Настройка ISA 2004 в качестве брандмауэра периметра сегмента сетевых служб. Часть 1. Принципы проектирования сети периметра и рекомендации
Брандмауэр ISA может играть несколько ролей: внешний брандмауэр, который находится перед всей компанией, внутренний брандмауэр, расположенный за другим пограничным брандмауэром, который может быть брандмауэром ISA или другим типом брандмауэра, или сетевой брандмауэр периметра, который изолирует важные сетевые серверы и службы от остальной части сети. Именно на последней конфигурации мы сосредоточимся в этой статье.
Несмотря на бросающиеся в глаза заголовки о смерти DMZ или скорой кончине зон сетевой безопасности, факт заключается в том, что нам, живущим в окопах, все еще нужно жить с текущей реальностью, когда необходимо определить сетевые периметры, чтобы обеспечить контроль доступа на хостах, соединяющихся с другими хостами, принадлежащими к другой зоне безопасности. И хотя защита доступа к сети (NAP, как ожидается, будет реализована в Longhorn/Vista) и изоляция домена на основе IPSec обещают многообещающие решения, существуют и будут возникать значительные технологические препятствия, которые необходимо преодолеть, прежде чем эти методологии станут широко применимыми. использовать.
Вместо того, чтобы провозглашать смерть демилитаризованной зоны, эксперты по безопасности должны громко призывать к усилению периметризации. Вы значительно улучшите позицию безопасности своей сети, сгруппировав хосты в разные зоны безопасности и разместив между этими зонами брандмауэры и другие устройства сетевой безопасности, которые обеспечивают строгий контроль доступа при обмене данными между этими зонами.
В этой статье мы рассмотрим требования и процедуры, связанные с созданием сегмента сетевых служб, отделенного от остальной части корпоративной сети брандмауэром ISA. Вы можете установить брандмауэр ISA перед сетевыми службами, расположенными в сегменте служб, чтобы помочь защитить эти критические сетевые службы от неблагоприятного воздействия эпидемий, происходящих в других сегментах сети.
Ключевой концепцией здесь является то, что разрешены только необходимые соединения в сегменте сетевых служб и из него; все остальные коммуникации заблокированы. В дополнение к ограничению обмена данными только теми хостами и протоколами, которые необходимы для доступа, мы будем использовать усовершенствованные механизмы проверки пакетов с отслеживанием состояния и прикладного уровня брандмауэра ISA, чтобы помочь защитить соединения, разрешенные для сегмента сетевых служб.
Параметры конфигурации сегмента сетевых служб
Как и в случае со всеми устройствами сетевой безопасности, и особенно с сетевыми брандмауэрами, не существует такой вещи, как «один размер подходит всем», когда дело доходит до конфигурации. Ничто не заменит понимание того, как работает ваш брандмауэр и как его настроить в соответствии с конкретными требованиями вашей организации.
Есть два сценария, которые мы должны рассмотреть, прежде чем переходить к пошаговому примеру настройки сегмента сетевых служб за брандмауэром ISA. Вот эти сценарии:
- Маршрутизатор LAN отделяет брандмауэр ISA от остальной части корпоративной сети.
- Маршрутизатор LAN не отделяет брандмауэр ISA от остальной части корпоративной сети.
Несмотря на то, что существуют вариации второй темы, мы надеемся, что обсуждение этих двух сценариев прояснит ваши параметры конфигурации, когда в вашей сети нет маршрутизатора локальной сети.
Сценарий 1: Маршрутизатор LAN между ISA Firewall и корпоративной сетью
Представление сценария 1 высокого уровня показано на рисунке ниже. В этом сценарии между брандмауэром ISA и остальной частью сети есть маршрутизатор LAN. Между всеми внутренними сетями, расположенными за пограничным брандмауэром ISA, существуют отношения маршрутизации. NAT используется только для связи с Интернетом.
В этом сценарии хосты в корпоративной сети перед периметром сетевых служб брандмауэра ISA используют шлюз по умолчанию, который является локальным адресом маршрутизатора локальной сети. Маршрутизатор локальной сети настроен на маршрут последней инстанции (который позволяет ему получить доступ в Интернет), который является внутренним адресом на пограничном брандмауэре ISA. Маршрутизатор LAN настроен с записью в таблице маршрутизации, которая предоставляет маршрут к идентификатору сети, расположенному за брандмауэром ISA firewall сети периметра сетевых служб.
