Развенчание мифа о том, что брандмауэр ISA не должен быть членом домена

WHITE PAPER: Развенчание мифа о том, что брандмауэр ISA Firewall не должен быть членом домена
Томас Шиндер, доктор медицинских наук, MVP

Обсудите эту статью на веб-доске по адресу http://tinyurl.com/oxfus.

На прошлой неделе на конференции TechEd у меня была возможность просмотреть несколько сессий, и одна из них была посвящена новому брандмауэру ISA, ISA 2006, которую провел Стив Райли. Если у вас не было возможности увидеть выступление Стива, вы должны сделать себе одолжение и обязательно посмотреть одну из его живых презентаций. Стив — очень динамичный и оживленный оратор, и он действительно знает, как разозлить солдат, подняв соломенных человечков для сокрушительного драк. Одна вещь, которую я всегда могу сказать о выступлениях Стива, это то, что я всегда выхожу из комнаты, думая о чем-то, о чем я не думал, прежде чем войти в комнату в тот день.

Однако иногда Стив усложняет мне жизнь, потому что забегает вперед. В самой последней версии Стива «Что я могу сказать сегодня, чтобы усложнить жизнь Тома?» он заявил, что «ISA Server никогда не должен быть членом домена». Когда я услышал это, у меня отвисла челюсть, мое зрение начало расплываться и чернеть, на ум пришли образы бесчеловечности человека по отношению к человеку, и мой хороший друг Крис Грегори должен был вернуть меня к нормальному уровню сознания.

Почему у меня была такая катастрофическая реакция на слова Стива? В течение последних двух лет я пытался донести до администраторов брандмауэра ISA, что машина-член домена более безопасна и более гибка, чем машина, не являющаяся членом домена, и что они оказывают себе и своим компаниям медвежью услугу, не присоединяясь к брандмауэру ISA. к домену. Это серьезная проблема, и к ней нельзя относиться легкомысленно, потому что вы получаете серьезный удар по безопасности, если не присоединяете брандмауэр ISA к домену.

Это вдохновило меня на написание длинного, но подробного и вдумчивого анализа споров о членстве в домене и вне домена для массивов брандмауэров ISA. Я делаю это, потому что я не могу выйти на сцену и пророчески заявить, что «брандмауэр ISA никогда не должен быть членом рабочей группы», выйти сухим из воды, а затем Стив позже ответит 1000 присутствующим, которые говорят ему: «Я понимаю, что Брандмауэр ISA НИКОГДА не должен быть членом рабочей группы, как мне сделать X, Y и Z».

Недавно я выступил с докладом по этому вопросу перед группой мощных консультантов по брандмауэрам и подготовил несколько слайдов в PowerPoint по этой теме. Поскольку я сижу в тесном кресле самолета прямо перед выходом (что означает, что я могу откинуть сиденье назад), я скопирую и вставлю слайды PointPoint в этот документ, чтобы запомнить схему мое обсуждение?

В этом техническом документе обсуждаются преимущества и недостатки конфигураций домена и рабочей группы для массивов брандмауэров ISA. Далее я опубликую второй официальный документ и опишу сценарии, в которых массивы брандмауэров ISA должны быть членами домена, когда они должны быть членами домена и когда не имеет значения, являются они членами домена или нет. Этот документ также будет включать описание некоторых психологических проблем и вопросов «уровня 8», влияющих на то, присоединен ли массив брандмауэра ISA к домену Active Directory.

Должны ли массивы брандмауэра ISA размещаться в домене или рабочей группе?

Должен ли массив брандмауэра ISA размещаться в домене или рабочей группе? Вот в чем вопрос. Благороднее ли разместить брандмауэр ISA в рабочей группе, где вы сможете избежать освистывания невежественных менеджеров по соблюдению требований, невежественных «аппаратных» брандмауэров или «сетевых парней», которые думают о сетевой безопасности как об «открытии и закрытии портов», или вы несете пращи и стрелы тех же домохозяек и придирчивых винтов для размещения брандмауэра ISA в домене, где вы можете получить более высокий уровень общей безопасности и существенно улучшить свое положение в области безопасности?

