporciona acesso a rede por meio do ISA para aplicações compatíveis com Winsockcompatíveis com Winsock
Toma decisões inteligentes sobre o destino do tráfego baseado no Toma decisões inteligentes sobre o destino do tráfego baseado no endereço de destino.endereço de destino.
Detecta automaticamente o firewall disponível na redeDetecta automaticamente o firewall disponível na rede
O que tem de novo no ISA Firewall Client 2004?O que tem de novo no ISA Firewall Client 2004?Usa um canal seguro encriptado com o ISA Server 2004 Usa um canal seguro encriptado com o ISA Server 2004
Suporta vários perfis de configuração de usuário Suporta vários perfis de configuração de usuário Permite que o usuário crie dois perfis diferentes para configurar o Permite que o usuário crie dois perfis diferentes para configurar o Firewall Client para usar servidores proxy diferentesFirewall Client para usar servidores proxy diferentes
Versão Enterprise EditionVersão Enterprise Edition
Diferenças em relação à versão StandardDiferenças em relação à versão StandardMaior escalabilidade e disponibilidade Maior escalabilidade e disponibilidade Gerência distribuída: implementações em larga escala Gerência distribuída: implementações em larga escala com uso de com uso de arraysarrays e políticas corporativas e políticas corporativas
Principais recursosPrincipais recursosSuporte a NLB bi-direcional para uso em Suporte a NLB bi-direcional para uso em arrays arrays Gerência e distribuição corporativa das políticas Gerência e distribuição corporativa das políticas Console de monitoração para todo o Console de monitoração para todo o array array Armazenamento das políticas usando AD/AMArmazenamento das políticas usando AD/AMCARP e cache hierárquicoCARP e cache hierárquicoSem limite de processadoresSem limite de processadoresIntegração com o MOM (MOM pack)Integração com o MOM (MOM pack)Configuração automática de Configuração automática de arraysarrays / / wizardswizards Log e alertas em nível de Log e alertas em nível de arrayarray
Cenários de Uso:
Proteção do OWA
Cenários de Uso:
Proteção do OWA
Desenho Típico - OWADesenho Típico - OWA
Bom: Bom: performance performanceSepara o servidor de Separa o servidor de protocolo do servidor de protocolo do servidor de caixas-postaiscaixas-postais
Proteção de redeProteção de rede
Ruim: Ruim: segurança segurançaTúnel passando pelo firewall Túnel passando pelo firewall externo: sem inspeçãoexterno: sem inspeção
Muitos buracos no firewall Muitos buracos no firewall interno para autenticaçãointerno para autenticação
Conexão inicial para OWA Conexão inicial para OWA feita anonimamentefeita anonimamente
ExBEExBE ADAD
OWAOWA
Proteção do OWA com ISAMaior segurança em camada de aplicação
Proteção do OWA com ISAMaior segurança em camada de aplicação
ISA Server vira um ISA Server vira um “bastion host”“bastion host”
Proxy web recebe todas Proxy web recebe todas as conexõesas conexões
Decripta HTTPSDecripta HTTPS
Inspeciona conteúdoInspeciona conteúdo
Inspeciona URL (com Inspeciona URL (com filtro HTTP)filtro HTTP)
Re-encripta para conexão Re-encripta para conexão até o servidor OWAaté o servidor OWAOWAOWA
ISAISAServerServer
ExchangeExchange ADAD
x36dj23sx36dj23s2oipn49v2oipn49v<a href…<a href…https://...https://...
Bridging de SSL
Firewall Firewall tradicionaltradicional
WebWebSrv/ Srv/ OWA OWA
clientecliente
Servidor web pede Servidor web pede autenticação — autenticação —
qualquer pessoa na qualquer pessoa na Internet por chegar aquiInternet por chegar aqui
SSLSSL
Conexões SSL passam Conexões SSL passam pelos firewalls tradicionais pelos firewalls tradicionais
porque elas estão porque elas estão encriptadasencriptadas
……que permite que que permite que virus e worms passem virus e worms passem
sem detecção…sem detecção…
……e infecta servidores internos!e infecta servidores internos!
