Контрольный список безопасности ISA Server — Часть 1: Защита операционной системы и интерфейса

Опубликовано: 15 Апреля, 2023

ISA Server полностью посвящен безопасности. ISA предназначена для защиты сетевого доступа во внутреннюю сеть и из нее. Но после того, как вы выполнили все настройки, как вы узнаете, что выполнили адекватную работу по защите внутренней сети и системы, на которой работает ISA Server?


Гэри Андерсен, настоящий знаток ISA Server, спросил, могу ли я составить некий контрольный список, который администраторы ISA Server могут использовать, чтобы проверить, является ли их конфигурация безопасной. Отличная идея! Конечно, безопасность, как и красота, находится в глазах смотрящего. Некоторые люди чувствуют себя в финансовой безопасности, если у них в кармане есть 5 долларов; другие не чувствуют себя в безопасности, если у них есть 1 000 000 долларов. В этой статье я сосредоточусь на том, что я считаю безопасным.


Настройка ISA Server 2000: Создание брандмауэров для Windows 2000
 Деб и Том Шиндер


Мы сосредоточимся на трех основных областях, на которые необходимо обратить внимание при защите ISA Server:


В части 1 этой серии из двух частей мы рассмотрим безопасность операционной системы и интерфейса. Во второй части будут рассмотрены вопросы создания безопасной конфигурации ISA Server.

Примечание. Если вы не хотите читать всю предысторию, вы можете перейти ко второй части этой серии и просмотреть контрольный список безопасности в конце этой статьи.

Защита операционной системы

О защите операционной системы Windows 2000 написано много материалов. На самом деле, на эту тему есть отличная книга «Защита серверов Windows NT/2000 в Интернете» Стивена Норберга. Это отличная книга, и я рекомендую всем приобрести копию. Она очень короткая и ее можно читать за долгий вечер. Обратите внимание, что некоторые из рекомендаций, которые Норберг дает в книге, неприменимы к системам, на которых работает ISA Server, потому что они будут препятствовать правильной работе служб ISA Server.


Не устанавливайте приложения и службы на ISA Server

Правило номер один для защиты системы, на которой установлен ISA Server, состоит в том, чтобы гарантировать, что никакие другие приложения или службы не будут работать в системе, кроме самого ISA Server. Это довольно широкое утверждение, но оно отражает основную истину: чем больше сервисов или приложений работает на ISA Server, тем больше векторов атак доступно для хакеров. У каждого сервиса и приложения есть слабое место. Чем больше сервисов и приложений вы добавляете к машине с ISA Server, тем больше недостатков вы создаете.



Примеры служб и приложений, которые вам не следует размещать на ISA Server:




  • DHCP
  • DNS
  • ВЫИГРЫШИ
  • Службы сертификации
  • Службы IIS: WWW, SMTP, NNTP, FTP
  • Почтовые серверы, такие как Exchange
  • Сторонние FTP-серверы
  • Почтовые клиенты, такие как Outlook и Outlook Express
  • Веб-браузеры
  • Что-нибудь еще, что вы можете придумать, например NetMeeting

    • Единственное приложение или служба в этом списке, без которых вы не можете обойтись, — это веб-браузер. Вам, вероятно, понадобится веб-браузер для доступа к исправлениям для операционной системы или компонентов ISA Server. Однако вполне реально предположить, что вы могли бы использовать другую машину для загрузки программного обеспечения и копирования этого программного обеспечения на компакт-диск, а затем установить его с компакт-диска. Дело в том, что вы не хотите запускать что-то, что вам не нужно, на машине с ISA Server.


    Контрольно-пропускной пункт




  • Не устанавливайте службы и приложения на ISA Server.



  • Усильте ОС Windows 2000



    • Отключить встроенные приложения и службы Windows 2000




  • Оповещение


  • Клипбук


  • Компьютерный браузер


  • Распределенная файловая система


  • Факс


  • Репликация файлов


  • Служба индексирования


  • Совместное использование подключения к Интернету


  • Межсайтовый обмен сообщениями


  • Центр распространения ключей Kerberos


  • Служба регистрации лицензий


  • Мессенджер


  • Общий доступ к удаленному рабочему столу NetMeeting


  • Сеть DDE


  • Диспетчер очереди печати


  • QoS RSVP


  • Съемное хранилище


  • Беги как


  • Телнет

    • На машине могут быть запущены другие службы, которые вам не нужны. Поэкспериментируйте, отключив службы по одной или две за раз, а затем протестируйте функциональность ISA Server. В настоящее время это во многом игра проб и ошибок, потому что нет официального разъяснения Microsoft служб, необходимых для поддержки всех служб ISA Server. Как только вы найдете подходящую конфигурацию, обязательно используйте оснастку «Анализ безопасности и конфигурация», чтобы сохранить свои настройки, чтобы вы могли применить их снова, если хотите установить ISA Server на другой компьютер, или восстановить эти настройки на том же компьютере. ISA Server в случае их изменения.

