Настройка ненадежной беспроводной DMZ на брандмауэре ISA: Часть 1: Определение инфраструктуры и настройка разделенного DNS

Настройка ненадежной беспроводной DMZ на брандмауэре ISA Firewall
Часть 1. Определение инфраструктуры и настройка разделенного DNS

Томас Шиндер, доктор медицинских наук, MVP

Есть вопросы? Перейти к:
http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=29;t=000119 и спросите!

Часть 2 этой статьи находится по адресу:
http://isaserver.org/articles/2004wirelessdmzpart2.html

На протяжении многих лет на веб-форумах и в списках рассылки ISAServer.org часто задавался вопрос о том, как настроить сегменты DMZ на брандмауэре ISA. Одним из значительных улучшений нового брандмауэра ISA (ISA Server 2004) является расширенная поддержка нескольких сетей. Вы можете настроить брандмауэр ISA с любым количеством сетевых карт, а затем использовать Политику брандмауэра ISA для управления всем трафиком между любыми двумя сетями, проходящим через брандмауэр ISA.

Одна простая реализация DMZ-сетей брандмауэра ISA включает настройку беспроводного сегмента DMZ, в котором размещены ненадежные пользователи и компьютеры. Эта конфигурация включает в себя три сетевых интерфейса на брандмауэре ISA (брандмауэр ISA может иметь больше NIC, но в этом сценарии используются только три): один интерфейс подключен к Интернету (это интерфейс со шлюзом по умолчанию), один интерфейс подключен к внутренней сети по умолчанию (это интерфейс, подключенный к производственной сети) и один интерфейс, подключенный к беспроводному сегменту DMZ.

На рисунке ниже показана конфигурация, используемая в примере сети, обсуждаемом в этой статье.

Во внутренней сети по умолчанию есть сервер Exchange, который также действует как контроллер домена, сервер DHCP, сервер DNS и сервер OWA. Компонент DNS-сервера на этом компьютере настроен на разрешение разрешения имен хостов DNS в Интернете. Важно отметить, что это не лучшая практика безопасности, а типичная конфигурация для сети небольшого офиса. Более безопасной конфигурацией будет выделенный преобразователь DNS, который находится в сегменте DMZ и не содержит записей домена.

Беспроводной DMZ-сегмент содержит беспроводную точку доступа (WAP), в которой включен компонент DHCP-сервера, так что хостам в беспроводном DMZ-сегменте назначаются адреса с тем же идентификатором сети, который назначен сетевому интерфейсу, соединяющему брандмауэр ISA с беспроводным DMZ-сегментом. Интерфейс беспроводного сегмента DMZ на брандмауэре ISA не использует DHCP для получения собственного адреса; этот адрес жестко запрограммирован на сетевой карте.

Внешний интерфейс брандмауэра ISA подключен к вышестоящему устройству DSL NAT. Вы также можете использовать кабельное устройство NAT, устройство FiOS NAT или даже брандмауэр с фильтром пакетов, выполняющий NAT. На самом деле вам не нужно использовать NAT между внешним устройством и брандмауэром ISA. В этом примере я использую внешнее устройство NAT, потому что многие небольшие предприятия используют DSL PPPoE.

Конфигурация брандмауэра ISA намного проще, если вы используете внешнее устройство NAT при использовании PPPoE или когда у вас нет выделенных адресов, привязанных к внешнему интерфейсу брандмауэра ISA. Внешнему интерфейсу брандмауэра ISA назначается статический адрес, а в качестве шлюза по умолчанию устанавливается LAN (внутренний) адрес устройства NAT. Вы можете подключить брандмауэр ISA непосредственно к устройству NAT, используя перекрестный кабель, или вы можете использовать коммутатор, к которому вы подключаете интерфейс LAN устройства NAT и внешний интерфейс брандмауэра ISA. Я рекомендую вам использовать коммутатор, тогда у вас будет сегмент DMZ, в котором вы сможете публиковать ресурсы в DMZ между устройством NAT и внешним интерфейсом брандмауэра ISA.

Мы рассмотрим следующие процедуры. В этой серии из двух частей о том, как настроить брандмауэр ISA для поддержки ненадежного беспроводного сегмента DMZ:

• Установите и настройте три сетевых интерфейса на брандмауэре ISA.

