Daniel Matey: ISA Server

:-)

Thu, 23 Nov 2006 06:46:41 GMT

Reinforcing Perimeter Defense

Mon, 30 Oct 2006 12:36:23 GMT

Recursos de webcasts y labs sobre seguridad.

http://www.microsoft.com/technet/security/learning/perimeterdefense/all/default.mspx

ya esta publicado la primera parte de mi articulo en ISAServer.org!!!!

Thu, 19 Oct 2006 15:15:16 GMT

http://www.isaserver.org/tutorials/ISA-Server-2006-Kitchen-Utensil-Part1.html

Ya soy feliz, en dos semanas publicaran la segunda parte que es mucho mas interesante y ya hemos hablado de mas articulos.

Basicos:Reglas de ISA Server.

Mon, 16 Oct 2006 17:14:47 GMT

Este articulo se puede encontrar en:

http://geeks.ms/blogs/dmatey/archive/2007/01/16/basicos-reglas-de-isa-server.aspx

Mas info sobre: ISA Server Network Protection: Protecting Against Floods and Attacks

Sat, 14 Oct 2006 10:09:04 GMT

http://www.microsoft.com/technet/isa/2006/flood_resiliency.mspx

ISATools

Sat, 14 Oct 2006 09:53:58 GMT

La web a cambiado, ahora es www.isatools.org .

Tiene nuevo aspecto y esta mejor organizada.

Que hacer cuando ISA 2004 pide la contraseña continuamente al usuario.

Thu, 05 Oct 2006 19:14:40 GMT

El equipo de ISA Server nos da una guia para tratar de solucionar este problema que desde luego es de los mas incomodos.

http://blogs.technet.com/isablog/archive/2006/10/05/Troubleshooting-Intermittent-Pop_2D00_up-Credentials-in-ISA-Server-2004-.aspx

Como publicar Outlook anywhere 2007 con ISA 2006

Wed, 04 Oct 2006 11:55:19 GMT

http://www.msexchange.org/tutorials/Outlook-Anywhere-2007-ISA-Server-2006.html

ISA Server y el 802.1Q

Wed, 04 Oct 2006 08:03:18 GMT

Articulo sobre el uso de 802.1Q en ISA, vlans e interfaces virtuales.

http://blogs.technet.com/isablog/archive/2006/10/04/802.1Q-and-ISA-Server.aspx

Acceder a sitios FTP en modo lectura y escritura

Tue, 03 Oct 2006 07:06:46 GMT

Por defecto en ISA, el acceso a sitios FTP es de solo lectura.

En el siguiente articulo, muestran como modificar esto:

http://blogs.technet.com/jhoward/archive/2006/10/02/FTP-servers-appear-read_2D00_only-in-ISA-Server-2004.aspx

Si!!!, Si!!! DCM Beta para ISA 2006

Tue, 26 Sep 2006 10:08:05 GMT

No tengo tiempo, demasiadas cosas, ¿por que hay que dormir?, ¿cuando transcenderemos nuestro cuerpo humano?.

http://www.microsoft.com/technet/technetmag/issues/2006/09/HighStandards/

Your Next Steps

The ISA Server baseline configuration available in the DCM Beta Configuration Manifest Program includes several thousand settings. So along with the DCM solution, I recommend that you examine your organization's current configuration management procedures to get the maximum benefit of the tools. Microsoft has a library of content on Configuration Management in its Microsoft Operations Framework (MOF) guidance. The DCM solution automates just part of these configuration management best practices.

As I'm writing this article, the SMS 2003 DCM solution is in the process of being updated to include new key functionality. The update will include desktop configuration monitoring capability and SQL Server functionality. Plans are to include CIs for both desktops and SQL Server, along with releasing the current DCM beta configuration items for Windows Server^®, Exchange Server, and ISA Server.

The update will also include a reduced set of predefined SMS 2003 reports for use without SQL Server Reporting Services. Finally, the user interface will add many new features to ease the creation of configuration items. The new user interface will provide a wizard-based experience for definition of simple rules, rule templates for key configuration attributes, and a table view of simple rules. The sum of these changes promises an improved user experience and reduced time to get up and running with the solution.

For further information about change and configuration management and configuration monitoring, you should look into all the resources highlighted in the "Online Resources" sidebar.

