Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации

В предыдущей статье мы рассмотрели основные функции Microsoft Internet Security & Acceleration Server (ISA Server). Мы рассмотрели такие вопросы, как положение продукта в широком спектре брандмауэров, доступных на рынке, советы и процедуры по установке продукта, а также базовые настройки. В этой статье мы сосредоточимся на впечатляющем наборе решений безопасности, предлагаемых ISA Server, и на методах, позволяющих безопасно публиковать информацию о серверах во внутренней сети для внешних интернет-клиентов.
Стратегия ИТ-безопасности, включенная в ISA Server, по-видимому, направлена на удовлетворение потребности в защищенной внутренней сети как для малых предприятий, использующих несколько компьютеров и подключенных к Интернету через модем, так и для крупных корпораций с развитой сетью, использующих подключение к Интернету. как рутинная процедура. Несмотря на название продукта (Internet Security & Acceleration Server), явно подразумевающее сферу его применения, его можно эффективно использовать и во многих других ситуациях. Мы проиллюстрируем это на примере предприятия, отдельные отделы которого изолированы от потребностей пользователей, и на котором установлен ISA Server в корпоративной топологии между подсетью бухгалтерского отдела или управленческого офиса и остальной частью системы.

Конфигурация безопасности ISA-сервера

Перед началом настройки безопасности ISA Server рекомендуется определить уровень безопасности сервера. Чтобы настроить соответствующий уровень безопасности, щелкните правой кнопкой мыши значок сервера в окне:

Серверы и массивы -> Имя сервера -> Компьютеры и выберите «Безопасный…», чтобы запустить мастер.

После запуска мастера появится предупреждающее сообщение о том, что любые изменения, внесенные в настройки, нельзя отменить.

С помощью мастера доступны три уровня безопасности, поэтому на следующем шаге настройте уровень безопасности, подходящий для вашего ISA Server. При выборе параметров безопасности учитывайте в первую очередь службу, которую будет предоставлять ваш сервер, например, предназначен ли он для выполнения служб только брандмауэра или также для ролей контроллера домена или файлового сервера. В зависимости от выбора уровень доступа будет предоставлен серверу.

Таблица 1. Сценарии безопасности ISA Server

Все эти шаблоны доступны в каталоге %SystemRoot%securityTemplates. При необходимости сценарии безопасности могут быть изменены. Знающие администраторы могут попытаться создать свои собственные схемы безопасности, соответствующие требованиям, установленным в политиках ИТ-безопасности компании, и обеспечить максимальный контроль над доступом к серверу и к файлам, которые он содержит и которыми он управляет.

После завершения этих процедур схема Active Directory будет обновлена, и вам будет предложено перезагрузить компьютер.

Управление доступом на основе политик

Как и в большинстве брандмауэров, ISA Server предоставляет администратору возможность настроить подробные политики использования. Эти правила применяются как к исходящему трафику (например, локальным пользователям), так и к входящему трафику (например, внешним пользователям, удаленным работникам или потенциальным хакерам). Каждый пакет, проходящий через ISA Server, может быть записан, а затем может сопровождаться журналом с подробной информацией об использовании интернет-соединения, попытках атаки и т. д. Перед настройкой правил политики доступа необходимо определить элементы политики доступа, которым необходимо следовать. Они доступны на вкладке: Серверы и массивы -> Имя сервера -> Элементы политики.

Эти правила включают в себя:

• 
  
  Расписания — они определяют, когда действует правило. Они позволяют настроить очень гибкую политику безопасности. Например, группе пользователей может быть ограничен доступ к определенным веб-страницам в рабочее время и полный доступ в Интернет в любое другое время.
  
  
• 
  
  Приоритеты пропускной способности — для определения приоритетов сетевых подключений на основе ISA Server. Существует правило пропускной способности по умолчанию — все соединения имеют одинаковый приоритет.
  
