Mise en oeuvre de réseaux privés virtuels (VPN) avec ISA Server 2004 : principes et bénéfices Frédéric Esnouf Consultant, MVP ISA PI Services Stanislas Quastana, CISSP Architecte Infrastructure Microsoft.

Download Report

Transcript Mise en oeuvre de réseaux privés virtuels (VPN) avec ISA Server 2004 : principes et bénéfices Frédéric Esnouf Consultant, MVP ISA PI Services Stanislas Quastana, CISSP Architecte Infrastructure Microsoft.

Mise en oeuvre de réseaux
privés virtuels (VPN) avec ISA
Server 2004 : principes et
bénéfices
Frédéric Esnouf
Consultant, MVP ISA
PI Services
Stanislas Quastana, CISSP
Architecte Infrastructure
Microsoft
Agenda
Introduction
Présentation d’ISA Server 2004
VPN site à site
VPN nomade
Gestion de la quarantaine
Synthèse
Ressources utiles
Questions / Réponses
Introduction
VPN : définitions
VPN : Virtual Private Network
RPV : Réseau Privé Virtuel
Le VPN nomade : Permet à des utilisateurs
connectés depuis un réseau publique (ex:
Internet) de se connecter à leur réseau
d’entreprise de manière sécurisée.
Le VPN site à site : permet d’interconnecter
plusieurs réseaux locaux privés au travers d’un
réseau publique non sécurisé (ex: Internet)
Augmentation des risques avec le
développement de la mobilité
Développement du marché des PC portables et du nombre
de systèmes non administrés dans les réseaux l’entreprise
Postes personnels mais connectés sur le réseau de l’entreprise
Postes des intervenants externes
Points d’accès Wi-fi non déclarés
Ordinateur portables qui ne sont pas à jour (du fait de leur
mobilité) au niveau de correctifs de sécurité,
signature anti-virale…
Connexion à des réseaux tiers « inconnus »
(hot spot wifi, clients, partenaires…)
Accès VPN nomades, réseaux sans fils
Défense en profondeur
Défenses du périmètre
Défenses du réseau
Défenses des machines
Défenses des applications
Données et Ressources
Sécurité physique
Politiques de sécurité
L’accès à une couche
inférieure nécessite de passer
au préalable par
les couches supérieures.
Tous les éléments
constituant la sécurité de la
plateforme sont ainsi répartis
au sein de cette approche par
couche
La gestion des accès aux
réseaux fait partie des
premières couches de
protection d’une infrastructure
Les pare-feu sont un
élément de protection du
périmètre et du réseau
Présentation d’ISA Server 2004
ISA Server 2004 en quelques mots
►2ème
génération de pare-feu de Microsoft
►Pare-feu multicouches (3,4 et 7)
►Capacité de filtrage extensible
►Proxy applicatif
►Nouvelle architecture
►Intégration des fonctionnalités de VPN
Modèle réseau ISA Server 2004
Nombre de réseaux illimité
Type d’accès NAT/Routage
spécifique à chaque
réseau
Les réseaux VPN sont
considérés comme des
réseaux à part entière
La machine ISA est
considéré comme un
réseau (LocalHost)
Stratégie de filtrage par
réseau
Filtrage de paquet sur
toutes les interfaces
Internet
VPN
VPN
Quarantaine
Local Area
Network
DMZ_1
CorpNet_n
ISA 2004
DMZ_n
CorpNet_1
Toutes topologies / stratégies
Scénarios de mise en œuvre d’ISA
Server 2004
Pare feu de périmètre
Multi réseaux
DMZ
Protection des applications et réseaux internes
Passerelle de filtrage applicatif
Serveurs Web
Serveurs de messagerie
Protection des réseaux internes
Accès sécurisé et optimisé à Internet
Stratégies d’accès
Cache Web
Réseaux multi sites
Sécurisation sites distants
Intégration du VPN
IPSec en mode Tunnel
Les versions d’ISA Server 2004
Édition Standard
Inclus toutes les
fonctionnalités de :
Pare-feu (niveaux
3,4,7)
Passerelle VPN
Proxy cache
sur un même serveur
Disponible depuis Mai
2004
1 licence par processeur
physique
Également disponible
sous la forme
d’appliance
Édition Entreprise
Ajoute la haute
disponibilité et la tolérance
de panne
