- Пакетные фильтры
- Слушатели веб-прокси
- Правила сайта и содержания
- Правила протокола
- Правила публикации
- Оповещения
- логирование
- Фильтры приложений
- LDT/Ш.Т.
- VPN
Пакетная фильтрация Фильтрация пакетов должна быть включена на ISA Server. Если вы не включите фильтрацию пакетов, все порты, открытые приложениями и службами на ISA Server, будут открыты для работы! Целью включения фильтрации пакетов на ISA Server является закрытие всех портов на внешнем интерфейсе , кроме тех, которые вы явно открыли. У вас есть возможность разрешить IP-маршрутизацию, когда включена фильтрация пакетов (фактически, вы можете включить IP-маршрутизацию, даже если фильтрация пакетов отключена, но вы никогда не захотите этого делать). IP-маршрутизация — это несколько неправильное название, когда речь идет о перемещении пакетов между Интернетом и внутренней сетью. Причина этого в том, что все хосты LAT должны использовать NAT для доступа в Интернет. Несмотря на то, что NAT считается протоколом маршрутизации, пакеты не направляются напрямую из Интернета во внутреннюю сеть, поэтому вам не нужно беспокоиться о прямой маршрутизации интернет-пакетов во внутреннюю сеть. Однако IP-маршрутизация позволяет исходящим пакетам, отличным от TCP/UDP, перемещаться из внутренней сети. IP-маршрутизация должна быть включена, чтобы разрешить PPTP (который использует пакеты GRE протокола IP 47) и ICMP через ISA Server. Проблема с разрешением IP-маршрутизации для этих протоколов заключается в том, что у вас нет никакого контроля доступа к маршрутизации этих пакетов. Если вы включите IP-маршрутизацию, у всех будет доступ к исходящим протоколам, отличным от TCP/UDP (до тех пор, пока для их поддержки установлен фильтр пакетов). Это поднимает вопрос о слабости безопасности пакетных фильтров и о том, почему вы никогда не используете пакетные фильтры для управления исходящим или входящим доступом, если они вам действительно не нужны. Всегда используйте правила протокола и правила публикации для управления исходящим и входящим доступом. Вы также должны включить фильтрацию IP-параметров и IP-фрагментов. Один из самых популярных сегодня эксплойтов в Интернете — обход защиты брандмауэра за счет использования фрагментированных пакетов. Однако, если вы отфильтруете IP-фрагменты, вы обнаружите, что некоторые мультимедиа будут работать некорректно. Джим Харрисон сообщил мне, что потоковая передача более 100 КБ особенно подвержена сбоям, если включена фильтрация фрагментов. В этом отношении должно быть некоторое улучшение с пакетом обновления 1 (SP1), который позволяет использовать более крупные пакеты UDP. Обязательно протестируйте свое приложение, чтобы убедиться, что оно работает с включенной фильтрацией фрагментов. Фильтрация параметров IP всегда должна быть включена. Это предотвращает атаки пакетов с маршрутизацией от источника. Контрольно-пропускной пункт: - Включите фильтрацию пакетов
- Не включайте IP-маршрутизацию, если в этом нет крайней необходимости.
- Включить фильтрацию фрагментов
- Включить обнаружение вторжений
- Включить фильтрацию параметров IP
Входящие прослушиватели веб-прокси Входящие прослушиватели веб-прокси следует создавать и включать только в том случае, если вы планируете использовать правила веб-публикации для публикации веб-серверов во внутренней сети. Если вы не планируете использовать правила веб-публикации, удалите все прослушиватели службы веб-прокси. Вы можете удалить входящие прослушиватели веб-прокси, выбрав Настройка прослушивателей индивидуально для каждого IP-адреса, а затем удалив все прослушиватели, которые могут быть там. Если вы еще не создали слушателей, то список должен быть пустым. Если это так, оставьте его пустым. Если вы планируете использовать веб-публикацию, вам нужно будет использовать прослушиватели входящего веб-прокси. Вы можете принудительно аутентифицироваться на прослушивателе, если хотите, но многие предпочитают аутентифицироваться на самом веб-сервере. Тебе решать. Одна вещь, которую вы, вероятно, захотите избежать, — это аутентификация как на слушателе , так и на веб-сайте. Я говорю это, потому что с этой настройкой были проблемы, хотя они могут быть решены с пакетом обновления 1. Контрольно-пропускной пункт: - Удалите все прослушиватели входящего веб-прокси, если вы не планируете использовать правила веб-публикации.
