none
Publicacion segura de servicios MS a traves de internet RRS feed

  • Pregunta

  • Estimados,

    Tengo la siguiente inquietud. Necesito publicar y proteger de la mejor forma los servicios webs tales como OWA, SharePoint Server e inclusive Outlook Anywhere a traves de internet. La duda respecto a esto es que en mi situacion poseo doble capa de seguridad, es decir, poseo un firewall de borde (internet) ,un firewall interno (lan) y entre estos se situa mi DMZ. Dentro de mi LAN poseo en el segmento de servidores (Exchange Server 2007, MOSS, AD,DNS,otros) , los cuales deberian estar securizados por un firewall.
    Es por esto que tengo una duda respecto a la ubicacion estratégica que sugiere Microsoft en sus mejores practicas o consejos,

    Estaba pensando que :

    - Firewall Servidores Microsoft  : ISA Server
    - Firewall LAN : Mantener el actual
    - Firewall Borde : Mantener el actual

    No he visto muchas pautas de implementacion de ISA Server sobre un escenario de firewall perimetral "back-to-back". No me parece sugerente exponer un ISA como firewall de borde.

    He leido que para publicacion segura de OWA y otros WebApps, es posible implementar un proxy-reverse de ISA ubicado en la DMZ para poder acceder a un servicio seguro de la LAN.

    ¿ Algunas ideas, mejores practicas, consideraciones, links??

    Saludos,

    Sebastian V.

    sábado, 16 de agosto de 2008 21:47

Respuestas

  • Sebastian,

     

    Mi experiencia concreta con los ISA como firewall de borde es que resiste muy bien los ataques. Cuando chequeo esto con un IDS de por medio, los ataques son constantes sin embargo dada la caracteristicas avanzada en el manejo de lo "que se abre" al exterior es muy reducida, simplemente estos ataques son descartadas.

     

    Tiene funciones avanzadas como el autobloqueo de IP que puedan estar intentando ataques y autoproteccion contra ataques de denegacion de servicio basados en ciertos umbrales que lo hacen bastante robusto. Ademas que tiene las propiedades de "avisar" ante cualquier falla, hacen de este un sistema que no necesita mayor monitoreo (una vez que esta robustecido y con todo el tunning efectuado).

     

    ¿Como te pueden botar un ISA de borde? Practicamente con fallas humanas, ya sea con Virus locales, porque se publico mal una regla y quedaron puertos abiertos demas, o por malas practicas como dejar publicado el servio de terminal server hacia el propio firewall, en definitiva por falta de experiencia en configuracion y el no seguir las buenas practicas.

     

     

    En todo caso buenas recomendaciones para el ISA de borde son:

     

    - Securizar el sistema operativo

    - Usar antivirus

    - Hacer un fine tunning partiendo del sistema operativo, como el que explico aca: http://forefrontmvp.spaces.live.com/blog/cns!5FBBE24B93F73F55!148.entry

    - Usar un IPS delante

    - Aplicar reglas de filtrado de proteccion contra ataques de DDOS para el router que se encuentre delante, y en lo posible, aplicar reglas de filtrado

    - En lo posible usar NLB para distribuir las cargas, para lo cual debes usar la version empresarial, en un diseño basado en 2 ISA+CSS y 1 CSS adicional de backup (CSS=Configuration Storage Server)

    - Hacer un buen sizing: http://technet.microsoft.com/en-us/library/cc302518.aspx#PerformanceTuningGuidlines

    - Usa IP ROUTING para mejorar el rendimiento

    - Desactiva todos los filtros que no ocupes

    - Programa test de penetracion

    - Diseña el plan de contingencia (Ejemplo te puedes quedar sin servicio porque se daño un disco duro...)

    - Programa los bakups como parte del plan de recuperacion.

     

    Y finalmente esta atento a las nuevas versiones (Forefront TMG) donde vendran los reemplazdos de ISA 2006 e ISA IAG (Qur por cierto es muy bueno, pero no se vende como HW en nuestro país...)

     

    sábado, 23 de agosto de 2008 20:43

Todas las respuestas

  • Sebastian,

     

    Muy interesante tu inquietud.

    Para ser sincero la mayoria de las instalaciones que he visto el firewall de borde es un firewall de tipo filtrados de paquete de alto rendimiento, llamase cisco, nokia, etc. Lo unico que hacen es dejar pasar o restringir paquetes pero no analisan nada a nivel de capa 7.

     

    Detras de esto esta ISA Server como controlador de funciones VPN, publicacion de servidores, salida a intenet usando las funciones de proxy/cache y arriba de él algun add-inn tipo filtrados de sitios web o algun antivirus.

     

    Dentro de todo lo que he visto, ISA es lo mas potente como publicacion de aplicaciones ya que tienes caracteristica como las publicaciones de OWA, y sharepoint que traen embedidos todo el know how de los desarrolladores de dicho producto por lo tanto si que sepas mucho te ayudan a publicar un sitio de la forma mas precisa y segura que pueda haber, evitando por ejemplo publicar un sitio completo (tipico que se publica el puerto 80 completo) sino solo las carpetas requeridas por el sistema.

     

    Hay que considerar las funciones que tiene de proteccion contra ataques a sitios web microsoft que vienen incoporadas y las funciones de IDS que ayudan a prevenir ataques.

     

    Si a eso le sumo otras gracias como las de SSO Web para portales Microsoft o los formularios embedidos que por ejemplo agregan la funcion de cambio de contraseña, pasan a ser un must-to-have.

