Доступ в Internet, как для малых, так и для крупных компаний, связан с определенным риском. Чем активнее используется Internet, тем больше хлопот появляется у администраторв. Потоки почты и данных, генерируемых сотрудниками в процессе "прогулок" по Web, нападения взломщиков и широкополосные приложения перегружают шлюзы Web. Microsoft Internet Security and Acceleration (ISA) Server, пришедший на смену Proxy Server 2.0, позволяет успешно решать многие проблемы благодаря брандмауэру двойного назначения и функциям кэширования, а также обеспечивает доступ к службам, работающим на внутренних серверах. Чтобы полностью освоить все функции ISA Server, может потребоваться немало времени, но инженерам Microsoft удалось упростить базовую процедуру конфигурирования довольно сложного комплексного продукта. Кроме того, недавно ISA Server получил сертификат независимой лаборатории информационной безопасности International Computer Security Association (ICSA).

Затратив небольшие усилия на подготовку плана действий, можно быстро настроить ISA Server для управления доступом к сети и снизить требования к полосе пропускания канала связи. Можно воспользоваться и многими другими функциями, в том числе простыми средствами обнаружения попыток несанкционированного доступа и надежными инструментами регистрации, составления отчетов и оповещения.

Топология

Благодаря гибкости продукта, ISA Server можно развернуть в сетях с разнообразной топологией. Чтобы упростить процесс установки, администратор должен ясно идентифицировать и документировать тип соединения и политику безопасности. Необходимо определить, как и где ограничить корпоративный доступ, каковы нужды удаленных или спутниковых офисов, и следует ли предоставлять доступ удаленным пользователям. Кроме того, нельзя упускать преимуществ, обеспечиваемых функциями кэширования ISA Server. В кэше хранятся ранее полученные объекты. Другими словами, последующие запросы объекта (изображения, Web-страницы) удовлетворяются из кэша ISA Server, а не из Internet.

Кэширование приносит двойную выгоду: во-первых, значительно уменьшается время повторной загрузки объекта; во-вторых, снижается нагрузка на канал связи с Internet, так как объект пересылается с Web-сайта лишь один раз. По функциям кэширования ISA Server значительно превосходит инструменты Proxy Server 2.0. Для активизации базовых функций кэширования не нужно прибегать к специальной процедуре установки; но для более высокоорганизованной среды в ISA Server имеется множество настраиваемых параметров, обеспечивающих контроль функционирования кэша.

В процессе установки администратору предстоит принять два важных решения. Во-первых, нужно выбрать режим работы. ISA Server можно установить в одном из трех режимов: Caching (кэширование), Firewall (брандмауэр) или Integrated (интегрированный), когда сочетаются возможности режимов Caching и Firewall.

Во-вторых, необходимо определить взаимоотношения системы ISA Server с другими компьютерами ISA Server в сети. ISA Server может работать независимо от других систем ISA Server (если он установлен как автономный сервер) или как член группы (если он установлен как часть массива). Функции кэширования и брандмауэра автономного сервера аналогичны реализуемым на сервере в составе массива.

Однако у автономной установки есть ряд недостатков: невозможность интеграции со службами каталогов Active Directory (AD), ограниченные возможности масштабирования и отсутствие централизованного управления. Автономная инсталляция считается более безопасной, компьютер с ISA Server в сущности изолирован от домена сети Windows (предполагается, что он не принадлежит к числу членов домена). Даже если взломщику удастся проникнуть в машину ISA Server, он не получит прямого доступа к информации об учетных записях или структуре домена. Однако из-за изоляции компьютера администратору придется отдельно управлять каждой политикой доступа каждой дополнительной системы ISA Server и использовать внешние решения для балансировки нагрузки. Из-за этих ограничений автономная установка больше подходит для малых сетей.

Если выбрана реализация в массиве, то не следует устанавливать ISA Server на периферийном (то есть граничащем с Internet) контроллере домена (DC). Можно, конечно, попытаться обезопасить DC, размещаемый в Internet, но я рекомендую открывать как можно меньше приложений и служб, и спрятать DC за брандмауэром ISA Server. Если система ISA Server – автономный сервер в первичном (доверенном) домене компании, то следует применить несколько уровней защиты с использованием всего имеющегося сетевого оборудования.

Например, можно разрешить фильтрацию пакетов на маршрутизаторе в Internet или установить несколько уровней систем ISA Server в каскадной (back-to-back) сетевой конфигурации. Благодаря такой организации безопасность доступа к информации существенно повышается. Например, можно настроить внешний массив ISA Server на фильтрацию пакетов и публикацию служб внутренних серверов, а внутренний массив ISA Server - на аутентификацию внутренних пользователей и применение политик безопасности для доступа наружу.

