Microsoft Intelligent Application Gateway 2007 (IAG 2007), часть 2: параметры подключения IAG

На прошлой неделе мы провели краткий курс по SSL VPN, чтобы вы могли быстро освоить современное состояние решений для SSL VPN. Я думал, что это важно, потому что, если вы когда-либо пытались понять, что такое SSL VPN и что он делает, вы, возможно, разочаровались в своих усилиях. Как вы, вероятно, заметили, поставщики SSL VPN не очень прозрачны в отношении того, что они могут предложить, и надеются, что вы втянетесь в их решение, основываясь на общей «ажиотаже» SSL VPN. Это особенно верно для производителей традиционных «аппаратных» маршрутизаторов и коммутаторов, которые пытаются расширить свои рынки в областях, где у них может быть мало опыта или знаний, но которые могут использовать свою репутацию на рынке уровней 1–3.

На самом деле, то же самое было и с продуктом Whale до того, как Microsoft приобрела Whale. Whale, как и все другие игроки на рынке SSL VPN, не был в восторге от подробностей своего решения. Почему? Скорее всего, потому, что конкуренция на рынке SSL VPN была жесткой, поэтому каждый из поставщиков сделал все возможное, чтобы другим было трудно понять, что делает их решение. Whale, как и другие поставщики SSL VPN, разыграли свои карты поближе и сделали все возможное, чтобы контролировать поток информации о своем продукте, чтобы не дать конкурентам выяснить, что они делают, и скопировать функции.

Однако все значительно изменилось с тех пор, как Microsoft купила Whale. В отличие от «аппаратных» поставщиков SSL VPN, существующих сегодня, Microsoft хочет, чтобы вы знали подробности их решения. Microsoft хочет, чтобы вы знали все, что хотите знать о IAG 2007, чтобы вы могли принять обдуманное решение. Вам не нужно полагаться на аттестации «продавца» и надеяться, что продавец не накормил вас чем-то, только чтобы позже узнать, что его решение не совсем то, что вы думали. сделал бы. Благодаря IAG 2007 у вас будет полная общедоступная информация о решении, и вы сможете опробовать его самостоятельно, без необходимости заключать какой-либо договор с поставщиком, чтобы «получить коробку». "для целей оценки.

Благодаря этой философии открытости решения IAG 2007 я могу написать эти статьи о деталях IAG. В этой серии статей (которая, вероятно, будет состоять из двух или трех частей) мы достаточно подробно рассмотрим IAG 2007, который построен на базе брандмауэра ISA 2006 Standard Edition. Мы рассмотрим функции, которые включены прямо из коробки, и посмотрим, как эти функции можно использовать при создании безопасного решения удаленного доступа для вашей организации.

В этой серии мы рассмотрим следующие

Способы подключения:

• Обратный прокси-сервер расширенной проверки прикладного уровня
• Переадресатор портов и сокетов
• Сетевой разъем

Доступ к файлам

Функции безопасности:

• Брандмауэр ISA
• Стеклоочиститель навесного оборудования
• Поддержка надежного протокола аутентификации
• Проверка веб-приложений с положительной и отрицательной логикой
• Преобразование адреса хоста
• Безопасный выход из системы и тайм-ауты бездействия

Расширенная проверка соответствия конечных точек и доступ на основе политик

Методы подключения

С IAG 2007 вы не ограничены одним типом подключения, когда клиенты подключаются к VPN-шлюзу IAG 2007. IAG 2007 предоставляет вам несколько вариантов, так что вы должны предоставить тип подключения, соответствующий типу требуемого доступа к приложению. В отличие от многих других решений SSL VPN, вы не ограничены одним методом подключения.

IAG 2007 предлагает три основных метода подключения. Это:

• Обратный прокси-сервер расширенной проверки прикладного уровня
• Переадресатор портов и сокетов
• Сетевой разъем

Обратный прокси-сервер Advanced Application Layer Inspection

Обратный прокси-сервер расширенной проверки прикладного уровня, включенный в IAG 2007, похож на функцию правил веб-публикации, включенную в брандмауэр ISA. Однако между веб-публикацией брандмауэра ISA и обратным прокси-сервером расширенного уровня приложений IAG 2007 есть существенные различия. Это включает:

Улучшенный контроль прикладного уровня

Брандмауэр ISA включает фильтр безопасности HTTP прямо из коробки. Однако фильтр безопасности HTTP обеспечивает очень минимальную защиту, если только вы не настроите его на блокировку или разрешение определенных методов и создание запрещающих подписей.

