Фильтры проверки прикладного уровня ISA Firewall Stateful (Часть 1)
Брандмауэр ISA может выполнять как фильтрацию с отслеживанием состояния, так и проверку прикладного уровня с отслеживанием состояния. Его набор функций фильтрации с отслеживанием состояния делает его брандмауэром с отслеживанием состояния на сетевом уровне того же класса, что и любой аппаратный брандмауэр, выполняющий фильтрацию с отслеживанием состояния на сетевом и транспортном уровнях. Фильтрацию с отслеживанием состояния часто называют проверкой пакетов с отслеживанием состояния, что является немного неправильным, поскольку пакеты являются объектами уровня 3, а для оценки состояния соединения необходимо оценивать информацию уровня 4.
Однако, в отличие от традиционных аппаратных брандмауэров с отслеживанием состояния, основанных на пакетных фильтрах, брандмауэр ISA может выполнять проверку на прикладном уровне с отслеживанием состояния, что позволяет ему полностью проверять коммуникационные потоки, передаваемые им из одной сети в другую. В отличие от фильтрации с отслеживанием состояния, при которой фильтруется только информация о сети и транспортном уровне, настоящая проверка с отслеживанием состояния требует, чтобы брандмауэр мог анализировать и принимать решения на всех уровнях связи, включая самый важный уровень — прикладной.
Веб-фильтры выполняют проверку на прикладном уровне с отслеживанием состояния соединений, обрабатываемых компонентами веб-прокси брандмауэра ISA. Веб-прокси обрабатывает соединения для HTTP, HTTPS (SSL) и HTTP-туннельных FTP-соединений. Веб-фильтры разделяют HTTP-коммуникации и подвергают их воздействию механизмов проверки прикладного уровня брандмауэра ISA, примеры которых включают фильтр безопасности HTTP и фильтр аутентификации на основе форм OWA.
Фильтры приложений отвечают за выполнение проверки прикладного уровня с отслеживанием состояния протоколов, отличных от HTTP, таких как SMTP, POP3 и DNS. Эти фильтры прикладного уровня также разделяют связь и подвергают ее глубокой проверке с отслеживанием состояния на брандмауэре ISA.
Веб-фильтры и фильтры приложений могут выполнять две функции:
- Доступ к протоколу
- Безопасность протокола
Доступ к протоколу позволяет получить доступ к протоколам, требующим вторичных соединений. Сложные протоколы могут потребовать более одного соединения, либо входящего, либо исходящего через брандмауэр ISA. Клиенты SecureNAT требуют, чтобы эти фильтры использовали сложные протоколы, потому что клиент SecureNAT не обладает мощностью клиента брандмауэра. В отличие от клиента брандмауэра, который может работать вместе с брандмауэром ISA для согласования сложных протоколов, клиент SecureNAT является простым клиентом NAT брандмауэра ISA и требует помощи фильтров приложений для подключения с использованием этих сложных протоколов (таких как FTP или MMS). ).
Безопасность протокола защищает соединения, проходящие через брандмауэр ISA. Фильтры безопасности протоколов, такие как фильтры SMTP и DNS, проверяют соединения, применимые к этим фильтрам, и блокируют соединения, которые считаются выходящими за пределы безопасных параметров. Некоторые из этих фильтров блокируют подключения, которые могут свидетельствовать о переполнении буфера (например, фильтры DNS и SMTP), а некоторые из них выполняют гораздо более глубокую проверку и блокируют подключения или содержимое на основе политики (например, фильтр сообщений SMTP).
Фильтры приложений
Брандмауэр ISA включает ряд фильтров приложений. В этом разделе мы обсуждаем:
- SMTP-фильтр
- DNS-фильтр
- Фильтр обнаружения вторжений POP
- SOCKS V4 фильтр
- Фильтр FTP-доступа
- Фильтр H.323
- MMS-фильтр
- ПНМ-фильтр
- PPTP-фильтр
- RPC-фильтр
- RTSP-фильтр
SMTP-фильтр
Доступ к интерфейсу настройки фильтра SMTP брандмауэра ISA можно получить, открыв консоль управления Microsoft Internet Security and Acceleration Server 2006, раскрыв имя сервера, а затем развернув узел Configuration. Щелкните узел Надстройки. В области сведений дважды щелкните фильтр SMTP. Перейдите на вкладку Команды SMTP. (См. рис. 7.1.)