В данном примере внешний массив ISA Server будет частью независимого периферийного сетевого домена, а внутренний массив ISA Server - частью корпоративного домена. Эти уровни обеспечивают дополнительную защиту, пропуская трафик, проходящий по сети компании, через несколько независимых пунктов контроля.

Альтернативное решение - установить системы ISA Server в отдельном лесу AD и задать односторонние доверительные отношения между этим лесом и рабочим доменом. Данный подход обеспечивает преимущества массива, не вынуждает подвергать риску критически важные домены и позволяет обойтись без дополнительных серверов, необходимых в модели с разделением доменов. Используя такую архитектуру, следует убедиться, что такие службы, как аутентификация приложений, работают в условиях доверительных отношений между доменами. Конфигурация зависит от требований к безопасности и финансовых возможностей.

Установка ISA Server

ISA Server работает с продуктами семейства Windows 2000 Server, а инструменты администрирования ISA Server размещаются на платформах Windows 2000 Server или Windows 2000 Professional. Если ISA Server установлен на автономном сервере или DC, то компьютер, на котором находятся средства администрирования, должен входить в домен. В процессе установки можно указать местоположение файлов кэша ISA Server. Необходим, по крайней мере, один раздел для файлов начальной загрузки операционной системы и программ ISA Server, и один диск формата NTFS для файлов кэша. Для увеличения производительности разработчики Microsoft рекомендуют установить несколько физических дисков в формате NTFS.

Прежде чем приступить к установке ISA Server, необходимо подготовить серверы для фунций Firewall, установив на них по крайней мере два сетевых адаптера - один для Internet и один для внутренней сети. Можно обойтись одним сетевым адаптером и одним адаптером коммутируемого доступа, но в описываемой в данной статье конфигурации используется два сетевых адаптера. При установке ISA Server программа по умолчанию выбирает закрытую конфигурацию. Передача данных через брандмауэр запрещена. Поэтому прежде чем установить ISA Server на рабочих машинах, необходимо выбрать соответствующий режим в тестовой сети. Тщательная проверка сетевой конфигурации перед установкой ISA Server позволит сэкономить много времени и избежать неприятностей.

Во-первых, следует назначить внешнему адаптеру маршрутизируемый IP-адрес, шлюз по умолчанию, первичный и вторичный адреса DNS. В диалоговом окне Properties внешнего сетевого адаптера следует сбросить флажки Client for Microsoft Networks и File and Printer Sharing for Microsoft Networks, как показано на Экране 1. Сброс флажка Client for Microsoft Networks позволяет изолировать ISA-сервер от остальной внешней сети, а благодаря пустому флажку Printer Sharing for Microsoft Networks внешние пользователи не смогут установить соединение с машиной через службы NetBIOS.

Экран 1.

Следующий этап - конфигурирование внутреннего адаптера. Этому адаптеру следует назначить частный IP-адрес, оставив шлюз по умолчанию пустым. Внутренний адаптер, наряду с локальной таблицей адресов (Local Address Table - LAT), определяет способ связи ISA Server с внутренней сетью. Можно назначить маршрутизируемый IP-адрес другому внешнему интерфейсу (например, для защищенной подсети), но ISA Server будет обрабатывать этот трафик иначе, чем данные, предназначенные для внутренней сети.

Посреднические функции ISA Server ограничиваются, в основном, передачей трафика между внутренней и внешней сетями, и не затрагивают трафик между внешними сетями. Для большей безопасности я рекомендую сбросить флажок Client for Microsoft Networks для внутреннего адаптера. В результате компьютер с ISA Server не получит доступа к внутренним общедоступным ресурсам. Если этот клиент не будет заблокирован, то взломщик, захвативший сервер, может использовать его как стартовую площадку для нападения на внутренние серверы. ISA Server совместим с реализацией протокола NAT (Network Address Tanslation) компании Microsoft, именуемой SecureNAT.

Если использовать SecureNAT, то частный IP-адрес, назначенный внутреннему адаптеру, будет шлюзом по умолчанию для клиентских машин и промежуточных маршрутизаторов. Я не рекомендую сбрасывать флажок File and Printer Sharing for Microsoft Networks для внутреннего интерфейса, так как ISA Server создает разделяемые экземпляры файлов установки для режима Firewall (эти файлы находятся в папке \isaservername\mspclnt).

Если после установки ISA Server удалить или добавить сетевую службу, или изменить такой сетевой параметр, как IP-адрес, могут возникнуть трудности при запуске служб ISA Server. В данной ситуации следует попытаться повторно установить ISA Server через утилиту Add/Remove Programs панели управления и сохранить избранную конфигурацию.