Первым шагом является установка трех сетевых карт в устройство брандмауэра ISA. Один будет использоваться в качестве внешнего интерфейса, один будет взаимодействовать с внутренней сетью по умолчанию, а третий будет подключаться к сети DMZ.

Мы хотим, чтобы клиенты в сети DMZ корректно работали как клиенты SecureNAT. DNS-сервер на брандмауэре ISA будет использоваться клиентами SecureNAT сети DMZ.

Как только интерфейсы и DNS-сервер установлены и настроены на брандмауэре ISA, вы готовы установить программное обеспечение брандмауэра ISA. Внутренняя сеть по умолчанию настроена

После установки программного обеспечения брандмауэра ISA следующим шагом будет настройка сети брандмауэра ISA, представляющей сегмент DMZ, в котором расположены беспроводные клиенты.

После создания сети DMZ брандмауэра ISA вы можете настроить эту сеть для поддержки клиентов веб-прокси и брандмауэра. Этот шаг не требуется, если вы не хотите или вам не нужно поддерживать членов домена в беспроводном сегменте DMZ.

Сетевые правила определяют отношения маршрутизации между любыми двумя подключенными сетями и определяют соединение (маршрутизацию) между ними. Вы можете маршрутизировать и использовать NAT между любыми двумя подключенными сетями брандмауэра ISA.

Последним шагом является создание политики брандмауэра. В примере, который мы будем использовать в этой статье, мы создадим следующие правила брандмауэра:

Интерфейс DNS-DMZ

Клиенты SecureNAT в сегменте DMZ должны разрешать имена хостов в Интернете, используя DNS-сервер на брандмауэре ISA. Для этого требуется правило доступа, разрешающее хостам сегмента DMZ доступ к DNS-серверу на брандмауэре ISA.

Правило публикации Secure Exchange RPC Server (необязательно)

Это правило не является обязательным. Однако если у вас есть пользователи, которым необходим доступ к серверу Exchange во внутренней сети по умолчанию, вы можете создать правило публикации безопасного сервера RPC для Exchange, чтобы разрешить полный доступ клиента Outlook MAPI к серверу Exchange без использования VPN.

Правило публикации SMTP-сервера (необязательно)

Это правило не является обязательным. Если вы размещаете свои собственные службы SMTP на сервере Exchange, вы можете создать правило публикации сервера SMTP, разрешающее входящий SMTP-доступ к службе SMTP сервера Exchange.

HTTP DMZ в Интернет

Вы хотите обеспечить ограниченные и безопасные соединения из сегмента DMZ. По этой причине мы обычно разрешаем только исходящие соединения HTTP. Оставляет возможность настроить фильтр безопасности HTTP для блокировки опасных приложений и блокирования опасных туннелированных приложений SSL (таких как соединения SSL «VPN»).

Все открытые внутренние в Интернет (не рекомендуется)

Мы создадим правило All Open, разрешающее все протоколы из внутренней сети по умолчанию в Интернет. Хорошо, если это не рекомендуется, почему я создаю такое правило для этой статьи? Потому что каждая сеть будет иметь свою собственную политику безопасности, которая может быть потенциально сложной. Я иду по простому пути, создавая правило All Open.

Включите компонент VPN-сервера на брандмауэре ISA.

Возможно, вы захотите предоставить клиентам в беспроводной демилитаризованной зоне более полный доступ к ресурсам внутренней сети. Вы можете использовать VPN-соединение из беспроводной DMZ, чтобы сделать это безопасным способом.

В этой части 1 из двух частей мы обсудим компоненты инфраструктуры и подробно рассмотрим конфигурацию разделенной DNS для полной поддержки нашего решения.

Установите и настройте три сетевых интерфейса на брандмауэре ISA Firewall

Для устройства брандмауэра ISA потребуется как минимум три сетевых интерфейса:

Внешний интерфейс, соединяющий брандмауэр ISA с Интернетом. Внешний интерфейс — это единственный интерфейс, на котором настроен шлюз по умолчанию, и на нем никогда не настраивается DNS-сервер.

Интерфейс в сети Интернет по умолчанию. Внутренняя сеть по умолчанию определяется во время установки программного обеспечения брандмауэра ISA. Это соединяет брандмауэр ISA с производственной сетью. Это единственный интерфейс, на котором настроен DNS-сервер. DNS-сервер должен быть DNS-сервером во внутренней сети по умолчанию, и этот DNS-сервер должен быть настроен для разрешения имен хостов в Интернете либо путем выполнения самой рекурсии, либо с помощью сервера пересылки (например, вашего интернет-провайдера). Этот интерфейс не имеет шлюза по умолчанию.