ISA Server 2004ISA Server 2004
Delegação de AutenticaçãoDelegação de Autenticação
ISA Server pré-autentica, ISA Server pré-autentica, eliminando os vários pedidos eliminando os vários pedidos
de autenticação e somente de autenticação e somente permitindo tráfego autenticadopermitindo tráfego autenticado
ISA Server com Filtragem HTTPISA Server com Filtragem HTTP
SSL ou SSL ou HTTPHTTP
SSLSSL
ISA Server pode ISA Server pode decriptar e inspecionar decriptar e inspecionar
tráfego SSLtráfego SSL
Tráfego inspecionado pode ser enviado Tráfego inspecionado pode ser enviado para servidor em claro ou re-encriptadopara servidor em claro ou re-encriptado
Filtro HTTPFiltro HTTPFiltro HTTPFiltro HTTP pode parar ataques pode parar ataques
web na borda da rede, mesmo os web na borda da rede, mesmo os encriptados com SSLencriptados com SSL
InternetInternet
Proteção do OWA com ISAMelhor autenticação dos usuários
Proteção do OWA com ISAMelhor autenticação dos usuários
Fácil autenticação com o Fácil autenticação com o Active DirectoryActive Directory
Pré-autentica a Pré-autentica a comunicaçãocomunicação
ISA Server pede as ISA Server pede as credenciais do usuáriocredenciais do usuário
Verifica com o ADVerifica com o ADISA Server deve fazer parte ISA Server deve fazer parte (ou confiar) no domínio(ou confiar) no domínio
Inclui autenticação no Inclui autenticação no cabeçalho HTTP para cabeçalho HTTP para OWAOWA
Evita segundo pedido de Evita segundo pedido de autenticação!autenticação!
OWAOWA
ISAISAServerServer
ExchangeExchange ADAD
404404
Cenários de Uso:
ISA como Firewall Interno
Cenários de Uso:
ISA como Firewall Interno
ISA Server Melhora a Infra-Estrutura Existente
ISA Server Melhora a Infra-Estrutura Existente
ISA Server 2004 pode ser colocado atrás ISA Server 2004 pode ser colocado atrás da DMZ para criar uma configuração de da DMZ para criar uma configuração de firewall “back-to-back”firewall “back-to-back”
ISA Server 2004 pode ser colocado na ISA Server 2004 pode ser colocado na rede corporativa ou DMZ como proxy web rede corporativa ou DMZ como proxy web com uma única interface de redecom uma única interface de rede
ISA 2004 pode ser colocado em filiais ISA 2004 pode ser colocado em filiais como uma solução barata para firewall como uma solução barata para firewall remoto e VPN IPSec entre localidadesremoto e VPN IPSec entre localidades
MicrosoftExchange
Rede banda larga de hotel
Laptop com acesso discado
Web Server
Mobile Information Server
Funcionário acessando decasa com conexão ADSL
Atacantes em localidades remotas
ISA Server 2004 Firewall Interno
ISA Server 2004 atual como um firewall intero para prover filtragem avançada em camada de aplicação para os servidores internos, e controlando o acesso dos usuário a Internet. Outros firewall de terceiros fazerm a filtragem de pacotes tradicional na fronteira com a Internet
Firewall ISA Interno
Firewalls externo de terceiros
ISA Server Melhora a Infra-Estrutura Existente
ISA Server Melhora a Infra-Estrutura Existente
Cenários de Uso:
ISA Server no Lugar do Firewall Atual
Cenários de Uso:
ISA Server no Lugar do Firewall Atual
ISA Server no Lugar do Firewall Atual
ISA Server no Lugar do Firewall Atual
ISA Server 2004 provê filtragem em ISA Server 2004 provê filtragem em camada de aplicação avançadacamada de aplicação avançadaFiltragem em camada de aplicação pára Filtragem em camada de aplicação pára worms, virus, e conteúdo malicioso na worms, virus, e conteúdo malicioso na WebWebFirewalls de filtros de pacotes somente Firewalls de filtros de pacotes somente bloqueam portas e endereços IPs bloqueam portas e endereços IPs ISA Server 2004 permite a criação de ISA Server 2004 permite a criação de DMZs isolando serviços externos e DMZs isolando serviços externos e conexões VPN em redes separadas, com conexões VPN em redes separadas, com inspeção e filtragem entre as diversas inspeção e filtragem entre as diversas redesredes
MicrosoftExchange
Conexão banda larga hotel
Laptop comcesso discado
Web Server
Mobile Information Server