ISA Server расширяет функциональность RRAS. Установить ISA Server следует без каких-либо изменений в принимаемой по умолчанию конфигурации RRAS. Можно воспользоваться мастером ISA Server, чтобы проложить VPN через RRAS. Если планируется установить ISA Server в массиве, то следует сделать систему ISA Server членом домена, в котором будут размещены службы ISA Server.

Процесс установки ISA Server прост. О нем подробно рассказано в статье Шона Дейли

"Stellar ISA Server компании Microsoft". В этой же статье хорошо описаны три существующих режима и ситуации, в которых их следует применять. Эта статья может очень пригодиться при подготовке схемы AD для ISA Server и установке приложения в базовой конфигурации. По завершении инсталляции необходимо установить последние оперативные исправления и пакеты исправлений. Компания Microsoft уже выпустила несколько программ коррекции для ISA Server. Очень важно своевременно вносить последние исправления в продукт, предназначенный для защиты периметра сети.

Управление ISA Server

Все операции по управлению конфигурацией производятся из оснастки ISA Management консоли Microsoft Management Console (MMC). По умолчанию, ярлык ISA Management находится в меню Start в разделе Programs, Microsoft ISA Server, ISA Management. ISA Server размещает файлы ISA Management в папке \Program Files\Microsoft ISA Server\msisa.msc.

На Экране 2 показана оснастка ISA Management с открытым окном Taskpad. Через окно Taskpad можно получить доступ к специальным диалоговым окнам, полезным сценариям и мастерам. По умолчанию окно Taskpad активно, но администратор может переключиться в окно Advanced, имеющее более традиционный интерфейс в стиле Windows Explorer без доступа к некоторым сценариям и "мастерам".

Экран 2.

Большинство изменений, которые вносятся в конфигурацию ISA Server, не требует перезапуска службы ISA Server. Если изменения вступают в силу только после перезапуска службы, ISA Server выдает предупреждение. Иногда изменение правила вступает в силу спустя довольно долгое время. Эта задержка может помешать устранению неисправностей, так как администратору неясно, принято ли то или иное изменение конфигурации ISA Server. Чтобы запускать, останавливать и проверять параметры служб Web Proxy, Firewall и Scheduled Content Download, нужно выбрать узел Servers and Arrays из оснастки ISA Management, выделить имя массива, развернуть узел Monitoring и выбрать пункт Services.

Шесть этапов базовой настройки

Процесс настройки базовых функций брандмауэра ISA Server довольно прост. Описанные ниже действия необходимы для конфигурирования базовых функций фильтрации пакетов и публикации служб внутренних серверов. В результате пользователи внутренней сети получают доступ в Internet как через традиционный брандмауэр с протоколом SecureNAT.

Для развертывания ISA Server с SecureNAT не требуется устанавливать дополнительные программы на клиентских машинах; однако необходимо направить исходящий трафик внутренних клиентов на внутренний адаптер машины ISA Server (то есть настроить выбираемый по умолчанию шлюз клиентской машины на IP-адрес внутреннего адаптера).

С помощью этих операций можно заложить основу для выбора конфигурации в конкретной среде. Внимательно продумав все действия, следует скорректировать их в соответствии с необходимым уровнем безопасности.

1. Настройка доступа для внутренних пользователей. Чтобы предоставить внутренним пользователям право доступа в Internet, требуется создать, по меньшей мере, две политики. В описанных ниже примерах предоставлены, вероятно, слишком широкие права доступа, зато эти примеры наглядно показывают, как использовать ISA Server для настройки мер безопасности при работе в Web.

Первый пример - создание правила Site and Content Rule, позволяющего проводить любые запросы, в любое время, ко всем внешним узлам с каким угодно содержимым. Назначая правило Site and Content Rule для предприятия (действительное для каждого сервера и массива), следует выбрать пункты Enterprise, Policies в ISA Management Tree и развернуть выбираемый по умолчанию узел Enterprise Policy. Затем нужно щелкнуть правой кнопкой мыши на папке Site and Content Rules. Если ISA Server установлен как автономный сервер, то папка Site and Content Rules находится под узлом Access Policy сервера. Затем нужно выбрать New и Rule и дать правилу имя, например, Internet Access for Internal Users, после чего запустить мастер для создания правила, разрешающего доступ всех клиентов к любым внешним узлам.