Давайте посмотрим на следующее:

• Преимущества членства в домене
  
• Недостатки членства в домене
  
• Преимущества членства вне домена (рабочей группы)
  
• Недостатки членства вне домена (рабочей группы)

В этой статье я сосредоточусь на брандмауэре ISA Enterprise Edition, так как эта версия брандмауэра ISA, скорее всего, будет развернута в корпоративных средах, где администратор брандмауэра ISA должен взаимодействовать с группами ИТ-инфраструктуры с устаревшими и окаменевшими заблуждениями о сетевой безопасности.. В одной из будущих статей я обсужу с вами серьезную проблему, с которой мы столкнулись сегодня, в отношении захвата сетевой безопасности этими «сетевыми парнями» и того, как это сегодня вредит всем уровням сетевой информационной безопасности.

Преимущества членства в домене

Членство в домене дает много преимуществ. Они показаны на рисунке ниже.

фигура 1

• Детальный контроль доступа на основе пользователей/групп
  
  Когда брандмауэр ISA является членом домена, вы можете осуществлять детальное управление доступом на основе пользователей и групп ко всем коммуникациям, проходящим через брандмауэр ISA. Сюда входят все входящие и исходящие сообщения, поступающие в корпоративную сеть и из нее. Вы можете использовать доменные группы, и вам не нужно создавать специальные группы брандмауэра ISA, что вам нужно делать при использовании аутентификации RADIUS. Хотя в ISA 2006 добавлена возможность использования аутентификации LDAP для включения перечисления групп Active Directory, эта функция работает только для правил веб-публикации и не включает ту же функцию для управления исходящим доступом через правила доступа брандмауэра ISA. Аутентификация LDAP также может быть проблематичной, поскольку может увеличить риск блокировки учетной записи. Не делая брандмауэр ISA членом домена, вы должны полагаться на кладж RADIUS для управления исходящим доступом для веб-протоколов, и вы не получаете контроля доступа на основе пользователей/групп для любых других протоколов.
  
  
• Нет необходимости создавать учетные записи массива для обмена данными внутри массива.
  
  Члены массива брандмауэра ISA должны аутентифицироваться друг с другом для обмена данными внутри массива. Это происходит прозрачно, когда члены массива брандмауэра ISA являются частью домена. Если член массива брандмауэра ISA не является членом домена, вам необходимо создать зеркальные учетные записи для членов массива. Поскольку между членами рабочей группы нет синхронизации паролей, вам необходимо вручную изменить пароль этих учетных записей на каждом члене массива. Если у вас есть 4 массива брандмауэров ISA, каждый из которых содержит 31 участника, вы должны обязательно зарезервировать некоторое время для дня смены пароля. Другая проблема заключается в том, что вы не сможете управлять машинами с удаленной рабочей станции, прозрачно войдя в массив; вместо этого вам придется каждый раз вводить свое имя пользователя и пароль, что очень порадует «серферов с плеча» в вашей организации. Есть и другие проблемы, как вы увидите позже.
  
  
• Полная поддержка аутентификации сертификата пользователя
  
  Аутентификация сертификата пользователя (к сожалению, называемая аутентификацией сертификата «клиента») позволяет пользователю предъявить сертификат пользователя для аутентификации на брандмауэре ISA в сценариях веб-публикации. Это мощная схема проверки подлинности, поскольку эти сертификаты можно установить на смарт-карты и другие устройства, чтобы исключить необходимость передачи учетных данных пользователя по сети. У вас есть полная поддержка аутентификации сертификата пользователя, когда брандмауэр ISA является членом домена. У вас нет поддержки аутентификации сертификата пользователя, когда брандмауэр ISA не является членом домена. Я слышу, о чем вы думаете – я создам отдельный домен для своего массива брандмауэров ISA в том же лесу, что и домен пользователя, а затем создам одностороннее доверие. Это обычное лекарство, применяемое к тем, кто уязвлен суеверным слухом о том, что брандмауэры ISA для членов домена не защищены. Хотя врач этого решения может применять мягкое прикосновение, это все, что вы от него получите, потому что вы по-прежнему не сможете использовать аутентификацию сертификата пользователя в конфигурации рабочей группы.
  
  
• Полная поддержка Microsoft Operations Manager (MOM)
  
  MOM — это мощный инструмент для мониторинга и создания отчетов о состоянии здоровья и конфигурации вашего брандмауэра ISA. Хотя можно настроить агент MOM для работы с членами, не входящими в домен, существуют проблемы с установкой, настройкой и управлением, которые проблематичны для членов, не входящих в домен. С другой стороны, мониторинг брандмауэров ISA-членов домена с помощью MOM не составляет труда; легко установить, настроить и управлять. Простота установки, настройки и управления означает меньше ошибок и повышает безопасность.
  
