Preview Tecnico de la nueva Gelneración de ISA Server

José Parada GimenoIng. Preventa Sector Público

jparada@microsoft.com

Agenda

Visión General de ForefrontPropuesta de Valor de TMGFuncionalidades

Gestión y DespliegueMejora del FirewallProtección del cliente WebProtección SMTPIntrusion Prevention System

DEMOS- Varios paseos por el Producto

Integración de Seguridad e Identidad Integración de la oferta de

Seguridad e Identidad para ayudar a los clientes con:

S e c u r e & I n t e r o p e r a b l e P l a t f o r m

Aumentar la productividad

Protección Mejorada

Menor TCO

Mejorar la Visibilidad

Gestiónt & Visibilidad

Respuesta Dinámica

Network EdgeServer ApplicationsClient and Server OS vNextSistema de Seguridad

Integrada

Seguridad Perimetral Forefront

Protección comprensible e integrada de las

amenazas de Internet

Hoy Mañana

Plataforma Unificada para todas las

necesidades de acceso remoto corporativas

Protecciónde Red

Acceso a la Red

Los productos de seguridad y acceso de perimietro proporcionan protecicón mejorada y acceso a la infraestructura IT corporativa centrada en las aplicaciones y basada en políticas

Propuesta de Valor de TMGPolítica de Control de Acceso a la Red en el Perímetro (Firewall)Proteger Usuarios de las amenazas de la navegación WEB (Protección del ciente Web)Proteger usuarios de las amenzas del E-mail (Protección del correo)Proteger servidores y puestos contra intentos de Intrusión (NIPS)Permitir el acceso remoto a la red corporativa (VPN, Publicación Web Segura)Gestión Simplificada(Despliegue)

Comprensible Integrado Simplificado

Nuevas funcionalidades de TMG

• VoIP traversal (SIP)

• NAT Mejorado• Redundancia de la conexión al ISP

Firewall

• HTTP Anti-virus/spyware

• Filtrado URL• Inspección HTTPS

Acceso Web Seguro

• Integración Exchange Edge/FSE

• Anti-Virus• Anti-spam

Proteción de E-mail

• Network Inspection System (NIS)

• Análisis y Respuesta de Seguridad

Prevención contra Intrusión

• Integración de NAP con las VPN

• SSTP

Acceso Remoto

• Gestión de cluster• UI basada en

Escenarios y Asistentes

• Seguimiento de cambios

• Informes Mejorados • W2K8, 64-bit nativosDespliegue y Gestión

• Update Center :• HTTP: AV+URL Filtering

• Email: AV+Anti-Spam

• Firmas NIS Servicios de Suscripción

Escenarios de Despliegue TMG

•Solu

ción to

do e

n u

no p

ara

PYM

ES y

oficin

as

rem

ota

s•

Firew

all, P

roxy, V

PN

, IPS, re

lay E

mail e

n u

n so

lo

equip

o

Gestión Unificada de

Amenazas (UTM)•

Prox

y d

e A

ute

ntició

n co

n se

gurid

ad

•W

eb A

nti V

irus y

Filtrado d

e U

RL

•In

specció

n d

e tra

fico H

TTP y

HTTPS

Gateway de Navegación Web

Seguro

•D

ial-in

VPN

•V

PN

sitio a

sitio•

Publica

ción W

EB

seguraGateway de

Acceso Remoto

•A

nti S

pam

•A

nti V

irus

•Filtra

do d

e E

mail

Relay de Email Seguro

Gestión y DespliegueQue hay de nuevo en los Despliegues?

Interface de Usuario – Basado en TareasAsistente InicialCentro de ActualizacionesSoporte para Arrays

Windows Server® 2008/R2 y 64-bitSoportado en entornos Virtuales

Testeado en Hyper-VModelo de Despliegue VHDTrabajando con Partners para incorporarlo en «appliance»

Asistente Inicial

José Maria Alonso Cebrián

demo

Mejoras del FirewallFiltrado SIP

Soporte para PBX IPProtección de cuota en los mensajes SIPSoporte a los SIP trunk

Redundancia ISPSoporte mejorado para NAT (ENAT)

Soporte a la publicación de servidores SMTP

Firewall Client actualizadoAuto-Descubrimiento Seguro utilizando el Directorio Activo

Protección del Cliente WebAsistente de Acceos WebInspección de Malware

Escaneo de ficheros que se descarganConfiguración de Inspección por Regla

Filtrado de URLConjunto de categorias y exclusiones de URLFuncionalidad Post Beta 2

Inspección HTTPSFiltrado de URL, escaneo de malware y protección IPSNotificaciones al usuario a traves del Cliente Firewall

Funcionamiento de la Inspeción del Malware

`

Proxy Engine

EMP Scanner

Funcionamiento de la Inspección HTTPS

Contoso.com

SIGNED BY TMG

Internet

Contoso.com

SIGNED BY

VERISIGN

• Generación(/importación y personalización de certificados Proxy

• Lista de Exclusiones (Opcion solo de Validación)

• Soporte para Logging• Integración del asistente para

Acceso

Opciones de Despliegue (via Group Policy o via Exportación)

Notificaciones a Usuarios sobre la inspección HTTPS (via Firewall Client)

Validación de Certificados (Revocación, Confianza, Expiración, validation, ..)

