Les informations présentes sur ce post sont fournies en l’état et n’engagent que ma personne et non Microsoft.

Je viens de tomber sur un post intéressant sur le blog de Tom Barley :
Don't Dupe ISAServer.org or Tom Shinder!  http://blogs.technet.com/accessdenied/archive/2006/02/08/419074.aspx

Dans ce post (que je vous encourage à lire), Tom nous relate que Bluecoat a acheté un lien publicataire dans la newsletter de ISAServer.org (site dédié à isa server et géré par Tom Shinder qui est des experts mondiaux sur ISA Server).

Ce lien publicitaire pointe sur une webcast (http://www.bluecoat.com/downloads/isawebcast.wmv) de 9 minutes dans laquelle le présentateur explique les menaces actuelles, la nécessité de disposer d'équipements adéquats pour se protéger.... Le meilleur arrive une slide expliquant les limitations de ISA Server.

Extrait :

“Where Microsoft ISA Falls Short

1- General-purpose server running Windows OS
- Ongoing security vulnerabilities

2- No visibility into SSL traffic
- Mandatory as encrypted traffic and threats increase

3- No ability to manage P2P, IM, Multimedia
- Major cause of security and performance issues

4- Limited policy controls
- Need granular controls for IT/business aligment

5- Performance capabilities are limited
- "Blue Coat significantly outperformed ISA" - BB testing 2005”

Le message final étant :

– Move from ISA to BlueCoat
– Move from Websense to BlueCoat


Tom Shinder n'ayant pas vu au préalable le contenu de cette webcast, il a tenu à réagir sur ce contenu. Sa réaction est visible ici : http://spaces.msn.com/drisa/blog/cns!BC3213176E0489FD!445.entry?_c=BlogPart

Je vais maintenant à mon tour entrer dans le débat et reprendre les différents arguments de cette webcast de Bluecoat :

1- General-purpose server running Windows OS
- Ongoing security vulnerabilities

Il est clair qu'en tant que produit Microsoft, ISA Server fonctionne sous Windows et non un Unix/linux/BSD ou autre OS. Maintenant cela ne signifie pas que le pare-feu est une passoire :-)

Dans les faits :

a- Tous les systèmes d'exploitations sont à maintenir à jour et tous ont des vulnérabilités qui sont découvertes. Un pare-feu/proxy est un système à surveiller et à maintenir à jour (ce qui au passage est assez simple sous Windows avec les différents outils disponibles comme Microsoft Update, WSUS...)

b- Certaines vulnerabilités Windows sont exploitées via une connexion réseau hors, par défaut, ISA Server 2004 va filtrer les communications réseaux sur l'ensemble des interfaces réseaux (les flux autorisés sont définis dans la stratégie système) ce qui limite fortement la surface d'exploitation et donc l'utilisation d'un exploit.

c- d'autres vulnérabilités sont exploitables via la manipulation et la tromperie de l'utilisateur au travers d'outils tels que le navigateur (IE), la messagerie (Outlook...) ou la messagerie instantanée (MSN Messenger...). Ce type d'utilisation n'a pas lieu d'être sur un serveur pare-feu (ou alors, c'est de l'inconscience)

a+b+c = il n'y a pas plus de chance de compromettre un firewall sous Windows qu'un pare-feu fonctionnant sur un autre système sous la condition que ce type d'équipement soit correctement administré.

et pour terminer sur ce point, je souhaire juste rappeler que depuis son lancement, ISA Server 2004 n'a eu aucune alerte/faille de sécurité, ce qui n'est pas le cas des produits de Bluecoat.