Когда пользователь делает запрос к серверу в сегменте сетевых служб, расположенном за периметром сетевых служб брандмауэра ISA, запрос перенаправляется на адрес шлюза клиента по умолчанию, так как соединение осуществляется с нелокальной (удаленной) сетью. Затем пакет пересылается на основе записи в таблице маршрутизации на маршрутизаторе локальной сети на IP-адрес внешнего интерфейса брандмауэра ISA периметра сетевых служб, а затем брандмауэр ISA периметра сетевых служб направляет запрос на сервер в сегменте сетевых служб..
Путь запроса показан черными стрелками. Путь ответа показан красными стрелками. Сервер в сегменте служб отправляет ответ своему шлюзу по умолчанию, который является IP-адресом на внутреннем интерфейсе брандмауэра ISA по периметру сегмента сетевых служб. Ответ направляется непосредственно клиенту, делающему запрос, поскольку брандмауэр ISA знает все идентификаторы сетей, к которым он напрямую подключен. Ответ не передается маршрутизатору локальной сети, а затем обратно клиенту. Обратите внимание, что пути запроса и ответа не совпадают.
фигура 1
На рисунке ниже показаны пути запросов и ответов для подключений к Интернету. Обратите внимание, что в этом случае пути запроса и ответа совпадают.
фигура 2
Сценарий 2: Нет маршрутизаторов локальной сети
Теперь давайте рассмотрим сценарий 2, где между брандмауэром ISA и остальной сетью нет маршрутизатора. В этом случае клиенты в корпоративной сети используют внутренний интерфейс пограничного брандмауэра ISA в качестве своего адреса шлюза по умолчанию. Пограничный брандмауэр ISA настроен с записью в таблице маршрутизации, информирующей пограничный брандмауэр ISA о правильном маршруте к сети с идентификатором 10.0.0.0/24. Брандмауэр ISA перенаправляет соединение на IP-адрес внешнего интерфейса периметра сетевых служб брандмауэра ISA, который затем направляет соединение на сервер в сегменте сетевых служб.
Ответ от сервера в сегменте сетевых служб перенаправляется на адрес шлюза сервера по умолчанию, который является IP-адресом на внутреннем интерфейсе периметра сетевых служб брандмауэра ISA, который, в свою очередь, перенаправляет ответ непосредственно на клиентскую машину, выполнившую запрос. запрос. Обратите внимание, что пути запроса и ответа не совпадают. Этот сценарий работает, потому что брандмауэр ISA обрабатывает трафик, о котором ему известно, и не имеет дело с ответным трафиком на соединения, о которых он не знает. Это станет ясно на следующем рисунке.
Рисунок 3
ISA Firewall Stateful Packet Inspection и пути запроса/ответа
На рисунке ниже показан сценарий, в котором системе в сегменте сетевых служб необходимо инициировать подключение к хосту в корпоративной сети. Сервер управления сетью в сегменте сетевых служб устанавливает соединение с рабочей станцией в корпоративной сети перед периметром сетевых служб брандмауэра ISA.
Соединение сначала направляется на внутренний интерфейс брандмауэра ISA firewall периметра сетевых служб, так как это шлюз по умолчанию для сервера управления сетью. Затем соединение отправляется непосредственно на рабочую станцию, потому что брандмауэр ISA знает обо всех сетях, к которым он напрямую подключен. Другими словами, брандмауэр ISA может выполнять широковещательную рассылку ARP, чтобы получить MAC-адрес рабочей станции и отправить запрос непосредственно на эту рабочую станцию.
Проблема возникает, когда рабочая станция пытается ответить серверу управления в сегменте сетевых служб. Поскольку IP-адрес назначения сервера управления находится в сети , удаленной от сетевого идентификатора рабочей станции, рабочая станция отправляет ответ на свой шлюз по умолчанию, который является внутренним интерфейсом пограничного брандмауэра ISA. Ответный трафик блокируется брандмауэром ISA, потому что клиент отправляет сообщение SYN-ACK обратно серверу управления, но брандмауэр ISA никогда не «видел» сообщение SYN от сервера управления рабочей станции. Поскольку брандмауэр ISA является брандмауэром с контролем состояния пакетов, он отбрасывает SYN-ACK, потому что он не связан с предыдущим SYN.
