Post on 01-May-2015
transcript
| piergiorgio.malusardi@microsoft.com |
HardeningHardening
| piergiorgio.malusardi@microsoft.com |
Agenda
Sicurezza del server ISA Server 2004
Gestione degli update
Accesso fisico
Hardening di Windows
Gestione di Permessi e Ruoli
Riduzione della superficie di attacco
Lockdown mode
Sicurezza della configurazione di ISA Server 2004
Monitoring
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverGestione degli update
Come ogni macchina della rete il server ISA deve essere mantenuto aggiornato:
Aggiornare il sistema operativo
Aggiornare ISA Server 2004
Aggiornare ogni componente addizionale installato:MSDE
Office Web Component
AD/AM (versione Enterprise)
Altro (non ci dovrebbe essere, ma…)
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverGestione degli update
“Se un cattivo ragazzo può accedere fisicamente al tuo computer, questo non è più il tuo computer”
L’accesso fisico al server può consentire:
Spegnimenti indesiderati (DoS)
Installazione di software pensato per aggirare la sicurezza
Installazione di hardware pensato per aggirare la sicurezza
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverDomino vs Workgroup
ISA 2004 (anche la EE) può essere installato in dominio o in workgroup
Se ISA 2004 costituisce il punto di accesso ad Internet si consiglia:
Installare ISA 2004 in una foresta separata da quella aziendale
Creare una relazione di trust mono direzionale tra la foresta di ISA 2004 e quella aziendale
L’installazione in dominio consente la configurazione della sicurezza usando le group policy
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverHardening di Windows – dove partire
Lo strumento principe per configurare Windows Server 2003 su cui si installa ISA 2004 è Windows Server 2003 Security Guide
Usare il template di sicurezza High Security – Bastion host
Applicabile via group policy se il server ISA 2004 è in dominio
Applicabile con secedit se il server ISA 2004 è in workgroup
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverHardening di Windows – servizi necessari
Nome del servizio Razionale Avvio
COM+ Event System Core operating system Manual
Cryptographic Services Core operating system (sicurezza) Automatic
Event Log Core operating system Automatic
IPSec Services Core operating system (sicurezza) Automatic
Logical Disk Manager Core operating system (gestione dei dischi)
Automatic
Logical Disk Manager Administrative Service
Core operating system (gestione dei dischi)
Manual
Microsoft Firewall Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Control Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Job Scheduler Richiesto per il normale funzionamento di ISA Server
Automatic
Microsoft ISA Server Storage Richiesto per il normale funzionamento di ISA Server
Automatic
MSSQL$MSFW Richiesto quando MSDE è richiesto per I log ISA Server
Automatic
Network Connections Core operating system (infrastruttura di rete)
Manual
NTLM Security Support Provider Core operating system (sicurezza) Manual
Plug and Play Core operating system Automatic
Protected Storage Core operating system (sicurezza) Automatic
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverHardening di Windows – servizi necessari
Nome del servizio Razionale Avvio
Protected Storage Core operating system (sicurezza) Automatic
Remote Access Connection Manager
Richiesto per il normale funzionamento di ISA Server
Manual
Remote Procedure Call (RPC) Core operating system Automatic
Secondary Logon Core operating system (sicurezza) Automatic
Security Accounts Manager Core operating system Automatic
Server Richiesto per lo share ISA Server Firewall Client (Togliere!!)
Automatic
Smart Card Core operating system (sicurezza) Manual
SQLAgent$MSFW Richiesto quando MSDE è richiesto per I log ISA Server
Manual
System Event Notification Core operating system Automatic
Telephony Richiesto per il normale funzionamento di ISA Server
Manual
Virtual Disk Service (VDS) Core operating system (gestione dei dischi) Manual
Windows Management Instrumentation (WMI)
Core operating system (WMI) Automatic
WMI Performance Adapter Core operating system (WMI) Manual
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverHardening di Windows – ruoli del server
Il servizio server deve essere in Automatic quando:
Share di FW Client sul server con ISA 2004 (sconsigliato)
Si usa RRAS per configurare le VPN al posto di ISA 2004
Altre applicazioni o ruoli del server lo richiedono
Ruolo del server Servizi richiesti Avvio
Routing and Remote Access Server
Routing and Remote Access Manual
Remote Access Connection Manager
Manual
Telephony Manual
Workstation Automatic
Server Automatic
Terminal Server per l’amministrazione via Remote Desktop
Server Automatic
Terminal Services Manual
| piergiorgio.malusardi@microsoft.com |
Demo: Creazione e applicazione di un Demo: Creazione e applicazione di un template di sicurezzatemplate di sicurezza
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRuoli amministrativi e permessi
Per l’assegnazione dei permessi di esecuzione delle attività ISA 2004 sfrutta il concetto di ruoli amministrativi
Assegnare un ruolo ad un utente significa assegnare i permessi di eseguire determinate operazioni
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRuoli amministrativi e permessi
Ruolo Descrizione
ISA Server Basic Monitoring
Gli utenti a cui è assegnato questo ruolo possono controllare l’attività del server ISA e l’attività di rete, ma non possono impostare nessuna delle funzionalità di firewall o del monitoring.