Ajoute la capacité à
monter en charge en
utilisant plusieurs serveurs
(groupes)
Ajoute l’administration
centralisée au niveau
entreprise
Disponible depuis Mars
2005
1 licence par processeur
physique
SBS 2003
Le Service
Pack 1 de
Windows 2003
Small
Business
Server 2003
met à jour les
version
Premium avec
ISA Server
2004 SP1
Disponible
depuis Mai
2005
Disponible en appliance
RimApp ROADBLOCK Firewall
http://www.rimapp.com/roadblock.htm
HP ProLiant DL320 Firewall/VPN/Cache Server
http://h18004.www1.hp.com/products/servers/software/
microsoft/ISAserver/index.html
Network Engines NS Appliances
http://www.networkengines.com/sol/nsapplianceseries.a
spx
Celestix Application-Layer Firewall, VPN and
Caching Appliance
http://www.celestix.com/products/isa/index.htm
Pyramid Computer ValueServer Security 2004
http://www.pyramid.de/e/produkte/server/isa_2004.php
►
Avantis ISAwall
http://www.avantisworld.com/02_securityappliances.asp
►
Corrent
http://www.corrent.com/Products/products_sr225.html
VPN site à site
VPN de site à site - principe
Interconnecter des sites distants (ex: une agence
et la maison mère) au travers d’un réseau
publique via un tunnel sécurisé
Pour les utilisateurs, les réseaux distants sont
vus comme une extension du réseau local
Site A
Internet
VPN Tunnel
Site B
ISA 2004 - VPN site à site
Les sites distants sont gérés comme des objets réseau
par ISA 2004
Par défaut : aucune relation (routage ou NAT) n’est
établie avec les autres réseaux
Stratégie par défaut : refuser tout le trafic (sécurisé par
défaut)
Utilisation et amélioration de Windows RRAS
Configuration dans l’interface d’administration d’ISA
Server 2004
VPN site à site et tolérance de panne
NLB
X
Internet
VIP: 10.0.0.1
VIP: 20.0.0.1
Site 1
VIP: 192.167.0.1
X
VIP: 192.168.0.1
Avec 2 groupes de serveurs ISA 2004 Entreprise Edition
NLB
Site 2
ISA 2004 – VPN site à site
ISA Server 2004 propose 3 protocoles VPN pour établir des
tunnels entre 2 sites :
Point-to-Point Tunneling Protocol (PPTP)
Layer Two Tunneling Protocol (L2TP) over Internet Protocol
security (IPSec)
Internet Protocol security (IPSec) en mode tunnel : permet
l’interconnexion avec des solutions tierces
Support de NAT-T avec Windows Server 2003
Interopérabilité
Avec le support de IPSec en mode tunnel, il est
désormais possible d’interconnecter ISA Server
2004 avec des passerelles VPN tierces comme :
Cisco Pix & VPN Concentrator
Des machines Linux
Check Point Software VPN-1 Gateway
Jupiner Netscreen
Nortel Contivity
…
ISA Server 2004 a été certifié par le VPN
Consortium (www.vpnc.org) pour l’interopérabilité
basique.
Liens utiles sur les VPN site à site
ISA 2004 & VPN guidance
http://www.microsoft.com/isaserver/techinfo/guidance/2004/vpn.asp
Creating IPSec Tunnel Mode Site to Site VPNs with ISA Server 2004 Firewalls
http://www.isaserver.org/tutorials/2004ipsectunnelmode.html
How-To Configuring IPSec Tunnel Mode VPN Between ISA Server 2004 and
Cisco Pix v6.3.1
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/ipsectunnelmodevpn
.mspx
How to Configuring IPSec Tunnel Mode VPN Between ISA Server 2004 and
SmoothWall Express 2.0
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/ipsecvpnexpress.ms
px
How to Configuring IPSec Site-to-Site Connections Between ISA Server 2004
and Third-Party Gateways
http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/sitetositeipsec.mspx
Establishing an IPSec site-to-site tunnel between an ISA 2004 Firewall and a DLink DI-804HV IPSec VPN Router
http://www.isaserver.org/articles/2004isadlink.html
Démonstration
VPN nomade
VPN nomade - principe
Permettre à des utilisateurs connectés sur un
réseau publique (ex: Internet) de se connecter à
leur réseau d’entreprise de manière sécurisée.