Why do I need a deny rule to make an allow rule for a custom protocol work correctly?

Tue, 26 Sep 2006 08:30:00 GMT

ahí dejo eso:

http://blogs.technet.com/isablog/archive/2006/09/25/458810.aspx

ISA Server 2006 en WSUS

Tue, 26 Sep 2006 08:27:01 GMT

New ISA product cateogory - no new updates available to WSUS for this category.....yet

There will be a new product category added to your WSUS server under the “Internet Security and Acceleration Server” family. The new category will be titled “Internet Security and Acceleration Server 2006”. The category will allow updates to be offered to “Internet Security and Acceleration Server 2006” product family. For now, updates that use these categories will not be available via WSUS.

Usando ISA para mitigar el problema del IE VML

Mon, 25 Sep 2006 09:17:36 GMT

http://blogs.technet.com/ms_schweiz_security_blog/archive/2006/09/23/458396.aspx

Guias de actualización a ISA 2006

Mon, 25 Sep 2006 09:12:27 GMT

Upgrading ISA Server 2004 Enterprise Edition to ISA Server 2006 Enterprise Edition

ISA Server 2006 Enterprise Edition supports the following upgrade paths from ISA Server 2004 Enterprise Edition:

In-Place Upgrade. With an in-place upgrade, you can upgrade your existing ISA Server 2004 computer to ISA Server 2006 on the existing array equipment. The ISA Server 2006 installation process detects a valid version of ISA Server 2004 and performs an upgrade installation.
Migration. With a migration, you can export your existing ISA Server 2004 configuration to a computer with a clean installation of ISA Server 2006.

An in-place upgrade requires these steps:

Export the configuration from the root node.
Uninstall the ISA Server 2004 Configuration Storage servers.
Install the ISA Server 2006 Configuration Storage servers.
Import the configuration to the new Configuration Storage servers.
Perform an in-place upgrade of array members.

Migration requires these steps:

Export the configuration from the root node.
Uninstall the ISA Server 2004 Configuration Storage servers.
Uninstall ISA Server from the arrays.
Install the ISA Server 2006 Configuration Storage servers.
Install ISA Server 2006 on the firewall arrays (keep the same array and server names).
Import the configuration to the new Configuration Storage servers.

Upgrade from ISA Server 2000 to ISA Server 2006 is not supported.

For additional information please see:

Sofa Fain

ISA Server Test Team

Management Pack para ISA 2006

Mon, 18 Sep 2006 09:13:25 GMT

http://www.microsoft.com/downloads/details.aspx?familyid=f6515332-e72f-4860-af02-983a95501452&displaylang=en

Accediendo a ISA desde Powershell

Mon, 11 Sep 2006 08:48:10 GMT

Tengo que hacer unas demos sobre ISA 2006 en una charla y aprovechando he investigado un poco y tras algunos intentos fallidos he logrado acceder a ISA desde Powershell:

$root= new-object -comobject FPC.Root

$isaArray=$root.GetContainingArray()

write-host "Estas conectado al array: " $isaArray.name

$rules=$isaArray.SystemPolicy.PolicyRules

foreach ($rule in $rules)
{
write-host $rule.name
}

Que tiene ISA 2006 que no tiene ISA 2004

Fri, 08 Sep 2006 08:34:12 GMT

Ø Certificate authentication + Kerberos Constrained Delegation. Think EAS & OWA with user certificate authentication.

Ø Authentication Delegation for Basic, NTLM and Kerberos. ISA 2004 only had Basic Delegation.

Ø Web farm publishing using cookie or IP affinity. Provides many advantages over NLB at the Exchange FE servers.

Ø Client-aware authentication. Finally; a single listener for *all* Exchange web publishing!

Ø Code-page-aware web publishing. When the client application provides this information (most do), ISA can deliver language-specific error and logon/logoff pages.

Ø LDAP authentication for web publishing was added.

Ø Enterprise & Array Global and rule-local link translation. Your arrays & rules can share link translation settings!

Ø Certificate quality

awareness (ISA 2004 SP2 has a *small* piece of this)

Ø Configuration Storage server connection via VPN tunnel (branch office scenario)

Ø Flood mitigation like no other. ISA 2006 can detect malware activity; not just “packet storms” (I know; I tested it!).