    Примечание.     У пользователей SBS часто работает служба браузера, поскольку сервер SBS является контроллером домена для организации. Контроллер домена действует как главный обозреватель домена, необходимый для правильной работы службы обозревателя в многосегментной внутренней сети.


    Контрольно-пропускной пункт:




  • Отключите все службы, которые не требуются для базовой операционной системы и ISA Server.


    • Не устанавливайте ISA Server на контроллере домена






    Контрольно-пропускной пункт:




  • Не устанавливайте ISA Server на контроллере домена, если это не выделенный домен ISA Server и лес.


    • Защита интерфейсов

    внутреннийвнешний


    Настройка внешнего интерфейса





    Интерфейс


    Когда новый интерфейс устанавливается и обнаруживается Windows 2000, активируются две потенциально опасные настройки: Общий доступ к файлам и принтерам для сетей Microsoft и Клиент для сетей Microsoft. Первый позволяет машине совместно использовать ресурсы SMB/CIFS, а второй позволяет машине получать доступ к ресурсам SMB/CIFS. Эти параметры включают порты NetBIOS и/или прямого хостинга, оба из которых используются для обычного обмена файлами и доступа в сетях Microsoft. Вы определенно не хотите, чтобы эти параметры были включены.

    Примечание. Даже если вы отключите общий доступ к файлам на интерфейсе, порт прямого хостинга (TCP 445) все равно останется открытым и будет виден в ваших распечатках netstat -na. Если вы хотите полностью отменить этот порт, вы должны отключить драйвер TCP через NetBIOS (nbt.sys). Это можно сделать в апплете «Устройства», отобразив скрытые устройства и отключив запись NetBIOS через TCP/IP.

     Если дважды щелкнуть запись Интернет-протокола (TCP/IP) и перейти на вкладку WINS, появится следующее диалоговое окно:



    Значение по умолчанию — « Включить NetBIOS через TCP/IP» (несмотря на то, что об этом выборе говорится во всплывающем тексте справки). Вам следует выбрать параметр «Отключить NetBIOS через TCP/IP», так как внешний интерфейс не нужно настраивать как WINS-клиент, не нужно выдавать широковещательные рассылки NetBIOS, не нужно рассылать объявления службы браузера и не требуется доступ Ресурсы NetBIOS в Интернете. Отключение NetBIOS на внешнем интерфейсе не только сделает ваш компьютер более безопасным, но и предотвратит засорение журналов фильтрации пакетов большим количеством широковещательных записей разрешения имен NetBIOS.

    Вы также должны отключить опцию поиска LMHOSTS. Windows 2000 и все последующие операционные системы Windows будут преимущественно использовать DNS для разрешения имен компьютеров. По мере того, как мир приложений, зависящих от NetBIOS, исчезает, потребность в методах разрешения имен NetBIOS исчезает. Вам определенно не нужно, чтобы это было включено на внешнем интерфейсе ISA Server.

    Если вы нажмете на вкладку DNS, вы увидите то, что показано на следующем рисунке:



    Наш игровой гуру Джейми Пирни сообщил мне о возможной уязвимости в способе обработки неполных имен для входящих веб-запросов. По умолчанию выбран параметр «Добавлять первичные DNS-суффиксы и специфичные для подключения DNS-суффиксы». Это означает, что если внешний интерфейс получит запрос на http://www, к запросу будет добавлен основной DNS-суффикс для этого компьютера. Таким образом, если бы этот компьютер был членом домена внутренней сети corp.net, запрос разрешался бы в www.corp.net. Если правило веб-публикации включает запись для www.corp.net в свой набор назначения, запрос будет передан на этот сервер во внутренней сети.

