利用 ISA Server 2004 建置應用層防護機制 時　間：2005/8/12 (五 ) PM13:30~16:30 主講人：唐任威 精誠公司恆逸資訊教育訓練中心 系統產品部 認　證：MCT 、MCSE、MCSA、TCSE

議程大綱 如何以 ISA Server 2004 篩選應用層網路流量 應用案例研討 以 ISA Server 2004 建置企業 VPN 網路環境 ISA Server 2004 企業版新增功能介紹

傳統防火牆所面臨的問題！ 內 部 網 路 Application Transport Internet Network 應用層的攻擊 ( 病毒、蠕蟲與緩衝區溢位) 內 部 網 路 Application Transport Internet Network 網路層與傳輸層的攻擊 傳統防火牆

Application Layer Content Unexpected HTTP Traffic 傳統防火牆之封包過濾 僅有封包表頭會被檢查，無法辨認應用層之內容 IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content ???????????????????????????????????????????? 基於服務連接埠進行封包轉送，但是合法的網路流量與應用層級的攻擊都是使用相同的服務連接埠 Internet Expected HTTP Traffic Unexpected HTTP Traffic Attacks Non-HTTP Traffic Corporate Network

傳統防火牆所無法保護的項目 看似合法的網路流量(缺乏應用層級的檢查) 經過加密之網路流量，如 VPN 或 SSL 網路已經遭到滲透後的攻擊行為 使用懶人密碼之網路系統，如 Windows Terminal、VPN、Mail…

攻擊受到傳統防火牆所保護的網站 Web1.msft.local 192.168.1.10 Attacker www.msft.com.tw 131.107.1.11

Application Layer Content Unexpected HTTP Traffic ISA Server 2004 之多層次過濾 封包表頭及應用層內容皆被檢查 Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC - MSNBC Front Page</title><link rel="stylesheet" IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum 基於應用層內容進行封包轉送，且僅有合法及被允許之 網路流量會被處理 Internet Expected HTTP Traffic Unexpected HTTP Traffic Attacks Non-HTTP Traffic Corporate Network

綜觀 ISA Server 2004 多層次的封包檢查 一致性的防火牆與 VPN 伺服器 多重網路 提供更進階的防護 應用層篩選 更容易使用 高效率的管理工具 網路範本 與其他產品更完善的整合 更方便用戶端的使用 提供更好的效能 經過最佳化的效能 完整的功能性 高延展性 網站快取

ISA Server 2004 之防火牆原則 內對外的存取 外對內的存取 存取規則 (Action、Protocol、From、To、Condition) 外對內的存取 網頁發佈規則 (以反向代理的方式發佈網站) 安全的網頁發佈規則 伺服器發佈規則 (以反向對應的方式發佈伺服器) 郵件伺服器發佈規則

網站發佈所可能面臨的問題 公開性的網站 需要安全控管的網站 存取非網頁資源 需確保網頁資料不會被竄改 需確保網站不會淪為攻擊他人的跳板 隱藏內部網路環境的配置 需要安全控管的網站 需要進行身份確認 需要進行資料加密 存取非網頁資源 確保僅有必要的資源可以外部存取 針對應用層的流量進行篩選檢查

如何利用網頁發佈規則發佈網站 1. 指定規則名稱 2. 指定動作方式 3. 指定被發佈網站之電腦名稱及路徑 Name: MSFT web 2. 指定動作方式 3. 指定被發佈網站之電腦名稱及路徑 4. 指定發佈網站之公用名稱及路徑 IP:Port 5. 指定網頁接聽程式(IP, Port, Auth.) 6. 指定使用者

利用 ISA Server 發佈網站 Web1.msft.local 192.168.1.10 Attacker www.msft.com.tw 131.107.1.10

網頁發佈規則之路徑對應 http://www.msft.com.tw http://web1.msft.local/* UserA UserB salesweb.msft.local http://www.msft.com.tw/sales http://salesweb.msft.local/*

網頁發佈規則之連結轉譯 網頁中超連結的寫法 發佈後所會面臨的問題 相對路徑 - <a href="xyz.htm">xyz</a> 絕對路徑 - <a href="http://www.msft.com.tw/xyz.htm">xyz</a> 發佈後所會面臨的問題 若超連結為相對路徑則無任何後遺症 若超連結為絕對路徑則可能導致使用者無法存取 如： <a href="http://internalweb.msft.local/xyz.htm">xyz</a> 或 <a href="http://internalweb/xyz.htm">xyz</a>

網頁發佈規則之連結轉譯 (cont...) ISA Server 之連結轉譯功能 支援絕對路徑之連結轉換 支援字典項目之連結轉換

網頁發佈規則之身份驗證 藉由網頁發佈規則中指定非「所有使用者」 群組，ISA Server 會要求使用者進行身份驗證 可適用於「網頁發佈規則」及「安全網頁發佈規則」 身份驗證可於「網頁接聽程式」中指定 可支援的驗證機制有：基本、整合、摘要、SSL 憑證、OWA Forms-Based、RADIUS 及 SecureID 發佈規則的執行是有順序性的，當該發佈規則需要使用者進行身份驗證時，ISA Server 會要求使用者輸入帳號密碼