  
• 
  
  Наборы адресатов – этот набор может содержать IP-адрес, диапазон IP-адресов, имя компьютера и конкретный путь на целевом сервере и может предоставлять доступ, например, только к следующему адресату: www.faq.net.pl/binaries. Вы можете использовать звездочку (*), чтобы указать группу всех компьютеров в домене. Например, если необходимо создать группу, охватывающую все компьютеры из домена bsi.net.pl, создайте целевой набор, содержащий «*.bsi.net.pl». Целевые наборы можно дополнительно использовать при настройке следующих элементов политики доступа: правила сайта и контента, правила пропускной способности, правила веб-публикации и правила маршрутизации.
  
  
• 
  
  Наборы клиентских адресов — клиентские наборы, содержащие диапазоны IP-адресов. Их также можно использовать при настройке следующих элементов политики доступа: правила сайта и содержимого, правила пропускной способности, правила веб-публикации, правила публикации сервера и правила маршрутизации.
  
  
• 
  
  Определения протоколов — сюда входит список предварительно настроенных определений протоколов, доступных на ISA Server, которые в дальнейшем используются для создания правил протоколов и правил публикации сервера. В дополнение к предопределенным протоколам можно создавать и использовать настраиваемые протоколы. Для создания пользовательского протокола необходимо указать следующую информацию: номер (от 1 до 65535) порта, который будет использоваться для связи, тип протокола (TCP или UDP) и направление трафика (входящий или Исходящий). Существует также параметр, называемый «вторичными соединениями», который представляет собой диапазон номеров портов, протоколов и направлений, используемых для дополнительных соединений или пакетов, следующих за исходным соединением.
  
  
• 
  
  Группы содержимого — включают группы типов файлов, разделенных на одиннадцать категорий: приложения, файлы данных приложений, аудио, сжатые файлы, документы, документы HTML, изображения, макродокументы, текст, видео и VRML.
  
  
• 
  
  Записи коммутируемого доступа — они определяют подключение между компьютером ISA Server и Интернетом (или другими серверами удаленного доступа) для коммутируемых соединений. Чтобы правильно настроить эту функцию, укажите имя подключения Windows 2000, а затем логин и пароль авторизованного пользователя.

После определения этих элементов политики можно попытаться настроить правила доступа, представленные на вкладке «Политика доступа», и включить следующие три элемента:

• 
  
  Правила сайта и контента — которые контролируют доступ к определенным целевым серверам и определенному содержимому, объектам и местоположениям,
  
  
• 
  
  Правила протокола — определяют, какой протокол клиенты могут использовать для доступа в Интернет,
  
  
• 
  
  Фильтры IP-пакетов — правила, управляющие фильтрацией пакетов.

Правила сайта и содержания

С помощью этих правил сетевой администратор определяет доступ к содержимому за пределами брандмауэра. Они включают информацию о том, может ли и когда клиент/пользователь или набор клиентов получить доступ к определенным наборам назначения.

Можно разрешить или запретить доступ в Интернет, создав соответствующие правила сайта и контента. ISA Server по умолчанию отключает использование любого протокола.

На приведенном ниже рисунке показан пример конфигурации правил, позволяющих пользователям внутренней сети получать доступ к URL-адресу: www.securitynet.pl в рабочее время (09:00–17:00).

Прежде чем пытаться настроить правила доступа, необходимо создать следующие три элемента политики доступа:

• 
  
  Наборы клиентских адресов,
  
  
• 
  
  Целевые наборы,
  
  
• 
  
  Расписания.

Все три элемента должны быть созданы с помощью мастера, который появляется после открытия меню «Элементы политики». Щелкните правой кнопкой мыши «Правила сайта и контента» и выберите «Создать», чтобы запустить мастер создания нового сайта и контента, позволяющий легко создать новый фильтр.

Мастер создания нового сайта и содержимого

1. Экран действия правила. Можно выбрать любое из двух возможных действий сервера по отношению к событию:

• 
  
  Разрешить – разрешает доступ к внешним сайтам,
  
  
• 
  
  Запретить — клиентам, использующим это определение, будет отказано в доступе к внешним сайтам. Для содержимого HTTP есть возможность перенаправить запросы на другой сервер, указав также причины, по которым невозможно получить доступ к сайту.