Есть два основных ограничения фильтра безопасности HTTP, входящего в состав брандмауэра ISA:

1. Подписи, которые вы можете создавать, являются блочными подписями, вы не можете создавать подписи «белого списка».
2. Подписи основаны на простых строках, поэтому вы не можете использовать регулярные выражения для наиболее надежной проверки URL-адресов и данных.

Напротив, IAG 2007 поддерживает регулярные выражения (RegEx) прямо из коробки, и вы также получаете поддержку как блокирующих, так и разрешающих правил.

Положительная и отрицательная фильтрация

Фильтр безопасности HTTP с брандмауэром ISA Firewall требует от вас проделать огромный объем работы, чтобы выяснить, что является легитимным обменом данными с вашим опубликованным веб-сервером. Даже после всей работы, которую вы проделали, чтобы выяснить, какие соединения с вашим опубликованным веб-сервером являются законными, вам все равно нужно выяснить, что вам нужно заблокировать, чтобы покрыть все известные эксплойты, которые существуют «в дикой природе».

IAG 2007, напротив, имеет встроенную глубокую аналитику прикладного уровня для ряда бизнес-приложений, которые вы захотите опубликовать. Группа аналитики прикладного уровня IAG 2007 потратила тысячи часов на выяснение того, что является законным обменом данными для ряда бизнес-приложений, и включила это в механизм фильтрации прямо из коробки. Вам не нужно разбираться в этой информации самостоятельно — команда IAG 2007 сделала всю тяжелую работу за вас.

В дополнение к этой «положительной логике» (где вы разрешаете только законные соединения с вашим опубликованным веб-сервером), IAG 2007 включает множество фильтров «отрицательной логики». Фильтры отрицательной логики блокируют известные плохие сообщения, которые исходят от известных эксплойтов, уже находящихся в дикой природе. Конечным результатом является то, что фильтрация с отрицательной логикой блокирует известные плохие коммуникации, а фильтрация с положительной логикой защищает вас от атак нулевого дня.

Стандартная фильтрация поддерживает не только основные приложения Microsoft, которые вы можете опубликовать в Интернете, но и многие популярные предложения сторонних производителей. Приложения Microsoft, для которых имеется надежный встроенный интеллект уровня приложений, включают веб-службы Exchange (OWA, OMA, ActiveSync и RPC/HTTP), службы SharePoint и Microsoft CRM. В дополнение к веб-службам Microsoft есть и другие популярные приложения, такие как SAP Enterprise Portal, Webtop Documentum, Domino Web access, SecureView и многие другие. IAG 2007 предназначен для защиты подключений удаленного доступа к разнородным предприятиям.

На рисунке ниже показан пример впечатляющего интеллекта приложений и фильтрации для опубликованного сервера SharePoint.

фигура 1

Автоматическое создание портала

Одна вещь, которую делают все SSL VPN, но не делает брандмауэр ISA, это автоматическое создание портала для пользователей, чтобы они могли подключаться к вашим опубликованным приложениям. С правилами веб-публикации брандмауэра ISA пользователи должны помнить URL-адрес, по которому они подключаются к каждому опубликованному веб-серверу. Если вы опубликуете несколько приложений, пользователям придется либо запомнить URL-адреса всех этих приложений, либо, если вы настроены на благотворительность, вы можете создать страницу портала, чтобы помочь своим пользователям. Однако это требует больших затрат, и если вы не веб-программист, маловероятно, что вам это понравится.

На рисунке ниже показан пример портала, который автоматически создается IAG 2007. После создания портала вы назначаете опубликованные приложения порталу, и они появляются на странице портала. Хотя в этом разделе мы сосредоточены на публикации веб-приложений (в качестве примера функции обратного прокси-сервера IAG 2007), на рисунке видно, что на портале могут быть размещены и не-веб-приложения. Этот портал появляется только после входа пользователя в систему.

