Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif

1. Protection des ressources de l'entreprise : ISA Server 2004 & filtrage applicatif Stanislas Quastana, CISSP Architecte Infrastructure Microsoft France

2. Agenda • Introduction • Présentation d’ISA Server 2004 • Protection des accès sortants • Protections des accès entrants • Protections des réseaux internes et VPN • Synthèse • Ressources utiles • Questions / Réponses

3. Introduction

4. Quelques chiffres • 95% de toutes les failles évitables avec une configuration alternative (CERT 2002) • Environ 70% de toutes les attaques Web se passent au niveau de la couche Application (Gartner Group) • Sur les 10 attaques les plus répandues, 8 sont effectuées au niveau application (Symantec Corp) • De décembre 2003 à décembre 2004, +80% d’augmentation du nombre de vulnérabilités d’application Web découvertes (Symantec Corp)

5. Impact sur les entreprises Attaques au niveau de la couche application Implications • Usurpation d’identité • Site web défiguré • Accès non autorisés • Modification des données et journaux • Vol d’informations propriétaire • Interruption de service • Mise en conformité • ISO 17799 • Bâle 2 (EU) • Data Protection Act (EU) • HIPAA (US) • Sarbanes Oxley (US) • Litiges • Partage de fichiers illicites • Piratage • Responsabilités juridiques des entreprises et des RSSI • En France le RSSI a obligation de moyens

6. Défense en profondeur • L’accès à une couche inférieure nécessite de passer au préalable par les couches supérieures. • Tous les éléments constituant la sécurité de la plateforme sont ainsi répartis au sein de cette approche par couche  • La gestion des accès aux réseaux fait partie des premières couches de protection d’une infrastructure • Les pare-feu sont un élément de protection du périmètre et du réseau Défenses du périmètre Défenses du réseau Défenses des machines Défenses des applications Données et Ressources Sécurité physique Politiques de sécurité

7. Un paquet IP vu par un pare-feu « traditionnel » IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content ???????????????????????????????????????? • La décision de laisser passer est basée sur les numéros de ports • Le trafic légitime et les attaques applicatives utilisent les mêmes ports (ex : 80) Réseau d’entreprise Internet Trafic HTTP attendu Trafic HTTP non prévu Attaques Trafic non-HTTP • Seul l’entête du paquet est analysé • Le contenu au niveau de la couche application est comme une “boite noire”

8. Top 10 des attaques : 80% d’attaques au niveau de la couche 7 SQL Server DCOM RPC SMTP HTTP Top attacks (source : Symantec Corporation)

9. Le problème • Les pare-feux traditionnels se focalisent sur le filtrage de paquets et le statefull inspection • Aujourd’hui, la plupart des attaques contournent ce type de protection. Quelques exemples : • Code Red & Nimda sur les serveurs IIS 4 et 5 • OpenSSL/Slapper • Blaster, Welchia sur le RPC Endpoint Mapper de Windows • Slammer sur les serveurs SQL (ou MSDE) • Santy-A sur les forums phpBB (Linux et Windows) • Le premier ver dans la nature (in the wild) à exploiter une vulnérabilité d’une application Web • Les ports et protocoles ne permettent plus de contrôler ce que font les utilisateurs Le filtrage de paquets & le statefull inspection ne sont plus suffisants pour se protéger des attaques actuelles

10. Réseau public Pare-feu traditionnel Pare-feu niveau Application Quel pare-feu utiliser ? Les pare-feu applicatif sont aujourd’hui nécessaires pour se protéger des attaques évoluées car ils permettent une analyse approfondie du contenu des paquets réseaux. Comprendre ce qu’il y a dans la partie données est désormais un pré requis Néanmoins, le remplacement n’est pas forcément la meilleure solution Vers réseau interne, DMZ, …

11. Présentation d’ISA Server 2004

12. ISA Server 2004 en quelques mots • 2ème génération de pare-feu de Microsoft • Pare-feu multicouches (3,4 et 7) • Capacité de filtrage extensible • Proxy applicatif • Nouvelle architecture • Intégration des fonctionnalités de VPN

13. La vue d’un paquet IP par ISA IP Header Source Address,Dest. Address,TTL, Checksum TCP Header Sequence NumberSource Port,Destination Port,Checksum Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" • Les décisions de laisser passer sont basées sur le contenu • Seul le trafic légitime et autorisé est traité Réseau d’entreprise Internet Trafic HTTP Attendu Trafic HTTP non attendu Attacks Trafic non HTTP • Les entêtes du paquet et le contenu sont inspectés • Sous réserve de la présence d’un filtre applicatif (comme le filtre HTTP)