    Проблема в том, что некоторые из NIMDA и Code Red, такие как Worms, начинают использовать www вместо IP-адреса в заголовке HTTP-запроса. Это означает, что даже если у вас нет набора адресатов для www, неквалифицированный запрос www превращается в полное доменное имя в силу настроек интерфейса DNS. После этого запросы, которые были бы отклонены ISA Server, могут стать принятыми. И это определенно не есть хорошо.

    Примечание. Это настройка по умолчанию на ISA Server. Я считаю это безумной настройкой по умолчанию, поскольку вся причина использования наборов назначения заключается в том, чтобы правила веб-публикации могли точно соответствовать тому, что содержится в заголовке HTTP, с записью набора назначения.

     Вы могли заметить, что драйвер сетевого монитора в конфигурации интерфейса. Важно, чтобы вы знали, как использовать сетевой монитор, чтобы вы могли наблюдать за диалогами, происходящими между внешним интерфейсом и узлами внешней сети. В трассировках сетевого монитора содержится много информации, которая может не только помочь вам выяснить, какие протоколы вам нужно включить, чтобы заставить работать конкретное приложение, но и определить, является ли трафик, поступающий или исходящий из внешнего интерфейса, законным или нет.

    Одно из решений — выбрать параметр «Добавить эти DNS-суффиксы (по порядку)», а затем ввести фиктивное доменное имя (например, bogus.local ). Теперь, когда этот безоговорочный запрос на www достигает внешнего интерфейса ISA Server, он становится запросом на www.bogus.local, для которого у вас наверняка нет записей ни в одном из ваших целевых наборов.

    Можно привести некоторые аргументы в пользу того, что это плохо, поскольку большинство приложений используют разрешение имен DNS преимущественно для разрешения имен. Это может привести к некоторым проблемам, если вы сделаете ISA Server контроллером домена, потому что имена NetBIOS для домена могут разрешаться в поддельный адрес. Конечно, это не проблема для нашего защищенного сервера, на котором никогда не будет установлена Active Directory. На самом деле, вы *никогда* не хотите, чтобы ISA-сервер разрешал неквалифицированные имена, поскольку даже в случае клиентов брандмауэра и веб-прокси клиентский преобразователь на хосте во внутренней сети всегда будет добавлять доменное имя к неквалифицированным запросам, и браузеры *всегда* будут настроены на обход ISA Server при выполнении неквалифицированного запроса!

    Однако лучшее решение этой проблемы — настроить ISA Server таким образом, чтобы он перестал обрабатывать неквалифицированные запросы. Внесите следующие изменения в реестр:

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3ProxyParametersSkipNameResolutionForPublishingRules: DWORD: 1

    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW3ProxyParametersSkipNameResolutionForAccessAndRoutingRules: DWORD: 1


    Контрольно-пропускной пункт:




  • Отключить общий доступ к файлам и принтерам на внешнем интерфейсе


  • Отключить клиент для сетей Microsoft на внешнем интерфейсе


  • Отключить NetBIOS через TCP/IP на внешнем интерфейсе


  • Измените метод разрешения неполных имен, выбрав параметр «Добавить эти DNS-суффиксы (по порядку)» на вкладке «DNS» в диалоговом окне «Свойства» дополнительных параметров TCP/IP.


    • Настройка внутреннего интерфейса





    Примечание. Это не проблема, если у вас настроена и работает сетевая конфигурация wpad.

    Управление ИСА





    mspclnt

    Примечание. Если вы отключите nbt.sys, NetBIOS будет полностью отключен на всех интерфейсах.

    Контрольно-пропускной пункт:




  • Определите, требует ли ваша сетевая инфраструктура включение клиента Microsoft, общего доступа к файлам и принтерам и NetBIOS на внутреннем интерфейсе. Если вам не нужны эти функции, попробуйте отключить их.


    • Резюме

    Кибер-безопасность

    РЕКОМЕНДУЕМЫЕ СТАТЬИ

    Информационная безопасность и системная IT-интеграция
    27 Июня, 2024
    Брандмауэр в ИТ-системе
    15 Апреля, 2023
    Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
    15 Апреля, 2023
    Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
    15 Апреля, 2023
    Виртуальная частная сеть
    15 Апреля, 2023
    Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
    15 Апреля, 2023
    Стратегия Microsoft в отношении .NET
    15 Апреля, 2023
    SSH
    15 Апреля, 2023