ISA Server Extended Monitoring
Gli utenti a cui è assegnato questo ruolo possono effettuare tutte le attività di monitoring inclusa la configurazione dei log, la definizione degli alert oltre a tutte le attività concesse al ruolo precedente.
ISA Server Full Administrator
Gli utenti a cui è assegnato questo ruolo possono effettuare qualsiasi operazione su ISA Server. Per default gli amministratori della macchina hanno questo ruolo.
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRuoli amministrativi e permessi
Attività Basic Monitoring
Extended Monitoring
Full Administrat
or
Controllo di Dashboard, alerts, connettività, sessioni, servizi
X X X
Accettazione degli alert X X X
Controllo delle informazioni di log
X X
Creazione della definizione di alert
X X
Creazione di report X X
Avvio e arresto di servizi e sessioni
X X
Controllo delle policy di firewall
X X
Configurazione delle policy di firewall
X
Configurazione della cache X
Configurazione delle VPN X
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRuoli amministrativi e permessi – Buone pratiche
Usare il principio dei minori privilegi
Mantenere il gruppo Administrator con pochi elementi
Fare logon al server con l’account con i minor privilegi necessari a svolgere l’operazione
Disabilitare l’account Guest
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRuoli amministrativi e permessi - DACL
In fase di installazione ISA 2004 modifica le DACL per tener conto del suo funzionamento e dei ruoli amministrativi
Le DACL sono modificate anche durante l’assegnazione dei ruoli
Non vengono impostate DACL su:Folder per i report
File di configurazione creati in fase di export o backup
File di log copiati in folder diversi dagli originari
NON MODIFICARE A MANO LE DACL DI DEFAULT
| piergiorgio.malusardi@microsoft.com |
Demo: Assegnazione dei ruoliDemo: Assegnazione dei ruoli
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRiduzione della superficie di attacco
Meno c’è meglio è
Non eseguire applicazioni o servizi non necessari sul server con ISA 2004
Disabilitare le funzioni di ISA 2004 che non si usano (VPN, Cache, Specifici add-in)
Disabilitare le System policy che non servono in base alla propria modalità di gestione di ISA 2004
Applicare le System policy a specifiche entità di rete
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRiduzione della superficie di attacco – System policy
Servizi di rete
Gruppo di configurazio
ne
Nome della regola Descrizione della regola
DHCP Allow DHCP requests from ISA Server to InternalAllow DHCP replies from DHCP servers to ISA Server
Consente al server ISA l’accesso alla rete interna con i protocolli DHCP (reply) e DHCP (request).
DNS Allow DNS from ISA Server to selected servers
Consente al server ISA di accedere a tutte le reti usando il protocollo DNS.
NTP Allow NTP from ISA Server to trusted NTP servers
Consente al server ISA l’accesso ala rete interna usando il protocollo NTP (UDP).
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRiduzione della superficie di attacco – System policy
Servizi di autenticazione
Gruppo di configurazione
Nome della regola Descrizione della regola
Active Directory
Allow access to directory services for authentication purposesAllow RPC from ISA Server to trusted serversAllow Microsoft CIFS from ISA Server to trusted serversAllow Kerberos authentication from ISA Server to trusted servers
Consente al server con ISA 2004 l’accesso alla rete interna con diversi protocolli LDAP, RPC (tutte le interfacce), diversi protocolli CIFS, diversi protocolli Kerberos, tutti usati da Active Directory.
RSA SecurID Allow SecurID authentication from ISA Server to trusted servers
Consente al server con ISA 2004 l’accesso alla rete interna con il protocollo RSA SecurID®.
RADIUS Allow RADIUS authentication from ISA Server to trusted RADIUS servers
Consente al server con ISA 2004 l’accesso alla rete interna con il protocollo RADIUS.
Certificate Revocation List
Allow HTTP from ISA Server to all networks for CRL downloads
Consente al server con ISA 2004 l’accesso in HTTP a reti selezionate per scaricare le CRL.
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRiduzione della superficie di attacco – System policy
Gruppo di configurazione
Nome della regola Descrizione della regola
Microsoft Management Console
Allow remote management from selected computers using MMCAllow MS Firewall Control communication to selected computers
Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA con i protocolli MS Firewall Control e RPC (tutte le interfacce).
Terminal server
Allow remote management from selected computers using Terminal Server
Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocolli RDP (Terminal Services).
ICMP (Ping) Allow ICMP (PING) requests from selected computers to ISA Server
Consente ai computer inseriti nel computer set Remote Management Computers di accedere al server con ISA usando il protocollo ICMP, e vice versa.
Gestione da remoto
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverRiduzione della superficie di attacco – System policy
Controllo da remoto e logGruppo di configurazione
Nome della regola Descrizione della regola
Remote logging (NetBIOS)
Allow remote logging to trusted servers using NetBIOS
Consente al server con ISA 2004 di accedere alla rete interna con il protocollo NetBIOS.