     

    En cuanto a ser firewall de borde, lo he implementando muchas veces asi, y nunca he visto uno "apoderado". Esto ya que ISA se autoprotege en relacion al sistema operativo y tiene funciones como el lockdown mode en donde aunque esten abajos los servicios, se blinda.

     

    La arquitectura tipica es colocar un firewall ISA de borde separando LAN de WAN obviamente usando ademas NAT.

    En la DMZ dejas los servidoresexpuestos a internet. Luego colocas otros firewall para separar la DMZ de otra zona donde dejas los servidores de bases de datos que se conecten a los front-end que estan en la DMZ. De esta manera colocas otra capa mas contra servidores de este tipo.

     

    Ahora todos estos diseños no son nada si por ejemplo los servidores no estan monitoreados (Ejemplo como SCOM) y ademas actualizaciados (Por ejemplo como SCCM o WSUS). Por ultimo puedes tener una excelente configuracion de red y con un pendrive transmitir un virus, por ende un buen antivirus como Forefront Client Securty ayuda mucho.

     

    Finalmente las politicas de seguridad es una norma por defecto que debe ir en cualquier caso para lo cual puedes usar los sercurity configuration wizzard o bien las guias de securizacion:

     

    http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en

     

    Esta es la guia de securizacion para Windows 2003. Refiere a la seccion de bastion.

     

    Saludos,

    Emerson Gonzalez

    Forefront MVP

    https://forefrontmvp.spaces.live.com

     

     

     

    sábado, 23 de agosto de 2008 3:27
  • Emerson,

     

    Para publicacion segura de aplicaciones Microsoft, lejos ISA Server nos entrega todo lo adecuado y preciso para esta mision; es mas, como el ejemplo que diste de la publicacion del puerto 80 no es completa, es solo lo que es necesario publicar y asi evitamos que puedan acceder a contenidos desde el exterior.

    Mi unica duda o mas bien inquietud personal es el tema de colocar o no a ISA Server como Firewall de Borde, teniendo en cuenta mi arquitectura de seguridad. Hasta este momento mis firewalls se han portado bastante bien en mi empresa y en otras que asesoro, contando con filtrado de red y aplicacion + IDS/IPS en el perimetro, por ende analizandolo he pensado publicar para LAN a través de un ISA Server para el bastion de Servidores pero para Internet creo yo que seria necesario colocarlo como firewall de LAN y como borde el que tenemos actualmente, quien es que se lleva el "choque" de los ataques internet. Probare con una ISA Server en firewall de LAN, no se si tienen sugerencias o recomendaciones adicionales al respecto.

     

    Saludos,

     

    Sebastian V.

     

    sábado, 23 de agosto de 2008 14:00
  • Sebastian,

     

    Mi experiencia concreta con los ISA como firewall de borde es que resiste muy bien los ataques. Cuando chequeo esto con un IDS de por medio, los ataques son constantes sin embargo dada la caracteristicas avanzada en el manejo de lo "que se abre" al exterior es muy reducida, simplemente estos ataques son descartadas.

     

    Tiene funciones avanzadas como el autobloqueo de IP que puedan estar intentando ataques y autoproteccion contra ataques de denegacion de servicio basados en ciertos umbrales que lo hacen bastante robusto. Ademas que tiene las propiedades de "avisar" ante cualquier falla, hacen de este un sistema que no necesita mayor monitoreo (una vez que esta robustecido y con todo el tunning efectuado).

     

    ¿Como te pueden botar un ISA de borde? Practicamente con fallas humanas, ya sea con Virus locales, porque se publico mal una regla y quedaron puertos abiertos demas, o por malas practicas como dejar publicado el servio de terminal server hacia el propio firewall, en definitiva por falta de experiencia en configuracion y el no seguir las buenas practicas.

     

     

    En todo caso buenas recomendaciones para el ISA de borde son:

     

    - Securizar el sistema operativo

    - Usar antivirus

    - Hacer un fine tunning partiendo del sistema operativo, como el que explico aca: http://forefrontmvp.spaces.live.com/blog/cns!5FBBE24B93F73F55!148.entry

    - Usar un IPS delante

    - Aplicar reglas de filtrado de proteccion contra ataques de DDOS para el router que se encuentre delante, y en lo posible, aplicar reglas de filtrado

    - En lo posible usar NLB para distribuir las cargas, para lo cual debes usar la version empresarial, en un diseño basado en 2 ISA+CSS y 1 CSS adicional de backup (CSS=Configuration Storage Server)

    - Hacer un buen sizing: http://technet.microsoft.com/en-us/library/cc302518.aspx#PerformanceTuningGuidlines

    - Usa IP ROUTING para mejorar el rendimiento

    - Desactiva todos los filtros que no ocupes

    - Programa test de penetracion

    - Diseña el plan de contingencia (Ejemplo te puedes quedar sin servicio porque se daño un disco duro...)

    - Programa los bakups como parte del plan de recuperacion.

     

    Y finalmente esta atento a las nuevas versiones (Forefront TMG) donde vendran los reemplazdos de ISA 2006 e ISA IAG (Qur por cierto es muy bueno, pero no se vende como HW en nuestro país...)

     

    sábado, 23 de agosto de 2008 20:43
  • Emerson,

    Me queda mas claro el tema. Realizaré un laboratorio aca de ISA Server para ver como se comporta en escenarios de trabajo, probar el funcionamiento del firewall en si, junto con ello testing de vulnerabilidades y ataques orientados a este firewall

    Gracias por todo

    Saludos, Sebastian
    lunes, 25 de agosto de 2008 14:27