Интерфейс сети DMZ. Этот интерфейс соединяет брандмауэр ISA с беспроводным сегментом DMZ. Кабель Ethernet соединяет этот интерфейс с тем же коммутатором, к которому подключена точка беспроводного доступа (WAP). На этом интерфейсе не настроен DNS-сервер и шлюз по умолчанию.

Вы должны настроить эти интерфейсы перед установкой программного обеспечения брандмауэра ISA. В таблице ниже показана конфигурация интерфейса, используемая в примере сети, обсуждаемом в этой статье.

Установите и настройте DNS на брандмауэре ISA.

Следующим шагом перед установкой программного обеспечения брандмауэра ISA является установка службы DNS-сервера на брандмауэре ISA. Причины, по которым мы хотим установить DNS-сервер на брандмауэре ISA, включают:

• Избегание DNS-запросов к DNS-серверу внутренней сети
• Предоставление разделенной инфраструктуры DNS для хостов в сети DMZ.
• Предоставление услуг разрешения имен для клиентов DMZ SecureNAT, не требуя от них доступа к DNS-серверам в Интернете.

Мы хотим избежать предоставления хостам DMZ доступа к ресурсам в производственной сети. Поскольку беспроводные клиенты в DMZ не являются управляемыми компьютерами, а пользователи не являются частью домена Active Directory производственной сети, нет причин, по которым мы должны доверять пользователям или компьютерам в сети DMZ. Если в демилитаризованной зоне будут случайные доверенные пользователи и компьютеры, вы можете использовать VPN-подключение, чтобы обеспечить более широкий доступ к ресурсам производственной сети.

Инфраструктура разделенного DNS, поддерживающая узлы DMZ, является дополнительной функцией. В этом примере мы используем разделенную инфраструктуру DNS для узла DMZ для поддержки полных клиентских подключений Outlook MAPI к корпоративной сети. Это необходимо, потому что мы создадим правило публикации сервера, которое разрешает безопасный RPC Exchange для сервера Exchange в корпоративной сети. Это полезно, когда вы хотите разрешить безопасный доступ из беспроводной демилитаризованной зоны к серверу Exchange, не требуя доступа к VPN.

Нам нужно создать разделенный DNS, чтобы хосты DMZ могли разрешать имя сервера Exchange в IP-адрес, используемый на интерфейсе DMZ. Мы не можем использовать (и не хотим получать доступ) к DNS-серверу производственной сети, потому что Exchange Server разрешает внутренний адрес на DNS-сервере производственной сети. Это не сработает для беспроводных клиентов DMZ, поскольку им необходимо подключиться к серверу Exchange через правило публикации Secure Exchange RPC Server, которое прослушивает IP-адрес, привязанный к интерфейсу DMZ.

Наконец, мы хотим поддерживать клиентов SecureNAT в беспроводной DMZ. Клиенты SecureNAT должны иметь возможность самостоятельно разрешать имена хостов в Интернете; брандмауэр ISA не выполняет «прокси» DNS для клиентов SecureNAT, как это делается для клиентов веб-прокси и брандмауэра. Мы также не хотим предоставлять клиентам в беспроводной DMZ-сети доступ к большему количеству протоколов, чем это абсолютно необходимо при подключении к Интернету. Клиенты SecureNAT в беспроводной DMZ используют DNS-сервер, установленный на брандмауэре ISA, для разрешения имен, а DNS-сервер в брандмауэре ISA затем выполняет рекурсию для разрешения имен хостов в Интернете для клиентов SecureNAT в беспроводной DMZ.

Выполните следующие шаги, чтобы установить и настроить DNS-сервер на устройстве брандмауэра ISA:

1. В меню «Пуск» откройте « Панель управления» и нажмите «Установка и удаление программ».
2. В апплете «Установка и удаление программ» нажмите кнопку «Установка и удаление компонентов Windows» на левой панели.
3. В диалоговом окне «Компоненты Windows» прокрутите вниз до записи «Сетевые службы», щелкните ее, а затем щелкните «Подробности».
4. В диалоговом окне «Сетевые службы» установите флажок «Система доменных имен (DNS)» и нажмите «ОК».
5. Нажмите «Далее» в диалоговом окне «Компоненты Windows».
6. Следуйте инструкциям на последующих страницах мастера, а затем нажмите «Готово», когда мастер завершит работу.