14. Architecture d’ISA Server 2004 Application layer filtering PolicyStore Web Filter API (ISAPI) Web Proxy Filter Protocol layer filtering 3 2 Kernel mode data pump: Performance optimization 4 Packet layer filtering 1 Policy Engine Web filter Web filter SMTP Filter RPC Filter DNSFilter AppFilter Application FilterAPI Firewallservice User Mode Firewall Engine TCP/IP Stack Kernel Mode NDIS

15. Les filtres d’ISA Server 2004 • Filtres applicatifs • FTP : permet de bloquer les envois • SMTP : gestion des commandes et filtrage des messages (contenu, extension, taille…) • POP3 : détection d’intrusion • RTSP, MMS, PNM, H.323: Streaming • DNS: détection d’intrusions, transfert de zones • RPC: publication de serveurs, filtrage sur les interfaces • PPTP : permet la traversée de connexions VPN (Tunneling) • SOCKS V4 • Web Proxy : gestion de HTTP, HTTPs (filtres web…) • Filtres Web • Filtre HTTP : analyse du contenu des requêtes web (entêtes et données) • Authentification RSA SecureID • Authentification Radius • Authentification OWA Web Forms • Translateur de liens : réécriture d’URL

16. ISA Server 2004 : un produit évolutif • Filtrage applicatif • Haute disponibilité • Antivirus • Détection d’intrusion • Reporting • Accélérateurs SSL • Contrôle d’URLs • Authentification + d’une trentaine de partenaires !!! Plus de partenaires sur : http://www.microsoft.com/isaserver/partners/default.asp

17. Modèle réseau ISA Server 2004 VPN VPN Quarantaine Internet DMZ_1 CorpNet_1 DMZ_n Toutes topologies / stratégies • Nombre de réseaux illimité • Type d’accès NAT/Routagespécifique à chaque réseau • Les réseaux VPN sont considérés comme des réseaux à part entière • La machine ISA est considéré comme un réseau (LocalHost) • Stratégie de filtrage par réseau • Filtrage de paquet sur toutes les interfaces Local AreaNetwork CorpNet_n ISA 2004

18. Structure des règles de pare-feu ISA actionsurtrafficpourutilisateurdepuissourceversdestinationavec conditions • Ensemble de règles ordonnées • Règles systèmes puis règles utilisateur • Plus logique et plus facile à comprendre (versus ISA Server 2000 notamment) • Réseau(x) • Adresse(s) IP • Machine(s) • Utilisateur(s) • Groupe(s) • Autoriser • Interdire • Serveur publié • Site Web publié • Planning • Filtre applicatif • Réseau(x) • Adresse(s) IP • Machine(s) • Protocole IP • Port(s) TCP/UDP

19. Pare feu de périmètre Multi réseaux DMZ Protection des applications et réseaux internes Passerelle de filtrage applicatif Serveurs Web Serveurs de messagerie Protection des réseaux internes Accès sécurisé et optimisé à Internet Stratégies d’accès Cache Web Réseaux multi sites Sécurisation sites distants Intégration du VPN IPSec en mode Tunnel Scénarios de mise en œuvre d’ISA Server 2004

20. Les versions d’ISA Server 2004

21. Disponible en appliance • RimApp ROADBLOCKFirewallhttp://www.rimapp.com/roadblock.htm • HP ProLiant DL320 Firewall/VPN/Cache Serverhttp://h18004.www1.hp.com/products/servers/software/microsoft/ISAserver/index.html • Network Engines NS Applianceshttp://www.networkengines.com/sol/nsapplianceseries.aspx • Celestix Application-Layer Firewall, VPN and Caching Appliance http://www.celestix.com/products/isa/index.htm • Pyramid Computer ValueServer Security 2004http://www.pyramid.de/e/produkte/server/isa_2004.php • Avantis ISAwall http://www.avantisworld.com/02_securityappliances.asp • Corrent http://www.corrent.com/Products/products_sr225.html

22. Contrôle des accès sortants

23. Les besoins des entreprises connectées vus par l’administrateur « Je veux contrôler (limiter) les protocoles réseaux utilisés par mes utilisateurs » « Je veux administrer les accès de manière centralisée et intégrée avec mon infrastructure (domaines NT, Active Directory, RADIUS) » « Je veux empêcher mes utilisateurs de télécharger des fichiers illégaux ou dangereux » « Je veux qu’Internet soit un outil de travail et empêcher mes utilisateurs de surfer sur le Web là où ils veulent. »

24. Contrôle des flux et contenus • Les pare-feu permettent une grande granularité dans la définition des règles d’accès • Filtrage spécifique sur un protocole • Authentification des postes ou utilisateurs • Certains protocoles comme HTTP, FTP ou SMTP peuvent être restreints sur le contenu (MIME, extension de fichiers, pièce jointe…) • Hélas, beaucoup de ces mécanismes deviennent insuffisants/obsolètes face aux méthodes d’encapsulation…