Параметры на вкладке Команды SMTP определяются компонентом фильтра SMTP. Средство фильтрации сообщений SMTP не оценивает SMTP-команды и не защищает от условий переполнения буфера. Команды в списке ограничены предопределенной длиной. Если входящее SMTP-соединение отправляет команду, длина которой превышает допустимую, соединение разрывается. Кроме того, если команды, отправленной по SMTP-каналу, нет в этом списке, она отбрасывается.
фигура 1
DNS-фильтр
Фильтр DNS брандмауэра ISA защищает DNS-сервер, опубликованный брандмауэром ISA, с помощью правил публикации сервера. Вы можете получить доступ к интерфейсу настройки страницы настройки предотвращения атак DNS-фильтра в диалоговом окне «Обнаружение вторжений». Разверните имя сервера, а затем разверните узел Конфигурация. Щелкните узел Общие.
В области сведений щелкните ссылку Включить обнаружение вторжений и обнаружение DNS-атак. В диалоговом окне «Обнаружение вторжений» перейдите на вкладку «Атаки на DNS». На вкладке DNS-атаки установите флажок Включить обнаружение и фильтрацию DNS-атак.
фигура 2
Как только обнаружение включено, вы можете включить предотвращение. Вы можете защитить себя от трех атак:
- Переполнение DNS-имени хоста
- Переполнение длины DNS
- Передача зоны DNS
Атаки переполнения имени хоста DNS и переполнения длины DNS относятся к атакам типа «отказ в обслуживании» (DoS) DNS. Атака DNS DoS использует разницу в размерах между DNS-запросом и DNS-ответом, при котором вся полоса пропускания сети используется поддельными DNS-запросами. Злоумышленник использует DNS-серверы в качестве «усилителей» для умножения DNS-трафика.
Злоумышленник начинает с отправки небольших DNS-запросов на каждый DNS-сервер, которые содержат поддельный IP-адрес предполагаемой жертвы. Ответы, возвращаемые на небольшие запросы, намного больше, поэтому, если одновременно будет возвращено большое количество ответов, ссылка станет перегруженной и произойдет отказ в обслуживании.
Одно из решений этой проблемы заключается в том, чтобы администраторы настраивали DNS-серверы так, чтобы они отвечали «отказным» ответом, который намного меньше, чем ответ разрешения имени, когда они получают DNS-запросы из подозрительных или неожиданных источников.
Подробную информацию о настройке DNS-серверов для предотвращения этой проблемы можно найти в информационном бюллетене J-063 Министерства энергетики США о возможностях компьютерных инцидентов, доступном по адресу www.ciac.org/ciac/bulletins/j-063.shtml.
Фильтр обнаружения вторжений POP
Фильтр POP Intrusion Detection защищает серверы POP3, которые вы публикуете с помощью правил публикации серверов брандмауэра ISA, от атак переполнения буфера служб POP. Для фильтра обнаружения вторжений POP нет интерфейса настройки.
Фильтр SOCKS V4
Фильтр SOCKS v4 используется для приема запросов на подключение SOCKS версии 4 от приложений, написанных в соответствии со спецификацией SOCKS версии 4. Операционные системы Windows никогда не должны использовать фильтр SOCKS, потому что вы можете установить клиент брандмауэра на эти машины для прозрачной аутентификации в брандмауэре ISA и поддержки сложного согласования протокола.
Для хостов, которые нельзя настроить в качестве клиентов брандмауэра, таких как хосты Linux и Mac, вы можете использовать фильтр SOCKS v4 для их поддержки. Фильтр SOCKS v4 по умолчанию отключен. Чтобы включить фильтр, откройте консоль управления Microsoft Internet Security and Acceleration Server 2006, разверните имя сервера, а затем разверните узел Конфигурация. Щелкните узел Надстройки. В области сведений щелкните правой кнопкой мыши фильтр SOCKS V4 и выберите Включить.
Вам нужно будет настроить фильтр SOCKS V4 для прослушивания в определенных сетях, для которых вы хотите, чтобы он принимал соединения. Дважды щелкните фильтр SOCKS V4. В диалоговом окне «Свойства фильтра SOCKS V4» щелкните вкладку «Сети». На вкладке «Сети» вы можете настроить порт, на котором фильтр SOCKS прослушивает клиентские подключения SOCKS. Далее поставьте галочку в чекбоксе рядом с сетью, для которой вы хотите, чтобы фильтр SOCKS принимал соединения. Нажмите «Применить», а затем нажмите «ОК».