Чтобы изменить существующее правило, нужно дважды щелкнуть на правиле в панели Details, и на экране появятся свойства правила. Правила можно изменить, разрешив или запретив доступ в зависимости от узла назначения (по URL, IP-адресу или пути), времени суток, типа содержимого сайта или от того, аутентифицированному пользователю или IP предоставляется доступ. Учитывая в правилах все эти параметры, можно тщательно контролировать информацию, проходящую сквозь брандмауэр.

Второй пример - создание правила Protocol Rule, с помощью которого каждый пользователь может в любое время выбрать нужный протокол. Правила Protocol Rules определяют, какие протоколы используются внутренними клиентами для доступа в Internet. Следует щелкнуть правой кнопкой мыши на папке Protocol Rules под узлом Enterprise Policy или узлом Access Policy отдельного сервера, затем выбрать пункты New и Rule. Правилу нужно дать имя - например, Internet Access for Internal Users - и щелкнуть на кнопке Next. Установив флажок Allow рядом с полем Client requests to use this protocol, следует щелкнуть Next, а затем выбрать протоколы для данного правила.

Для каждого разрешенного протокола требуется щелкнуть на кнопке Apply Rule. Если нужного протокола в списке нет, следует развернуть выбираемый по умолчанию узел Policy Elements в Enterprise Policy и щелкнуть правой кнопкой мыши на Protocol Definitions, чтобы определить новый протокол в ISA Server. Вместо отдельных протоколов можно выбрать пункт All IP Traffic, однако в состав All IP Traffic входят только протоколы, определенные в ISA Server. Поэтому администратору все равно придется создавать правило Protocol Rule для любого протокола, не предусмотренного Microsoft.

2. Активизация функций обнаружения атак и IP-маршрутизации. Функции управления доступом ISA Server дополнены возможностями выявления попыток несанкционированного проникновения в сеть с использованием технологий компании Internet Security Systems. Функции обнаружения сравнивают отдельные пакеты с информацией из базы данных, содержащей сведения об известных нападениях, чтобы выявить попытки взлома брандмауэра. В ISA Server на уровне пакетов приняты меры для защиты от нескольких широко известных методов взлома.

Имеются и дополнительные инструменты защиты прикладного уровня, в том числе фильтры обнаружения DNS и POP (папка Application Filters, показанная на Экране 3). Чтобы получить доступ к фильтрам, необходимо раскрыть узел Extensions (под узлом конкретного сервера в оснастке ISA Management) и открыть папку Application Filters. В комплекте разработки (SDK) ISA Server есть образцы для построения новых специализированных фильтров. Но работать с ними смогут лишь квалифицированные пользователи - они составлены на языке Visual C++ (VC++).

Экран 3.

С помощью ISA Server можно управлять и IP-маршрутизацией. После активизации этой функции программа направляет весь трафик между внешней и внутренней сетями на основе таблиц маршрутизации, заданных администратором вне ISA Server (например, с помощью команды Route). Программа обеспечивает фильтрацию IP-пакетов, поэтому администратор может разрешить или запретить трафик, проходящий между внешними адаптерами или предназначенный для системы с ISA Server.

Чтобы активизировать функции обнаружения нарушений и IP-маршрутизации, необходимо развернуть узел сервера Access Policy, щелкнуть правой кнопкой мыши на папке IP Packet Filters, а затем щелкнуть на пункте Properties. На закладке General нужно установить флажки Enable intrusion detection и Enable IP routing. На закладке Intrusion detection следует установить флажки для всех типов атак, которые требуется обнаружить.

3. Создание фильтров IP-пакетов. Фильтры IP-пакетов пропускают или задерживают внешние запросы в системе ISA Server. Чтобы построить фильтр IP-пакетов, нужно развернуть узел Access Policy, щелкнуть правой кнопкой на папке IP Packet Filters, затем выбрать пункты New и Filter. С помощью мастера Packet Filter Wizard пользователь может выбрать имя фильтра и определить его характеристики. В ISA Server есть удобный набор, в который входит множество широко распространенных фильтров. Если нужного фильтра в списке нет, необходимо щелкнуть на кнопке Custom на экране Filter Type и задать протокол, направление трафика, локальные и удаленные порты. В случае сомнений следует воспользоваться утилитой проверки пакетов (например, Network Monitor), чтобы определить характеристики пакетов, подлежащих фильтрации.

4. Конфигурирование функций фильтрации пакетов и сквозная пересылка PPTP. С помощью диалогового окна IP Packet Filters Properties можно настраивать и другие важные параметры фильтрации и маршрутизации. На закладке Packet Filter можно настроить ISA Server для фильтрации IP-фрагментов или IP-параметров. Взломщики иногда пользуются фальшивыми IP-фрагментами для совершения атак типа DoS (Denial of Service - отказ в обслуживании).