Правила сайта и контента На автономном ISA-сервере создается правило сайта и контента по умолчанию, которое разрешает доступ ко всем сайтам и всему контенту в любое время для всех. Вы должны изменить это как можно скорее. Вы можете удалить это правило или изменить его, чтобы разрешить пользователям домена. Если вы оставите это правило как есть, у вас будет правило анонимного доступа, и все клиенты веб-прокси сначала будут использовать правило анонимного доступа. Такова природа протокола HTTP, и вы ничего не можете с этим поделать. Итак, внесите изменения в правило сайта и контента по умолчанию. Имейте в виду, что если у вас есть правило анонимного доступа, это правило всегда будет применяться перед любыми другими правилами. Например, если у вас есть правило «Запретить», которое запрещает временной группе доступ к www.hotmale.com, правило «Запретить» будет проигнорировано, поскольку правило анонимного доступа применяется первым. Однако если у вас есть правило анонимного доступа, запрещающее доступ, то правило «Запретить анонимный доступ» будет применяться до правила «Разрешить анонимный доступ». Если вы используете политики предприятия, вы заметите, что сайт и контент по умолчанию не создаются. Примечание. Если вы измените правило сайта и содержимого по умолчанию на правило, требующее проверки подлинности, у вас возникнут проблемы с серверами, на которых нет зарегистрированных пользователей. Вы можете решить эту проблему, создав набор клиентских адресов для своих серверов и разрешив вашим серверам доступ к протоколам, к которым им нужен доступ. Контрольно-пропускной пункт: - Измените правило анонимного доступа по умолчанию для сайта и контента, чтобы оно применялось к пользователям домена, или полностью удалите это правило.
Правила протокола На ISA Server не настроены правила протокола после его установки. Поскольку для исходящего доступа требуются правила протокола, исходящий доступ невозможен, пока вы их не создадите. Существует концепция безопасности, известная как принцип наименьших привилегий. Это означает, что вы должны разрешить исходящий доступ только для тех протоколов, которые вам нужны. Кроме того, вы должны получать доступ к этим протоколам только тем пользователям, которым требуется пользователь этих протоколов. Если в конкретном протоколе нет деловой необходимости, не разрешайте доступ к нему. Как узнать, какие протоколы вам нужны? Лучший способ узнать это — опросить пользователей на предмет приложений, которые им необходимы для выполнения своей работы. Затем вы можете проконсультироваться с группой безопасности в вашей организации, чтобы определить, какие протоколы требуются организации. После того, как вы определите необходимые протоколы и тех, кто должен их использовать, создайте соответствующие правила протоколов. Вы должны ежедневно просматривать журналы брандмауэра, пакетного фильтра и веб-прокси. Ваш обзор поможет определить, пытаются ли пользователи использовать неутвержденные приложения. Журналы брандмауэра особенно полезны в этом отношении, потому что приложения сообщают клиенту брандмауэра и обслуживают их имена. Если вы обнаружите, что пользователи пытаются использовать варез-приложения, такие как Napster, Kaaza и Morpheus, вы должны немедленно принять меры, так как это подвергает компанию риску. Разработайте политику использования сети и попросите высшие уровни управления подписать ее, чтобы сотрудников можно было уволить, если они нарушат корпоративную политику безопасности. Примечание. Во время тестирования ISA Server вы могли создать правила протокола All Open и фильтры пакетов. После завершения тестирования вы должны удалить эти настройки, чтобы защитить целостность вашей внутренней сети. Контрольно-пропускной пункт: - Используйте принцип наименьших привилегий
- Создайте правила протокола только для необходимых протоколов
- Ограничьте доступ к протоколам только тем пользователям, которым они необходимы
Правила публикации Правила публикации позволяют пользователям Интернета и других внешних сетей получать доступ к службам в вашей внутренней сети. Сами правила протокола не являются обязательными с точки зрения контроля доступа или защиты от вторжения из внешней сети. Если вы создаете правило протокола, которое разрешает доступ к вашим внутренним сетевым серверам, то любой, у кого есть доступ, может получить доступ к серверной службе так же, как если бы они находились во внутренней сети, обращаясь к той же службе. Правила веб-публикации позволяют вам контролировать доступ на основе пользователя. /group и клиентские наборы адресов. Правила публикации сервера позволяют вам предоставлять доступ к правилу на основе набора адресов клиента. Но как только пользователю будет разрешен вход, у него будет столько доступа, сколько вы предоставили пользователю на опубликованном сервере. Это означает, что правила публикации не снимают с вас ответственности за поддержание высокого уровня безопасности на основе хоста. Вы должны обновлять свои внутренние сетевые серверы с помощью последних исправлений безопасности, и вы должны укреплять серверы так, как если бы они были напрямую подключены к Интернету. Не думайте о правилах публикации как о мере безопасности. Воспринимайте их как удобную меру, позволяющую подключить эти серверы к вашей внутренней сети, чтобы упростить управление ими. Контрольно-пропускной пункт: - Разрешить доступ к правилам публикации только для тех, которым требуется доступ к опубликованному серверу
- Настройте опубликованный сервер, чтобы разрешить доступ только тем, кому требуется доступ к серверу.
