Upload
fernandes-mendes-da-silva
View
313
Download
1
Embed Size (px)
Citation preview
FACULDADE DE TECNOLOGIA OSWALDO CRUZ – FATECMantenedora Pró-Técnica Paulista S/C LTDA
Curso Superior de Tecnologia em Redes Operacionais
TRABALHO ISA SERVER Redes Operacionais – 4º Módulo
Leandro MarquesDouglas AlexandreJadilson SantosWagner ChamasRondineli Saad
São Paulo2005
SUMÁRIO
SUMÁRIO...............................................................................................................................................2
1 - Introdução
A Internet tem se tornando um fator extremamente importante para a realização de
acesso a serviços e comunicação entre as corporações, para realização de negócios.
Com isso um desafio e necessidade se tornaram importante que é a proteção do
acesso à rede interna das corporações e bloqueios de determinados serviços que
possam comprometer a funcionalidade da rede interna. Três fatores se tornaram
importante:
• Garantir a segurança da rede interna, pois contem servidores operacionais
com dados confidenciais da empresa;
• Controle de acesso à internet aos usuários, pois sabemos que acesso a
conteúdos sem fins profissionais diminui a produtividade dos funcionários;
• Minimizar os custos com banda de acesso à internet.
O ISA Server foi concebido sobre quatro pilares:
• Segurança – Utilizando um firewall escalonável e multicamadas;
• Performance - Rápido acesso com um cachê escalonável e de alta
performance;
2
• Gerenciamento – Gerenciamento e políticas robusto e integrado ao Windows
2000 e 2003;
• Extensibilidade – Plataforma superior para a extensão e customização,
utilizando-se de recursos de terceiros para ter uma maior disponibilidade nos
serviços.
2 - ISA Server
O Microsoft Internet Security & Acceleration (ISA) Server 2004 é um firewall de
camada de aplicação e inspeção avançada de pacotes, um servidor de rede privada
virtual (VPN), solução de detecção de intrusos e uma solução de cache Web que
permite aos clientes maximizarem facilmente os investimentos em TI aumentando a
segurança e o desempenho da rede.
Pode ser encontrados em duas edições, Standard Edition e Enterprise Edition, ambas
possuindo o mesmo conjunto de funções, sendo a edição Standard voltada para
servidor único, suportando até quatro processadores, enquanto a segunda é adequada
para implementações em larga escala, suporte a cadeias de servidores e políticas de
vários níveis com mais de quatro processadores.
O Microsoft® Internet Security and Acceleration (ISA) Server fornece suporte a três
tipos de clientes:
• Clientes firewall são computadores clientes que possuem um software
Firewall Client instalado e habilitado.
• Clientes SecureNAT (conversão de endereço de rede seguro) são
computadores clientes que não possuem o Firewall Client instalado.
• Clientes de proxy da Web são aplicativos Web clientes configurados para
usar o ISA Server.
Os computadores Cliente firewall e Cliente SecureNAT podem ser também Clientes
de proxy da Web. Se o aplicativo da Web no computador estiver configurado
3
explicitamente para usar o ISA Server, todas as solicitações da Web (HTTP, FTP,
HTTPS e Gopher) serão enviadas diretamente ao serviço de Proxy da Web. Todas as
outras solicitações serão tratadas primeiro pelo serviço de Firewall.
A tabela a seguir compara os clientes ISA Server.
Recurso Cliente SecureNAT Cliente firewall Cliente de proxy daWeb
4
Requisitos deinstalação
Algumas alterações naconfiguração de redeexigidas
Sim Não. Configuraçãode navegador da Webexigida
Suporte para sistemaoperacional
Qualquer sistemaoperacional queforneça suporte paraTCP/IP (Protocolo deControle deTransmissão/Protocolo Internet)
SomenteplataformasWindows
Todas asplataformas, mas pormeio de aplicativosda Web
Suporte a protocolo Filtros de aplicativospara vários protocolosde conexão exigidos
Todos osaplicativosWinsock
HTTP (Protocolo deTransferência deHipertexto), HTTPS(HTTP seguro), FTP(Protocolo deTransferência deArquivo) e Gopher
Autenticação nonível do usuário
Algumas alterações naconfiguração de redeexigidas
Sim Sim
Aplicativos deservidor
Nenhumaconfiguração ouinstalação exigida
Arquivo deconfiguraçãoexigido
Não aplicável
2.1 - Firewall
Mecanismo utilizado para controlar pacotes que trafegam nas suas interfaces da rede,
analisando os cabeçalhos dos pacotes, verificando quais tipos de serviços estes
pacotes está requisitando. O firewall tem de 2 a 3 interfaces de rede, possibilitando
uma segmentação e separação entre as redes, criando assim redes perimetrais para
fins de segurança. Por exemplo, com duas interfaces de redes o firewall separaria a
rede Internet da rede Interna e com 3 interfaces de rede o firewall separa a rede
Internet da rede DMZ (rede desmilitarizada) e as duas da rede Interna, ou seja 3 redes
distintas se formam neste layout apresentado, controlando o acesso indevido nestas
redes.
