MS ISA Server 2006: многофункциональный межсетевой экран на базе Windows
Сергей «grinder» Яремчук (grinder@ua.fm, )
Интернет сегодня — это не только средство обмена сообщениями и информации, но и источник многих проблем, таких как вирусы, черви, сетевые атаки, утечка конфиденциальных данных и т.д. Если своевременно не взять контроль над ситуацией, все эти факторы могут стать причиной серьезных финансовых потерь. Первым барьером на пути любой заразы стоят межсетевые экраны. Если ты используешь сервер под управлением Windows, то стоит познакомиться с MS ISA Server 2006.
Содержание:
- Краткое знакомство
- Устанавливаем ISA 2006
- Настройки сети
- Создаем правила доступа
- Публикация ресурсов
- Постскриптум
- Врезка: Фильтры приложений в ISA Server 2006
В декабре 2000 года корпорация Microsoft представила свой новый продукт, получивший название Internet Security and Acceleration (или просто ISA) 2000 Server, заменивший Proxy Server 2.0. Возможности программы были следующие: фильтрация на нескольких уровнях, поддержка виртуальных частных сетей, Active Directory и многое другое. Обновленная версия, вышедшая в 2004 году, получила большую популярность благодаря многим нововведениям, сделавшим ISA более производительным и простым в настройке.
Сегодня мы познакомимся с третьей реинкарнацией ISA Server 2006, которая имеет еще больше преимуществ по сравнению с предшественниками. На первый взгляд они могут быть и не заметны, т.к. пользовательский интерфейс, сетевая модель и функции брандмауэра остались прежними. Основные изменения, бросающиеся в глаза, касаются безопасной веб-публикации. Хотя под капотом — улучшенная защита от червей, управление потреблением памяти и ожидающими DNS-запросами, расширенное делегирование аутентификации, режим однократной регистрации (SSO — single sign-on) или в терминологии ISA Server — единый вход, одноразовые пароли RADIUS (One-Time passwords — OTP), средства VPN типа «сеть-сеть» с фильтрацией на уровне приложения, HTTP-компрессия и многое другое. Администратор получил большие возможности по управлению и защите сети. Единственное, что убрано, это служба сортировщика сообщений SMTP (SMTP Message Screener), на смену ему пришел , который не встроен в ISA Server и поставляется отдельно.
В настоящее время доступны две версии продукта: Standart и Enterprise. Версия Standart ориентирована на небольшие сети с количеством пользователей до 500, межсетевой экран можно разворачивать только на одном компьютере, политики устанавливаются локально и хранятся в реестре, нет поддержки балансировки. Версия Enterprise спроектирована для средних и крупных компаний, использующих несколько межсетевых экранов, которые могут находиться в дочерних офисах, расположенных по всему миру и обслуживающих огромное количество пользователей. Здесь уже реализовано централизованное управление, все настройки хранятся в специальном хранилище (их может быть несколько — основное и дополнительное), осуществлен контроль за нагрузкой и кэшированием. Сгруппировав компьютеры с установленным ISA Server 2006 Enterprise в массивы, можно централизованно управлять сетевой политикой предприятия. При необходимости все административные задачи могут выполняться с одного компьютера, конфигурация будет действительна для всех серверов (они могут использовать одну политику доступа). Более подробное сравнение версий можно прочитать на странице . Чтобы не упрощать задачу, будем устанавливать Enterprise, о которой в Интернет на порядок меньше информации. Однако практически все сказанное будет актуально и для Standart.
Прежде чем бросаться в бой, следует проанализировать: организацию сети, членство в домене, наличие другого межсетевого экрана, используемые протоколы, сервисы, которые должны быть доступны из Интернет (DMZ), характер сети (рабочая группа или Active Directory; поддерживаются оба варианта, но есть некоторые особенности). Чтобы в работе ISA Server’а не возникло проблем, следует убедиться в правильной настройке маршрутизации и проверить корректность разрешения имен DNS-сервером.
Для установки понадобится компьютер с процессором Pentium III 733 МГц, 512 Мб ОЗУ (или выше) и Windows Server 2003 SP1. Жесткий диск должен иметь не менее 150 Мб свободного места, плюс место для кэшируемых страниц; файловая система — NTFS. Сервер ISA Server 2006 можно установить и на компьютерах с одной сетевой платой. Такой вариант выбирают, когда планируется использование ISA в качестве кэширующего или прокси веб-сервера. Всю информацию и ссылку для закачки можно получить на странице .