由 ISA Server 及 Web Server 進行驗證 網頁發佈規則之身份驗證 (cont...) ISA Server 2004 由 ISA Server 進行驗證 由 ISA Server 及 Web Server 進行驗證 由 Web Server 進行驗證 Web Server

網頁發佈規則之身份驗證 (cont...) 由 ISA Server 及 Web Server 進行雙重驗證時會造成使用者必須登入二次的問題 強烈建議利用 SSL 保護 HTTP 流量 「基本委派」可以在網頁發佈規則中的 「使用者」標籤進行設定

應用案例研討

Application Layer Content 利用 HTTP 篩選器保護網站 IP Header Source Address, Dest. Address, TTL, Checksum TCP Header Sequence Number Source Port, Destination Port, Checksum Application Layer Content <html><head><meta http- quiv="content-type" content="text/html; charset=UTF-8"><title>MSNBC HTTP 篩選器可適用於： 內部使用者存取 Internet 網站的流量 Internet 使用者存取被發佈網站的流量 HTTP 篩選器可以依據下列項目 進行 HTTP 協定的阻擋與過濾： 「方法」、「副檔名」與「URL」 「要求標頭」與「要求本文」 「回應標頭」與「回應本文」 每一條防火牆規則的 HTTP 篩選器設定都是獨立的 因此管理者可以為每一條規則進行專屬的設定 HTTP 篩選器

HTTP 協定之方法 (Method) GET：抓取用戶端於 Request-URI 中所指定的資源 HEAD：測試用戶端於 Request-URI 中所指定的資源 POST：上傳表單資料 PUT：將資料上傳至用戶端於 Request-URI 中所指定的資源 DELETE：刪除用戶端於 Request-URI 中所指定的資源 OPTIONS：用以測試伺服器端所支援的方法 TRACE：用以進行應用層迴圈測試 CONNECT：於 proxy 的架構中，建立「通道」

HTTP 協定之用戶端 Request URL http://host.domain.com[:port]/path/file[?query] Protocol Target Resource %252e %2e .

HTTP 協定之用戶端要求

HTTP 協定之用戶端要求 (cont...)

HTTP 協定之伺服器回應

HTTP 協定之伺服器回應

利用 HTTP 篩選器保護網站 Web1.msft.local 192.168.1.10 Attacker www.msft.com.tw 131.107.1.10

HTTP 篩選器最佳實務建議 建立一致性的基準 設定最大的標頭、裝載、URL 和查詢長度 確認正規化但不封鎖高位元字元 僅允許 GET 及 POST 方法 封鎖可執行程式及包含副檔名的伺服器端 封鎖可能的惡意簽章 使用 HTTPFilterConfig.vbs 進行 HTTP 篩選器設定的匯出與匯入 (包含於 ISA Server 2004 SDK，可於 Microsoft 網站下載)

發佈 SSL 網站 可選擇「SSL 橋接」模式或「SSL 通道」模式 「SSL 通道」模式之運作為 NAT 之反向對應 優點：設定簡單、容易 缺點：無法針對加密過的資訊進行篩選過濾 「SSL 橋接」模式之運作為 web proxy 之反向代理 優點：可使用 HTTP 篩選器進行流量之篩選過濾 缺點：設定步驟較為複雜

利用 SSL 橋接模式發佈網站 1. 啟用網站本身之 SSL 功能 (可省略) 2. ISA Server 申請憑證 HTTP SSL SSL HTTP SSL 1. 啟用網站本身之 SSL 功能 (可省略) 2. ISA Server 申請憑證 3. 執行發佈安全的網頁伺服器精靈

AOL Messenger (and Geckobrowsers) 利用 HTTP 篩選器限制用戶端軟體 應用程式名稱 搜尋範圍 HTTP標頭 簽章 MSN Messenger 要求標頭 User-Agent Windows Messenger MSMSGS AOL Messenger (and Geckobrowsers) Gecko/ Yahoo Messenger Host msg.yahoo.com Edonkey e2dk BitTorrent

以 ISA Server 2004 建置企業 VPN 網路環境

ISA Server 所支援的 VPN 功能 VPN 連線之類型： 可支援之 VPN 通訊協定： 遠端網站網路 可支援之 VPN 通訊協定： PPTP L2TP IPSec

啟用 VPN 用戶端連線 啟用 VPN 用戶端存取 設定使用者帳戶的撥號權限 選擇通道通訊協定 設定遠端存取設定 (存取網路、位址指派、驗證、RADIUS) 確認網路規則 設定 VPN 用戶端網路的防火牆原則

啟用網站間 VPN 連線 設定本地端 VPN 伺服器 於另一端點之 VPN 伺服器執行相同設定 選擇通道通訊協定 指定遠端網路起迄範圍 設定網路規則 設定存取規則以啟用： 開放式網路間通訊，或 受管制的網路間通訊 於另一端點之 VPN 伺服器執行相同設定