Рисунок 3
Фильтр SOCKS v4 поддерживает клиентские приложения SOCKS v4.3. Фильтр SOCKS — это универсальный фильтр сокетов, который поддерживает все клиентские приложения, предназначенные для поддержки спецификации SOCKS v4.3. Фильтр SOCKS выполняет обязанности, аналогичные выполняемым клиентом брандмауэра. Однако между работой SOCKS и клиента брандмауэра есть существенные различия:
- Клиент брандмауэра представляет собой универсальное клиентское приложение Winsock Proxy. Все приложения, разработанные в соответствии со спецификацией Windows Sockets, будут автоматически использовать клиент брандмауэра.
- Фильтр SOCKS поддерживает приложения, написанные в соответствии со спецификацией SOCKS v4.3.
- Когда клиент брандмауэра установлен на клиентской машине, все приложения Winsock автоматически используют клиент брандмауэра, и учетные данные пользователя автоматически отправляются на брандмауэр ISA. Кроме того, клиент брандмауэра будет работать со службой брандмауэра ISA для управления сложными протоколами, требующими вторичных соединений (таких как FTP, MMS и многие другие).
- Клиент SOCKS должен быть настроен для каждого приложения отдельно. Каждое приложение должно быть явно настроено на использование брандмауэра ISA в качестве сервера SOCKS. Когда приложение настроено на использование брандмауэра ISA в качестве сервера SOCKS, фильтр SOCKS будет управлять сложными протоколами для клиентского приложения SOCKS.
- Фильтр SOCKS 4.3a, входящий в состав брандмауэра ISA, не поддерживает аутентификацию. В SOCKS 5 появилась возможность аутентификации клиентского приложения, которое пытается получить доступ к содержимому через прокси-сервер SOCKS.
Я всегда рекомендую вам использовать клиент брандмауэра из-за впечатляющих преимуществ, которые он предоставляет, позволяя вам аутентифицировать все соединения Winsock, сделанные через брандмауэр ISA. Тем не менее, SOCKS является хорошим вторым вариантом, когда вы не можете установить клиент брандмауэра.
Фильтр FTP-доступа
Фильтр FTP-доступа используется для передачи FTP-подключений между клиентами защищенной сети и FTP-серверами в Интернете, а также между внешними хостами и опубликованными FTP-серверами. Фильтр FTP-доступа поддерживает FTP-соединения в режимах PASV и PORT (пассивном и стандартном).
Фильтр FTP-доступа требуется для клиентов SecureNAT, поскольку FTP использует вторичные соединения для FTP-соединений в режиме PORT. FTP — это сложный протокол, который требует исходящих подключений от клиента FTP в режиме PORT и новых вторичных входящих подключений от FTP-сервера. В то время как клиент брандмауэра не требует поддержки фильтра приложений для вторичных подключений, клиенты SecureNAT требуют поддержки фильтра уровня приложений, поэтому команда разработчиков брандмауэра ISA включила фильтр приложений FTP Access.
Если вы планируете поддерживать подключения FTP-клиентов в режиме PORT, убедитесь, что IP-маршрутизация включена на брандмауэре ISA (настройка по умолчанию). Когда IP-маршрутизация включена, вторичные соединения обрабатываются в режиме ядра, а не в пользовательском режиме. Эта обработка вторичных подключений в режиме ядра (которые представляют собой передачу данных с FTP-сервера на FTP-клиент) значительно повысит производительность.
Stefaan Pouseele, ISA Server MVP, написал прекрасную статью о протоколе FTP и о том, как FTP бросает вызов безопасности брандмауэра. Ознакомьтесь с его статьей «Как протокол FTP бросает вызов безопасности брандмауэра ».
Для фильтра FTP-доступа нет интерфейса настройки. Однако, если есть правило доступа, которое применяется к FTP-соединению, меню правой кнопки мыши на правиле доступа позволит вам настроить FTP. Опция «Настроить FTP» позволяет вам контролировать, разрешена ли загрузка FTP.
Фильтр H.323
Фильтр H.323 используется для поддержки соединений H.323 через брандмауэр ISA. Чтобы настроить фильтр H.323, откройте консоль управления Microsoft Internet Security and Acceleration Server 2006 и разверните имя сервера. Затем разверните узел Конфигурация и щелкните узел Надстройки. Дважды щелкните запись фильтра H.323 в области сведений.