  
• Полная поддержка клиента брандмауэра
  
  Я не могу сказать достаточно хороших слов о клиенте брандмауэра. Клиент брандмауэра позволяет прозрачно удаленно подключаться к брандмауэру ISA для всех сетевых подключений, сделанных приложениями Winsock. Думайте о клиенте брандмауэра как об общем прокси-сервере Winsock. С помощью клиента брандмауэра вы можете регистрировать имя пользователя, имя приложения, имя машины и многое другое для каждого соединения, сделанного пользователем для любого протокола, используемого для подключения к ресурсу через брандмауэр ISA. Клиент брандмауэра предоставляет вам детальный контроль доступа на основе пользователей/групп по любому протоколу, и эта информация хранится в файлах журнала брандмауэра ISA для управления соответствием и сетевой экспертизы. Вы не сможете зарегистрировать такую информацию, если используете любой другой брандмауэр, доступный сегодня на рынке. Но если вы хотите воспользоваться огромными преимуществами клиента брандмауэра, брандмауэр ISA должен быть членом домена. Если ваш брандмауэр ISA является членом рабочей группы, то клиент брандмауэра представляет собой просто упущенную возможность защитить вашу сетевую инфраструктуру и стать ИТ-героем, потому что вы не сможете его использовать.
  
  
• Полная поддержка управления групповыми политиками
  
  Каждый администратор Windows знает, что групповая политика является ключевым компонентом хорошо управляемой и безопасной сети Windows. Когда массивы брандмауэра ISA являются членами домена Active Directory, вы можете создавать объекты групповой политики, которые управляют конфигурацией машины на всех членах массива брандмауэра ISA. Это позволяет легко централизовать администрирование и настройку безопасности базовой ОС, которые в противном случае пришлось бы настраивать вручную для каждого члена массива. Это значительное преимущество, так как в сотнях массивов брандмауэров ISA по всей организации могут быть задействованы буквально тысячи машин. Вы действительно хотите выполнить эту настройку отдельно для каждого сервера в каждой рабочей группе? Без присоединения брандмауэра ISA к домену вы теряете возможность централизованного управления безопасностью, что не только снижает общий уровень безопасности, но и увеличивает административные издержки. Не хорошо.
  
  
• Администраторы массива могут прозрачно входить в систему с любого компьютера, управляемого Active Directory, в домене.
  
  Как упоминалось ранее, когда члены массива брандмауэров ISA являются частью домена, вы можете управлять этим массивом с любой рабочей станции, которая является частью того же или доверенного домена. Это имеет два основных преимущества. Во-первых, это удобнее. Так как это более удобно, вы не избежите выполнения важных задач по управлению брандмауэром ISA, которые вы могли бы колебаться делать, если ввод 37-символьного пароля администратора брандмауэра ISA является бременем (это реалистичный сценарий, который я видел не раз) и, во-вторых, вам не нужно вводить пароль несколько раз в день, так что у сторонних серферов не будет возможности узнать пароль во время одной из ваших попыток входа в систему.
  
  
• Бесконечно проще в развертывании и управлении
  
  Easy — это палка о двух концах, особенно когда мы говорим о безопасности. С одной стороны, это просто «аппаратный брандмауэр», где они просто пропускают весь исходящий трафик и разрешают любой ответ с удаленного сервера, если кто-то сделал первоначальный запрос на подключение к этому серверу, или как мастера SBS, которые волшебным образом делают вещи, которые пытаются смягчить кошмар безопасности, который представляет собой устройство SBS, обращенное к Интернету. С другой стороны, есть «легкий», который упрощает сложную и трудоемкую настройку для знающего администратора, который может сделать опечатку или «кликнуть» где-нибудь по пути.

Именно в этой версии «простой» членство в домене предоставляет администратору брандмауэра ISA, что делает конфигурацию более безопасной. Массивы брандмауэров ISA-членов домена очень просты в настройке и защите. С другой стороны, массивы брандмауэров ISA, входящие в рабочую группу, очень сложны в настройке, и есть много шагов, на которых могут быть сделаны ошибки, и где ошибка на любом из этих шагов может поставить под угрозу не только массив брандмауэра ISA, но потенциально всю сеть. Далее в этой статье я расскажу о некоторых конфигурационных упражнениях, необходимых для работы в режиме рабочей группы.