Запускаем исполняемый файл, будет предложено распаковать архив в каталог на диске C. Если по каким-либо причинам установка будет прервана, то ее можно запустить повторно, вызвав файл isaautorun.exe. Итак, выбираем в меню «Установить ISA 2006», появится Мастер установки ISA 2006 Server. В большинстве окон мастера достаточно нажимать на кнопку «Далее» и соглашаться со всеми вариантами. Единственное окно, где может возникнуть затруднение — Сценарии установки. Здесь предстоит выбрать один из четырех вариантов:
- Установить службы ISA Server — устанавливается только служба ISA, которая будет использовать внешнее хранилище, установленное на другом компьютере;
- Установить сервер хранилищ настроек — устанавливается только сервер хранилищ настроек, без межсетевого экрана ISA;
- Установить компоненты «Службы ISA Server» и «Cервер хранилищ настроек» — самый полный и самодостаточный вариант, будут установлены все компоненты, в том числе и указанный в п.4;
- Установить диспетчер ISA Server — устанавливается только диспетчер, позволяющий удаленно управлять настройками.
Рис. 1. Выбор сценария установки
Т.к. наш ISA сервер первый, выбираем п.3, и на следующем шаге нам снова будет предложено указать компоненты для установки. Выбираем все и в окне «Параметры установки предприятия» отмечаем «Создать новую корпоративную конфигурацию ISA Server». Пункт «Создать реплику корпоративной конфигурации» следует выбирать только в том случае, когда уже есть настроенный ISA сервер и необходимо скопировать имеющиеся настройки на новый сервер настроек. После ввода учетной записи, под которой будем администрировать Сервер хранения настроек (пользователь должен быть создан в системе и входить в группу Администраторов Домена), переходим к этапу определения диапазона внутренних адресов. Нажимаем «Добавить», в появившемся окне нам предложат несколько вариантов. Выбрав «Добавить плату», просто указываем на сетевую карту, или выбираем в списке «Добавить частный» диапазон адресов, принадлежащих к частной сети. Ввести значение вручную можно в «Добавить диапазон».
Рис. 2. Выбор компонентов ISA Server
После всех настроек следует обязательно проверить результирующую информацию. При неправильной маршрутизации Мастер может ошибиться. На следующем шаге разрешаем или запрещаем подключение клиентов по незашифрованному каналу. Далее выводится предупреждение об остановке или перезапуске некоторых служб.
Администрирование Microsoft ISA Server 2006 производится через диспетчер ISA Server, вызываемый через меню “Пуск -> Программы -> Microsoft ISA Server -> Управление ISA Server”. Диспетчер ISA Server представляет собой консоль оснастки в консоли управления (MMC), которая состоит из трех основных областей: дерево консоли (дерево MMC), область сведений (или область результатов) и панель задач (или область действий).
Как уже говорилось ранее, в версии Enterprise используются внешние хранилища. Если хранилище установлено на удаленной системе, сначала необходимо к нему подключиться, выбрав в дереве консоли диспетчера «Microsoft Internet Security and Acceleration Server 2006». После чего на вкладке «Задачи» справа нажми кнопку «Установить соединение с сервером хранилища настроек». Появится Мастер подключения, просто следуй его указаниям. Во время установки параметры можно указать только в общем виде, поэтому некоторые из них требуют уточнения. Выбираем “Массивы -> Конфигурация”. В нем несколько пунктов, стоит заглянуть во все. Сейчас нас интересует пункт «Сети». Сначала следует уточнить топологию. Если установленная по умолчанию не соответствует действительности, переходим во вкладку «Шаблоны» и выбираем наиболее подходящий вариант. Запускается «Мастер шаблонов сети», далее следуем его указаниям. Для подстраховки можно сохранить предыдущие настройки. Все известные сети будут доступны во вкладке Сеть, при подключении новой карты или добавлении нового маршрута, следует добавить новую сеть в ISA. Для этого нажимаем «Создать новую сеть» во вкладке Задачи. Мастер создания сетевых правил, вызываемый по нажатию на кнопке «Создать сетевое правило», поможет определить отношения между сущностями сети (маршрут или преобразование сетевых адресов). Перейдя во вкладку «Наборы сетей», можно создать предустановленные наборы, где будут сгруппированы системы или сети с определенными параметрами. Это позволит затем включать их в правила фильтрации. И, наконец, правила веб-цепочки определяют, будут ли маршрутизироваться запросы веб-содержимого в другую точку назначения, например, на вышестоящий ISA сервер.
