FACULDADE DE TECNOLOGIA OSWALDO CRUZ – FATEC Mantenedora Pró-Técnica Paulista S/C LTDA Curso Superior de Tecnologia em Redes Operacionais TRABALHO ISA SERVER Redes Operacionais – 4º Módulo Leandro Marques Douglas Alexandre Jadilson Santos Wagner Chamas Rondineli Saad São Paulo 2005
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Redes Privadas interconectadas de forma segura através de uma rede pública
(internet), ou seja, de qualquer lugar do mundo o usuário pode se conectar a rede
corporativa utilizando todos os recursos presentes na rede. O ISA Server estende o
serviço de VPN presente no Windows 2000 e 2003 Server, protegendo com os
recursos de firewall, permitindo uma comunicação segura que podem ser baseado em
dois protocolos de enfunilamento o PPTP (implementação mais simples) e o L2TP
(baseado na infra-estrutura de chave pública e por isso é considerado ainda mais
seguro). Para a encriptação dos pacotes o protocolo MPPE e utilizado em conjunto
com o PPTP e o IPSec é utilizado em conjunto com o L2TP.
Abaixo segue o layout da implementação do recurso VPN usando o ISA Server:
9
Túnel VPN
Host Remoto
ISA
2.4 - Web Caching
Para um sensível acréscimo de performance e otimização da banda da Internet
disponível, o ISA Server disponibiliza um robusto sistema de cache de objetos HTTP
e FTP. O cache é disponibilizado em memória que minimiza o uso de disco e
aumenta a performance geral de cache, sendo 20% mais rápido que o Proxy Server.
Sites onde o acesso é constante o download pode ser agendado para um maior
desempenho.
2.4.1 - Foward Caching
10
Possibilita que seja armazenado o conteúdo do site que foi visitado para que um
outro usuário possa utilizá-lo sem a necessidade de se fazer o download novamente.
Sendo os objetos entregues pelo ISA Server diretamente para o próximo usuário
solicitante.
2.5 - Monitoramento
Alertas podem ser configuradas no ISA Server, onde a ação de envio de mensagens
de correio eletrônico, execução de arquivos e registro em log do sistema, podem ser
disparados quando determinados eventos ocorrerem no ISA. Entre os eventos
suportados estão: Tentativa de invasão; parada de serviços; falha do cache e ações de
filtros.
Os seguintes recursos no ISA Server são encontrados:
• Dashboard - Visão centralizada do status do Firewall: Tempo, Dadosconsolidados, Fácil de detectar problemas.
• Alerts – Um único local para todos os problemas: Histórico dos alertas,Gerência dos alertas, Serveridade e categoria.
• Sessions – Vizualiza sessões ativas: Mecanismo poderoso de consultas,Sessões VPN, Possibilidade de desconectar uma sessão.
• Services – Status do ISA e serviços dependentes: Parar e iniciar os serviços• Reports - Conjunto completo de relatórios de atividade Relatórios periódicos,
Notificação por e-mail, Publicação dos relatórios.• Conectividade – Monitora conectividade aos serviços críticos: Tipos de
requisição, Tempo de resposta & limites para alerta, Agrupamento.• Logs e Histórico – Visualizar o tráfego passando pelo ISA: Modo “tempo
real”, Histórico, Mecanismo poderoso de consulta.
2.6 - Logs
Registra todo o tráfego que passa pelo firewall e pelo Web Proxy. Os logs podem ser
customizados, podendo ser selecionados os campos mais destacáveis e pela
freqüência dos registros.
2.7 - Registros
11
O ISA Server suporta a criação de relatórios, sendo estes gerados pela coleta da
informação de tráfegos que passam pelo servidor. Os dados que geralmente geram o
registro são: dados sobre o uso de web caching; usuários que mais utilizam a internet;
protocolos mais usados; sites mais acessados e outros parâmetros.
3 - Concorrentes OpenSources do ISA Server
Para implementar todos os recursos que são encontrados no ISA Server utilizando o
Opensource, deveremos utilizar ferramentas autônomas que gerarão resultados
parecidos com os encontrados no ISA Server. Abaixo estão à relação de recursos
utilizados no mundo opensource:
• Sniffer – A maioria das distribuições opensources por padrão traz sniffers
poderosos como tcpdump, ngrep, sendo estes utilizados em modo console.
Para o modo gráfico podemos destacar o Ethereal, Netpeek, Netdude e
Etherape.
• Análise de vulnerabilidade – Alguns programas são utilizados para analisar
portas abertas que podem danificar a rede, problema no SMTP, Backdoors,
Denial of Services e outros. O Nessus é um programa utilizado tanto no modo
console quanto no gráfico para exibir vulnerabilidades encontradas na rede. O
Nessus exibe os resultados em um relatório que pode ser gerado por
vulnerabilidades especificas que foi solicitada pelo Administrador.