Недостатки членства в домене

Несмотря на то, как часто используется фраза «все хорошо», факт в том, что ничего хорошего не бывает. Некоторые вещи лучше, чем другие, некоторые вещи в основном хороши, другие почти все хороши, но нет ничего хорошего. Это верно для членства в домене для членов массива брандмауэра ISA. На рисунке ниже показаны «не все хорошие» особенности членства в домене.

фигура 2

• Если кто-то скомпрометирует Active Directory, он может стать владельцем брандмауэра ISA.
  
  Вы должны задаться вопросом, где находится голова человека, когда он противостоит вам с этим. Противники членства в домене утверждают, что если Active Directory будет скомпрометирован, то скомпрометированный сможет использовать это владение Active Directory против брандмауэра ISA. Позвольте мне сказать вам, что если вы владеете Active Directory в такой степени, я думаю, что брандмауэр ISA будет наименьшей из ваших проблем. Представьте себе сценарий, когда кто-то скомпрометирует Active Directory и станет владельцем учетной записи администратора домена. Этот злоумышленник теперь имеет доступ ко всем файловым серверам, веб-серверам, серверам баз данных, серверам Exchange и любому серверу, который вы хотели бы добавить в смесь. Поскольку брандмауэр ISA, скорее всего, настроен на предоставление членам группы администраторов домена исходящего HTTP-доступа, зачем им что-то делать с брандмауэром ISA? Они загружают программное обеспечение для удаленного управления, работающее по протоколу HTTP, на любой сервер, который им нравится, делают несколько хитрых трюков, чтобы определить, какие сайты им нужно выдавать за то, чтобы пройти через список доверенных сайтов брандмауэра ISA, и отправляются в город. Им никогда не понадобится касаться брандмауэра ISA. Кому-то с законными учетными данными домена не нужно связываться с брандмауэром ISA (что привлечет внимание к неправильным людям - с точки зрения злоумышленников), чтобы отправить свою нечестно полученную прибыль, если он владеет Active Directory.
  
  
• Если брандмауэр принадлежит, Active Directory может стать доступной
  
  Этот примерно так же крут, как и последний. Если брандмауэр ISA находится в собственности до такой степени, что он может использовать членство машины в домене для атаки на корпоративную сеть, то на самом деле не имеет значения, является ли машина членом домена или нет. Что может сделать владелец брандмауэра ISA, если он является членом домена? OK, злоумышленник получит доступ к внутридоменным протоколам к DC. Что он будет с ними делать? Я не знаю, ты мне скажи. Собирать имена пользователей? И что? Пароли обеспечивают безопасность, а не имена пользователей. Никто не смог сказать мне, что злоумышленник может сделать с доступом к внутридоменным протоколам.
  
  Конечно, если брандмауэр ISA находится в собственности, злоумышленник может изменить политику брандмауэра по своему усмотрению, но это верно и для брандмауэра ISA в режиме рабочей группы, поэтому сценарий не меняется в зависимости от принадлежности к домену. Кроме того, если атакующий не является скрипт-кидди или клик-кидди, заинтересованным в бесполезной DoS-атаке (бесполезной с точки зрения кражи или уничтожения корпоративных информационных активов), злоумышленник хочет затаиться и остаться незамеченным брандмауэром ISA. Чего профессиональный сетевой преступник не хочет делать, так это привлекать к себе внимание, возясь с брандмауэром ISA, который, вероятно, является одним из самых тщательно контролируемых устройств в сети.
  
  Тем не менее, вся дискуссия спорна, потому что после более чем 6 лет развертывания по всему миру не было ни одного случая компрометации брандмауэра ISA, когда брандмауэр ISA был правильно настроен. На этом этапе я собираюсь выждать время на том, что такое «правильно настроенный» брандмауэр ISA, так как это само по себе долгое обсуждение, хотя одной из особенностей является то, что массив брандмауэра ISA находится в домене. Хороший парень из TechEd на прошлой неделе поднял эту тему и указал, что я никогда не описывал, что такое правильно настроенный брандмауэр ISA, по крайней мере, в этом контексте. Я обещаю предоставить вам эту информацию в самое ближайшее время. Излишне говорить, что на данный момент беспокойства по поводу «собственных» брандмауэров ISA касаются цыплёнка из толпы и парней по продажам аппаратных брандмауэров и их « загипнотизированных сетевых парней».
  
  
• Администраторы домена могут управлять брандмауэром ISA.
  