O sistema de proteção do firewall ISA Server é multi-camadas, ou seja, atinge várias
camadas de rede, desde camadas inferiores filtrando os pacotes até a camada de
aplicação.
5
O ISA Server por padrão vem com todas as regras negando o serviço, cabendo o
administrador a permitir tanto o acesso da rede interna quanto a rede Internet.
Utilizando uma tecnologia licenciada pela Internet Security System o ISA é capaz de
detectar qualquer tentativa de invasão vinda da rede Internet. O ISA permiti
configurar alertas a serem enviadas via e-mails, relatórios ou parada de serviços caso
aja uma tentativa de invasão.
Na camada de aplicação existem os filtros “smart” que inspeciona os pacotes e são
capazes de tratar os dados baseados no protocolo utilizado. Por exemplo, o protocolo
SMTP terá um filtro SMTP que tratará os dados pela origem, destino, conteúdo,
anexo e comandos do SMTP.
2.1.1 - Modelo Bastion Host
Topolia que utiliza o ISA Server com duas interfaces de rede, uma destinada a rede
Interna e outra a rede Internet, controlando assim o tráfego de pacotes entrantes e
saintes.
MZ-LAN
Internet
2.1.2 - Three-Homed
6
Mais conhecida como rede de perímetro, ou rede Desmilitarizada, onde o ISA Server
é instalada com 3 interfaces de rede.
DMZ
MZ-LAN
Internet
2.1.3 - Modelo Back-to-Back
Topologia que utiliza 2 firewall, ou seja, cria uma redundância na proteção.
MZ-LAN
Internet
DMZ
2.2. - SecureNAT
A técnica chamada NAT que converte o endereço de origem e destino em um
endereço válido na rede que são transmitidas.
7
O ISA Server compartilha o acesso a internet utilizando uma técnica chamada NAT
(N:1), onde ao tentar acessar a rede Internet o endereço de origem é o endereço da
estação, enquanto que o endereço de destino é o endereço Internet. Ao passar pelo
servidor NAT o endereço de origem é alterado e o endereço público do NAT é
utilizado, tornando o pacote válido para a comunicação na Internet. Para o host de
destino quem começou a comunicação foi o Servidor NAT e não a estação da rede
Interna. Quando o pacote retorna, ele volta para o Servidor NAT que consulta a sua
tabela de IP e encaminha o pacote para a estação correspondente, tornando assim a
comunicação transparente para todas as estações da rede Interna.
Para a publicação de Servidores Internos a técnica NAT(1:1) é utilizada. A partir de
uma regra de publicação, define-se que todas as requisições oriundas da internet em
uma determinada porta sejam redirecionadas para um endereço ip interno utilizando
uma determinada porta. Ao receber uma solicitação o NAT converte o endereço de
destino e a respectiva porta e a entrega no Servidor Interno. No retorno novamente é
feita à conversão para que assim ocorra de uma forma transparente a comunicação
para os clientes na web. Com estes serviços, pode-se hospedar Servidores que
disponibilizam serviços para a Internet, utilizando protocolos TCP e UDP.
Abaixo layout da implementação do modelo Secure Publishing, onde é usado o NAT
(1:1):
8
InternetISA
Servidor de Publicação
RotasFonte: Cliente IP InternetDestino: IP Público do ISAPorta: 80
RotasFonte: Cliente IPDestino: Servidor InternoPorta: 80
2.3 - VPN
Redes Privadas interconectadas de forma segura através de uma rede pública
(internet), ou seja, de qualquer lugar do mundo o usuário pode se conectar a rede
corporativa utilizando todos os recursos presentes na rede. O ISA Server estende o
serviço de VPN presente no Windows 2000 e 2003 Server, protegendo com os
recursos de firewall, permitindo uma comunicação segura que podem ser baseado em
dois protocolos de enfunilamento o PPTP (implementação mais simples) e o L2TP
(baseado na infra-estrutura de chave pública e por isso é considerado ainda mais
seguro). Para a encriptação dos pacotes o protocolo MPPE e utilizado em conjunto
com o PPTP e o IPSec é utilizado em conjunto com o L2TP.