Inspeción trafico salida HTTPS

Nuevos Informes

Acceso Web Seguro

Chema Alonso

demo

Protección SMTPCaracterísticas completas para higiene SMTPIntegrado con Forefront Security for Exchange

Proporciona escaneo SMTP multimotorAnti-malwareAnti-spamAnti-phishing

También soporta Servidores SMTP genéricosRequiere de la compra de licencia de Exchange y CALs

Funcionamieto del trafico

Paquete de Entrada

TMG Filter Driver

Connector de recepción

Exchange Edge

Conectro de envio Exchange

Edge

Paquete de Salida

Filtro Spam

Motor AV

Componente FSS

Componentes de Exchange Edge

TMG

Protección SMTP

Chema

demo

Intrusion Prevention SystemForefront Network Inspection System (NIS)

Firmas basadas en VulnerabilidadesBasado en el GAPA de Microsoft Research

Generic Application-Level Protocol Analyzerhttp://research.microsoft.com/pubs/70223/tr-2005-133.pdf

Un framework y una plataforma para parseo de protocolo de bajo nivel seguro y rápidoPermite la creacion de reglas basadas en parseo para chequeo y aplicación de condiciones específicas

Análisis y Respuestas de Seguridad (Security assessment and response-SAS)

Modelo basado en el comportamiento

Firmas de Vulnerabilidades vs. ExploitLa Historia de Code Red

• Vulnerabilidad : Buffer overflow en la extensión ISAPI de IISIndex Server in Microsoft® Windows NT® Server 4.0 and Indexing Service in Windows® 2000 Server. Microsoft saco una actualización de seguridad para Internet Information Services (IIS) que arreglaba el agujero de seguridad el 18 de Junio de 2001. Pero no todo el mundo actualizo sus servidores....

• Code Red es un Gusano que salió a Internet el 13 e Julio de 2001Firma del Exploit

GET/default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3 %u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0 Los IPS sacaron las firmas que detectaban el Exploit específico

• Code Red II es un gusano similar al Code Red original. Sale dos semanas después del primero, el 4 de Agosto de 2001Firma del Exploit

GET/default.ida?XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0

• ConclusiónLas firmas basadas en Exploits son reactivas y raras veces sirven para detectar las variaciones del exploit original.

Firma de Vulnerabilidades

Ejemplo Code RedLa Firma basada en la vulnerabilidad es:

El Protocolo es HTTPEl campo de la solicitud es un GETEl Path empieza con /default.ida? La Longitud es mayor de X caracteres

Usando NIS como IPS

Detectar y prevenir intentos de ataques basados en Vulnerabilidades conocidas en el Edge y HostCierra la ventana de vulnerabilidad que se necesita para testeo y despliegue de parches:

Los parches pueden ser testeados mas concienzudamenteConfirmación del cliente (similar a las actualizaciones del AV)

EncontrarVulnerabilidad

Equipo de Autorización de Firma

TMG

Host IPS

Host /WO IPS

Host IPS

Arquitectura NISTiempo de Diseño (MS response)

GAPAL (Lenguaje NIS )

Compilador &

Herramientas

Tiempo de Ejecución(TMG)

Parseo del Protocol

Firmas

Agente Host

IPS Snapshot

Microsoft Update

Intercepción de Red

Motor NIS

IPS Snapshot

Portal & Telemetri

a

NIS (GAPA)

El Chema

demo

Roadmap

H1 2009

Client andServer OS

ServerApplications

Network Edge

IntegratedSecurity System

NEW

NEX

TN

EXT

NEWBETA 1

H1 2008 Q4 2009

NEX

T

BETA 1

BETA 1

BETA 1

BETA 2

BETA 2

BETA 2

BETA 2

H1 2010

NEX

T

Recursos Técnicos

Documentación TMGhttp://technet.microsoft.com/en-us/library/cc441438.aspx

Blog de Equipo de producto Forefronthttp://blogs.technet.com/forefront/default.aspx

Blog Equipo de producto Forefront TMG (ISA Server)

http://blogs.technet.com/isablog/default.aspx

Resumen

Testear o Desplegar la Betahttp://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=e05aecbc-d0eb-4e0f-a5db-8f236995bccd

Es algo mas que una nueva gnenración de ISA: Solución completa para la gestion de amenazasEscanea, detecta y mitiga las amenazas de Malware

Llamada a la Acción