Firewall ISA Externo
Funcionário trabalhando decasa com conexão ADSL
Atacante conectando de lugar remoto
ISA Server 2004 Firewall Externo
ISA Server 2004 Server atua como um firewall externo com uma interface na Internet e um interface na rede corporativa
ISA Server como Firewall ExternoISA Server como Firewall Externo
MicrosoftExchange
Conexão banda larga hotel
Laptop comcesso discado
Servidores Internos
Firewall ISA Externo
Funcionário trabalhando decasa com conexão ADSL
Atacante conectando de lugar remoto
ISA Server 2004 Firewall Externo
ISA Server 2004 Server atua como um firewall externo com três interfaces, implementando uma DMZ com filtragem e controle de acesso entre todas as redes
Usuários Internos
Servidores WebExternos
Rede Interna
DMZ
ISA Server com DMZISA Server com DMZ
MicrosoftExchange
Servidores Internos
Firewall ISAMatriz
ISA Server 2004 Firewall e VPN
entre Filiais
ISA Server 2004 Server atua como firewakk protegendo a Matriz e cada uma das filiais, implementando VPN IPSEC entre as localidades e inspecionando tanto o tráfego vindo da Internet quanto o tráfego da VPN
Usuários Matriz
Firewall ISAFilial
Firewall ISAFilial
Usuários Filial
Usuários Filial
Internet
VPN Entre Filiais e MatrizVPN Entre Filiais e Matriz
BackupBackup
Planejamento da MigraçãoPlanejamento da Migração
ISA 2000 SE -> ISA 2004 SEISA 2000 SE -> ISA 2004 SEFerramenta de migração de políticaFerramenta de migração de política
Recomendada no entanto abordagem do zeroRecomendada no entanto abordagem do zero
ISA 2000 EE -> ISA 2004 EEISA 2000 EE -> ISA 2004 EECapacidade de migração da configuraçãoCapacidade de migração da configuração
ISA 2004 EE Beta -> ISA 2004 EE RTMISA 2004 EE Beta -> ISA 2004 EE RTMPossibilidade de migração ainda a confirmarPossibilidade de migração ainda a confirmar
ISA 2004 SE > ISA 2004 EEISA 2004 SE > ISA 2004 EEFerramenta de migração ainda a confirmarFerramenta de migração ainda a confirmar
Próximas EtapasPróximas Etapas1.1. Conheça mais sobre o ISA Server 2004Conheça mais sobre o ISA Server 2004
Faça gratuitamente o download da versão trial 120 diasFaça gratuitamente o download da versão trial 120 diashttp://www.microsoft.com/isaserver/evaluation/trialhttp://www.microsoft.com/isaserver/evaluation/trial (em(em inglês)inglês)
Faça um laboratório virtual pela Internet:Faça um laboratório virtual pela Internet:http://www.microsoft.com/technet/traincert/virtuallab/isa.mspxhttp://www.microsoft.com/technet/traincert/virtuallab/isa.mspx (em(em inglês)inglês)
Site do ISA Server dentro do Technet Brasil:Site do ISA Server dentro do Technet Brasil:http://www.microsoft.com/brasil/technet/DocumentacaoTecnica/ISAhttp://www.microsoft.com/brasil/technet/DocumentacaoTecnica/ISA
ObterObter treinamentotreinamento adicionaladicional dede segurançasegurança EncontrarEncontrar semináriosseminários dede treinamentotreinamento onlineonline ee nono local:local:
http://www.technetbrasil.com.br/segurancahttp://www.technetbrasil.com.br/seguranca EncontrarEncontrar umum CTECCTEC locallocal parapara treinamentotreinamento prático:prático:
http://www.microsoft.com/brasil/certifiquehttp://www.microsoft.com/brasil/certifique Academia Latino americana de segurança da Informação:Academia Latino americana de segurança da Informação:
http://www.technetbrasil.com.br/academiahttp://www.technetbrasil.com.br/academia
Para Obter Mais InformaçõesPara Obter Mais InformaçõesSiteSite dede segurançasegurança dada MicrosoftMicrosoft
http://www.microsoft.com/brasil/securityhttp://www.microsoft.com/brasil/security
SiteSite dede segurançasegurança dodo TechNetTechNethttp://www.technetbrasil.com.br/segurancahttp://www.technetbrasil.com.br/seguranca
SiteSite do ISA Serverdo ISA Serverhttp://www.microsoft.com/isaserverhttp://www.microsoft.com/isaserver (inglês) (inglês)
SiteSite indicado indicado http://http://www.isaserver.orgwww.isaserver.org (inglês) (inglês)
Colunas TechnetColunas Technethttp://www.microsoft.com/http://www.microsoft.com/brasil/technet/colunasbrasil/technet/colunas