фигура 2

Настраиваемое создание портала на основе аутентификации и авторизации

Помимо создания портала, портал можно настроить на основе учетной записи пользователя, вошедшего на портал, и состояния безопасности компьютера, подключающегося к порталу. Учетная запись пользователя и сообщаемое состояние безопасности (как часть функции обнаружения конечных точек IAG 2007) действуют как ограничители (или фильтры) скорости работы портала пользователя. Возможно, вы не захотите создавать несколько порталов. IAG 2007 позволяет создать единый портал, а затем автоматически настроить доступ к приложению на основе учетной записи пользователя, членства в группе пользователей или состояния безопасности компьютера, с которого подключается пользователь.

На рисунке ниже показан пример того, как вы можете назначать приложения конкретным пользователям или группам, чтобы эти приложения могли отображаться или не отображаться на портале.

Рисунок 3

Поддержка превосходного поставщика аутентификации

ISA Firewall поддерживает ряд протоколов аутентификации, большинство из которых нацелены на домен Microsoft Active Directory для аутентификации пользователя. IAG 2007 включает поддержку тех же протоколов аутентификации, что и брандмауэр ISA, но распространяет их на других поставщиков аутентификации. Например, IAG 2007 поддерживает LDAP не только для Active Directory, но также для Notes, Netscape и Novell в дополнение к поддержке TACACS+. IAG 2007 также можно настроить для поддержки любого требуемого прикладного протокола и поставщика. Кроме того, IAG 2007 «проходит» по списку провайдеров проверки подлинности, чтобы не прекращать работу, если не удается найти совпадение с первым провайдером. Это большое преимущество, когда у вас есть такие ситуации, как слияния, когда вы пытаетесь объединить свою схему аутентификации на шлюзе.

Переадресация портов и сокетов

Вы также можете публиковать невеб-приложения через устройство IAG 2007. В отличие от правил публикации сервера, которые используются для публикации не-веб-приложений через брандмауэр ISA, IAG 2007 обеспечивает безопасный удаленный доступ с шифрованием SSL для всех не-веб-приложений. В подходе IAG 2007 к публикации серверов есть несколько серьезных преимуществ по сравнению с правилами публикации серверов ISA Firewall. Это включает:

Шифрование незашифрованных прикладных протоколов

Когда вы создаете правила публикации сервера для незашифрованных протоколов с помощью брандмауэра ISA, информация, которая перемещается между клиентом и сервером, передается через Интернет в открытом виде, и любой, у кого есть сетевой анализатор, сможет прочитать сообщения. Наиболее распространенным примером такого типа эксплойта является протокол POP3. Пользователям нравится использовать протокол POP3 для подключения к своим корпоративным почтовым ящикам с помощью различных клиентских приложений электронной почты. Сеансы POP3 не защищены, поэтому имя пользователя и пароль, а также данные будут передаваться через Интернет в открытом виде при использовании правила публикации брандмауэра ISA Server.

Напротив, при использовании шлюза IAG 2007 SSL VPN для публикации POP3 соединение между клиентом и устройством IAG 2007 защищено туннелем SSL. Злоумышленники с сетевыми снифферами не смогут перехватить имена пользователей и пароли и не смогут прочитать почту. Это справедливо для всех незашифрованных протоколов, таких как SMTP, POP3, IMAP4, RPC/MAPI, SMB/CIFS, RDP, NNTP и многих других. IAG 2007 SSL VPN обеспечивает безопасность и конфиденциальность в сценариях, где брандмауэр ISA не может этого сделать.

Предварительная аутентификация для не-веб-протоколов

Правила публикации сервера брандмауэра ISA не поддерживают предварительную аутентификацию для не-веб-протоколов. Это верно не только для брандмауэра ISA, но и для всех брандмауэров, которые предоставляют возможности переадресации портов или обратного NAT для не-веб-протоколов. Это не ограничение брандмауэра, это ограничение самих протоколов, поскольку вам нужен какой-то прокси-компонент для перехвата запросов аутентификации.

IAG 2007 решает эту проблему, предоставляя доступ не через веб-протокол через веб-прокси, чем на самом деле и является шлюз SSL VPN. Чтобы получить доступ к не-веб-протоколу, пользователь должен сначала пройти аутентификацию на шлюзе IAG 2007 SSL VPN. После успешной аутентификации пользователь может быть авторизован или не авторизован для использования не-веб-протокола, который появится на странице портала, если пользователь авторизован. Это обеспечивает предварительную аутентификацию для не-веб-протоколов, что могут делать только шлюзы SSL VPN, такие как IAG 2007.

