Recursos de webcasts y labs sobre seguridad.

 

 

 

 

Ya soy feliz, en dos semanas publicaran la segunda parte que es mucho mas interesante y ya hemos hablado de mas articulos.

 

 

 

 

 

La web a cambiado, ahora es www.isatools.org .

Tiene nuevo aspecto y esta mejor organizada.

El equipo de ISA Server nos da una guia para tratar de solucionar este problema que desde luego es de los mas incomodos.

 

 

Articulo sobre el uso de 802.1Q en ISA, vlans e interfaces virtuales.

 

 

Por defecto en ISA, el acceso a sitios FTP es de solo lectura.

En el siguiente articulo, muestran como modificar esto:

 

No tengo tiempo, demasiadas cosas, ¿por que hay que dormir?, ¿cuando transcenderemos nuestro cuerpo humano?.

 

Your Next Steps

The ISA Server baseline configuration available in the DCM Beta Configuration Manifest Program includes several thousand settings. So along with the DCM solution, I recommend that you examine your organization's current configuration management procedures to get the maximum benefit of the tools. Microsoft has a library of content on Configuration Management in its Microsoft Operations Framework (MOF) guidance. The DCM solution automates just part of these configuration management best practices.

As I'm writing this article, the SMS 2003 DCM solution is in the process of being updated to include new key functionality. The update will include desktop configuration monitoring capability and SQL Server functionality. Plans are to include CIs for both desktops and SQL Server, along with releasing the current DCM beta configuration items for Windows Server^®, Exchange Server, and ISA Server.

The update will also include a reduced set of predefined SMS 2003 reports for use without SQL Server Reporting Services. Finally, the user interface will add many new features to ease the creation of configuration items. The new user interface will provide a wizard-based experience for definition of simple rules, rule templates for key configuration attributes, and a table view of simple rules. The sum of these changes promises an improved user experience and reduced time to get up and running with the solution.

For further information about change and configuration management and configuration monitoring, you should look into all the resources highlighted in the "Online Resources" sidebar.

ahí dejo eso:

 

New ISA product cateogory - no new updates available to WSUS for this category.....yet

Upgrading ISA Server 2004 Enterprise Edition to ISA Server 2006 Enterprise Edition

ISA Server 2006 Enterprise Edition supports the following upgrade paths from ISA Server 2004 Enterprise Edition:

 

• In-Place Upgrade. With an in-place upgrade, you can upgrade your existing ISA Server 2004 computer to ISA Server 2006 on the existing array equipment. The ISA Server 2006 installation process detects a valid version of ISA Server 2004 and performs an upgrade installation.
• Migration. With a migration, you can export your existing ISA Server 2004 configuration to a computer with a clean installation of ISA Server 2006.

 

An in-place upgrade requires these steps:

• Export the configuration from the root node.
• Uninstall the ISA Server 2004 Configuration Storage servers.
• Install the ISA Server 2006 Configuration Storage servers.
• Import the configuration to the new Configuration Storage servers.
• Perform an in-place upgrade of array members.

 

Migration requires these steps:

• Export the configuration from the root node.
• Uninstall the ISA Server 2004 Configuration Storage servers.
• Uninstall ISA Server from the arrays.
• Install the ISA Server 2006 Configuration Storage servers.
• Install ISA Server 2006 on the firewall arrays (keep the same array and server names).
• Import the configuration to the new Configuration Storage servers.

 

Upgrade from ISA Server 2000 to ISA Server 2006 is not supported.

 

For additional information please see:

• Upgrade Guide for ISA Server 2006 Standard Edition
• Upgrade Guide for ISA Server 2006 Enterprise Edition

 

Sofa Fain

ISA Server Test Team

Tengo que hacer unas demos sobre ISA 2006 en una charla y aprovechando he investigado un poco y tras algunos intentos fallidos he logrado acceder a ISA desde Powershell:

 

$root= new-object -comobject FPC.Root

$isaArray=$root.GetContainingArray()

write-host "Estas conectado al array: "  $isaArray.name

$rules=$isaArray.SystemPolicy.PolicyRules

foreach ($rule in $rules)
{
    write-host $rule.name
}

Ø       Certificate authentication + Kerberos Constrained Delegation.  Think EAS & OWA with user certificate authentication.