Internet
Internal company
network
VPN tunnel
ISA 2004 – VPN Nomade
détails
Basé sur RRAS de Windows 2000/2003
Le client VPN est celui fourni en standard sur les systèmes
d’exploitation Windows.
Possibilité de créer un kit de connexion plus élaboré avec le CMAK
(Connection Manager Administration Kit) fourni dans Windows
2000/2003.
Protocoles supportés:
L2TP/IPSec
PPTP
Authentification sur la passerelle ou via un serveur RADIUS
Support des méthodes d’authentification EAP (Smart cards,
SecureID …)
Support du NAT-T de Windows Server 2003
ISA 2004 – VPN Nomade
ISA 2004 est configuré par défaut avec un objet réseau “VPN
Client”
Il contient tous les clients VPN connectés (construit dynamiquement)
Par défaut, ce réseau est routé avec les réseaux internes et NATé avec
les réseaux externes
Par défaut, la règle de pare-feu active est : Refuser tout trafic (Sécurisé
par défaut)
Les stratégies d’accès se font par utilisateur ou groupe d’utilisateurs 
possibilité d’avoir différents types de profils d’utilisateur avec des règles
d’accès distinctes
Configuration de l’accès distant directement dans la console
d’administration ISA 2004
Sécuriser les connexions VPN nomades
(1/2)
Exiger une authentification forte à 2 voire 3 facteurs
Ce que je sais : mot de passe, code PIN
Ce que je possède : SmartCard, jeton, calculette…
Ce que je suis : reconnaissance biométrique
Augmenter le niveau de chiffrement des
communications
3DES
AES
Journaliser, surveiller et analyser l’activité des
utilisateurs connectés en VPN
Sécuriser les connexions VPN nomades
(2/2)
Vérifier lors de la connexion la conformité
du poste client VPN:
Mécanisme d’analyse
Mise en quarantaine
Limiter les accès autorisés pour les sessions VPN
Seules les ressources nécessaires sont accessibles
L’ensemble du réseau interne ne devrait pas être accessible
Utiliser du filtrage applicatif pour analyser les
communications à destination des ressources internes.
Possibilité de faire de l’analyse antivirale
Filtrage des flux RPC, http, FTP, SMTP, CIFS, DNS…
Gestion de la quarantaine avec
ISA Server 2004
Les attaques viennent aussi de l’interne
Étude et
statistiques
sur la
sinistralité
informatique
en France
(2002)
Les connexions distantes peuvent
également compromettre la sécurité
Le même exemple de propagation d’un ver comme Blaster
ou Sasser au travers d’un VPN nomade
Dimanche
Lundi
Jour
JourJ+1
J de
de
l’infection
Internet
Réseau de l’entreprise
N
VP
l
e
nn Passerelle VPN
u
T
VPN et quarantaine avec ISA 2004
Dc1-fr.isa-paradise.net
Réseau Client VPN
@IP = 10.0.0.10
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
Certificate server
Internet Authentication Services (Radius)
192.168.1.1
LAN VPC 1
10.0.0.1
LAN VPC 2
plage : 192.168.1.x/24
ex
Conn
PN
ion V
plage : 10.0.0.x/24
ISA2004STD-fr.isa-paradise.net
10.0.1.1
Réseau Client VPN en quarantaine
Exch2k3-fr.isa-paradise.net
@IP = 10.0.0.11
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
Station-XP1.isa-paradise.net
@IP = 192.168.1.11
Masque : 255.255.255.0
Anciennement:
192.168.103.20
Passerelle : 192.168.103.1
DNS : 10.0.0.10
Exchange 2003
Outlook Web Access 2003
Radius
Quarantaine – étape par étape
Client :connexion
ISA 2004: l’utilisateur est connecté au réseau ‘VPN Quarantaine’
Client :Exécute le script d’analyse de configuration
Oui
Non
Client: Conforme?