25. Quand pare-feu te bloquera HTTP tu utiliseras…

26. Http : le protocole universel… • … pour outrepasser un pare-feu ou un proxy • Aujourd’hui, de nombreuses applications utilisent HTTP comme méthode d’encapsulation des protocoles propriétaires afin de s’affranchir des ouvertures de ports spécifiques sur les équipements filtrants : • Messageries instantanées : MSN Messenger, Yahoo Messenger, ICQ… • Logiciels P2P : Kazaa, Emule, Bitorrent, Exeem… • Messagerie : Outlook 2003 (RPC sur HTTP)… • Adware, Spyware : Gator… • Chevaux de Troie

27. Protection des accès sortants ISA Server 2004 Pare feu traditionnel Analyse HTTP (URL, entêtes, contenu…) IM P2P MS RPC… HTTP IM, P2P, MS RPC… HTTP, https, FTP… Internet http, https, FTP IM, P2P, MS RPC… Client Exemples de signature d’applications : http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

28. Filtre applicatif HTTPExemple de filtrage en fonction du contenu de l’en-tête POST http://64.4.1.18/gtw/gtw.dll?SessID=1 HTTP/1.1 Accept: */* Accept-Language: en-us Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322; MSN Messenger 6.2.0133) Host: 64.4.1.18 Proxy-Connection: Keep-Alive Connection: Keep-Alive Pragma: no-cache Content-Type: application/x-msn-messenger Content-Length: 7 Common Application Signatures http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/commonapplicationsignatures.mspx

29. Démonstration : filtre HTTP Analyse HTTP (URL, entêtes, contenu…)

30. Plus fort que http : https  • Une fois la session SSL établie, les proxies ou les pare-feu sont incapables de voir les données échangée. • De nombreuses logiciels utilisent déjà cette solution. • Exemple : Outlook 2003 (RPC over https) • Comment réduire le risque ? • Limiter les accès https : utilisation de listes blanches • Bloquer les requêtes dans la phase de négociation • Déchiffrer le SSL en sortie au niveau du proxy/firewall (Man In The Middle) • Concept intéressant en terme de sécurité mais pas vraiment en terme de confidentialité

31. DNS : un futur « standard » pour l’encapsulation ? LA question : « Est il possible pour le DNS de faire des choses plus intéressantes que la résolution de noms qualifiés en adresse IP ? » • La réponse est OUI • droute: DNS Stream Router • TCP Streaming over DNS • Utilisable pour du Shell ou de la messagerie instantanée uniquement • NSTX: • Uniquement sur Linux • Informations complémentaires : • Attacking Distributed Systems: The DNS Case Study by Dan Kaminsky. • http://www.blackhat.com/presentations/bh-europe-05/BH_EU_05-Kaminsky.pdf

32. Contrôle des accès entrants Ressources exposées

33. Plateforme Web classique et risques associés • 2 zones réseau (Front End et Back End) + 2 pare-feu • …mais toujours des risques en cas d’absence de filtrage applicatif • Le risque ici est principalement l’attaque applicative. Par exemple : • injections HTML • injections SQL • Injections PHP • …. TCP 80 (HTTP) TCP 443 (HTTPS) TCP 1433 (MS-SQL)

34. Augmentation des risques sur les applications Web Augmentation des vulnérabilités documentées sur les applications Web depuis 18 mois ( Source : Symantec Corporation : http://ses.symantec.com/pdf/ThreatReportVII.pdf)

35. Protection des serveurs Web SSL SSL SSL or HTTP Internet Pare-feu traditionnel Web ISA Server 2004 Filtrage avancé de HTTP Délégation d’authentification ISA pré authentifie les utilisateurs, éliminant les boites de dialogues redondantes et n’autorise que le trafic valide à passer …ce qui permet aux attaques applicatives, virus ou autres vers de se propager sans être détectés… ISA peut déchiffrer et inspecter le trafic SSL L’analyse des URL par ISA 2004 peut stopper les attaques Web au périmètre du réseau, y compris en cas d’utilisation de SSL Si le serveur Web fait une demande d’authentification - tout utilisateur sur Internet peut accéder à cette demande Analyse HTTP (URL, contenu…) Client Certificat « Privé » + sa clé privée Certificat « Public » + sa clé privée SSL passe au travers des pare-feu traditionnels sans contrôle du fait du chiffrement… …et d’infecter les serveurs internes ! Une fois inspecté le trafic peut être envoyé vers le serveur interne de nouveau chiffré ou en clair.