Рис. 3. Настройки топологии сети
После установки все соединения в ISA 2006 запрещены, разрешены только системные политики, разрешающие выборочный трафик с ISA и на него (просмотреть их можно «Вид -> Отображать правила системной политики»). Политики, применяемые по умолчанию, (они всегда будут находиться в конце списка) изменить нельзя, и чтобы получить доступ к ресурсам Интернет, пользователям внутренней сети необходимо создать разрешающие правила.
Настройки правил доступа производятся во вкладках «Политики предприятия» (только для Enterprise) и «Политика межсетевого экрана» и включают список элементов правила: определение протокола, пользователей, типов содержимого, расписания и сетевые объекты. Применяются они в таком порядке: системные политики — политики предприятия — политики межсетевого экрана — политики предприятия. Политики предприятия, применяемые до и после политик межсетевого экрана, отличаются. Созданные политики можно перемещать вверх-вниз с помощью меню.
Работа с этими вкладками вообщем схожа, поэтому чтобы приблизить описание к версии Standart, будем использовать политики межсетевого экрана. Многие операции производятся с помощью контекстного меню или панели Задачи, расположенной в окне справа. Процесс настроек упрощен наличием Мастеров. Так для создания новой политики межсетевого экрана выбираем «Массивы -> Политика межсетевого экрана» и в контекстном меню выбираем «Создать -> Правило доступа». В окне мастера последовательно вводим название политики, действие (Разрешить/Запретить), протоколы, к которым будет применена политика (протокол, исходящий, входящий трафик), порты, источник (сеть, подсеть, группа компьютеров или отдельная машина), направление, пользователей. После создания всех политик необходимо нажать кнопку «Применить», чтобы они вступили в силу.
Рис. 4. Создание правила доступа
Не следует упрощать себе работу, открывая доступ сразу по всем протоколам и направлениям. В этом случае применение ISA теряет всякий смысл. Пользователи будут бесконтрольно пользоваться всеми сервисами Интернет, а хакеры и вирусы хозяйничать в сети. Поэтому следует открыть доступ только к тем службам, которые действительно необходимы. Как правило, это: HTTP, HTTPS, SMTP, POP3 и IMAP (и их защищенные варианты), FTP, SSH, DNS и ICQ. Все остальное будет отрезано последним запрещающим правилом. Воспользовавшись пунктами меню Задачи, созданное правило можно Изменить, Удалить и временно Отключить, а из контекстного меню копировать.
В окне, которое появляется при редактировании политики, находятся несколько вкладок, позволяющих изменить параметры, установленные с помощью мастера. Кроме этого, появляется вкладка Расписание, здесь можно указать дни недели и время, когда правило будет активно. Вторая вкладка «Типы содержимого» позволяет уточнить, к какому типу информации относится это правило. По умолчанию правило установлено во «Все типы содержимого», для указания конкретной группы или групп переключи его в «Выбранные типы содержимого» и установи флажки. При задании параметра «Выбранные типы содержимого» данное правило применяется только к HTTP-трафику. Используя эту вкладку, можно создать запрещающее правило, в котором указывается запрет загрузки видео, аудио, файлов приложений и прочих, загружающих канал и несовпадающих с политикой безопасности компании.
В контекстном меню доступны еще два пункта — «Настроить HTTP» и «Настроить FTP». В них можно более тонко указать работу этих протоколов: максимальный размер заголовков, длину полезных данных, защиту URL, блокировку исполняемых файлов или файлов с указанными расширениями и прочие параметры.
Рис. 5. Установка расписания
Для разрешения доступа к внутренним ресурсам «из вне» их необходимо опубликовать в ISA. Публикуются веб-серверы или веб-фермы, сайты SharePoint, веб-клиенты Exchange, почтовые серверы; отдельный мастер предназначен для публикации не веб-ресурсов. Например, опубликуем веб-ресурс. Определяемся, что именно требуется опубликовать. Затем выбираем «Политика межсетевого экрана» и на вкладке Задачи щелкаем «Опубликовать веб-узлы».