В этом примере будет выбран вариант Разрешить:

2. Как применить правило. Есть четыре варианта на выбор:

• 
  
  Разрешить доступ в зависимости от пункта назначения,
  
  
• 
  
  Разрешить доступ только в определенное время,
  
  
• 
  
  Разрешить некоторым клиентам доступ ко всем внешним сайтам,
  
  
• 
  
  Custom — позволяет детально определить все три параметра, содержащиеся в одном правиле доступа.

В этом примере будет выбран Пользовательский:

3. Экран «Наборы пунктов назначения». Есть три варианта на выбор:

• 
  
  Все направления,
  
  
• 
  
  Все внутренние направления,
  
  
• 
  
  Все внешние направления,
  
  
• 
  
  Заданные наборы назначения — (из раскрывающегося списка выберите набор назначения, созданный в элементах политики).
  
  
• 
  
  Все направления, кроме выбранных наборов.

В раскрывающемся списке выберите целевой набор, соответствующий адресу www.securitynet.pl.

4. Экран расписания. – определить время, когда пользователь будет иметь доступ к указанным внешним сайтам. На этом этапе выберите соответствующий вариант из раскрывающегося списка (так же, как «Наборы назначения»).

5. Экран типа клиента. Есть два варианта на выбор:

• 
  
  Любой запрос,
  
  
• 
  
  Конкретные компьютеры (наборы клиентских адресов) — необходимо указать IP-адреса компьютеров, к которым будет применяться созданное вами правило,
  
  
• 
  
  Конкретные пользователи и группы — необходимо указать пользователей из группы пользователей (через Active Directory), и будет применяться созданное вами правило.

6. Определение внешних сайтов, к которым применяется правило. В ISA Server эти сайты подразделяются на одиннадцать групп:

• 
  
  Заявление,
  
  
• 
  
  Файлы данных приложения,
  
  
• 
  
  аудио,
  
  
• 
  
  сжатые файлы,
  
  
• 
  
  Документы,
  
  
• 
  
  HTML-документы,
  
  
• 
  
  Картинки,
  
  
• 
  
  макро документы,
  
  
• 
  
  Текст,
  
  
• 
  
  Видео,
  
  
• 
  
  VRML.

Содержимое отдельных групп можно просмотреть в разделе Элементы политики -> Группы содержимого.

Щелкните правой кнопкой мыши вкладку и выберите «Создать», чтобы запустить мастер и настроить группу «Содержимое».

Укажите набор документов, доступных внешним пользователям.

Правила протокола

Протокол определяет типы интернет-соединений, которые разрешено устанавливать клиентам. При определении правил связи с внешними сетями необходимо строго придерживаться принципов конфигурации. Когда клиент запрашивает связь с определенным объектом во внешней сети, ISA Server проверяет, было ли создано правило, разрешающее связь на основе этого конкретного протокола. Если такого правила не существует или доступ к определенному протоколу запрещен, запрос будет отклонен. В противном случае сервер проверит, разрешил ли администратор пользователю доступ к этому конкретному сайту (в Правилах сайта и контента). Поскольку правила протокола и правила контента работают рука об руку, пользователю будет разрешен доступ к сайту, если оба «согласятся».

При создании правил имейте в виду, что последовательность, в которой они появляются, не имеет значения, однако правила, запрещающие протоколы, обрабатываются раньше, чем правила, разрешающие доступ. В частности, если вы настроите два конфликтующих правила, одно из которых разрешает доступ, а другое запрещает доступ по протоколу SMTP, весь SMTP-трафик будет отключен.

Также обратите внимание, что выбор «Все протоколы» означает, что будут выбраны только протоколы, указанные в определениях протоколов. Другими словами, если в сети используются какие-либо нестандартные протоколы, их необходимо добавить в определения протоколов. В противном случае даже при выборе «Все протоколы» нестандартный протокол будет отклонен.

Создание правил

Продолжая предыдущий пример, если вы хотите разрешить пользователям заходить на сайт www.securitynet.pl. Затем необходимо включить протокол HTTP.

После этого шага выполните следующие действия:

1. 
   