  Это правда, что администраторы домена могут получить доступ и изменить конфигурацию присоединенного к домену массива брандмауэра ISA. Это реальная проблема безопасности? Если вы не можете доверять своим администраторам домена Active Directory, кому вы можете доверять? Выбираете ли вы администраторов домена с улицы и прикрепляете к ним значок, или вы проводите проверку биографических данных, финансовую проверку, проверку криминального прошлого, проверку личной истории и любые другие проверки, которые вам нравятся, чтобы подтвердить, что вы можете им доверять, поскольку они владеют ключами? к монетному двору для всех сетевых серверов и служб Microsoft в вашей компании? Я полагаю, что серверы SQL и Exchange, являющиеся членами домена, небезопасны, потому что администраторы домена могут управлять этими серверами. Только тот, кто пьет кевл-эйд с наибольшей дозой SANS, может быть обеспокоен этой проблемой.

Преимущества рабочей группы

Точно так же, как ничто не может быть «полностью хорошим», ничто не может быть полностью плохим. То же самое верно для режима рабочей группы, брандмауэров ISA, не являющихся членами домена. На рисунке ниже показаны преимущества массива брандмауэров ISA, не являющихся членами домена.

Рисунок 3

• Если брандмауэр скомпрометирован, злоумышленник может не получить доступ к Active Directory.
  
  Это обратная сторона предыдущего обсуждения. Оперативное слово может. Злоумышленник может не иметь доступа к Active Directory. Все зависит от расположения брандмауэра ISA. Если брандмауэр ISA собирается выполнять какую-либо аутентификацию, даже если он развернут как однонаправленный обратный прокси-сервер в DMZ «аппаратного» брандмауэра, атака потенциально может собрать ценные учетные данные пользователя. Злоумышленник может установить сетевой сниффер и другие более продвинутые инструменты на брандмауэре unihomed ISA в демилитаризованной зоне «аппаратного» брандмауэра и собирать ценную информацию, которая может привести к краже учетных данных. Нет, я не буду рассказывать вам, как это сделать, достаточно знать, что это возможно. Теперь, когда у него есть эта информация, он может легко использовать внеполосные методы, чтобы проникнуть в сеть и использовать эту информацию.
  
  Еще раз, помните, что это всего лишь полет фантазии, так как нет задокументированных случаев взлома брандмауэра ISA, который был правильно настроен, и профессиональные злоумышленники (те, о которых вам нужно беспокоиться) не собираются атаковать брандмауэр ISA. потому что им нужно сделать все возможное, чтобы как можно дольше оставаться незамеченными.
  
  
• Администраторы домена не могут управлять массивом
  
  В режиме рабочей группы вы настраиваете учетные записи пользователей, которые используются для администрирования массива брандмауэра ISA, и эти учетные записи зеркально отображаются на каждом члене массива брандмауэра. Поскольку эти учетные записи вряд ли будут иметь те же имена пользователей и пароли, что и администраторы домена Active Directory, ваши опасные и безрассудные администраторы домена не смогут подорвать сетевую безопасность, играя с конфигурацией вашего брандмауэра ISA. На самом деле администраторы домена не опасны и не безрассудны, и они являются самыми надежными компьютерными операторами в организации. Если вы не можете доверять своим администраторам домена, у вашей организации гораздо более серьезные проблемы, чем тот факт, что они могут управлять массивом брандмауэра ISA.
  
  
• Если Active Directory принадлежит, брандмауэр не будет затронут
  
  Это так. Если кто-то владеет вашей Active Directory, а массив брандмауэра ISA не является членом домена, учетные записи администратора домена не смогут изменить конфигурацию брандмауэра ISA. Конечно, он скомпрометировал и испортил ваш Exchange, SQL, SharePoint и другие серверы Microsoft в сети, но брандмауэр ISA будет продолжать гудеть. Массив брандмауэров ISA в режиме рабочей группы становится Nero среди брандмауэров в горящем пепле вашей сети Rome и остается последним выжившим человеком. На данный момент вас действительно волнует, какова конфигурация брандмауэра? И если да, то не думаете ли вы, что отключите Интернет к тому времени, когда заметите, что все эти серверы скомпрометированы? И будет ли это иметь значение? Скорее всего, он сможет использовать действующую учетную запись пользователя для передачи информации за пределы сети, не касаясь конфигурации брандмауэра ISA.