Abaixo segue o layout da implementação do recurso VPN usando o ISA Server:
9
Túnel VPN
Host Remoto
ISA
2.4 - Web Caching
Para um sensível acréscimo de performance e otimização da banda da Internet
disponível, o ISA Server disponibiliza um robusto sistema de cache de objetos HTTP
e FTP. O cache é disponibilizado em memória que minimiza o uso de disco e
aumenta a performance geral de cache, sendo 20% mais rápido que o Proxy Server.
Sites onde o acesso é constante o download pode ser agendado para um maior
desempenho.
2.4.1 - Foward Caching
10
Possibilita que seja armazenado o conteúdo do site que foi visitado para que um
outro usuário possa utilizá-lo sem a necessidade de se fazer o download novamente.
Sendo os objetos entregues pelo ISA Server diretamente para o próximo usuário
solicitante.
2.5 - Monitoramento
Alertas podem ser configuradas no ISA Server, onde a ação de envio de mensagens
de correio eletrônico, execução de arquivos e registro em log do sistema, podem ser
disparados quando determinados eventos ocorrerem no ISA. Entre os eventos
suportados estão: Tentativa de invasão; parada de serviços; falha do cache e ações de
filtros.
Os seguintes recursos no ISA Server são encontrados:
• Dashboard - Visão centralizada do status do Firewall: Tempo, Dadosconsolidados, Fácil de detectar problemas.
• Alerts – Um único local para todos os problemas: Histórico dos alertas,Gerência dos alertas, Serveridade e categoria.
• Sessions – Vizualiza sessões ativas: Mecanismo poderoso de consultas,Sessões VPN, Possibilidade de desconectar uma sessão.
• Services – Status do ISA e serviços dependentes: Parar e iniciar os serviços• Reports - Conjunto completo de relatórios de atividade Relatórios periódicos,
Notificação por e-mail, Publicação dos relatórios.• Conectividade – Monitora conectividade aos serviços críticos: Tipos de
requisição, Tempo de resposta & limites para alerta, Agrupamento.• Logs e Histórico – Visualizar o tráfego passando pelo ISA: Modo “tempo
real”, Histórico, Mecanismo poderoso de consulta.
2.6 - Logs
Registra todo o tráfego que passa pelo firewall e pelo Web Proxy. Os logs podem ser
customizados, podendo ser selecionados os campos mais destacáveis e pela
freqüência dos registros.
2.7 - Registros
11
O ISA Server suporta a criação de relatórios, sendo estes gerados pela coleta da
informação de tráfegos que passam pelo servidor. Os dados que geralmente geram o
registro são: dados sobre o uso de web caching; usuários que mais utilizam a internet;
protocolos mais usados; sites mais acessados e outros parâmetros.
3 - Concorrentes OpenSources do ISA Server
Para implementar todos os recursos que são encontrados no ISA Server utilizando o
Opensource, deveremos utilizar ferramentas autônomas que gerarão resultados
parecidos com os encontrados no ISA Server. Abaixo estão à relação de recursos
utilizados no mundo opensource:
• Sniffer – A maioria das distribuições opensources por padrão traz sniffers
poderosos como tcpdump, ngrep, sendo estes utilizados em modo console.
Para o modo gráfico podemos destacar o Ethereal, Netpeek, Netdude e
Etherape.
• Análise de vulnerabilidade – Alguns programas são utilizados para analisar
portas abertas que podem danificar a rede, problema no SMTP, Backdoors,
Denial of Services e outros. O Nessus é um programa utilizado tanto no modo
console quanto no gráfico para exibir vulnerabilidades encontradas na rede. O
Nessus exibe os resultados em um relatório que pode ser gerado por
vulnerabilidades especificas que foi solicitada pelo Administrador.
• Firewall – Para a proteção contra invasões na rede é utilizado o firewall
IPTables que utiliza o modo Pacote Stateful , onde o host X ao requisitar o
uso da porta X com o host Y, ao receber a resposta o host Y não precisa fazer
uma outra requisição pois o caminho já foi decorado pelo Firewall.