   Запустите мастер «Правила протокола»,
   
   
2. 
   
   Выберите конкретных пользователей для (Разрешить) или (Запретить) с помощью протокола,
   
   
3. 
   
   Выберите протокол.
   
   
   
   
   
4. 
   
   На экране «Расписание» выберите время доступа к протоколу, например, с 09:00 до 05:00. вечера
   
   
5. 
   
   Аналогично правилам сайта и контента выберите пользователей или группы компьютеров для доступа к протоколу.

После правильной настройки вышеуказанных фильтров пользователям будет разрешен доступ к сайту www.securitynet.pl.

Фильтры IP-пакетов

Последней группой фильтров, доступных для администратора Microsoft ISA Server, являются фильтры пакетов. Фильтры IP-пакетов в сочетании с маршрутизацией IP-пакетов позволяют создать безопасную сеть периметра (также известную как DMZ, демилитаризованная зона). Как и в предыдущих двух типах правил, для настройки доступен мастер.

1. 
   
   При создании IP-пакета необходимо сначала установить критерии для пакетов, передаваемых через брандмауэр:
   – Разрешить передачу пакетов,
   – Блокировать передачу пакетов.
   
   
2. 
   
   В диалоговом окне «Тип фильтра» выберите либо предопределенный фильтр, подходящий для нескольких основных целей связи, либо нажмите «Пользовательский».
   
   
3. 
   
   В в поле «Настройки фильтра» задайте следующие параметры:
   – IP-протокол
   я. Пользовательский протокол – необходимо указать номер протокола,
   II. Любой (охватывает все протоколы),
   III. ICMP,
   IV. ПТС,
   против УДП.
   - Направление
   я. Оба,
   II. Входящий,
   III. Исходящий.
   – Местный порт
   я. Все порты,
   II. Фиксированный порт,
   III. Динамические порты.
   – Удаленный порт
   я. Все порты,
   II. Фиксированный порт,
   III. Динамические порты.
   
   
4. 
   
   Укажите IP-адрес компьютера, к которому будет применяться правило. Можно выбрать один из следующих вариантов:
   – IP-адреса по умолчанию для каждого внешнего интерфейса на компьютере с ISA Server,
   – Внешний IP-адрес этого ISA-сервера,
   – Этот компьютер (в сети периметра) – (DMZ).
   
   
5. 
   
   На последнем шаге необходимо определить удаленные компьютеры или диапазон удаленных компьютеров, к которым будет применяться созданное вами правило.

Правила политики публикации

В настоящее время наличие зарегистрированного веб-сайта и электронной почты становится стандартом для всех видов бизнеса по всему миру. Многие организации решают передать сетевые услуги сторонним поставщикам услуг Интернета, предполагая, что такие услуги всегда безопасны и всегда доступны. Однако такое решение может быть несколько неудобным для пользователей. Если, например, вам нужна новая учетная запись электронной почты, следует сделать специальный запрос и отправить его провайдеру для этой услуги. Однако, похоже, именно по этой причине среди сетевых менеджеров во многих компаниях наблюдается тенденция к переносу серверов в свои корпоративные сети, но мало кто осознает, насколько опасным может быть такое решение. Сервер — будь то веб-сервер, сервер электронной почты или любой другой сервис — настолько безопасен для политики публикации, насколько системный администратор может определить порты, через которые должна проходить конкретная служба. В ISA Server правила политики публикации состоят из двух категорий правил, позволяющих безопасно публиковать информацию во внешнем Интернете:

• 
  
  Правила веб-публикации — только для публикации веб-серверов.
  
  
• 
  
  Правила публикации сервера — для публикации других веб-сайтов.

В соответствии с тенденцией Microsoft к выпуску новых продуктов процедура настройки упрощается за счет предоставления подходящих мастеров.

Есть встроенные три мастера настройки:

Мастер правил веб-публикации .

1. 
   
   Чтобы создать правило веб-публикации, щелкните правой кнопкой мыши Серверы и массивы -> Имя сервера -> Публикация -> Правила веб-публикации и в контекстном меню выберите Создать -> Правило.
   
