Повышение безопасности ISA Server 2004 (часть 2)

Опубликовано: 12 Апреля, 2023

Усилению защиты ISA Server 2004 (Часть 1)

Есть и другие хорошие статьи, подготовленные поставщиками, и я буду ссылаться на них, чтобы профессионалы в области сетевых технологий лучше понимали, что инициализируется, охватывая как сложные, так и несложные вопросы. Весь смысл усиления защиты ISA заключается в уменьшении точек соприкосновения с ISA-сервером, это можно назвать уменьшением поверхности атаки, давайте следуем нижеприведенным рекомендациям, чтобы установить это.

Системная политика сервера ISA

Ниже приведены ключевые элементы системной политики сервера ISA, которые необходимо отслеживать и тщательно настраивать для обеспечения безопасности системы ISA.

Сетевые службы: эти службы регулируются системной политикой и должны тщательно контролироваться с точки зрения доступа и разрешенных служб.

Службы аутентификации: определяет, как ISA выполняет аутентификацию. Вот где и как вы можете убедиться, что аутентификация выполняется через соответствующий сервер, а также где появляются дополнительные сетевые карты.

Удаленное управление: этот элемент определяет, кто может администрировать ваш сервер. Будьте очень осторожны с теми, кому вы разрешаете доступ к серверу ISA, так как неправильная настройка этого элемента приведет к компрометации. Здесь рекомендуется использовать сопоставление статического IP-адреса или определенную группу пользователей для удаленного администрирования, тщательно подумайте об удаленном администрировании.

Общий ресурс клиента брандмауэра: если вам нужна эта функция, я бы предпочел настроить общий ресурс на другом сервере. Обратите внимание, что только внутренняя сеть имеет доступ к этой функции в любом случае, и ею можно управлять из системной политики.

Службы диагностики: только для авторизованного персонала или только для вашей сегментированной административной сети. Это может быть частная сеть, используемая ИТ-специалистами.

Управление ролями и разрешениями: необходимо соблюдать осторожность при назначении разрешений компьютеру с ISA Server и связанным с ним компонентам, поскольку ISA Server контролирует доступ к сети. Это может быть достигнуто тщательным определением конфигурации и прав входа в систему относительно авторизованных специалистов, которые входят в систему ISA Server. ISA Server делает это возможным, позволяя применять административные роли к пользователям и группам.

Административные роли: при аудите убедитесь, что это застегнуто. При определении разрешений для ISA-сервера специалист по безопасности должен уделять особое внимание роли администратора ISA-сервера. ISA Server упрощает этот процесс, используя ряд пользовательских ролей, которые в конечном счете различают роли каждого пользователя. Могут применяться следующие роли пользователей:

  • Базовый мониторинг ISA Server:
     Эта роль позволяет профессионалу контролировать компьютер ISA Server и сетевую активность, но не позволяет настраивать определенные функции мониторинга. Это должно быть частью вашего процесса укрепления безопасности, так как вы можете найти дополнительные аспекты, на которые необходимо обратить внимание при мониторинге сервера ISA.
  • Расширенный мониторинг ISA Server:
     Эта роль позволяет выполнять все задачи мониторинга, включая настройку журнала, настройку определения предупреждений и все функции мониторинга, доступные базовой роли мониторинга ISA Server. Эта роль предназначена для расширенного взаимодействия с сервером ISA.
  • Полный администратор ISA Server:
     Эта роль позволяет выполнять любые задачи Сервера, включая настройку правил, применение сетевых шаблонов и мониторинг.

Уменьшение потенциальной поверхности атаки

Можно еще больше обезопасить компьютер с ISA Server, уменьшив поверхность атаки. Это можно получить с помощью следующего:

  • Удалите или отключите ненужные приложения и службы на компьютере с ISA Server. Напрашивается вопрос об антивирусе. Он необходим, но вы должны убедиться, что он тщательно протестирован и относится к серверному классу AV, потому что у большинства поставщиков есть персональные брандмауэры и другие модули, которые вмешиваются в функциональность ISA.
  • Отключите все функции ISA Server, которые не используются в данный момент.
  • Отключите все системные политики, связанные со службами, которые не используются для управления вашей сетью.
  • Ограничьте применимость правил системной политики только к необходимым сетевым объектам.