- Защитите опубликованный сервер так, как если бы он был напрямую подключен к Интернету.
Оповещения Сервер ISA всегда публикует оповещение в журналах событий в случае активации оповещения. Оповещения — странные вещи в ISA Server. У вас есть возможность создавать новые оповещения, но вы не можете создавать новые оповещения, кроме тех, которые уже настроены на сервере! Я допускаю, что вы можете создавать новые оповещения, позволяющие выполнять дополнительные действия, но вы не можете создавать новые оповещения (по крайней мере, непрограммным способом сделать это). Тем не менее, вам следует просмотреть все оповещения, доступные в узле Оповещения. Некоторые из них более интересны, чем другие. Для более серьезных предупреждений, таких как предупреждение о вторжении, следует настроить отправку электронного письма с уведомлением о возникновении предупреждения. Если вы находитесь в среде с высоким уровнем безопасности, вам следует решить, хотите ли вы остановить службы в случае серьезного предупреждения или запустить какую-либо программу мониторинга. Жестких правил относительно оповещений не существует. Вы можете оставить конфигурацию по умолчанию без изменений, так как все включенные оповещения будут записываться в журналы событий. Контрольно-пропускной пункт: - Просмотрите доступные оповещения
- Настройте важные оповещения с ответными действиями в соответствии с корпоративными политиками безопасности.
Ведение журнала Ведение журнала всегда должно быть включено для каждой службы. Это значение по умолчанию. Вы никогда не должны отключать ведение журнала для любой из служб, потому что журналы являются вашей первой линией защиты от серьезной атаки или устранения неполадок с доступом и контролем доступа. Новые файлы журналов должны создаваться каждый день, и файлы журналов должны быть скопированы из ISA Server в безопасное место каждый день, чтобы они были доступны, если хакер или аппаратный сбой сделает невозможным их восстановление. Формат не важен, если вы не хотите использовать местное время. Затем вы должны сохранить журналы в формате файла ISA Server. Чем больше полей вы регистрируете, тем больше системных ресурсов потребуется для регистрации всех этих полей. Просмотрите поля, включенные в файлы журнала. Настройки по умолчанию хороши, и вам вряд ли понадобится их менять. Однако вы можете захотеть зарегистрировать правило № 1 и правило № 2 для устранения неполадок. По умолчанию ISA Server сохраняет последние 30 файлов журнала. Если вы создаете новый файл журнала каждый день, это позволит сохранить файлы журнала за один месяц. Возможно, вы захотите увеличить количество файлов журнала. Я храню лог-файлы за годы. Убедитесь, что вы выбрали вариант сжатия для файлов журнала, чтобы они не перегружали ваше дисковое пространство. Я настоятельно рекомендую вам приобрести диск объемом более 100 ГБ, предназначенный для хранения ваших файлов журналов. При сжатии вы сможете хранить около 200 ГБ файлов журнала. Журналы могут расти очень быстро, и вы можете сохранить журналы на расширяемом томе, чтобы при необходимости можно было легко добавить дисковое пространство. Вместе с файлами журналов идут сводки журналов. Отчеты ISA Server строятся с использованием сводок журналов. Для создания отчетов необходимо выбрать параметр «Включить отчеты». Необходимо включить параметры Включить ежедневные и ежемесячные сводки. Чтобы обеспечить наибольшую гибкость при создании отчетов, вы должны сохранить их кучу. Я сохранил ежедневные сводки за два года и ежемесячные сводки за три года. Контрольно-пропускной пункт: - Храните журналы и сводки на выделенном расширяемом диске.
- Увеличьте количество сохраняемых файлов журнала
- Ежедневно копируйте файлы журнала в безопасное место.