   
2. 
   
   На следующем шаге выберите целевой набор, к которому будет применяться создаваемое вами правило. Если это веб-сервер корпоративной сети, выберите компьютер во внутренней сети, чтобы сделать его доступным для хостов.
   
   
3. 
   
   Далее необходимо настроить хосты, которые будут предоставлять запросы, которые должны регулироваться создаваемым правилом. Например, в случае веб-сервера, на котором опубликован веб-сайт организации, выберите «Любой запрос». Если это интранет-сервис, к которому будут обращаться удаленные пользователи, можно определить диапазон IP-адресов, к которым будет применяться правило, или выбрать пользователей, которым после аутентификации будет разрешен доступ к веб-серверу.
   
   
4. 
   
   На последнем шаге необходимо определить, что произойдет, когда запрос будет соответствовать указанным выше параметрам. Например, можно определить, что такой запрос будет игнорироваться, или решить, на какой сервер, расположенный за компьютером ISA Server, такой запрос будет перенаправлен. После создания этого правила любые входящие запросы, отправленные на адрес ISA Server в виде HTTP-запросов, будут перенаправлены на корпоративный веб-сервер. Это повысит безопасность, поскольку пользователям Интернета не будет разрешен прямой доступ к веб-серверу. ISA Server будет кэшировать все запросы.

Мастер безопасного почтового сервера .

1. 
   
   Чтобы настроить защищенный внутренний сервер электронной почты, на вкладке «Серверы и массивы -> Имя сервера -> Публикация -> Правила публикации сервера» щелкните правой кнопкой мыши «Защищенный почтовый сервер».
   
   
2. 
   
   На следующем шаге определите протоколы связи (входящий SMTP, исходящий SMTP, Exchange/Outlook, IMAP, POP, NNTP) и сертификат для аутентификации на сервере SSL (без шифрования или с шифрованием SSL).
   
   
3. 
   
   Далее укажите внутренний IP-адрес (из тех IP-адресов, которые принадлежат ISA Server), для перенаправления запросов на внутренний сервер.
   
   
4. 
   
   На последнем шаге необходимо указать IP-адрес внутреннего сервера (расположенного за компьютером с ISA Server) для обработки запросов, определенных в пункте 2 выше.

Естественно, нет необходимости размещать все эти сервисы на одном ISA Server, хотя Интернет знает только один IP-адрес через соединение.

Мастер новых правил публикации сервера

1. 
   
   С помощью службы публикации серверов разрешите доступ к внутреннему серверу для внешних клиентов. Чтобы начать настройку, на вкладке «Серверы и массивы -> Имя сервера -> Публикация -> Правила публикации сервера» щелкните правой кнопкой мыши «Создать -> Правило».
   
   
2. 
   
   Укажите два IP-адреса, один для IP-сервера во внутренней сети (IP-адрес внутреннего сервера) и один для IP-адреса ISA-сервера, который будет виден внешним интернет-клиентам, для которых будет доступна созданная вами служба..
   
   
3. 
   
   На последнем этапе необходимо определить протокол, которому будут следовать внешние интернет-клиенты при доступе к внутреннему серверу, расположенному за брандмауэром. Из меню по умолчанию в раскрывающемся списке можно выбрать любой фильтр, который предопределен на вкладке «Правила протокола» и помечен как «Входящие» на вкладке «Направление».

Как видно из приведенных выше соображений, ISA Server имеет расширенный набор фильтров для соответствия определенным типам трафика между внутренней сетью и Интернетом. Он также предоставляет подробную структуру конфигурации для протоколов, типов файлов, времени доступа к серверу и правил пропускной способности. Однако, в отличие от других брандмауэров, ISA Server гораздо более проницателен с точки зрения функциональности. После установки даже начинающий администратор может защитить ISA Server от вредоносных атак из Интернета. Конечно, есть одна загвоздка: сам ISA-сервер, установленный внутри, должен быть хорошо защищен, т. е. операционная система, на которой он работает, должна быть защищена от внешних атак, иначе хакер может получить доступ к ресурсам локальной сети.