Снижение накладных расходов на доступ в любом месте (упрощенный DNS)

Одна проблема, от которой многие администраторы брандмауэра ISA отказываются, — это создание разделенного DNS. Разделенный DNS может значительно упростить жизнь вашим пользователям, поскольку они могут использовать одно и то же имя при доступе к ресурсам независимо от своего местоположения. Когда они находятся в корпоративной сети, они используют то же имя, что и при поиске кого-либо в Интернете. Разделенный DNS — отличное решение для организаций любого размера, но я часто видел возражения, когда поднималась эта тема, потому что администраторы могли неправильно понимать DNS или их заставляли верить в неверные представления, когда дело доходит до конфигурации разделенная инфраструктура DNS.

IAG 2007 полностью устраняет требования к разделенной DNS, поскольку пользователям нужно знать только имя портала. Как только пользователи подключаются к порталу, все разрешения имен выполняются IAG 2007, так что пользователям не нужно ничего запоминать, кроме имени портала, а администраторам не нужно решать технические и политические проблемы, которые могут возникнуть при речь идет о создании разделенной инфраструктуры DNS.

Контроль приложения над доступом к сокету

Функция переадресации сокетов позволяет вам контролировать не только то, к каким портам клиентским приложениям разрешено подключаться через шлюз IAG 2007 SSL VPN, но и то, какое приложение используется для подключения к этому порту. Эта функция похожа на функциональность клиентского приложения брандмауэра ISA Firewall, где вы можете настроить доступ на основе имени образа. Недостаток подхода с использованием клиента брандмауэра заключается в том, что даже неискушенные пользователи могут легко изменить имя приложения на диске.

IAG 2007 продвигает клиентский метод управления приложениями брандмауэра еще на один шаг вперед, контролируя доступ на основе хеш-значения приложения. Например, мы хотим разрешить RPC-доступ для собственного клиента Outlook через шлюз SSL VPN, но не хотим, чтобы какое-либо другое приложение использовало RPC через шлюз. Мы можем установить политику для IAG 2007, разрешив доступ RPC через шлюз SSL VPN, но только к приложению Outlook 2003, на основе хеш-значения приложения, выполняющего вызов порта сопоставления конечных точек RPC. Это намного безопаснее, чем подход клиента брандмауэра, потому что даже если пользователь или часть вредоносного ПО изменит имя другого файла на outlook.exe, подключения приложения, отличного от Outlook, не будут работать, поскольку значение хэша не будет совпадать..

На рисунке ниже показано диалоговое окно, доступное на компьютере пользователя, показывающее соединения, сделанные переадресацией портов и сокетов.

Рисунок 4

Вы можете использовать один из двух методов для обеспечения поддержки не-веб-приложений через шлюз IAG 2007 SSL VPN:

Портовый экспедитор

Port Forwarder — это компонент SSL VPN, который прослушивает определенный локальный адрес и порт для каждого опубликованного вами приложения и заставляет приложение отправлять трафик на этот адрес, а не на адрес фактического сервера приложений. Затем клиент SSL VPN Port Forwarder туннелирует трафик в рамках SSL и отправляет его на шлюз SSL VPN. Переадресация портов является безопасной, поскольку SSL VPN шифрует туннель, содержащий незашифрованные протоколы приложений, как обсуждалось ранее. Переадресация портов поддерживает только простые приложения, не требующие вторичных подключений.

Переадресатор сокетов

Клиент Socket Forwarder SSL VPN подключается к интерфейсу поставщика услуг Microsoft Winsock и использует интерфейсы Windows LSP/NSP (поставщик многоуровневых услуг/поставщик пространства имен) для обеспечения низкоуровневой обработки. Поставщик службы имен используется для разрешения внутренних имен серверов, чтобы гарантировать, что они будут туннелироваться, а не отправляться через Интернет. Одним из основных преимуществ переадресации сокетов с точки зрения безопасности является то, что клиент переадресации сокетов SSL VPN может идентифицировать пользователя и процесс, генерирующий трафик, и устанавливать для этого соединения соответствующие параметры безопасности для конкретного приложения. Эта функция позволяет управлять конкретным приложением, о котором говорилось ранее.