Рисунок 4
Есть несколько способов решить эту проблему:
- Убедитесь, что никакие серверы в сегменте сетевых служб за периметром брандмауэра ISA никогда не нуждаются в создании новых исходящих TCP-соединений с хостами в корпоративной сети перед периметром сетевых служб брандмауэра ISA. Это означает, что вы не только не можете размещать серверы, выполняющие исходящие соединения, через периметр сетевых служб брандмауэра ISA, но также не можете использовать протоколы, в которых клиенты устанавливают первичные соединения с серверами в сегменте сетевых служб и требуют вторичных соединений от серверов в сети. сегмент услуг.
- Установите маршрутизатор LAN между брандмауэром ISA и остальной частью корпоративной сети.
- Поместите маршрутизатор LAN между сегментом сетевых служб по периметру брандмауэра ISA и остальной частью сети.
- Создайте записи в таблице маршрутизации на хостах, расположенных в корпоративной сети перед периметром сетевых служб брандмауэра ISA, чтобы они знали адрес шлюза для доступа к сегменту сетевых служб, который в данном случае будет IP-адресом на внешнем интерфейсе брандмауэра ISA. периметр сетевых служб брандмауэр ISA
- Используйте несколько сетевых адаптеров на брандмауэре ISA и разместите сегмент сетевых служб в сети брандмауэра ISA, связанной с одним из сетевых адаптеров. Это позволяет избежать маршрутизации и сети с проблемой сети.
В большинстве корпоративных сетей установлены маршрутизаторы LAN, поэтому этим организациям несложно создать соответствующие записи в таблице маршрутизации для поддержки этого сценария. Для небольших организаций, в которых нет маршрутизаторов LAN, вы можете получить полную поддержку подключений к сегменту сетевых служб и из него, автоматизировав записи таблицы маршрутизации на хостах корпоративной сети, расположенных перед периметром брандмауэра ISA firewall сегмента сетевых служб. Вы можете использовать сценарий входа в систему для ввода этих записей таблицы маршрутизации на клиентах с помощью команды route add –p.
Несколько ведомственных сетей/зон безопасности, подключенных к магистральной сети
Обратите внимание, что эти проблемы специфичны для сети в сетевой конфигурации и когда есть клиентские системы, находящиеся «в подсети» с брандмауэром ISA, к которым необходимо получить доступ с хоста в удаленной подсети, являющейся частью той же сети брандмауэра ISA. Это не проблема, когда у вас настроена магистральная сеть, а все клиенты и серверы находятся за брандмауэрами ISA.
Например, рассмотрим сеть на рисунке ниже. В этом сценарии мы не сталкиваемся с подобными проблемами, потому что в магистральной сети нет хост-систем и, следовательно, нет хост-систем, которые находятся «в подсети» внутреннего интерфейса пограничного брандмауэра ISA. Все брандмауэры ISA содержат записи в таблице маршрутизации, направляющие их к внешнему интерфейсу соответствующего брандмауэра ISA для доступа к соответствующим сетевым идентификаторам, расположенным за любым конкретным брандмауэром ISA. Хосты за каждым брандмауэром ISA используют внутренний интерфейс своего локального брандмауэра ISA в качестве шлюза по умолчанию, а записи таблицы маршрутизации на брандмауэре ISA направляют соединение к правильному внешнему интерфейсу брандмауэра ISA.
Обратите внимание, что в этом сценарии мы предполагаем отношения маршрута между всеми сетями брандмауэра ISA, хотя сочетание отношений маршрута и NAT также будет работать и потенциально может упростить записи в таблице маршрутизации, поскольку сегменты, использующие отношения NAT, не требуют таблицы маршрутизации. записи на брандмауэре ISA для доступа к адресам за NAT — ответчику нужно только достичь IP-адреса на внешнем интерфейсе брандмауэра ISA, отправляющего соединение, а в сценарии магистральной сети все внешние интерфейсы, вероятно, находятся на одном и том же идентификатор сети.
Рисунок 5
Обратите внимание, что для того, чтобы эта конфигурация работала наиболее эффективно, каждый брандмауэр ISA требует соответствующих записей в таблице маршрутизации. Однако это требование можно было бы обойти, если бы каждый брандмауэр ISA использовал пограничный брандмауэр ISA в качестве шлюза по умолчанию, а пограничный брандмауэр ISA содержал соответствующие записи в таблице маршрутизации. Это решение потенциально может работать, но производительность будет ужасной, поскольку пограничный брандмауэр ISA будет маршрутизировать соединения между всеми сетевыми идентификаторами в корпоративной сети.