Ø The envy of their peers for having deployed the kewlest firewall/proxy on the planet (the galaxy is still being evaluated).

De: http://blogs.technet.com/isablog/archive/2006/09/07/454649.aspx

Desconfiar es de sabios (Probando ISA 2006)

Wed, 06 Sep 2006 17:49:17 GMT

En este articulo veremos como probar nuestro firewall con herramientas tipo nmap, tambien hablaremos de politicas para administrar los firewalls y buenas practicas, por supuesto veremos tambien la gestión de los ataques que hace el ISA y algunas novedades de ISA 2006.

Un firewall en realidad es un accesorio de cocina:

Mucha gente, cuando piensa en un firewall piensa en un muro llameante un muro solidó, que separa impertérrito mundos diferentes.

Sin embargo yo pienso en un colador, un colador cuyos agujeros son hechos con toda la buena intención de los administradores.

ISA Server por defecto deniega todo el trafico, normalmente la ultima regla que se procesa será un “Deny all”, que se encargara de ello.

Durante la vida de firewall en una empresa, las reglas irán sufriendo cambios, se crearan algunas de mas, se dejaran algunas que ya no hacen falta y esto es junto con una mala administración de parches, los mayores riesgos que podemos tener en un firewall.

Es aquí donde una correcta gestión de parches y de cambios es imprescindible para mantener los niveles de seguridad.

ISA Server provee de una estupenda herramienta de backup, que además tiene un formato interno basado en XML, es fácil comparar dos archivos buscando cambios, si se detecta un cambio, debería estar documentado y aprobado.

Es importante tener políticas para mantener las reglas, tales como la nomenclatura, la documentación que hay que generar con cada una, quien puede y quien no puede definir reglas y por supuesto cual puede ser el máximo ámbito de una regla, me parece terrible encontrarme la típica regla de “smtp, http, rdp y ftp para Todos” , las reglas tienen que ser mas granulares.

Me abstengo de hacer comentarios sobre la regla “Prueba todo para todos” que al final termina en producción en mas de un caso :-D

Estas mismas políticas se tienen que extender también a otros aspectos como los objetos que usaremos para crear las reglas, léase computers set, url sets, computers, etc, tienen que existir normas que obliguen a los administradores a usar una nomenclatura concreta y ha por ejemplo usar computer sets para los clusters y los arrays de balanceo en vez de meter individualmente cada nodo.

Bueno, ahora que ya he arreglado el mundo, vamos a lo importante a la chicha.

Las reglas de los firewalls están vivas, cambian, el servidor a su vez pasa por actualizaciones y sus consecuentes reinicios, esto hace que nuestra creencia de que nuestros firewalls están actuando como creemos puede ser errónea.

Todo administrador de firewalls tendría que saber usar herramientas como NMap, retina, etc para auditar sus firewalls.

Cada vez que cambiamos una regla, deberíamos usar un scanner de puertos como NMap para analizar nuestra superficie exterior.

Es muy fácil crear un script que lance nmap guardando la salida a un archivo y luego mande dicho archivo al administrador por correo, si ponemos este script a funcionar en una maquina en Internet fuera de nuestra red, podremos tener una visión constante de nuestra superficie.

Pero, si el administrador puede hacerlo, el hacker también, así que en lo que queda de articulo hablaremos de la reacción de ISA a estas cosas tan bonitas que son los port scanners.

Para este articulo contamos con un array de ISA 2006 Enterprise sobre Windows 2003 Estándar SP1, el array solo publica un servidor SMTP.

Como todos sabéis NMap es un scanner de puertos, diría yo que el mas usado, http://insecure.org/nmap/ a mi me gusta por la cantidad de modificadores que tiene y por permitir a través de algunos de ellos ocultar las acciones que estamos haciendo.

Tenéis el manual aquí http://www.nmap-tutorial.com/ e info sobre una de mis opciones preferidas aquí: http://insecure.org/nmap/idlescan.html

ISA Server 2006 añade algunas características interesantes que hacen que pueda detectar, evitar y reaccionar ante ataques de tipo DOS, DOS distribuidos o gusanos que se expandan por la red.