Теперь вы готовы настроить свойства DNS-сервера, работающего на брандмауэре ISA:

1. Нажмите «Пуск», выберите «Администрирование» и нажмите «DNS».
2. В консоли управления DNS щелкните правой кнопкой мыши имя сервера на левой панели консоли и выберите «Свойства».
3. В диалоговом окне свойств DNS-сервера щелкните вкладку Интерфейсы. Выберите параметр Только следующие IP-адреса. В списке IP-адресов щелкните каждый IP-адрес, который не является IP-адресом, привязанным к интерфейсу DMZ брандмауэра ISA, затем щелкните Удалить. Единственный IP-адрес, который вы хотите оставить в списке, — это IP-адрес интерфейса DMZ брандмауэра ISA.

4. Нажмите «Применить», а затем нажмите «ОК».

Теперь мы можем создать зоны прямого и обратного просмотра для нашего разделенного DNS. Внутренний сетевой домен — msfirewall.org. Поскольку сервер Exchange принадлежит этому домену, мы хотим, чтобы клиенты имели доступ к серверу Exchange из любого места, не требуя от пользователей перенастройки своих клиентов в зависимости от их местоположения. Для достижения этой цели мы создадим зону прямого просмотра с тем же именем, что и у домена внутренней сети, msfirewall.org. Однако мы создадим обратную зону, представляющую идентификатор сети, в которой расположен интерфейс DMZ брандмауэра ISA.

Важно отметить, что разделенная инфраструктура DNS не представляет угрозы безопасности. Многие комментаторы, которые не разбираются в разделенных инфраструктурах DNS, считают, что они могут раскрывать важную информацию о своей внутренней сети. Это неправда. Разделенный DNS представляет собой две или более зон с одинаковыми именами, но не содержащими одинаковой информации о ресурсных записях. Поскольку зона на брандмауэре ISA не содержит информации о нумерации внутренней сети, злоумышленники не могут использовать эту зону для атаки на внутреннюю сеть. Кроме того, мы настроим эту зону для предотвращения передачи зоны (хотя это и не обязательно).

Всегда следует сначала создавать зону обратного просмотра, а затем зону прямого просмотра. Выполните следующие шаги, чтобы создать зону обратного просмотра:

1. В консоли DNS щелкните правой кнопкой мыши имя сервера и выберите команду «Новая зона».
2. Нажмите «Далее» на странице «Добро пожаловать в мастер создания новой зоны».
3. На странице «Тип зоны» выберите параметр «Основная зона» и нажмите «Далее».
4. На странице Зона прямого или обратного просмотра выберите параметр Зона обратного просмотра и нажмите Далее.

5. На странице Имя зоны обратного просмотра введите идентификатор сети, используемый в вашей демилитаризованной зоне. В этом примере мы используем идентификатор сети 172.16.0.0/16, поэтому мы вводим 172.16.0 в текстовое поле рядом с параметром «Идентификатор сети». Нажмите «Далее».

6. На странице «Файл зоны» примите запись по умолчанию в текстовом поле «Создать новый файл с этим именем файла» и нажмите «Далее».
7. На странице «Динамическое обновление» выберите параметр «Не разрешать динамические обновления» и нажмите «Далее».
8. Нажмите «Готово» на странице «Завершение работы мастера создания новой зоны».

Выполните следующие шаги, чтобы создать зону прямого просмотра:

1. В консоли DNS щелкните правой кнопкой мыши имя сервера и выберите команду «Новая зона».
2. Нажмите «Далее» на странице «Добро пожаловать в мастер создания новой зоны».
3. На странице «Тип зоны» выберите параметр «Основная зона» и нажмите «Далее».
4. На странице Зона прямого или обратного просмотра выберите параметр Зона обратного просмотра и нажмите Далее.
5. На странице «Имя зоны» введите доменное имя, совпадающее с доменным именем, используемым в производственной сети (внутренней сети). В этом примере контроллеры домена и серверы Exchange расположены в домене msfirewall.org. Поэтому мы введем msfirewall.org в текстовое поле Имя зоны. Нажмите «Далее».