Появится Мастер создания веб-публикации, в котором сначала указываем имя правила и действие. В следующем окне нам предлагают определиться с типом публикации. Это может быть один веб-узел или сервер балансировки нагрузки, ферма веб-узлов, или публикация нескольких узлов. В последнем случае новое правило будет создано для каждого узла. В следующем окне указываем тип подключения ISA сервера к опубликованному ресурсу. В случае выбора протокола SSL на каждом сервере необходимо установить SSL сертификат. Далее вводим внутреннее имя веб-узла и в следующем поле опционально указываем каталог, к которому будет применено правило. Таким образом, можно разрешить доступ из внешней сети к строго указанным ресурсам, а пользователи внутренней сети будут подключаться к веб-серверу без ограничений.
Рис. 6. Выбор типа публикации
Далее следует страница «Параметры внешнего имени», на которой определяются, какие домены или IP-адреса должны применять пользователи для соединения с опубликованным ресурсом с помощью правила публикации. Не следует упрощать задачу, выбирая «Любое доменное имя», т.к. в этом случае все обращения на опубликованный порт будут пересылаться на узел, который теперь становится уязвим для некоторых атак. Следует выбрать «Доменное имя» и указать его в поле «Внешнее имя», опционально вводится и путь. В окне «Выбрать веб-прослушиватель» указывается прослушиватель, который будет ожидать подключения на указанном порту и проверять подлинность входящих веб-запросов. Нажимаем кнопку “Создать” и следуем указаниям еще одного мастера, в котором опять же указывается необходимость использования SSL, сетей, для которых будут прослушиваться входящие запросы, сжатия содержимого. В «Параметры проверки подлинности» выбирается способ аутентификации при доступе к серверу. Здесь несколько вариантов выбора от отсутствия проверки как таковой до проверок средствами Active Directory, RADIUS, в том числе и с применением одноразовых паролей. При выборе варианта «Проверка подлинности на основе HTML-форм» будет доступна возможность единого входа, кода пользователь при доступе к ресурсам регистрируется только один раз. Если сервер публичный, выбираем «Без проверки подлинности» и возвращаемся к мастеру публикации, в котором отмечаем созданный прослушиватель. После проверки учетных данных ISA Server 2006 делегирует проверку подлинности опубликованным серверам несколькими способами. В следующем окне выбираем, будет ли разрешено сквозное делегирование. И, наконец, определяем самих пользователей, для публичного доступа оставляем значение, предлагаемое по умолчанию — Все пользователи. Итак, ресурс опубликован.
Как и в правиле доступа, в его свойствах можно задать расписание. Кроме того, доступен веб-фильтр преобразования ссылок, позволяющий создать словарь определений внутренних имен компьютеров и сопоставить их с публичными именами, т.е. заменять одни слова в запросе на другие. Во вкладке «Использование моста» можно указать номера портов, на которые ISA будет перенаправлять запросы.
Это далеко не все возможности ISA Server 2006, не рассмотренными остались вопросы работы с VPN, создание и использование сертификатов, кэширование и многое другое. Но, как видишь, это довольно мощный продукт, позволяющий надежно защитить любую сеть.
Врезка: Фильтры приложений в ISA Server 2006
Присутствует еще один момент, о котором нельзя не упомянуть. Кроме правил доступа, в ISA Server 2006 используются фильтры приложений, которые обеспечивают дополнительный уровень защиты и выполняют задания, специфические для конкретных протоколов или систем (проверка подлинности и проверка на вирусы). Встроенные фильтры приложений можно настраивать и применять к правилам политики межсетевого экрана (вкладка Конфигурация -> Надстройки).
Расширяемая архитектура сервера позволяет использовать фильтры, созданные сторонними производителями:
- большинство антивирусных компаний выпускает фильтры приложений для ISA
- существуют фильтры веб-содержимого (например, )
- программа позволяет вести учет трафика и контролировать эффективность использования Интернет-канала организации (аналогичную функцию выполняет for ISA Server).
Статья опубликована в майском номере журнала «Xakep» за 2007 год.