• IDS – Para a identificação de intrusão é utilizada o SNORT uma ferramentaopen-source poderosa de IDS, que trabalha com uma base de assinaturas de
12
ataques em vários sistemas operacionais e serviços entre quais podemosdestacar: IIS, SQL Server, Trojans (Subseven, BO2K, NetBus).
• Controle de Conteúdo e Web Caching - Para o controle de lista negra,Controle temporizado, Controle por usuário, grupo e ou máquina, Definindoconteúdo em específico, Relatório legível das atividades (html), Controle debanda por usuário Cache de página para todos os usuários é utilizado o proxySquid.
• VPN - Permitir controle de acesso, integridade, confiabilidade,confidencialidade e autenticação no nível de rede através de criptografiaforte.usando IPSEC padrão aberto proposto pelo IETF, suporte a X.509certificate e compatibilidade com outros produtos de VPN (Win/2k/CheckPoint/ Cisco) Solução de segurança fim-a-fim entre roteadores, firewalls,estações de trabalho e servidores. Implementação em Linux com custoinferior a qualquer solução similar em outra plataforma. A ferramenta maispopular para VPN na comunidade Linux é o projeto FreeSwan Kernel 2.4 ouKame Kernel 2.6.
• Gerenciamento e Monitoramento – Para o gerenciamento dos servidoresque serão implantados no modelo de rede Opensource, será utilizado oWebmin, que via http, usando o protocolo SSL gera uma tela administrativacom todos os servidores existentes na rede. Para o Monitoramento da redeutilizaremos o software Netsaint e o Nagios que gera relatórios de erros e logsdos servidores.
4 - Simulação de Caso
Imagine uma empresa de médio porte que deseja fazer um projeto de criação dedomínio, Servidor de e-mail e integrar a rede de sua filial do Rio de Janeiro com suamatriz em São Paulo. No escopo do projeto foi definido que será necessário:
• Servidor DNS Primário e um Secundário;• Servidor de Correio e Webmail com criptografia;• Servidor Web para páginas dinâmicas (com ftp);• Sistema de Detecção de Intrusos ;• Firewalls;• VPN com a Filial.
4.1 - Situações Atual
13
RIO SAO
Modem ADSL Modem ADSL
Internet Internet
4.2 - Ferramentas de Segurança para o Projeto
• Ferramentas para análises de vulnerabilidades _• Controle de Conteúdo da Web _• Sistemas de IDS _• Firewall _• VPN _• Monitoramento de Redes _• Sniffers _• Scanners _• Criptografia _• NAT
14
4.3 - Solução com ISA Server
Rede Demilitarizada
E-mail DNS Rede Interna
Proxy Aplicativos
Rede Interna
Proxy Aplicativos
Recursos
Win2k3VPN
FirewallIDS
ProxyLogsNAT
Internet
ISAISA
SAO RIO
15
4.4 - Solução com Software Livre
Rede Demilitarizada
E-mail DNS Rede Interna
Proxy Aplicativos
Rede Interna
Proxy Aplicativos
Recursos
LinuxVPN
FirewallIDS
ProxyGateway
LogsNAT
Internet
SAO RIO
16
4. 5 - Solução com Ambos formando um modelo Back-to-Back
ISA
Acesso VPN
Rede Demilitarizada
E-mail DNS
Rede Interna
Proxy Aplicativos
IPTables
5 - Conclusão
O ISA Server é uma completa solução para o gerenciamento da segurança e acesso
web em redes corporativas, recursos como firewall integrado, suporte a VPN,
detecção de intrusões (IDS), Servidor Cache Corporativo, Servidor NAT(N:1) e NAT
(1:1); possibilidade de extensão para a solução acompanhar a evolução da empresa,
17
faz o ISA Server uma solução recomendada para satisfazer a necessidade que
surgirem com o acesso a Internet. Contudo os recursos Opensources não deixa a
desejar, pois tem aplicativos que mantem a integridade da segurança na rede, porém
para implantar todos os recursos é necessário um conjunto de aplicativos
independentes e se preocupar em manter todos estes programas funcionais, senão a
falha no sistema se torna catastrófica.
6 – Bibliografia
MELO, Sandro. Implementando Projetos de Segurança de Redes usando
"Software Livre". 2005. Endereço Eletrônico:
http://www.4linux.com.br/pdf/Seg_softwarelivre_cnasi2005_2p.pdf
BRASIL, Technet. Tipos de cliente do ISA Server . 2005. Endereço Eletrônico:
http://www.technetbrasil.com.br/Downloads/ArtigosTecnicos/isa/ISASCT.doc
18