Недостатки брандмауэров ISA, не являющихся членами домена

Теперь давайте перейдем к самому интересному и важному – к недостаткам массива брандмауэра ISA, не являющегося членом домена, в режиме рабочей группы. Многие из них противоположны преимуществам членства в домене, но стоит переформулировать некоторые моменты, чтобы убедиться, что они усвоились. На рисунке ниже показаны эти недостатки (но не все из них, потому что есть и другие, которые я рассмотрел). включены в список под рисунком).

Рисунок 4

• Требуется сертификат сервера на CSS
  
  Чтобы компьютеры в режиме рабочей группы могли аутентифицироваться с помощью CSS, на CSS должен быть сертификат сервера. Каждый член массива брандмауэра ISA и CSS должны иметь сертификат ЦС, выдавший сертификат сервера, установленный в хранилище сертификатов доверенных корневых центров сертификации. Вы не сможете использовать MMC сертификатов для этого, потому что MMC требует, чтобы все машины находились в одном домене. Таким образом, вы получаете удовольствие от выяснения того, как использовать веб-сайт регистрации или какой-либо другой механизм для создания сертификата. Не забудьте правильно указать общее/субъектное имя в сертификатах, иначе все развалится, как я подробно расскажу в следующем пункте. Ничто из этого не особенно сложно (для меня), но если вы не парень из PKI, то приготовьтесь к дикой поездке мистера Тоада.
  
  
• Требуются запутанные изменения DNS
  
  Члены массива брандмауэра ISA должны иметь возможность разрешать имена CSS для связи с ними. Однако имя компьютера CSS может не совпадать с именем в сертификате. Например, предположим, что вы хотите разместить CSS на одном из членов массива брандмауэра ISA, работающем в режиме рабочей группы. Члены массива брандмауэра взаимодействуют друг с другом через сетевую карту внутри массива. Член массива брандмауэра, на котором установлен CSS, уже имеет свое имя компьютера, зарегистрированное в DNS, и оно разрешается в IP-адрес на внутреннем интерфейсе этого компьютера. Поскольку мы не можем использовать имя машины, нам нужно использовать общее/субъектное имя в сертификате сервера, которое отличается от имени машины, и ввести запись узла (A) в DNS для этого имени, которое разрешается в IP-адрес. на сетевом адаптере внутри массива на том члене массива брандмауэра ISA, на котором размещается CSS. Кроме того, вам придется использовать инструмент поддержки Windows Server 2003, setspn, чтобы зарегистрировать это имя в Active Directory. Вы не знаете о названиях принципов обслуживания? Будьте готовы сжечь полуночное масло. Опять же, это не особенно сложно сделать (для меня), но если вы не сделали это 500 раз, вам может быть трудно запомнить все движущиеся части.
  
  
• Необходимо отслеживать статус сертификата, чтобы избежать просроченных сертификатов
  
  Сертификаты истекают, и они истекают в самые неподходящие времена. В отличие от учетных записей компьютеров в Active Directory, срок действия которых никогда не истекает, срок действия вашего сертификата в CSS истекает, и вы не будете счастливы, если не сможете понять, почему массив брандмауэра ISA не может взаимодействовать с CSS, пока вы не превзойдете свой сертификат. столкнулся с проблемой в течение 8 часов и понял, что это проблема истечения срока действия сертификата.
  
  
• Необходимо использовать RADIUS или SecurID для аутентификации для обратного прокси-сервера (LDAP в ISA 2006).
  
  В отличие от массива брандмауэра ISA, который присоединен к домену, где у вас есть головокружительный набор вариантов аутентификации для аутентификации обратного прокси, с брандмауэром ISA в режиме рабочей группы вы получаете аутентификацию RADIUS и SecurID (с ISA 2006 вы получите RADIUS OTP и LDAP). Когда вам нечего делать, проверьте в журналах брандмауэра ISA количество запросов RADIUS, сделанных во время среднего подключения к вашему опубликованному сайту OWA. Вам не придется удивляться, почему доступ к вашему OWA-сайту такой медленный. Вы также ввели еще одну точку отказа, если вы вводите выделенный сервер RADIUS (или даже если служба RADIUS на контроллере домена выходит из строя) или если сервер ACE выходит из строя. И помните, что с RADIUS вы не можете использовать свои доменные группы для авторизации обратного прокси-сервера; вам придется создавать свои собственные группы брандмауэра ISA и заполнять их по одному пользователю в консоли брандмауэра ISA, или сдаться и просто разрешить всем аутентифицированным пользователям (не идеальный сценарий управления доступом).
  