VPN 隔離控制之運作 VPN 用戶端網路 網域 控制站 網頁 伺服器 隔離指令碼 隔離遠端存取 原則 ISA Server DNS 伺服器 RQC.exe ISA Server DNS 伺服器 檔案 伺服器 VPN 隔離 用戶端網路

啟用 VPN 網路隔離功能 1. 編寫檢查用戶端設定的用戶端指令碼 2. 使用 CMAK 來建立遠端存取用戶端的撥號項目 3. 於 ISA Server 端建立與安裝接聽程式元件 4. 於 ISA Server 上啟用隔離控制 5. 設定隔離 VPN 用戶端網路的網路規則 6. 設定隔離 VPN 用戶端網路的存取規則

啟用 VPN 用戶端連線 設定 ISA Server VPN 隔離功能 使用 CMAK 建立用戶端撥號項目 192.168.1.10 Remote User 131.107.1.10

ISA Server 2004 企業版新增功能介紹

ISA Server 2004 企業版 藉由 ISA Server 2004 企業版： ISA Server 2004 企業版可支援： 可以更容易管理多重主機的防火牆環境 更容易延展網站代理伺服器的架構 提供高可用性及高延展性架構 ISA Server 2004 企業版可支援： 以 ADAM 模式存放防火牆原則 「陣列」及「企業原則」 對於企業原則及陣列原則有更具彈性的整合 以 NLB 提高防火牆及 VPN 服務的可用性 對於多重陣列的集中控管、監視及報表功能

ISA Server 系統設定存放位置 版本 存 放 位 置 ISA Server 2000 標準版 本機登錄檔 存　放　位　置 ISA Server 2000 標準版 本機登錄檔 ISA Server 2000 企業版 Active Directory ISA Server 2004 標準版 本機登錄檔 ISA Server 2004企業版 設定存放區伺服器

設定存放區伺服器 (CSS) 建構於 ADAM 之上 Active Directory Application Mode 相於於 LDAP目錄服務 不需要DNS 與 AD 網域 支援 ADAM 伺服器之間的多重主機複寫 提供企業中所有陣列存放原則的集中儲存區 管理主控台支援以安全的方式進行寫入 陣列成員以安全的方式抓取設定 可於任何地區進行編輯

設定存放區伺服器 (cont...) TCP Port 3847 TCP Port 2172 本地端 設定副本 Management Console TCP Port 3847 ISA 2004 Server Array ISA 2004 Server Array ISA 2004 Server Array TCP Port 2172 本地端 設定副本 TCP Port 2171/2172 TCP Port 2171/2172 本地端 設定副本 本地端 設定副本 TCP Port 2173 Replication CSS CSS

陣列及陣列原則 何謂陣列： 何謂陣列原則： 同一群使用相同設定的 ISA Server 2004 包含 ISA Server 2004、CSS 及管理工具 陣列成員需要使用相同設定 何謂陣列原則： 套用至所有陣列成員的存取及發佈規則 Array2 Array Policy 1 Array Policy 2 Array Policy 3 Array Policy 1 Array Policy 2 Array Policy 3 Array1

企業原則 以企業整體網路環境為考量的「存取規則」 除非有指定企業原則，否則陣列僅套用陣列原則 套用順序可定義在陣列原則「前」或「後」 可賦予企業管理者更進一步的控管能力 可委派至區域管理者 Array1 Array Policy 1 Array Policy 2 Array Policy 3 Enterprise access rule 1 Enterprise access rule 2 Enterprise access rule 3 Enterprise Policy1 Array Policy 1 Array Policy 2 Array Policy 3 Array2 Enterprise access rule 1 Enterprise access rule 2 Enterprise Policy2 Array Policy 1 Array Policy 2 Array Policy 3 Array3

有效的陣列原則 1.陣列系統原則 2.陣列「前」企業規則 3.陣列防火牆原則規則 4.陣列「後」企業規則 5. 預設規則 (拒絕全部) Array1 Array Policy 1 Array Policy 2 Array Policy 3 5. 預設規則 (拒絕全部)

ISA Server 與 NLB 的整合 可藉由 ISA Server 管理工具設定 NLB 功能 可藉由伺服器的狀態來調整 NLB 的運作 提供伺服器發佈的雙向相似性 依照 NLB 的回報進行 VPN 連線通道的建立 VPN 連線中斷時，重新連接至不同的伺服器建立連線 Array

結語 利用 ISA Server 提供網路流量的深度防禦 防止伺服器遭受到應用層的攻擊 用以管制用戶端的網路存取 提供企業更安全的 VPN 網路架構 以企業版簡化企業級防火牆的管理 以企業版提升防火牆及 VPN 服務的可用性

參考資源 ISA Server 中文網頁 http://www.microsoft.com/taiwan/isaserver ISA Server 非官方網站 #1 http:// www.isaserver.org ISA Server 非官方網站 #2 http:// www.isatools.org

請記得填妥您的問卷 交給櫃臺工作人員 憑問卷可獲得 500 元一日課程 折價券一張