Ø       Authentication Delegation for Basic, NTLM and Kerberos.  ISA 2004 only had Basic Delegation.

Ø       Web farm publishing using cookie or IP affinity. Provides many advantages over NLB at the Exchange  FE servers.

Ø       Client-aware authentication.  Finally; a single listener for *all* Exchange  web publishing!

Ø       Code-page-aware web publishing.  When the client application provides this information (most do), ISA can deliver language-specific error and logon/logoff pages.

Ø       LDAP authentication for web publishing was added. 

Ø       Enterprise & Array Global and rule-local link translation.  Your arrays & rules can share link  translation settings!

Ø       Certificate quality

 awareness (ISA 2004 SP2 has a *small* piece of this)

Ø       Configuration Storage server  connection via VPN tunnel (branch office scenario)

Ø       Flood mitigation like no other.  ISA 2006 can detect malware activity; not just “packet storms” (I know; I tested it!).

Ø       The envy of their peers for having deployed the kewlest firewall/proxy on the planet (the galaxy is still being evaluated). 

    En este articulo veremos como probar nuestro firewall con herramientas tipo nmap, tambien hablaremos de politicas para administrar los firewalls y buenas practicas, por supuesto veremos tambien la gestión de los ataques que hace el ISA y algunas novedades de ISA 2006. 

Un firewall en realidad es un accesorio de cocina:

    Mucha gente, cuando piensa en un firewall piensa en un muro llameante un muro solidó, que separa impertérrito mundos diferentes.

     Sin embargo yo pienso en un colador, un colador cuyos agujeros son hechos con toda la buena intención de los administradores.

     ISA Server por defecto deniega todo el trafico, normalmente la ultima regla que se procesa será un “Deny all”, que se encargara de ello.

     Durante la vida de firewall en una empresa, las reglas irán sufriendo cambios, se crearan algunas de mas, se dejaran algunas que ya no hacen falta y esto es junto con una mala administración de parches, los mayores riesgos que podemos tener en un firewall.

     Es aquí donde una correcta gestión de parches y de cambios es imprescindible para mantener los niveles de seguridad.

       ISA Server provee de una estupenda herramienta de backup, que además tiene un formato interno basado en XML, es fácil comparar dos archivos buscando cambios, si se detecta un cambio, debería estar documentado y aprobado.

     Es importante tener políticas para mantener las reglas, tales como la nomenclatura, la documentación que hay que generar con cada una, quien puede y quien no puede definir reglas y por supuesto cual puede ser el máximo ámbito de una regla, me parece terrible encontrarme la típica regla de “smtp, http, rdp y ftp para Todos” , las reglas tienen que ser mas granulares.

      Me abstengo de hacer comentarios sobre la regla “Prueba todo para todos” que al final termina en producción en mas de un caso :-D

      Estas mismas políticas se tienen que extender también a otros aspectos como los objetos que usaremos para crear las reglas, léase computers set, url sets, computers, etc, tienen que existir normas que obliguen a los administradores a usar una nomenclatura concreta y ha por ejemplo usar computer sets para los clusters y los arrays de balanceo en vez de meter individualmente cada nodo.

      Bueno, ahora que ya he arreglado el mundo, vamos a lo importante a la chicha.

      Las reglas de los firewalls están vivas, cambian, el servidor a su vez pasa por actualizaciones y sus consecuentes reinicios, esto hace que nuestra creencia de que nuestros firewalls están actuando como creemos puede ser errónea.

      Todo administrador de firewalls tendría que saber usar herramientas como NMap, retina, etc para auditar sus firewalls.

       Cada vez que cambiamos una regla, deberíamos usar un scanner de puertos como NMap para analizar nuestra superficie exterior.

       Es muy fácil crear un script que lance nmap guardando la salida a un archivo y luego mande dicho archivo al administrador por correo, si ponemos este script a funcionar en una maquina en Internet fuera de nuestra red, podremos tener una visión constante de nuestra superficie.

       Pero, si el administrador puede hacerlo, el hacker también, así que en lo que queda de articulo hablaremos de la reacción de ISA a estas cosas tan bonitas que son los port scanners.

       Para este articulo contamos con un array de ISA 2006 Enterprise sobre Windows 2003 Estándar SP1, el array solo publica un servidor SMTP.