Шаг 2: Защита конфигурации ISA

Чтобы убедиться, что конфигурация ISA безопасна, специалист по ISA должен проверить конфигурацию после обновления, например, при переходе с ISA 2000 на ISA 2004, поскольку разные версии включают разные политики. Политика брандмауэра также должна быть проверена, то есть если политика брандмауэра создана профессионалом по ISA, а политика по умолчанию не используется. Следует проверить политику брандмауэра, чтобы определить, разрешен ли правильный трафик, и убедиться, что ненужные порты не открыты. ISA Server по умолчанию реализует правило политики брандмауэра по умолчанию, которое называется правилом по умолчанию. Эта политика запрещает доступ всех неавторизованных пользователей ко всем сетям.

ISA также можно использовать как виртуальную частную сеть (VPN). Крайне важно убедиться, что ISA-сервер является безопасным при использовании в качестве VPN-сервера, поскольку он должен быть защищен от любого несанкционированного проникновения в сеть. Чтобы защитить ISA-сервер, когда он используется в качестве VPN-сервера, можно предпринять следующее:

  • Туннельный протокол второго уровня через защищенные соединения Интернет-протокола
  • Контролируйте операционные системы, используемые удаленными VPN-клиентами, разрешая использование только определенных выбранных
  • Используйте функцию контроля карантина ISA Server. Использование этой функции дает время для проверки пользователей, получающих доступ к сети, и исправления для неавторизованных пользователей могут быть предприняты до того, как произойдет потенциальная атака.

Еще одна проблема при использовании ISA Sever в качестве VPN-сервера заключается в том, что он не защищен от атак вирусов, которые заражают ISA-сервер через зараженный вирусом VPN-клиент. Эту потенциальную атаку можно предотвратить с помощью различных средств защиты от вирусов. Эта процедура включает в себя осуществление мониторинга для обнаружения нарушений и разработку уведомлений в виде сообщений электронной почты для уведомления специалиста по ISA о потенциальной атаке. Если зараженный клиентский компьютер VPN подтвержден, это можно решить, исключив пользователя из клиентов VPN, которым разрешено подключаться, используя один из двух подходов, ограничивая доступ к VPN по имени пользователя или по IP-адресу.

VPN должна быть аутентифицирована для обеспечения большей безопасности. Это достигается за счет использования различных протоколов аутентификации.

Еще одна функция, включенная в ISA-сервер, которая обеспечивает безопасность конфигурации ISA, заключается в том, что она позволяет профессионалу ISA контролировать количество подключений к серверу в любой момент. Лимит соединений может быть скорректирован в соответствии с конкретными требованиями клиента, и, таким образом, как только будет достигнут заранее определенный лимит, любые последующие соединения будут запрещены. Для обеспечения безопасности среды рекомендуется разрешить наименьшее количество подключений.

Шаг 3: Обеспечение безопасности работы ISA

Третий шаг — определить, как развернуть сетевую инфраструктуру, защищенную ISA Server.

Удаленный доступ к сети

Ограничьте телефонный доступ доверенными и авторизованными пользователями и ограничьте функциональность пользователей из удаленных мест. Политики могут быть разработаны таким образом, чтобы отслеживать действия пользователей. При удаленном доступе к сети VPN является безопасным методом, который можно использовать и которому можно доверять. Данные, которые передаются через VPN-соединение, гораздо менее подвержены перехвату, чем обычные соединения PPP по сетям PSTN. В средах с высоким уровнем безопасности разместите системы, требующие проверки учетных данных для любого ресурса, доступ к которому осуществляется удаленно. Можно использовать сертификаты на стороне клиента и применять надежные методы аутентификации по паролю. Удаленный доступ остается одним из самых слабых звеньев в сетевой безопасности, если он неправильно реализован, и во многих случаях это именно то, что ищут злоумышленники.