• Firewall – Para a proteção contra invasões na rede é utilizado o firewall
IPTables que utiliza o modo Pacote Stateful , onde o host X ao requisitar o
uso da porta X com o host Y, ao receber a resposta o host Y não precisa fazer
uma outra requisição pois o caminho já foi decorado pelo Firewall.
• IDS – Para a identificação de intrusão é utilizada o SNORT uma ferramentaopen-source poderosa de IDS, que trabalha com uma base de assinaturas de
12
ataques em vários sistemas operacionais e serviços entre quais podemosdestacar: IIS, SQL Server, Trojans (Subseven, BO2K, NetBus).
• Controle de Conteúdo e Web Caching - Para o controle de lista negra,Controle temporizado, Controle por usuário, grupo e ou máquina, Definindoconteúdo em específico, Relatório legível das atividades (html), Controle debanda por usuário Cache de página para todos os usuários é utilizado o proxySquid.
• VPN - Permitir controle de acesso, integridade, confiabilidade,confidencialidade e autenticação no nível de rede através de criptografiaforte.usando IPSEC padrão aberto proposto pelo IETF, suporte a X.509certificate e compatibilidade com outros produtos de VPN (Win/2k/CheckPoint/ Cisco) Solução de segurança fim-a-fim entre roteadores, firewalls,estações de trabalho e servidores. Implementação em Linux com custoinferior a qualquer solução similar em outra plataforma. A ferramenta maispopular para VPN na comunidade Linux é o projeto FreeSwan Kernel 2.4 ouKame Kernel 2.6.
• Gerenciamento e Monitoramento – Para o gerenciamento dos servidoresque serão implantados no modelo de rede Opensource, será utilizado oWebmin, que via http, usando o protocolo SSL gera uma tela administrativacom todos os servidores existentes na rede. Para o Monitoramento da redeutilizaremos o software Netsaint e o Nagios que gera relatórios de erros e logsdos servidores.
4 - Simulação de Caso
Imagine uma empresa de médio porte que deseja fazer um projeto de criação dedomínio, Servidor de e-mail e integrar a rede de sua filial do Rio de Janeiro com suamatriz em São Paulo. No escopo do projeto foi definido que será necessário:
• Servidor DNS Primário e um Secundário;• Servidor de Correio e Webmail com criptografia;• Servidor Web para páginas dinâmicas (com ftp);• Sistema de Detecção de Intrusos ;• Firewalls;• VPN com a Filial.
4.1 - Situações Atual
13
RIO SAO
Modem ADSL Modem ADSL
Internet Internet
4.2 - Ferramentas de Segurança para o Projeto
• Ferramentas para análises de vulnerabilidades _• Controle de Conteúdo da Web _• Sistemas de IDS _• Firewall _• VPN _• Monitoramento de Redes _• Sniffers _• Scanners _• Criptografia _• NAT
14
4.3 - Solução com ISA Server
Rede Demilitarizada
E-mail DNS Rede Interna
Proxy Aplicativos
Rede Interna
Proxy Aplicativos
Recursos
Win2k3VPN
FirewallIDS
ProxyLogsNAT
Internet
ISAISA
SAO RIO
15
4.4 - Solução com Software Livre
Rede Demilitarizada
E-mail DNS Rede Interna
Proxy Aplicativos
Rede Interna
Proxy Aplicativos
Recursos
LinuxVPN
FirewallIDS
ProxyGateway
LogsNAT
Internet
SAO RIO
16
4. 5 - Solução com Ambos formando um modelo Back-to-Back
ISA
Acesso VPN
Rede Demilitarizada
E-mail DNS
Rede Interna
Proxy Aplicativos
IPTables
5 - Conclusão
O ISA Server é uma completa solução para o gerenciamento da segurança e acesso
web em redes corporativas, recursos como firewall integrado, suporte a VPN,
detecção de intrusões (IDS), Servidor Cache Corporativo, Servidor NAT(N:1) e NAT
(1:1); possibilidade de extensão para a solução acompanhar a evolução da empresa,
17
faz o ISA Server uma solução recomendada para satisfazer a necessidade que
surgirem com o acesso a Internet. Contudo os recursos Opensources não deixa a
desejar, pois tem aplicativos que mantem a integridade da segurança na rede, porém
para implantar todos os recursos é necessário um conjunto de aplicativos
independentes e se preocupar em manter todos estes programas funcionais, senão a
falha no sistema se torna catastrófica.
6 – Bibliografia
MELO, Sandro. Implementando Projetos de Segurança de Redes usando