36. Démonstration : publication OWA

37. Démonstration : publication FTP Filtre FTP Serveur FTP

38. Protection des accès aux réseaux de l’entreprise (VPN et Locaux) Gestion des accès distants et des équipements connectés

39. Augmentation des risques avec le développement de la mobilité • Développement du marché des PC portables et du nombre de systèmes non administrés dans les réseaux l’entreprise • Postes personnels mais connectés sur le réseau de l’entreprise • Postes des intervenants externes • Points d’accès Wi-fi non déclarés • Ordinateur portables qui ne sont pas à jour (du fait de leur mobilité) au niveau de correctifs de sécurité, signature anti-virale… • Connexion à des réseaux tiers « inconnus » (hot spot wifi, clients, partenaires…) • Accès VPN nomades, réseaux sans fils

40. Les attaques viennent aussi de l’interne Étude et statistiques sur la sinistralité informatique en France (2002)

41. Les attaques internes ne sont pas toujours déclenchées de manière intentionnelle • Le meilleur exemple est la propagation d’un ver comme Blaster (exploitation d’une faille RPC) ou Sasser.

42. Les connexions distantes peuvent également compromettre la sécurité • Le même exemple de propagation d’un ver comme Blaster ou Sasser au travers d’un VPN

43. Une approche de la segmentation • En terme de sécurité, les pare-feux sont couramment utilisés pour protéger les réseaux d’entreprise des réseaux publics comme Internet • Aujourd’hui, il est devenu nécessaire de procéder à un découpage du réseau d’entreprise et d’aller au-delà de la simple segmentation réseau (VLANs) • La segmentation des réseaux internes revient à implémenter le principe du pare-feu au cœur du réseau de l’entreprise en intégrant l’analyse (jusqu’au niveau de la couche application) des flux

44. Principes de la segmentation Classification Le découpage des réseaux consiste à définir des zones de confiances dans lesquelles des ressources peuvent être placées. Ce découpage nécessite au préalable la définition d’une classification adaptée aux besoins et contraintes de l’entreprise.

45. Fonctionnement des RPC DCE 4402/tcp 135/tcp Le RPC End Portmapper répond avec le port et met fin à la connexion Le client accède à l’application via le port reçu Le client demande quel port est associé à l’UUID ? Le client se connecte au portmapper sur le serveur (port tcp 135) Le client connaît l’UUID du service qu’il souhaite utiliser 4402/tcp {12341234-1111…} Client RPC (ex: Outlook) Serveur RPC (ex: Exchange) • Du fait de la nature aléatoire des ports utilisés par les RPC, l’implémentation et le filtrage des RPC est difficile sur la majorité des pare-feu • L’ensemble des 64,512 ports supérieurs à 1024 ainsi que le port 135 doivent être ouverts sur des pare feu traditionnels Le serveur fait correspondre l’UUID avec le port courant… Les services RPC obtiennent des port aléatoires (> 1024) lors de leur démarrage, le serveur maintient une table

46. Attaques RPC potentielles • Reconnaissance (Fingerprinting) • RPCDump • RPCScan (http://www.securityfriday.com) • Déni de service contre le portmapper • Élévation de privilèges ou attaques sur d’autres services • Ver :Blaster, Welchia • BotNet : GaoBot, Spybot, Randex

47. Filtrage applicatif RPC - principe • Seul le port TCP 135 (RPC End Portmapper) est ouvert • Les ports > 1024 sont ouverts/fermés dynamiquement pour les clients (applications RPC) en fonction des besoins • Inspection du trafic vers le RPC End Portmapper au niveau applicatif • Seuls les UUIDs de l’application RPC sont autorisés à l’exception de tout autre ISA Server 2004 avec filtre RPC Serveur application RPC Application cliente RPC

48. Démonstration filtrage RPC Scan RPC

49. Synthèse Contrôle des flux applicatifs ISA Server 2004 est une solution répondant à ce besoin de filtrage au niveau de la couche Application devenu nécessaire pour protéger les infrastructures Microsoft et non Microsoft. Un pare-feu supportant un grand nombre de scénarios • Protection des flux sortants vers Internet, des serveurs exposés sur Internet, des ressources internes par segmentation, filtrage des connexions VPN. • Produit extensible Nombreux filtres complémentaires disponible auprès d’éditeurs tiers. Developpement de filtres adaptés à vos besoins grâce au SDK fourni.

50. Ressources utiles • Site Web Microsoft • www.microsoft.com/isaserver • www.microsoft.com/france/isa • Webcast et séminaires TechNet(Gratuits) • Sites externes • www.isaserver.org • www.isaserverfr.org • isatools.org • Newsgroup français • Microsoft.public.fr.isaserver • Kits de déploiement • Blogs • Blogs.msdn.com/squasta • Kits d’évaluation ISA Server • Version d’évaluation (120 jours) • CD (livres blancs et guide déploiement)