Пример проектирования сети и сети периметра для этой серии статей
В этой серии статей мы будем использовать пример сети, показанный на рисунке ниже. Шлюзом по умолчанию для всех серверов в сегменте сетевых служб будет IP-адрес внутреннего интерфейса периметра сетевых служб брандмауэра ISA. Шлюзом по умолчанию для всех хостов корпоративной сети, содержащих клиентские системы, является IP-адрес внутреннего интерфейса пограничного брандмауэра ISA. Клиентские системы настроены с записью в таблице маршрутизации, которая перенаправляет соединения с идентификатором сети 10.0.0.0/24 на IP-адрес внешнего интерфейса периметра сетевых служб брандмауэра ISA.
Рисунок 6
В сегменте сетевых служб расположены файловый сервер Windows 2000 и сервер Exchange 2003. Exchange Server также является контроллером домена, DNS-сервером, WINS-сервером, DHCP-сервером, сервером сертификатов и RADIUS-сервером. Мы создадим правила доступа, которые разрешат подключения ко всем сетевым службам на сервере Exchange, а также к файловым ресурсам на файловом сервере. Файловый сервер будет размещать установочные файлы клиента брандмауэра, чтобы мы могли избежать использования протоколов обмена файлами с какой-либо локальной хост-сетью брандмауэра ISA. Периметр сетевых служб брандмауэра ISA уже присоединен к домену.
В статьях, следующих за этой, вы выполните следующие процедуры:
- Создайте сеть брандмауэра ISA, представляющую корпоративную сеть на периметре сетевых служб брандмауэра ISA.
- Создайте сетевое правило на периметре сетевых служб брандмауэра ISA, которое устанавливает отношение Route между корпоративной сетью и сетью сетевых служб.
- Создайте правило доступа к внутридоменной связи на периметре сетевых служб брандмауэра ISA, которое разрешает хостам корпоративной сети доступ к контроллеру домена в сегменте служб для внутридоменной связи, и правило публикации DNS-сервера, которое включает фильтр проверки уровня приложения DNS.
- Создайте правила доступа, контролирующие исходящий доступ из сегмента сетевых служб на периметре ISA Firewall
- Создание правил доступа к сетевым службам на периметре сетевых служб брандмауэра ISA, позволяющих клиентам получать доступ к сетевым службам (OWA, Outlook MAPI, SMTP, POP3, IMAP4, файловые ресурсы)
- Создайте запись в таблице маршрутизации на пограничном брандмауэре ISA, указав путь к идентификатору сети сегмента сетевых служб.
- интерфейсный брандмауэр ISA к домену
- Создайте запись в таблице маршрутизации для сетевых клиентов (требуется только в том случае, если маршрутизаторы локальной сети не установлены), предоставляя информацию о маршруте для достижения идентификатора сети сегмента сетевых служб.
- Присоединить сетевых клиентов к домену
- Создайте запись wpad в DNS, чтобы включить автообнаружение для клиентов брандмауэра и веб-прокси.
- Настройте параметры клиента брандмауэра на пограничном брандмауэре ISA (включая настройку клиента веб-прокси).
- Установите общий ресурс клиента брандмауэра на файловом сервере сегмента сетевых служб.
- Установите клиент брандмауэра на сетевых клиентах
- Подключить клиентов корпоративной сети к ресурсам в сегменте сетевых служб и в Интернете.
Резюме
В этой статье мы рассмотрели вопросы и концепции, связанные с использованием брандмауэра ISA в качестве брандмауэра периметра сегмента сетевых служб. Мы обсудили проблемы, связанные с маршрутизацией подключений к удаленным сетевым идентификаторам, и то, как эти проблемы взаимодействуют с функцией проверки пакетов брандмауэра ISA с отслеживанием состояния. Были обсуждены несколько сценариев и варианты маршрутизации, доступные в каждом сценарии. Мы закончили статью описанием примера сети, которая будет использоваться в оставшейся части этой серии статей. В последующих статьях этой серии будут рассмотрены процедуры, необходимые для завершения решения, и подробно обсуждены причины, лежащие в основе решений о конфигурации, принимаемых на каждом этапе.