6. На странице «Файл зоны» примите запись по умолчанию в текстовом поле «Создать новый файл с этим именем файла» и нажмите «Далее».
7. На странице «Динамическое обновление» выберите параметр «Не разрешать динамические обновления» и нажмите «Далее».
8. Нажмите «Готово» на странице «Завершение работы мастера создания новой зоны».

Имея зону прямого и обратного просмотра, мы теперь можем ввести некоторые записи ресурсов хоста (A) в зону прямого просмотра. В этом примере нам нужно добавить две записи узла (A): одну для самого DNS-сервера и одну, которая сопоставляет имя сервера Exchange с IP-адресом на интерфейсе DMZ, который мы будем использовать для безопасного обмена RPC. Прослушиватель правила публикации сервера.

Обратите внимание, что эти записи относятся к сценарию, обсуждаемому в этой статье. Возможно, вам не захочется публиковать сервер Exchange или любые другие серверы, если вы не хотите, чтобы клиенты в беспроводной DMZ имели доступ к ресурсам в производственной сети (по крайней мере, без VPN-подключения). Всестороннее обсуждение DNS и разделенной инфраструктуры DNS выходит за рамки этой статьи, но в будущем я продолжу всестороннее обсуждение разделенной DNS для этого сценария и многих других.

Выполните следующие шаги, чтобы создать записи Host (A):

1. Щелкните правой кнопкой мыши созданную вами зону прямого просмотра (в данном примере msfirewall.org ) и выберите «Новый хост» (A).
2. В диалоговом окне «Новый хост» введите имя хоста брандмауэра ISA в текстовом поле «Имя» (используется имя родительского домена, если оно пустое). В этом примере имя брандмауэра ISA, на котором запущена служба DNS, называется ISALOCAL, поэтому мы введем isalocal в текстовое поле. Полное доменное имя автоматически появится в текстовом поле Полное доменное имя (FQDN). Введите IP-адрес, привязанный к интерфейсу DMZ, в текстовое поле IP-адрес и установите флажок в поле Создать запись связанного указателя (PTR). Нажмите кнопку «Добавить хост».

3. Нажмите OK в диалоговом окне DNS, информируя вас об успешном создании записи хоста.
4. Повторите процедуры в текстовом поле «Новый хост», но на этот раз введите имя сервера Exchange в текстовом поле «Имя» (используется имя родительского домена, если оно пустое). В этом примере имя сервера Exchange в производственной сети — exchange2003be, поэтому мы вводим это имя в текстовое поле. Введите IP-адрес, привязанный к интерфейсу DMZ, в текстовое поле IP-адрес и установите флажок в поле Создать запись связанного указателя (PTR). Щелкните Добавить хост.

5. Нажмите OK в диалоговом окне DNS, информируя вас об успешном создании записи хоста.
6. Нажмите «Готово» в диалоговом окне «Новый хост».
7. Две записи записи ресурсов должны появиться в консоли DNS, как показано на рисунке ниже.

Резюме

В этой части 1 из двух частей о том, как настроить брандмауэр ISA для поддержки беспроводного сегмента DMZ, мы обсудили основные элементы инфраструктуры, необходимые для реализации решения. Для брандмауэра ISA требуется как минимум три сетевых интерфейса, один из которых является внешним, один находится во внутренней сети по умолчанию, а последний — в ненадежном беспроводном сегменте DMZ. Мы рассмотрели принципы разделенной DNS и то, как инфраструктура разделенной DNS повышает уровень поддержки разрешения имен для беспроводных клиентов DMZ. Затем мы закончили установкой и настройкой DNS-сервера на самом устройстве брандмауэра ISA.

Во второй части этой статьи (которую я опубликую на следующей неделе) мы завершим проектирование, установив и настроив брандмауэр ISA с соответствующими сетями брандмауэра ISA, правилами доступа и конфигурацией VPN-сервера.

Если вы хотите, чтобы мы уведомляли вас по электронной почте, когда Том Шиндер выпустит новую статью на ISAserver.org, подпишитесь на наше «Обновление статей в реальном времени», нажав здесь. Обратите внимание, что мы НЕ продаем и не сдаем в аренду адреса электронной почты, принадлежащие нашим подписчикам; мы уважаем вашу конфиденциальность