Кроме того, можно избежать раздельного туннелирования за счет перехвата и перенаправления всего трафика на шлюз SSL VPN. Эта функция повышает безопасность и позволяет избежать распространенных компрометаций сети из-за того, что пользователи разрешают совместное использование подключения к Интернету на сетевом уровне. Подключение клиента SSL VPN, что является распространенным эксплойтом, используемым против многих «аппаратных» реализаций SSL VPN, где настроен клиент SSL VPN. как виртуальный адаптер режима ядра.

Сетевой разъем

В отличие от обратного прокси-сервера и перенаправления портов/сокетов, Network Connector обеспечивает настоящую связь SSL VPN. При обратном прокси-сервере и переадресации портов/сокетов виртуальное сетевое подключение отсутствует. С Network Connector у вас есть настоящее VPN-подключение SSL, которое фактически туннелирует IP-адрес внутри IP-адреса и назначает VPN-клиенту удаленного доступа действительный IP-адрес в корпоративной сети и обеспечивает сетевое подключение VPN к корпоративной сети по протоколу PPTP или L2TP/IPSec.

Сетевой коннектор реализован как сетевое устройство и отображается в окне «Сетевые устройства» на клиентском компьютере. Если сетевой соединитель включен на портале, приложение сетевого соединителя будет автоматически установлено на клиентском компьютере. Конечно, вы должны быть осторожны с тем, на каких компьютерах разрешено запускать Network Connector, так как было бы не очень хорошей идеей разрешать пользователям компьютерные киоски в аэропорту или запрещать этот уровень доступа. Вы можете использовать политики обнаружения конечных точек и безопасного доступа IAG 2007, чтобы убедиться, что только доверенные компьютеры конечных точек могут использовать сетевой соединитель.

Сетевой коннектор предоставляет следующие возможности:

• Автоопределение и ручная настройка параметров корпоративной сети, таких как WINS, DNS, DNS-суффикс
• Предоставление IP-адресов с использованием статического пула адресов или DHCP
• Раздельное управление туннелированием
• Фильтры масок протоколов для TCP, UDP и ICMP
• Поддержка клиентов Windows 2000, Windows XP и Windows Server 2003.
• Установка клиента сетевого соединителя IAG 2007 не требует перезагрузки.
• Значок сеанса предоставляет статистику и возможность отключения
• Полная функциональность индивидуальной IP-адресации

Сетевой коннектор обеспечивает полный доступ на сетевом уровне с полной поддержкой сложных протоколов, для которых может потребоваться несколько первичных и вторичных подключений. Если вам требуются сложные протоколы, такие как VoIP, которые не поддерживаются переадресацией портов или сокетов, вы можете использовать сетевой соединитель. Однако имейте в виду, что в отличие от строгого контроля доступа пользователей/групп ISA Firewall к VPN-подключениям удаленного доступа, вы не получите такого уровня контроля доступа с Network Connector. Сетевой коннектор будет действовать как типичный «аппаратный» VPN-шлюз, который пропускает через ссылку все, включая хакеров и вредоносный мобильный код. Если вам нужна строгая проверка пакетов с отслеживанием состояния и проверка прикладного уровня для VPN-подключений удаленного доступа, вам следует рассмотреть возможность использования VPN-сервера удаленного доступа PPTP или L2TP/IPSec VPN брандмауэра ISA Firewall.

Резюме

В этой статье мы рассмотрели способы подключения IAG 2007. Мы видели, что у клиентов есть три способа подключения к шлюзу IAG 2007 SSL VPN в зависимости от требований приложения: обратный веб-прокси, перенаправление портов/сокетов и через сетевой соединитель. Обратный веб-прокси работает, разрешая обратное проксирование для веб-приложений с расширенным интеллектом прикладного уровня. Переадресация портов и сокетов полезна для обеспечения контролируемого доступа к не-веб-приложениям, а сетевой коннектор предназначен для обеспечения полного доступа на уровне сети так же, как и любой другой VPN уровня сети. На следующей неделе мы поговорим о функциях доступа к файлам и безопасности, включенных в IAG 2007. До встречи! -Том.