Cf. le site de Secunia par exemple :

Bluecoat        --> http://secunia.com/search/?search=bluecoat
ISA Server 2004 --> http://secunia.com/product/3687/

 

2- No visibility into SSL traffic
- Mandatory as encrypted traffic and threats increase

ISA Server sait inspecter depuis la version 2000 les flux SSL pour les publications (reverse-proxy) de serveur Web

Publication de serveurs Web à l'aide de Microsoft ISA Server 2004
http://download.microsoft.com/download/2/8/a/28a4d21a-2a56-49f8-a0f9-8dfd96668575/Publication%20de%20serveurs%20Web%20%C3%A0%20l'aide%20de%20Microsoft%20ISA%20Server%202004.doc

Concernant les flux sortant SSL, effectivement ISA ne fait pas de déchiffrement des flux sortants ce qui est très bien pour la raison suivante —> SSL a été conçu pour répondre à 2 besoins :
- Assurer la confidentialité entre 2 machines. Par exemple : quand je me connecte sur le site web de ma banque, j'établie une connexion SSL qui me garantie que l'ensemble des informations échangées entre ma banque et mon poste reste chiffrées et donc illisibles par toute personne ou application sur le réseau.
- Garantir l'intégrité de l'identité du serveur sur lequel on se connecte : on est certain de bien être connecté au serveur que l'on pense. Par exemple : en double cliquant sur le cadenas dans mon navigateur, je peux visualiser le certificat du serveur de ma banque et donc être certain que je suis sur le site de ma banque et non pas sur un site de Phishing

Donc déchiffrer le SSL en sortie au niveau du proxy/firewall est donc quelque part une atteinte à la raison d'être du SSL : si l'équipement (proxy, firewall) se met en coupure (c'est nécessaire pour déchiffrer et inspecter le contenu) alors on peut le comparer à un Man In The Middle et en tant qu'utilisateur, vous ne pouvez plus faire confiance au SSL tant au niveau de l'intégrité que de la confidentialité.

Mon avis sur le sujet est qu’il vaut mieux privilégier l'utilisation de listes blanches pour limiter les flux SSL sortants.


3- No ability to manage P2P, IM, Multimedia
- Major cause of security and performance issues

Je suis d'accord qu'aujourd'hui les logiciels de P2P ou d'IM sont des vecteurs de propagation de virus, chevaux de troie et autres risques mais revenons-en à ISA Server 2004   :-)

Concernant les logiciels de P2P ou d'IM, il est tout à fait possible de bloquer leur fonctionnement tout d'abord en ne créant pas de règle autorisant leur protocoles natifs (pour rappel : par défaut ISA Server 2004 n'autorise aucun flux sortants). Si ces logiciels peuvent faire de l'encapsulation http (et donc passer au travers de proxy), il reste encore possible de les bloquer via des signatures, de l'authentification, un antivirus http (add-on sur ISA)…

ex : e-demo "ISA Server, bloquer les messageries instantanées"
http://msevents-eu.microsoft.com/cui/Register.aspx?culture=fr-FR&EventID=118764674

D'autre part, ISA 2004 dispose de paramètres permettant de limiter le nombre de connexions simultanées par machine (ces paramètres seront encore + granulaires dans ISA 2006)


4- Limited policy controls
- Need granular controls for IT/business aligment

ISA Server 2004 permet de créer des règles basées sur un nombre plutôt important de paramètres
- plage horaire
- authentification (AD, Radius, SecureID,....)
- contenu
- URL
- ...

NB : à la différence de certains (tous?) produits de BlueCoat, ISA 2004 ne nécessite pas l'installation d'agent d'authentification sur les contrôleurs de domaine pour bénéficier de l'authentification sur les utilisateurs Windows.

La supervision, la surveillance du produit pouvant être effectué à l'aide :
- des données issues de la journalisation dans une base de donnée (MDSE, SQL Server)
- de l'utilisation de SQL report Services
- des alertes paramétrables
- de MOM via le Management Pack fourni gratuitement
-...

L'administration pouvant être également découpées en rôle fonctionnels (ex: administrateur complet, administrateur pouvant lire uniquement les informations monitoring...)


5- Performance capabilities are limited
- "Blue Coat significantly outperformed ISA" - BB testing 2005

Ce point correspond à l'analyse des résultats de l'étude suivante :
http://www.bluecoat.de/CMS/imagescms/pressemitteilungen/fallstudieID_23.pdf

Cette étude est une comparaison des performances en terme de filtrage d'url entre :

The report shows the throughput and user delay of URL filtering running on three different platforms:
- Blue Coat ProxySG Model 400-1 with 512MB RAM running SGOS V3
- Blue Coat ProxySG Model 800-2 with 1.5GB RAM running SGOS V3
- IBM 3Ghz Xeon server with 2GB RAM running Microsoft Server 2000 and ISA Server 2004.