ISA Server permite detectar que le están escaneando y lanzar alertas y eventos para que sean vistos por el administrador, adicionalmente puede enviar correos, lanzar programas o arrancar/parar servicios.

Imaginaros que ante ciertos ataques lancéis un script que bloquee todo el trafico de esa IP, con el modelo de objetos de ISA Server, no es difícil hacerlo.

Vamos a lanzar un scan a la ip publica de nuestro ISA con las opciones basicas de nmap:

Isa Server denegara el trafico de los puertos que no estén abiertos para la IP desde la cual lanzamos el ataque.

También lanzara una alerta avisando de que una ip a excedido el limite configurado de conexiones denegadas (luego veremos donde se configura)

Para que ISA 2006 nos avise de que se ha producido un port scan tendremos que configurarlo, para ello abrimos la opción “Enable intrusion detection and DNS attack Detection”

Activamos la opción e indicamos con cuantos puertos queremos que nos avise.

Si lanzamos de nuevo el NMap, se producirá la alerta de detección de intrusión:

Y el consecuente evento, que en caso de tener MOM y el agente en el firewall, también seria detectado por el Management Pack de MOM.

A continuación modificaremos la alerta para que nos mande un correo cuando se produzca un evento de este tipo:

Desde la consola en la sección de monitoring y el tab de alerts entramos en “Configure Alerts”

Seleccionamos “intrusion detected” y luego el tab de Actions

Lanzamos el Nmap de nuevo y nos llegara un estupendo correo.

Tenemos alertas mas interesantes, por ejemplo la de los ataques de tipo SYN

Que por supuesto el ISA detecta sin problemas

Veamos ahora algunas novedades.

En ISA 2006 podemos denegar los paquetes que contengan ciertos tipos de opciones IP que son peligrosas.

También podemos bloquear directamente los paquetes fragmentados, aunque dada la forma en la que las maquinas Windows las manejan, no se yo si es muy interesante :-D

Otra opción mas es la de permitir que ISA trabaje con el enrutamiento de los paquetes en modo Kernel, esta opción mejora mucho el rendimiento si esta activada (por defecto lo esta).

Interesantes muy interesantes; son las opciones que tenemos dentro de “configure flood mitigation settings”

Por ejemplo lanzar un evento si el numero de paquetes denegados por una ip sobrepasa un limite

Además en todas las opciones de esta funcionalidad, podemos definir excepciones.

Como ejemplo vamos a limitar a 2 el numero máximo de sesiones TCP concurrentes que puede tener el puesto desde el que estamos lanzando el nmap.

Luego trataremos de abrir varias sesiones contra el smtp publicado, automáticamente obtendremos la alerta.

Conclusiones:

Probar vuestros firewalls siempre, no dejéis que se administren a la ligera, tener una buena gestión de cambios y unas políticas de administración sólidas, consolidar un sistema de auditoria continua seria un buen objetivo a medio plazo.

Notas para expertos en NMap,

Se sale del contexto del articulo mostrar todas las opciones de Nmap, pero si lo he probado, ack, sS, sI, sF, etc y la verdad es que ISA se ha comportado estupendamente dando poca información que ayude a diferenciar puertos abiertos de puertos filtrados, respecto a los zombies ha habido de todo, pero eso es otro historia :-D.

Mas info:

ISA Server Network Protection: Protecting Against Floods and Attacks

http://www.microsoft.com/technet/isa/2006/flood_resiliency.mspx

Cliente ISA Server

Wed, 06 Sep 2006 08:06:07 GMT

Cliente de 32 y 64 bits de ISA Server.

Valido para todas las versiones incluida 2006.

http://www.microsoft.com/downloads/details.aspx?FamilyID=45855498-66ba-43d3-a8f1-37837d380389&DisplayLang=en

Isa Server 2007 (me.Parto)

Tue, 05 Sep 2006 18:44:29 GMT

Isa server 2007 estara basado en la nueva pila de longhorn, saldra para finales del 2007.

Mejor administración con powershell y las capacidades de VPN adquiridas tras la compra de whale communications acompañadas de una mayor orientación a empresas grandes seran los pilares fuertes de la nueva versión.

Dios!!!! si he terminado ayer de poner 2006 en producción, no puede ser.

¿Alguien tiene la beta :-D?, es coña.

Instalando ISA Server 2006 como frontera externa.