  В ISA 2006 вы сможете использовать группы Active Directory, опрашивая контроллеры домена, но, как упоминалось ранее, существует потенциально повышенный риск DoS-атак с блокировкой учетной записи с использованием LDAP (в настоящее время это не подтверждено). И если вы разрешите LDAP от брандмауэра ISA к контроллерам домена, не станут ли сетевики «открывателями портов» такими же апоплексическими, как и с портами, которые необходимо открыть для полного доступа к членам домена (это относится к брандмауэру ISA unihomed в сценарии «аппаратного» брандмауэра DMZ).
  
  
• Можно использовать только RADIUS для прямого прокси
  
  В сценарии прямого прокси единственным доступным методом аутентификации является RADIUS, который можно использовать только для веб-соединений. Весь остальной трафик должен проходить через какое-то другое устройство, которое вряд ли имеет уровень контроля доступа и подотчетности брандмауэра ISA. Теперь вы зависите от любого устройства, используемого для пересылки не-веб-трафика за пределы сети. RADIUS для сценариев прямого прокси-сервера имеет те же ограничения, что и упомянутые выше в конфигурации обратного прокси-сервера.
  
  
• Встроенные учетные записи, необходимые для обмена данными внутри массива и управления массивом брандмауэра.
  
  Как я упоминал ранее, вам необходимо создать отдельные учетные записи в локальном SAM каждого члена массива брандмауэра ISA для связи внутри массива и для администрирования брандмауэра. Хотя это не является большой проблемой, если у вас есть один массив из двух элементов, ситуация становится немного сложнее, когда в вашем массиве 31 элемент, а в распределенной всемирной сети есть десятки массивов. Кроме того, есть все другие вещи, о которых я упоминал ранее в отношении плечевых серферов, задержки в изменении конфигурации, потому что вы не хотите повторно вводить 67-символьный пароль, административные расходы на поддержку того, что по сути является отдельной и отличной инфраструктурой каталогов, предназначенной для вашего брандмауэра. массивы. Что вы получите в конфигурации массива брандмауэра ISA для рабочей группы, так это значительно более высокий уровень административных издержек и общий более низкий уровень безопасности.
  
  
• Невозможно использовать аутентификацию сертификата пользователя
  
  Невозможность поддержки аутентификации сертификата пользователя является одним из основных ударов по безопасности при установке массива брандмауэра ISA в режиме рабочей группы. Если вы хотите избежать передачи имени пользователя и пароля, вам потребуется использовать SecurID, а если вы используете ISA Server 2006, то вы можете работать с одноразовыми паролями RADIUS. Отсутствие проверки подлинности сертификата пользователя — особенно плохая новость для тех, кто хочет использовать проверку подлинности сертификата пользователя на своих устройствах Windows Mobile.
  
  Во время TechEd на прошлой неделе я отлично пообщался с парой умных парней, которые хотели знать, как убедиться, что только управляемые ими мобильные устройства Windows могут подключаться к их сети через брандмауэр ISA. Я предложил аутентификацию сертификата пользователя и сопоставление глобального сертификата пользователя с учетной записью Windows Mobile. Если бы они не присоединили свой брандмауэр ISA к домену, они бы не смогли этого сделать и могли бы остаться в дураках в своих усилиях по повышению безопасности своей инфраструктуры Windows Mobile.
  
  
• Нет поддержки сопоставления пользователей VPN, когда пользователи подключаются с VPN-клиентов, отличных от Windows.
  
  В ISA 2004 и 2006 есть очень интересная функция, позволяющая сопоставлять попытки аутентификации пользователей с VPN-клиентов, отличных от Windows, с учетными записями пользователей, содержащимися в Active Directory. Например, если у вас есть пользователь, входящий в систему с помощью клиента Apple VPN, этот пользователь может войти в систему со своим именем пользователя и паролем AD, и эта попытка входа будет сопоставлена с учетной записью пользователя в Active Directory. Насколько я знаю, ни один другой VPN-сервер не поддерживает этот тип сопоставления учетных записей пользователей. Но если вы установите массив брандмауэра ISA в режиме рабочей группы, вы будете как все, у кого нет брандмауэра ISA и VPN-сервера, и у вас не будет доступа к этой исключительной возможности сопоставлять клиентские соединения VPN с учетными записями пользователей Active Directory. для клиентов, отличных от Windows.
  
  
• Нет поддержки управления исходящим доступом на основе пользователей/групп, за исключением веб-трафика.
  