Demande de dé quarantaine
ISA2004: déplace connexion dans ‘VPN clients’
L’utilisateur est informé
qu’il est refusé
Se connecter en VPN à ISA 2004
Utiliser un profil CMAK
Installation simple
(package de connexion)
Spécifie tous les points
d’accès RAS
Mise à jour automatique
Script d’analyse
‘PostConnect’
Outil de création CMAK
fourni dans Windows 2003
Mise en œuvre - Dé Quarantaine
Composant de mise en Quarantaine coté
serveur est commun à toutes les entreprises.
Politique de ‘Dé Quarantaine’
spécifique à chaque entreprise.
4 visions et utilisations de la quarantaine
Les outils fournis par Microsoft
Ce que fait Microsoft en interne (ITG)
Avanade VPN Quarantine Solution
Frédéric Esnouf Quarantine Security Suite
1- RQC et RQS : les outils Microsoft
CLIENT RAS
ISA 2004
· Lance un profil CMAC
· Lance le script d’analyse
(PostConnect)
· Détermine si le poste est
sécurisé
· Execute RQC.exe qui
notifie RQS
· Possède le
composant RQS
· RQS retire la session
de la quarantaine
RQC DeQuarantaine 
Utiliser RQS et RQC d’ISA 2004, pas ceux
de Ressource Kit Windows 2003
Remote Access Quarantine Tool for ISA Server 2004
http://www.microsoft.com/downloads/details.aspx?FamilyId=3396C852-717F-4B2E-AB4D1C44356CE37A&displaylang=en
RQS
Démonstration CMAK,RQC,RQS
Station-xp1.isa-paradise.net
@IP = 192.168.1.10
Masque = 255.255.255.0
Dc1-fr.isa-paradise.net
CMAK
+Script
+RQC.EXE
Tu
n
LAN VPC 1 « Internet »
plage : 192.168.1.x/24
ne
@IP = 10.0.0.10
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
lV
PN
192.168.1.1
Certificate server
Radius
10.0.0.1
LAN VPC 2
plage : 10.0.0.x/24
ISA2004STD-fr.isa-paradise.net
(Serveur VPN Nomade)
RQS.EXE
VPN Quarantine Sample Scripts for Verifying Client Health Configurations
Sample scripts for validating remote client machine configuration in a VPN quarantine network.
http://www.microsoft.com/downloads/details.aspx?FamilyID=a290f2ee-0b55-491e-bc4c8161671b2462&displaylang=en
2- Microsoft IT Secure Remote User
Prise en compte de la télédistribution à
l’intérieur de l’outil.
Interface utilisateur personnalisée
Utilisé par tous les employées Microsoft
3- Avanade Quarantine Solution
Disponible sous la forme de prestation de service
Prototype disponible en téléchargement
http://www.avanade.com/_uploaded/pdf/solution/vpnquarantineprototype1.zip
Informations complémentaires
http://www.avanade.com/solutions/section.aspx?id=8&parentID=2
4- Quarantine Security Suite
© Frédéric ESNOUF, MVP ISA
Quarantine Security Suite (QSS)
Historique du produit
QSS V1.0 : Réalisation d’un prototype afin de
découvrir les API RRAS et approfondir la notion de
quarantaine
Avril 2003
Lancement de Windows 2003
QSS V2/FP1 : Adaptation du produit pour ISA 2004.
Première version publiée sur Internet.
9/2004 : QSS cité sur le livre de Thomas SHINDER.
Mai 2004
Lancement de ISA 2004 STD
QSS V 3 : Nombreuses modifications pour
couvrir les besoins d’un grand nombre
d’entreprises
Mai 2005
Lancement de ISA 2004 EE
QSS : 2 axes majeurs de développement
Les utilisateurs nomades finaux
 Interface du produit de quarantaine très
visuelle et personnalisable
Les équipes sécurité et réseau
 Mise à disposition d’un outil simplifiant la mise
en œuvre et la gestion de la quarantaine VPN
Augmenter la sécurité du réseau
sans pénaliser les utilisateurs
QSS : Architecture produit
Architecture Client / Serveur
Sur chaque machine cliente : QSS Security Client (SC)
Interaction avec l’utilisateur : l’informer dans sa langue!