Mon, 04 Sep 2006 12:16:55 GMT

Puedes leer este articulo en:

http://geeks.ms/blogs/dmatey/archive/2007/02/04/instalando-isa-server-2006-como-frontera-externa.aspx

Migrando a ISA 2006

Fri, 01 Sep 2006 11:29:01 GMT

Documento sobre la migración a ISA 2006

http://www.microsoft.com/technet/prodtechnol/isa/2006/upgrade_guide_se.mspx

¿por que ISA 2006?

Fri, 01 Sep 2006 10:36:01 GMT

Guias de evaluación

http://download.microsoft.com/download/1/C/6/1C6A42B2-79E6-4201-A8B2-73DC0DB8DD47/Evaluation_Guide.doc

http://download.microsoft.com/download/1/c/6/1c6a42b2-79e6-4201-a8b2-73dc0db8dd47/Evaluation_Guide_Walkthroughs.doc

Utilidades para ISA Server 2006

Fri, 01 Sep 2006 09:28:53 GMT

http://www.microsoft.com/downloads/Browse.aspx?NextOrPrevClause=1%7c-07%2f01%2f2006%2009%3a52%3a40.250&DisplayLang=en&productID=23E0C7B9-FEAA-4E02-9662-31B9BD4CDF8B&sortCriteria=date&sortOrder=descending&nr=20

Por ahora nada del management pack para mom.

Novedades sobre autenticación en ISA 2006

Fri, 01 Sep 2006 09:01:19 GMT

ISA Server 2006 provides the following new authentication features:

· Single sign on (SSO), in which a user authenticates once with ISA Server and can access any number of servers that are behind ISA Server, without reauthenticating.

· Two-factor authentication using forms-based authentication and a client certificate.

· Forms-based authentication support for publishing any Web server.

· Customizable forms for forms-based authentication and forms for mobile clients, and use of per-user-agent authentication schemes.

· Fallback from forms-based authentication to Basic authentication, for non-browser clients.

· Delegation of credentials by using NTLM or Kerberos authentication.

· Kerberos constrained delegation.

· Credentials caching.

· Password management, in which ISA Server can check the status of the user's account and report it to the user. This feature can also be configured to enable users to change their passwords.

· Secure Sockets Layer (SSL) client certificate constraints.

· Ability to assign a different digital certificate to each IP address on a network adapter.

· A new type of forms-based authentication: User name passcode/password, where the passcode is used for ISA Server authentication and the password is used for authentication delegation.

· Support for Active Directory® directory service authentication using the Lightweight Directory Access Protocol (LDAP), allowing Active Directory authentication when ISA Server is in a workgroup, or in a forest other than the one that contains the accounts of the user. ISA Server also supports multi-forest configurations, in which the user can be authenticated on a different set of LDAP servers.

· One-time password support for Remote Authentication Dial-In User Service (RADIUS). In ISA Server 2004, this support was provided for RSA SecurID only.

· Default blocking of authentication delegation.

Mas en:http://www.microsoft.com/technet/prodtechnol/isa/2006/authentication.mspx

Ya esta aqui, ya llego!! ISA 2006

Fri, 01 Sep 2006 08:30:36 GMT

ISA Server 2006 RTM ya esta disponinible para descargar desde licensing.

Haz mas seguros tus isa server

Tue, 22 Aug 2006 07:25:33 GMT

Guia para mejorar la seguridad de los servidores antes de instalar ISA Server.

http://download.microsoft.com/download/9/1/8/918ed...

WPAD en ISA 2006

Mon, 21 Aug 2006 08:02:51 GMT

Haz que tus usuarios descubran automaticamente los proxys.

Es cierto que puedes asignar el proxy por GPO, pero de esta forma cualquier PC que use DCHP tendra el proxy conifgurado.

Podras ademas mejorar el rendimiento, ya que el uso del script, hace que el CARP se use mejor que si simplemente pones como proxy la dirección del balanceo de carga.

http://www.microsoft.com/technet/prodtechnol/isa/2...

ISA 2006 ¿cuando?

Mon, 21 Aug 2006 07:46:34 GMT

En la lista de precios el 1 de Septiembre, en la technet plus en unos dias.

ISA 2004 ya es antiguo :-D