La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Luis Alberto Martínez R. Security Specialist Security Business Unit Microsoft México Administración de ISA Server 2004.

Presentaciones similares


Presentación del tema: "Luis Alberto Martínez R. Security Specialist Security Business Unit Microsoft México Administración de ISA Server 2004."— Transcripción de la presentación:

1

2 Luis Alberto Martínez R. Security Specialist Security Business Unit Microsoft México Administración de ISA Server 2004

3 ¿Qué cubriremos? Objetivo de la sesión:Objetivo de la sesión: –Entender como ISA 2004 usa redes, NAT/route y templetes de redes. –Entender cómo las redes ISA 2004 se usan en reglas de Firewall –Entender como La Maquinaria Firewall protege el el stack de la red

4 Prerrequisito en conocimiento Buen entendimiento de TCP/IPBuen entendimiento de TCP/IP Buen entendimiento de principios en firewallBuen entendimiento de principios en firewall Level 300

5 Agenda Modelo de trabajo en redes ISA Server 2004Modelo de trabajo en redes ISA Server 2004 –Comparado con ISA Server 2000 Procesamiento de reglasProcesamiento de reglas Protección de redesProtección de redes –Maquinaria en Firewall

6 ISA Server 2004 Misión La avanzada aplicación de Firewall por capas con soluciones VPN y Web cache permite a nuestros clientes maximizar sus inversiones en IT mejorando la seguridad y el con de su Red Protecci ó n Avanzada Aplicaci ó n de Seguridad por capas, dise ñ ada a protejer las aplicaciones Microsoft Facilidad de uso. Deploy eficiente, manejo y habilitar nuevos escenarios de uso R á pido y Seguro Acceso Le da facilidad a usuarios de conectarse a informaci ó n relevante dentro de la red de una manera eficiente econ ó micamente

7 ISA Server 2000 Modelo de trabajo en redes ISA 2000 LATRoute NAT NAT VPN

8 ISA Server 2000 Dentro o FueraDentro o Fuera –Confiable o In confiable Siempre usa NAT cuando se cruza con LATSiempre usa NAT cuando se cruza con LAT –Siempre usa enrutamiento a non-LAT DMZ –No utiliza reglas normales de Firewall para trafico enrutado Clientes VPN se consideran confiables(!)Clientes VPN se consideran confiables(!)

9 ISA Server 2004 Modelo de trabajo en redes ISA 2004 VPN VPN AllowSMTP Firewall Rules ISA 2004 VPN VPN Network Rules Route NAT NAT Allow Ping Allow HTTP Allow SMB NAT Route

10 ISA Server 2004 Templetes de RED Colección pre-configurada de:Colección pre-configurada de: –Definición de redes –Reglas de Firewall –Reglas de Redes Solo para configuración inicialSolo para configuración inicial

11 Cuerentena VPN ISA Server 2004 Modelo de trabajo en redes ISA 2004 Tunel VPN VPN Permitir SMB OK VPN Clientes VPN Clientes VPN en cuarentena Run checks

12 Firewall Policy Basics Reglas: de red - a - redReglas: de red - a - red Lista de Reglas únicasLista de Reglas únicas –Incluye tres tipos: Reglas de accesoReglas de acceso Publicación en WebPublicación en Web Publicación de servidorPublicación de servidor Consiste de :Consiste de : –Políticas de sistema 30 reglas construidas; todas aplican a redes locales del host30 reglas construidas; todas aplican a redes locales del host –Reglas de Políticas configurables Siempre procedes después de reglas del sistemaSiempre procedes después de reglas del sistema

13 Reglas de Políticas de Sistema 8/ /6/15/ / /

14 Políticas Firewall Procesamiento de reglas Procesadas estrictamente en ordenProcesadas estrictamente en orden –Verificar regla 1 primero Si hace el matchSi hace el match Si no hace match, probar la siguiente reglaSi no hace match, probar la siguiente regla –Verificar Siguiente Regla Etc…Etc… –Lo que no hace es negar la primera (ISA 2000) Reglas de Defacto Ultimo – concuerda siempre, bloquea todoReglas de Defacto Ultimo – concuerda siempre, bloquea todo Todo tráfico explícitamente permitido o bloqueado por una reglaTodo tráfico explícitamente permitido o bloqueado por una regla

15 Ejemplo de regla #1 1.Todos los usuarios – HTTP – Permitir 2. Kim – HTTP – Negar 3. (Default rule) – Negar -Se le permite a Kim navegar en la red? SI Por funcionalidad, cambiar el orden de la regla 1 y 2.

16 Reglas Firewall Cada regla contiene distintos criterios de concordanciaCada regla contiene distintos criterios de concordancia También contiene criterios de filtroTambién contiene criterios de filtro acción en trafico de usuario a fuente a destino con condiciones Permite Niega Permite Niega network IP Usuario network IP Usuario network IP site network IP site Protocolo IP Port / Type Protocolo IP Port / Type Cualquier Usiario ID Usuarios Usuario/Grupo esp. Cualquier Usiario ID Usuarios Usuario/Grupo esp. Server Web site Schedule Props de Filtro Server Web site Schedule Props de Filtro

17 Ejemplo de Regla #2 1. Estudiantes – HTTP – Filter:htm/html only - Permitir 2. Todos los usuarios – HTTP – Filter:all extensions - Permitir 3. (Default rule) – Negar - Pueden los usuarios bajar.exe? NO Nota: Allow rule *blocked* traffic. -Puede un usuario anónimo navegar? NO Nota: Allow rule *blocked* traffic again. Switching rule order allows Students to download.exe files.

18 Client Network Connections No hay autentificación De usuario any ISA 2004 encriptado SecureNAT client Cliente Firewall Cliente Proxy de Web default gateway Internet

19 Rule Example #3 1. Admins. – HTTP – Sites:all sites - Permitir 2. Usuarios – HTTP – Sites:cnn.com - Permitir 3. (Regla por defacto) – Negar - Pueden los non-admins. ir a cnn.com? YES Primera regla no hace match, la segunda si. - Puede un anónimo a cnn.com? NO Nota: Allow rule *blocked* traffic. Cambiar el orden de la regla permite a anónimo ir a cnn.com.

20 Procesamiento de Reglas Sumario Siempre ejecutadas en orden estrictoSiempre ejecutadas en orden estricto Si la regla concuerda no se realizan mas concordanciasSi la regla concuerda no se realizan mas concordancias Lo que funciona:Lo que funciona: –Reglas Específicas, antes de reglas generales –Nunca usar un subset perfecto desde una regla mas elevada

21 Maquinaria de Firewall Motor de FirewallMotor de Firewall –En modo Kernel –Procesa todas las reglas primero Firewall Service Firewall Engine ISA console User mode Kernel mode Rules

22 Maquinaria de Firewall Protegiendo el contenido de la red Modo de usuario Modo Kernel FWeng FWsrv Assembly IP TCP/UDP FWeng IIS Mail IPSec Reglas Firewall 2x 3x ID, Spoof, Connection limits Lockdown mode, Port Stealing 2x - Filtros App - Autentificación de Usuario

23 Mas información… En la Web : Al Teléfono :

24 Tu Potencial. Nuestra Pasión


Descargar ppt "Luis Alberto Martínez R. Security Specialist Security Business Unit Microsoft México Administración de ISA Server 2004."

Presentaciones similares


Anuncios Google