В диалоговом окне «Свойства фильтра H.323» щелкните вкладку «Управление вызовами». Доступны следующие параметры:
- Используйте этот гейткипер
- Используйте поиск шлюза DNS и LRQ для разрешения псевдонимов
- Разрешить звук
- Разрешить видео
- Разрешить T120 и общий доступ к приложениям
Откройте вкладку Сети. На вкладке «Сети» поставьте галочку в чекбоксе слева от сетей, в которых вы хотите, чтобы фильтр H.323 принимал запросы на подключение.
Фильтр MMS
Фильтр MMS поддерживает соединения Microsoft Media Services через брандмауэр ISA для правил доступа и правил публикации сервера. Фильтр MMS — это фильтр доступа, который позволяет клиенту SecureNAT получать доступ к сложным протоколам и вторичным соединениям, необходимым для подключения к содержимому, размещенному в Microsoft Media Services. Клиентам брандмауэра не требуется помощь фильтра MMS для подключения к серверам MMS. Интерфейс настройки фильтра MMS отсутствует.
ПНМ-фильтр
Фильтр PNM поддерживает соединения для медиа-протокола Progressive Networks из реальных сетей. Фильтр PNM — это фильтр доступа, позволяющий клиенту SecureNAT получить доступ к сложным протоколам и вторичному соединению, необходимому для подключения к серверам Progressive Networks Media. Для фильтра PNM нет интерфейса конфигурации.
PPTP-фильтр
Фильтр PPTP поддерживает соединения PPTP через брандмауэр ISA для исходящих соединений, осуществляемых с помощью правил доступа, и входящих соединений, осуществляемых с помощью правил публикации сервера. Фильтр PPTP брандмауэра ISA отличается от фильтра PPTP ISA Server 2000 тем, что он поддерживает как входящие, так и исходящие соединения PPTP. Фильтр PPTP ISA Server 2000 поддерживает только исходящие соединения PPTP.
Фильтр PPTP требуется как клиентам SecureNAT, так и клиентам брандмауэра. Фактически, машина, расположенная в сети, защищенной брандмауэром ISA, должна быть настроена как клиент SecureNAT, чтобы использовать фильтр PPTP для подключения к серверам PPTP VPN через брандмауэр ISA. Причина этого в том, что клиент брандмауэра не является посредником для протоколов, отличных от TCP/UDP. Протокол PPTP VPN требует использования протокола Generic Routing Encapsulation (GRE) (протокол IP 47) и протокола TCP 1723. Сеанс TCP используется PPTP для управления туннелем.
Когда исходящий доступ к протоколу PPTP включен, фильтр PPTP автоматически перехватывает соединения GRE и TCP, установленные VPN-клиентом PPTP. Вам не нужно создавать правило доступа, разрешающее исходящий доступ к TCP 1723 для клиентов VPN.
RPC-фильтр
Фильтр RPC используется для передачи подключений RPC к серверам, требующим удаленных вызовов процедур (RPC) как для исходящих подключений с использованием правил доступа, так и для входящих подключений с использованием правил публикации серверов. Это включает безопасную публикацию Exchange RPC.
Для фильтра RPC нет интерфейса настройки.
RTSP-фильтр
Фильтр RTSP поддерживает подключения Microsoft Real Time Streaming Protocol через брандмауэр ISA для правил доступа и правил публикации серверов. Фильтр RTSP — это фильтр доступа, который позволяет клиенту SecureNAT получать доступ к сложным протоколам и вторичным соединениям, необходимым для подключения к содержимому, размещенному по протоколу Microsoft Real Time Streaming Protocol (например, на серверах Windows Server 2003 Microsoft Media Server). Клиентам брандмауэра не требуется помощь фильтра MMS для подключения к серверам MMS.
Для RTSP-фильтра нет интерфейса настройки.
Резюме
В этой статье мы рассмотрели фильтры проверки прикладного уровня, которые поставляются с брандмауэром ISA прямо из коробки. Мы видели, что фильтры проверки прикладного уровня могут выполнять две основные функции: они могут разрешать доступ к протоколу и могут защищать доступ к протоколу. Брандмауэр ISA включает в себя фильтры проверки прикладного уровня, которые могут выполнять оба эти действия. На следующей неделе мы рассмотрим еще один фильтр проверки прикладного уровня — фильтр веб-прокси. Тогда увидимся! -Том.
подпишитесь на рассылку обновлений статей ISAServer.org в режиме реального времени