The ISA Server “appliance” we created was configured to cost approximately the same as the ProxySG 800 (and therefore significantly more expensive than the 400 model) using an IBM platform with a single Xeon 3.06GHz processor, 2GB of RAM and an Ultra320 SCSI disk-subsystem, plus dual Ethernet NICs. Windows 2000 SP4 Server was installed along with the ISA Server 2004. On top of this we installed the Websense application and URL list. This list came pre-installed on the ProxySG appliances.

1ère remarque : Il aurait été plus logique d'avoir un serveur en Windows 2003 et non Windows 2000

J'ai pris la configuration Bluecoat la plus puissante testée (Blue Coat ProxySG Model 800-2) et vérifié sa référence (http://www.bluecoat.com/downloads/datasheets/BCS_sg800_ds.pdf)
Le processeur n'est pas précisé mais l'appliance dispose de 1.5 Go de RAM et de 2 disques SCSI Ultra160 de 73 Go chacun.

J'ai donc fait une petite requête ((price bluecoat ProxySG 800-2) sur un moteur de recherche et cliqué sur la première réponse (http://www.securehq.com/group.wml&deptid=45&groupid=794&sessionid=2006234265420693)

BlueCoat Systems ProxySG 800-2
le prix ici est de $21,279.00  hors options du support

Autre exemple de prix : http://www.peppm.org/products/bluecoat/price.pdf 

Puis je suis allé sur le site d'IBM pour trouver une configuration mono processeur Xeon 3.06 Ghz, 2 Go de RAM et disque en SCSI Ultra320

J'ai pris une version 2U rackable avec un processeur Xeon  3.8 Ghz (le 3.06 n'étant plus disponible)
http://www-132.ibm.com/webapp/wcs/stores/servlet/ProductDisplay?catalogId=-840&productId=4611686018425104887&storeId=1&langId=-1&dualCurrId=73&categoryId=2590410

Le modèle est un xSeries 336 (Model 88375VU)

Prix de la configuration : $5,635.00

Ce prix correspond  à :
- un processeur Intel Xeon 3.8GHz 800MHz 2MB L2 cache Xeon Processor (Standard)
- 2GB (2x1GB) PC2-3200 ECC DDR SDRAM RDIMM Kit
- Integrated Single-Channel Ultra320 SCSI Controller (Standard)
- Integrated SCSI Mirroring - 2 HDD's required
- 2 x 73 GB hot-Swap 2.5" 10K RPM Ultra320 SCSI HDD
- IBM Service for warranty : Base warranty
- Un système d'exploitation Windows 2003 Standard

à cela, il faut rajouter le prix d'une licence ISA Server 2004 Standard (1 license par processeur physique)
$1,499 par processeur (source : http://www.microsoft.com/isaserver/howtobuy/default.mspx) prix public

Prix total de la configuration ISA Server 2004 : $5,635.00 + $1,499 = $7134,00

Blue Coat ProxySG 800–2 vs ISA Server 2004 : $ 21279.00 vs $ 7134.00

Donc pour 1 BlueCoat Systems ProxySG 800-2, vous pouvez avoir 3 Serveurs ISA 2004

NB : je ne compte pas ici le prix des licences Websense utilisé pour le filtrage d'URL mais comme les 2 solutions intègrent Websense, cela n'est pas utile pour la comparaison.

Maintenant concernant les performances ou le dimensionnement d'ISA, sans entrer dans des benchmarks comparatifs  (pas forcément objectifs ou représentatifs), je vous encourage à lire le document suivant :

Best Practices for Performance in ISA Server 2004 http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/bestpractices.mspx

ou la version française
Recommandations relatives aux performances d'ISA Server 2004 http://www.microsoft.com/france/technet/prodtechnol/isa/2004/plan/bestpractices.mspx   

Vous souhaitez réagir ? n’hésitez pas à poster votre commentaire !

Les informations présentes sur ce post sont fournies en l’état et n’engagent que ma personne et non Microsoft.