Analyser le poste : envoi au serveur pour approbation
Mise en conformité : « dicté » par QSS AS (politique sécurité)
Sur chaque VPN ISA 2004 : QSS Approval Server (AS)
Approbation : accepter ou refuser une demande
Si non conforme : laisser en quarantaine et « télé corriger » les
problèmes via le QSS Security Client
Si conforme : retirer l’utilisateur de la quarantaine (ISA)
Centralise les mises à jour de la politique de sécurité
Quarantaine avec QSS – étape par étape
Connecté mais filtré !
Réseau Client VPN
QSS
AS
REPONSE
Internet
CONFIG
QSS
SC
LAN VPC 2
ISA2004STD-fr.isa-paradise.net
Réseau Client VPN en quarantaine
Utilisateur distant
Utilisateur distant
(quarantaine)
Utilisateur distant
(HORS quarantaine)
plage : 10.0.0.x/24
QSS Client - multi langue et « skinable »
SC apparaît lorsque le VPN est actif (pas de CMAK) .
SC ‘Skinable’ et multi langue
Utilisateur informé étape par étape ?
QSS Server – définition & mise à jour de
la politique de sécurité
Quels éléments peuvent être contrôlés ?
Antivirus activé et à jour
Version du fichier de signature
Programmes présents en mémoire
Microsoft Antispyware (*)
Pare feu de Windows XP = ON
Partage de connexion Internet (ICS) = OFF
Version de système d’exploitation
Correctifs de sécurité
Cette liste sera enrichie avec les demandes des clients
Pour chaque contrôle, 2 ensembles de paramètres :
Les éléments à tester
L’action correctrice à déclencher en cas d’échec du test
Mise en conformité du poste de travail
‘Skinable’ également !
Démonstration QSS
Station-xp1.isa-paradise.net
@IP = 192.168.1.10
Masque = 255.255.255.0
Dc1-fr.isa-paradise.net
Security
Client (SC)
Tu
n
LAN VPC 1 « Internet »
plage : 192.168.1.x/24
ne
@IP = 10.0.0.10
Masque = 255.255.255.0
GW =10.0.0.1
DNS = 10.0.0.10
lV
PN
192.168.1.1
Certificate server
Radius
10.0.0.1
LAN VPC 2
ISA2004STD-fr.isa-paradise.net
(Serveur VPN Nomade)
Approval Server (AS)
plage : 10.0.0.x/24
QSS : Comment le tester ou l’acquérir?
QSS gratuit (5 connexions maximum)
Téléchargeable sur www.esnouf.net
QSS Entreprise (>5 connexions simultanées)
Mode de licence : nombre de connexions simultanées
Exclusivement via des partenaires
En France : PI Services (www.PIServices.fr)
QSS pour Appliance ISA
Pré installé (OEM)
Aujourd’hui : RimApp (www.rimapp.com)
4- Synthèse
En résumé
ISA Server 2004 intègre la gestion des réseaux VPN
VPN sites à site, VPN nomade, intégration dans l’interface d’administration,
unification des règles de pare-feu, outils de surveillance unifiés
Intéropérabilité, authentification et filtrage applicatif
Capacité à l’intégrer dans des environnements réseaux hétérogènes (support
de IPSec en mode tunnel). Support de multiples méthodes d’authentification
(dont Radius). Statefull inspection et filtrage applicatif sur toutes les connexions
Mise en quarantaine des postes connectés en VPN
Utilisation des outils fournis par Microsoft, développement possible d’une
solution personnalisée à votre entreprise, utilisation d’un complément tiers
comme Quarantine Security Suite (QSS)
Ressources utiles
Site Web Microsoft
www.microsoft.com/isaserver
www.microsoft.com/france/isa
Webcast et séminaires TechNet (Gratuits)
Sites externes
www.isaserver.org
www.isaserverfr.org
isatools.org
www.esnouf.net (QSS)
Newsgroup français
Microsoft.public.fr.isaserver
Kits de déploiement
Blogs
Blogs.msdn.com/squasta
Kits d’évaluation ISA Server
Version d’évaluation (120 jours)
CD (livres blancs et guide déploiement)
Questions / Réponses
Microsoft France
18, avenue du Québec
91 957 Courtaboeuf Cedex
PI Services
1 - 3 rue du Rempart
93160 Noisy-Le-Grand
www.microsoft.com/france
www.piservices.fr
0 825 827 829
01 55 85 08 80
[email protected]
[email protected]