- Увеличьте количество сохраненных резюме
Фильтры приложений Существует ряд фильтров приложений, поставляемых с ISA Server. Некоторые из них важны для создания предупреждений безопасности. Эти фильтры: - Фильтр обнаружения вторжений DNS
- Фильтр обнаружения вторжений POP
- SMTP-фильтр
Эти фильтры прикладного уровня могут проверять часть данных прикладного уровня в пакете и предупреждать вас об определенных опасениях, связанных с безопасностью этих данных. Вы должны включить каждый из этих фильтров, а для фильтра DNS включить каждую опцию. Фильтр SMTP позволяет использовать большее количество параметров при использовании вместе с фильтром сообщений SMTP. Даже если вы не используете функцию проверки сообщений SMTP, фильтр SMTP будет проверять команды SMTP и искать условия переполнения буфера для этих команд. Фильтр SMTP отключен по умолчанию, но вы должны включить его перед подключением ISA Server к Интернету. Есть несколько законных пользователей для фильтра SOCKS, если только вы не находитесь в гибридной среде. Если вы используете среду Windows, на всех клиентах будет установлено клиентское программное обеспечение брандмауэра, и поэтому фильтр SOCKS не потребуется. Фильтр SOCKS может использоваться опасными приложениями, такими как мессенджеры, для подрыва вашей схемы безопасности. Контрольно-пропускной пункт: - Включите фильтры приложений DNS, POP и SMTP.
- Используйте средство проверки сообщений SMTP, если вам требуется обнаружение переполнений буфера команд SMTP не только по протоколу SMTP.
- Отключить фильтр SOCKS
LAT/LDT Таблица локальных адресов (LAT) определяет, какие адреса являются доверенными для ISA Server. Соединения с доверенными адресами не обрабатываются брандмауэром ISA Server. Это предотвращает бесполезную трату циклов процессора на доступ внутреннего клиента к внутренним ресурсам. Одна из самых вопиющих ошибок, которые вы можете совершить, — это попытаться «закольцевать» доступ к внутренним сетевым ресурсам через ISA Server. Эта петлевая ситуация является результатом неправильно настроенной инфраструктуры DNS, а не проблемой самого ISA Server. Никогда не включайте внешние сетевые адреса в LAT. Вы можете серьезно подорвать конфигурацию безопасности ISA Server, если введете внешние адреса в LAT. ISA Server увидит эти адреса как локальные и не будет отправлять запросы от этих клиентов механизму правил. Таблица локального домена служит той же цели, что и LAT. В LDT следует помещать только локальные домены. Если вы поместите внешние домены в LDT, доступ к внешним ресурсам в этих доменах не будет подчиняться механизму правил ISA Server. Это объясняет, почему вы можете использовать обходной путь LDT, чтобы получить Outlook Express для доступа к Hotmail. Но это следует считать нарушением безопасности. Каждый раз, когда внешний домен включается в LDT, вы ослабляете конфигурацию безопасности на ISA Server. Примечание. Вы должны добавить свой внешний домен в LDT, если вы установили внутренний DNS, чтобы избежать ужасной ошибки 14120. Контрольно-пропускной пункт: - Поместите только внутренние сетевые адреса в LAT
- Поместите в LDT только внутренние сетевые домены
- Не делайте «петлевой» доступ к внутренним сетевым ресурсам через ISA Server.
Настройки VPN ISA Server включает в себя несколько очень удобных мастеров, которые проведут вас через процесс настройки VPN-сервера и конфигурации VPN от шлюза к шлюзу. Однако имейте в виду, что единственной выполненной конфигурацией ISA Server является создание фильтров пакетов, разрешающих соединения PPTP и L2TP/IPSec. Все остальные настройки, связанные с VPN, выполняются в консоли RRAS. Если вы разрешаете VPN-подключения, вам следует настроить политики RRAS, чтобы ограничить, кто и как VPN-подключения осуществляются к вашему серверу. С помощью политик RRAS вам доступно большое количество вариантов, и вам определенно стоит потратить время на их изучение. Если вы используете PPTP, вы должны требовать сложные пароли. Уровень безопасности, предлагаемый PPTP, зависит от сложности пароля. Если ваши пользователи используют простые пароли, злоумышленнику будет относительно просто получить доступ к вашей сети через VPN-подключение. Если это вообще возможно, вы должны использовать L2TP/IPSec в качестве протокола VPN. L2TP/IPSec требует использования машинных сертификатов. Злоумышленнику может быть сложно получить доступ к сертификату машины из вашей организации. Это обеспечивает дополнительный уровень безопасности для вашего VPN-решения. Контрольно-пропускной пункт: - Используйте политики RRAS для управления доступом к вашему VPN-серверу.