Антивирус

Настройки вирусного программного обеспечения должны быть установлены на самые строгие. Это гарантирует, что любая форма вредоносной вирусной активности недопустима. При выборе антивирусного программного обеспечения проверьте его с конфигурацией сервера ISA и убедитесь, что антивирусное программное обеспечение относится к серверному классу.

Обнаружение/предотвращение вторжений.

Обнаружение вторжений является жизненно важной частью защиты сети Windows, и существуют различные продукты для обнаружения вторжений, которые могут помочь организации в обнаружении нежелательных злоумышленников. Сравнительный анализ IDS см. на сайте www.windowsecurity.com.

Службы установлены

Службы работают на большинстве компьютеров Windows как зарегистрированные процессы. Именно в этих службах злоумышленники пытаются найти уязвимости. Отключение любых неиспользуемых сервисов является хорошей практикой и оставляет злоумышленникам меньше возможностей для поиска эксплойтов внутри. Это также снижает нагрузку на оборудование и требует меньшего контроля.

Файловая система

Файловые системы должны быть установлены на безопасных машинах с наивысшей степенью безопасности файлов. NTFS — это надежная защищенная файловая система, которая позволяет администратору и пользователю контролировать доступ к файлам, имеющим соответствующие разрешения. Данные на диске не так уязвимы, как если бы они находились на разделе FAT. В то же время несколько компаний разработали программное обеспечение, которое сможет читать файлы на разделах NTFS, независимо от того, назначены разрешения или нет. По умолчанию для файла ISA Cache требуется NTFS, я бы порекомендовал самые высокие настройки безопасности файловой системы при установке ISA.

Биос

Назначьте пароль на биос. Если злоумышленник получает физический доступ к ISA-серверу и хочет изменить порядок загрузки дисков внутри серверного компьютера, он сначала войдет в биос и изменит порядок загрузки с компакт-диска. Утилиты, позволяющие пользователю получить доступ к машине, обычно находятся на компакт-диске. Назначая пароль для биоса, он добавляет небольшой дополнительный уровень безопасности. Если пользователь не может получить доступ к внутренней части компьютера, потому что он физически ограничен, биос также не может быть сброшен, и тогда биос остается заблокированным. Обратите внимание, что у некоторых производителей биос есть мастер-пароли, которые переопределяют любые ранее введенные пароли. Это хорошая идея, чтобы при выборе оборудования выбирался поставщик, у которого нет возможности мастер-пароля.

Это обычная атака с физическим доступом, поэтому ограничьте доступ или подумайте о приобретении серверного устройства ISA, которое разрешает только удаленный доступ.

Загрузочные диски

При назначении диска для загрузки убедитесь, что только диск C: имеет возможность загрузки, так как другие диски, такие как CD, гибкие диски и флэш-диски, предоставляют возможность для атаки. Злоумышленникам может потребоваться установить или загрузить сторонние приложения, и это может быть возможно при загрузке операционной системы. Многие специалисты по безопасности защищают операционные системы и упускают из виду базовые параметры загрузки и съемных дисков.

Резервные копии

В любой организации непрерывность бизнеса должна быть частью стратегии аварийного восстановления, а резервное копирование будет частью этой стратегии безопасности ISA-сервера. Все конфигурации ISA должны быть зарезервированы и должны часто восстанавливаться на тестовых системах. Резервные копии важны, и крайне важно, чтобы носители хранились вне офиса. Хранение резервных носителей на месте не поможет в ситуации, когда физический катаклизм разрушит сайт. Внешнее хранилище необходимо в ситуациях, требующих дополнительного уровня безопасности данных.

Резюме

Повышение безопасности вашего ISA-сервера — это непрерывный процесс, и к нему следует относиться очень серьезно. Регулярные аудиты, подобные представленному на веб-сайте ISACA, которые включают аудит брандмауэра, должны быть регулярными, минимум один раз в год. Поддерживайте целостность вашей сети, защищайте сеть периметра.

Усилению защиты ISA Server 2004 (Часть 1)


Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023