       Como todos sabéis NMap es un scanner de puertos, diría yo que el mas usado, http://insecure.org/nmap/ a mi me gusta por la cantidad de modificadores que tiene y por permitir a través de algunos de ellos ocultar las acciones que estamos haciendo.

              Tenéis el manual aquí http://www.nmap-tutorial.com/ e info sobre una de mis opciones preferidas aquí: http://insecure.org/nmap/idlescan.html

         ISA Server 2006 añade algunas características interesantes que hacen que pueda detectar, evitar y reaccionar ante ataques de tipo DOS, DOS distribuidos o gusanos que se expandan por la red.

         ISA Server permite detectar que le están escaneando y lanzar alertas y eventos para que sean vistos por el administrador, adicionalmente puede enviar correos, lanzar programas o arrancar/parar servicios.

         Imaginaros que ante ciertos ataques lancéis un script que bloquee todo el trafico de esa IP, con el modelo de objetos de ISA Server, no es difícil hacerlo.

 Vamos a lanzar un scan a la ip publica de nuestro ISA con las opciones basicas de nmap:

 

 Isa Server denegara el trafico de los puertos que no estén abiertos para la IP desde la cual lanzamos el ataque.

 

 También lanzara una alerta avisando de que una ip a excedido el limite configurado de conexiones denegadas (luego veremos donde se configura)

 

 Para que ISA 2006 nos avise de que se ha producido un port scan tendremos que configurarlo, para ello abrimos la opción “Enable intrusion detection and DNS attack Detection”

 

 Activamos la opción e indicamos con cuantos puertos queremos que nos avise.

 Si lanzamos de nuevo el NMap, se producirá la alerta de detección de intrusión:

 

 Y el consecuente evento, que en caso de tener MOM y el agente en el firewall, también seria detectado por el Management Pack de MOM.

 

 A continuación modificaremos la alerta para que nos mande un correo cuando se produzca un evento de este tipo:

 Desde la consola en la sección de monitoring y el tab de alerts entramos en “Configure Alerts”

 

 Seleccionamos “intrusion detected” y luego el tab de Actions

 

Lanzamos el Nmap de nuevo y nos llegara un estupendo correo.

 

 Tenemos alertas mas interesantes, por ejemplo la de los ataques de tipo SYN

 

 Que por supuesto el ISA detecta sin problemas

 

 Veamos ahora algunas novedades.

 En ISA 2006 podemos denegar los paquetes que contengan ciertos tipos de opciones IP que son peligrosas.

 

 También podemos bloquear directamente los paquetes fragmentados, aunque dada la forma en la que las maquinas Windows las manejan, no se yo si es muy interesante :-D

 

 Otra opción mas es la de permitir que ISA trabaje con el enrutamiento de los paquetes en modo Kernel, esta opción mejora mucho el rendimiento si esta activada (por defecto lo esta).

 

 Interesantes muy interesantes; son las opciones que tenemos dentro de “configure flood mitigation settings”

 

 Por ejemplo lanzar un evento si el numero de paquetes denegados por una ip sobrepasa un limite

 

 Además en todas las opciones de esta funcionalidad, podemos definir excepciones.

 Como ejemplo vamos a limitar a 2 el numero máximo de sesiones TCP concurrentes que puede tener el puesto desde el que estamos lanzando el nmap.

 

 

 Luego trataremos de abrir varias sesiones contra el smtp publicado, automáticamente obtendremos la alerta.

 

 Conclusiones:

 Probar vuestros firewalls siempre, no dejéis que se administren a la ligera, tener una buena gestión de cambios y unas políticas de administración sólidas, consolidar un sistema de auditoria continua seria un buen objetivo a medio plazo.

Notas para expertos en NMap,

Se sale del contexto del articulo mostrar todas las opciones de Nmap, pero si lo he probado, ack, sS, sI, sF, etc y la verdad es que ISA se ha comportado estupendamente dando poca información que ayude a diferenciar puertos abiertos de puertos filtrados, respecto a los zombies ha habido de todo, pero eso es otro historia :-D.

 Mas info:

 ISA Server Network Protection: Protecting Against Floods and Attacks

http://www.microsoft.com/technet/isa/2006/flood_resiliency.mspx

Cliente de 32 y 64 bits de ISA Server.

Valido para todas las versiones incluida 2006.