  Это важная и основная причина, по которой конфигурация режима рабочей группы значительно снижает общий уровень безопасности. Компьютер в режиме рабочей группы, по сути, представляет собой простое устройство прямого и обратного веб-прокси, по крайней мере, в контексте безопасности. Для не-веб-протоколов вы получаете не больше защиты от брандмауэра ISA, чем то, что вы получаете с типичным «аппаратным» брандмауэром, который, как мы знаем, не очень хорош. Хуже того, как и в случае с типичным аппаратным брандмауэром, информация, содержащаяся в журналах брандмауэра, не очень исчерпывающая, и если бы я проводил аудит сети с типичным аппаратным брандмауэром или брандмауэром ISA, работающим в режиме рабочей группы, мне пришлось бы проверять их с ужасной точностью. небольшое количество полезной информации, содержащейся в файлах журнала брандмауэра (хотя режим рабочей группы ISA будет лучше обычного «аппаратного» брандмауэра, поскольку, по крайней мере, у вас будет некоторая полезная информация в журналах веб-прокси). Управление исходящим доступом на основе пользователей и групп больше не является удобной или дополнительной мерой безопасности.
  
  Если вы стали жертвой внутренней работы (что характерно для большинства сценариев компрометации сети) и у вас нет полной регистрации имени пользователя, имени машины, информации об имени приложения в ваших журналах, вам придется ответьте за отсутствие у вас должной осмотрительности и объясните, почему вы не можете предоставить властям и расследованию эту информацию. Если вы окажетесь в такой ситуации, не пытайтесь одурачить экзаменаторов такими объяснениями, как «аппаратные брандмауэры более безопасны» или «члены домена не защищены», потому что их один-два удара выставят вас наизнанку. обед.
  
  
• ПОДДЕРЖИВАЕТСЯ ТОЛЬКО ОДИН CSS!
  
  Сервер хранения конфигурации (CSS) содержит всю информацию о конфигурации массива брандмауэра ISA. Информация о конфигурации массива брандмауэра ISA загружается из CSS в локальный реестр каждого члена массива брандмауэра. Все задачи по настройке и управлению брандмауэром выполняются на CSS, а не напрямую с каким-либо членом массива брандмауэра ISA. Если массив брандмауэра ISA не может связаться с CSS, массив брандмауэра ISA продолжит обеспечивать всестороннюю проверку пакетов и прикладного уровня с отслеживанием состояния, но вы не сможете вносить изменения в текущую конфигурацию, пока массив брандмауэра ISA не сможет связаться с CSS. Когда CSS установлен в рабочей группе (например, когда массив брандмауэра ISA находится в конфигурации рабочей группы, а CSS установлен на одном из членов массива брандмауэра), вы можете установить только один CSS для всего массива. Это может быть проблематично, если вы хотите установить массив из 31 брандмауэра ISA.
  
  В отличие от этого, если бы CSS содержался на члене домена, вы могли бы настроить несколько CSS для обеспечения отказоустойчивости и отказоустойчивости и избежать неловкой ситуации, когда вас просят внести изменения в конфигурацию брандмауэра только для того, чтобы вам пришлось объяснять, что вы установил CSS на члене рабочей группы, несмотря на исчерпывающую информацию о том, почему вы должны были установить его на члене домена.

Резюме

В этом официальном документе я рассмотрел преимущества и недостатки включения членов массива брандмауэра ISA в состав рабочей группы или домена Active Directory. В результате тщательного анализа этих относительных преимуществ и недостатков стало ясно, что включение членов массива брандмауэра ISA в состав домена Active Directory обеспечивает гораздо более безопасную и более гибкую конфигурацию брандмауэра, чем включение массива брандмауэра в рабочую группу. В ходе анализа мы можем прийти к твердому выводу, что общий уровень безопасности, обеспечиваемый брандмауэром ISA, являющимся членом домена, выше, чем брандмауэр ISA, работающий в режиме рабочей группы. Хотя этот вывод бросает вызов среднему специалисту по сетевой инфраструктуре, который не разбирается в безопасности сети и приложений, ясно, что, если принять во внимание все существенные факторы, мы не можем оправдать «племенные знания», на которых базируется средний сетевая инфраструктура, которую ИТ-группа использует, чтобы прийти к ложным выводам о членстве в домене.

Обсудите эту статью на веб-доске по адресу http://tinyurl.com/oxfus.