Remote Logging (SQL)
Allow remote SQL logging from ISA Server to selected servers
Consente al server con ISA 2004 di accedere alla rete interna con il protocollo Microsoft SQL.
Remote Performance Monitoring
Allow remote performance monitoring of ISA Server from trusted servers
Consente ai computer nel computer set Remote Management Computers computer di accedere al server con ISA 2004 con il protocollo NetBIOS.
Microsoft Operations Manager
Allow remote monitoring from ISA Server to trusted servers, using Microsoft Operations Manager (MOM) Agent
Consente al server con ISA 2004 l’accesso alla rete interna usando l’agent Microsoft Operations Manager.
| piergiorgio.malusardi@microsoft.com |
Demo: System policyDemo: System policy
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverModalità Lockdown
Una funzione critica dei firewall è reagire agli attacchi
Una tecnica potrebbe essere isolare la rete difesa sconnettendosi dalla rete da cui parte l’attacco: Non è un buon approccio!
Gli attacchi devo essere gestiti per quanto possibile Lockdown mode
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverModalità Lockdown
Introdotta per combinare necessità di isolamento e necessità di rimanere connessi
Attivata quando il servizio Firewall
Viene spento in automaticoCon la definizione degli alert è possibile configurare quali eventi provocano lo spegnimento del servizio Firewall
Viene spento manualmente
Disattivata al riavvio del servizio firewall
| piergiorgio.malusardi@microsoft.com |
Sicurezza del serverModalità Lockdown
Quando in lockdown mode:Il packet filter engine applica le policy di firewall
Il traffico in uscita da localhost verso tutte le reti (e relative risposte in ingresso) è consentito
Nessun traffico in ingresso è consentito salvo che sia consentito da una System policy
Traffico DHCP da localhost a tutte le reti (e relative risposte) è sempre consentito
Seguenti System policy sono sempre attive:Allow ICMP from trusted server to the local host
Allow remote management of the firewall using MMC (RPC through port 3847)
Allow remote management of the firewall using RDP
Accessi in VPN negati (tutti i tipi)
Ogni modifica alla configurazione diventa attiva solo dopo il riavvio del servizio firewall
ISA 2004 alza nessun alert
| piergiorgio.malusardi@microsoft.com |
Sicurezza della configurazioneVPN – buone pratiche
Si raccomando l’uso di L2TP su IPSec
Adottare password complesse e lunghe si può togliere Account lockout
Considerare la possibilità di forzare il SO usato sui client remoti
Usare le reti di quarantena
Usare autenticazione forte EAP-TLS o EAP-MS-CHAPv2
| piergiorgio.malusardi@microsoft.com |
Sicurezza della configurazioneLink traslation
ISA Server effettua la link traslation degli header HTTP anche se non abitata esplicitamente
Problema pubblicando un server Web con Any domain name come destinazione:
Un attaccante può usare header con contenuto maligno
Può essere fatto il poisonning dell’header della risposta inserendo un link al server dell’attaccante
Se messo in cache questo può essere inviato ad altri richiedenti
| piergiorgio.malusardi@microsoft.com |
Sicurezza della configurazioneLimite nelle connessioni
ISA 2004 limita il numero di connessioni simultanee consentite:
1000 connessioni per secondo per regola
160 connessioni simultanee per client (TCP e non-TCP)
Modificabili le connessioni per regola per UDP, ICMP e altri protocolli Raw IP
Quando si raggiunge il limite vengono negate altre connessioni
I limiti non si applicano a TCP
Impostare il valore minimo che non impatta sulle funzionalità richieste
| piergiorgio.malusardi@microsoft.com |
Demo: Limiti alle connessioniDemo: Limiti alle connessioni
| piergiorgio.malusardi@microsoft.com |
MonitoringBuone pratiche
I log consentono di controllare le attività di rete in essere e trascorse
Verificare con regolarità i log
Salvare i log su dischi NTFS diversi da quelli di sistema
Imporre restrizioni di accesso ai file di log
Se si usa SQL per i log
Usare Windows Authentication
IPSec per dialogo ISA 2004 – SQL Server
Se l’attività di log si interrompe attivare lockdown mode
Configurare gli alert perché notifichino gli amministratori
| piergiorgio.malusardi@microsoft.com |
Demo: Log e alertDemo: Log e alert
| piergiorgio.malusardi@microsoft.com |
Risorse
Documento di riferimento:http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/securityhardeningguide.mspx
Sicurezza di Windows Server 2003http://www.microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx
Sicurezza di Windows 2000 Serverhttp://www.microsoft.com/downloads/details.aspx?familyid=15E83186-A2C8-4C8F-A9D0-A0201F639A56&displaylang=en
| piergiorgio.malusardi@microsoft.com |
© 2003-2004 Microsoft Corporation. All rights reserved.This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.