- Требуйте сложных паролей, особенно если вы используете PPTP
- Как можно скорее перейдите на решение L2TP/IPSec VPN.
Заключение В этой статье мы рассмотрели то, что я считаю важными шагами, которые вы должны предпринять для защиты своего ISA Server. Имейте в виду, что ISA Server — это только один аспект вашей схемы сетевой безопасности. Также должна быть реализована безопасность на основе хоста. ISA Server не является «полным решением для сетевой безопасности». Несколько других вещей, о которых вы должны подумать с точки зрения защиты вашей сети, включают: - Контролируйте доступ к приложениям на рабочем столе с помощью групповой политики
- Регулярные проверки компьютеров на наличие неутвержденных приложений
- Политики использования сети и строгое наказание за нарушение политики
- Защитите все машины, особенно серверы, доступные для пользователей Интернета
- Используйте IPSec для всех внутренних сетевых коммуникаций.
- Требовать смарт-карты или биометрический доступ для аутентифицированного доступа
Это всего лишь несколько вещей, которые вы должны учитывать при защите вашей сети. ISA Server может многое, но не все. Ни один продукт брандмауэра не может. Но ISA Server чертовски хорошо справляется с ролью брандмауэра! Теперь перейдем к контрольному списку: - Не устанавливайте службы и приложения на ISA Server.
- Усильте ОС Windows 2000
- Всегда устанавливайте последние обновления безопасности для Win2k и ISA Server.
- Отключите все службы, которые не требуются для базовой операционной системы и ISA Server.
- Не устанавливайте ISA Server на контроллере домена, если это не выделенный домен ISA Server и лес.
- Отключить общий доступ к файлам и принтерам на внешнем интерфейсе
- Отключить клиент для сетей Microsoft на внешнем интерфейсе
- Отключить NetBIOS через TCP/IP на внешнем интерфейсе
- Измените метод разрешения неполных имен, выбрав параметр «Добавить эти суффиксы DNS (по порядку)» на вкладке «DNS» в диалоговом окне «Свойства дополнительных параметров TCP/IP».
- Определите, требует ли ваша сетевая инфраструктура включение клиента Microsoft, общего доступа к файлам и принтерам и NetBIOS на внутреннем интерфейсе. Если вам не нужны эти функции, попробуйте отключить их.
- Включите фильтрацию пакетов
- Не включайте IP-маршрутизацию, если в этом нет крайней необходимости.
- Включить фильтрацию фрагментов
- Включить обнаружение вторжений
- Включить фильтрацию параметров IP
- Удалите все прослушиватели входящего веб-прокси, если вы не планируете использовать правила веб-публикации.
- Измените правило анонимного доступа по умолчанию для сайта и контента, чтобы оно применялось к пользователям домена, или полностью удалите это правило.
- Используйте принцип наименьших привилегий
- Создайте правила протокола только для необходимых протоколов
- Ограничьте доступ к протоколам только тем пользователям, которым они необходимы
- Разрешить доступ к правилам публикации только для тех, которым требуется доступ к опубликованному серверу
- Настройте опубликованный сервер, чтобы разрешить доступ только тем, кому требуется доступ к серверу.
- Защитите опубликованный сервер так, как если бы он был напрямую подключен к Интернету.
- Просмотрите доступные оповещения
- Настройте важные оповещения с ответными действиями в соответствии с корпоративными политиками безопасности.
- Храните журналы и сводки на выделенном расширяемом диске.
- Увеличьте количество сохраняемых файлов журнала
- Ежедневно копируйте файлы журнала в безопасное место.
- Увеличьте количество сохраненных резюме
- Включите фильтры приложений DNS, POP и SMTP.
- Используйте средство проверки сообщений SMTP, если вам требуется обнаружение переполнений буфера команд SMTP не только по протоколу SMTP.
- Отключить фильтр SOCKS
- Поместите только внутренние сетевые адреса в LAT
- Поместите в LDT только внутренние сетевые домены
- Не делайте «петлевой» доступ к внутренним сетевым ресурсам через ISA Server.
- Используйте политики RRAS для управления доступом к вашему VPN-серверу.
- Требуйте сложных паролей, особенно если вы используете PPTP
- Как можно скорее перейдите на решение L2TP/IPSec VPN.
|