Чтобы вывести из строя брандмауэр или внутренний узел, злоумышленники могут использовать IP-пакеты, в заголовках которых в качестве IP-параметров указаны недействительные правила обработки. ISA Server можно настроить на фильтрацию таких пакетов. Однако метод фильтрации IP-фрагментов несовместим с потоковыми технологиями из-за особенностей структуры потоковых мультимедиа-пакетов. Поэтому если нужно передавать через брандмауэр потоковые видео или аудиопакеты, IP-фрагменты фильтровать нельзя.

Настройка сквозной пересылки PPTP производится на закладке PPTP. При этом активизируется протокол GRE (Generic Routing Encapsulation), который обеспечивает связь между клиентом PPTP-туннеля за брандмауэром и внешним PPTP-сервером. Данная возможность у клиента Winsock Proxy сервера Proxy Server 2.0 отсутствует. Чтобы облегчить поиск возможных неисправностей, следует установить флажок Log packets from allow filters (регистрировать пакеты от разрешающих фильтров). Такая регистрация существенно увеличит размер журналов и нагрузку на процессор, но может оказаться очень полезной при выборе фильтров.

5. Размещение служб на системе ISA Server. В число обязанностей администратора может входить хостинг служб (например, Web, FTP, почтовых служб) на системе ISA Server или обслуживание защищенной подсети через систему ISA Server. На Экране 4 показано, как ISA Server отображает тип протокола, локальный и удаленные порты, а также направление трафика для нескольких типичных служб. Службы хостинга используют функции фильтрации пакетов и IP-маршрутизации для связи с размещаемыми службами. Хостинг отличается от метода публикации, описанного в разделе 6.

Экран 4.

Чтоб разместить службу на системе ISA Server, необходимо установить приложение на сервере и настроить фильтры пакетов на прохождение трафика из определенных портов службы на внешний адаптер системы ISA Server. Размещая службы на брандмауэре, следует соблюдать осторожность: слабые места размещенных на сервере служб делают его уязвимым.

6. Публикация служб внутреннего сервера вручную. ISA Server обеспечивает полноценный доступ из Internet к службам, работающим на внутренних серверах. После публикации служб внутреннего сервера удаленные пользователи Internet могут получить доступ к конкретной службе через внешний адаптер системы ISA Server. Благодаря публикации служб расширяется традиционная модель переадресации и отображения портов. ISA Server использует URL и порт, чтобы перенаправить пользовательский запрос на внутренний сервер. В результате публикуемый сервер становится более защищенным и уменьшается число необходимых внешних маршрутизируемых IP-адресов. Для публикации сервера в Internet достаточно выполнить несколько простых действий.

Необходимо развернуть узел сервера Publishing, щелкнуть правой кнопкой на папке Server Publishing Rules и выбрать New, Rules. Правилу следует дать имя, а затем ввести IP-адрес внутреннего сервера и внешний IP-адрес системы ISA Server. Затем из готового списка входных серверных протоколов следует выбрать сервер для публикации. Среди этих 19 протоколов - Telnet, SMTP, DNS, IMAP, POP3, Network News Transfer Ptotocol (NNTP), серверы удаленного вызового процедур (RPC) и SQL. Пользователь может определить новый протокол для входящих данных; выбранный протокол автоматически появится в списке.

Сервер, на котором реализован протокол, находится во внутренней сети, поэтому для протокола не нужно строить фильтр IP-пакетов, как при размещении службы на системе ISA Server или в защищенной подсети. Внутренний сервер должен иметь конфигурацию клиента SecureNAT. Выбираемый по умолчанию шлюз внутреннего сервера должен указывать на ISA-сервер или промежуточный маршрутизатор. Никаких других специальных настроек режима внутреннего сервера не требуется. Кроме того, в составе ISA Server есть мастера для публикации служб почтовых и Web-серверов.

Перспективы применения ISA Server

ISA Server - отличный брандмауэр и proxy-сервер, безупречно интегрированный со службами Windows 2000. Я рекомендую установить ISA Server и полностью использовать его потенциал. Помните о преимуществах функций оповещения, составления отчетов, управления качеством обслуживания (QoS) и кэша. SDK компании Microsoft для ISA Server позволит применять этот фундаментальный серверный продукт .NET для решения более специальных задач.

Джеф Фелинг - старший менеджер группы стратегических технологий в одной из Internet медиа-компаний. Он изучает и оценивает технологии, которые улучшают производительность систем и снижают затраты на ИТ. С ним можно связаться по адресу: This email address is being protected from spambots. You need JavaScript enabled to view it..