Включение аутентификации на основе форм (FBA) брандмауэра ISA для соединений OWA как для внутренних, так и для внешних клиентов — часть 1

Включение аутентификации на основе форм (FBA) брандмауэра ISA для соединений OWA как для внутренних, так и для внешних клиентов — часть 1

Томас Шиндер, доктор медицинских наук, MVP

Функция проверки подлинности на основе форм (FBA) брандмауэра ISA является одним из ключевых приложений, включенных в брандмауэр ISA. Возможности FBA брандмауэра ISA позволяют брандмауэру ISA генерировать форму входа OWA вместо того, чтобы запрашивать генерацию формы сервером Exchange. Это огромное преимущество в плане безопасности, потому что оно позволяет принудительно аутентифицироваться на брандмауэре ISA до того, как какие-либо соединения будут переадресованы на сервер Exchange. Это предотвращает ситуацию, когда простые брандмауэры на основе пакетного фильтра находятся перед сервером Exchange, а FBA включен на самом сервере Exchange. Эта последняя конфигурация допускает неавторизованные и неавторизованные попытки подключения к серверу Exchange, иногда с неприятными результатами.

Одним из требований к функции FBA брандмауэра ISA является то, что FBA должен быть отключен на сервере Exchange. Хотя это не проблема для клиентов удаленного доступа, подключающихся к OWA-сайту Exchange Server, это большая проблема для администраторов брандмауэра ISA, которые хотят разрешить пользователям корпоративной сети доступ к сайту.

Причина, по которой это является проблемой, заключается в том, что почти во всех случаях вы хотите запретить пользователям зацикливаться на брандмауэре ISA для доступа к корпоративным ресурсам. Обратный цикл через брандмауэр ISA для доступа к ресурсам в корпоративной сети напрасно потребляет ресурсы процессора, диска и памяти брандмауэра. По этой причине всегда следует настраивать разделенный DNS и прямой доступ к локальным ресурсам, чтобы предотвратить явление неправильной конфигурации с зацикливанием.

Примечание:
Было бы правильнее сказать, что вы не хотите позволять пользователям возвращаться через брандмауэр ISA для доступа к ресурсам в той же сети брандмауэра ISA. Это более точное представление фактов об брандмауэре ISA, потому что если у вас есть 12 сетевых интерфейсов на брандмауэре ISA, и пользователям в одной сети брандмауэра ISA необходимо получить доступ к ресурсам OWA, расположенным в другой сети брандмауэра ISA, тогда этим пользователям нужно будет перейти через брандмауэр ISA, чтобы добраться до целевого сайта OWA. Обратите внимание, когда пользователи обращаются к ресурсам в другой сети брандмауэра ISA, они не возвращаются через брандмауэр ISA. Они проходят через брандмауэр ISA. Напротив, когда пользователи пытаются получить доступ к ресурсам OWA в той же сети брандмауэра ISA, в которой находятся пользователи, они зацикливаются или возвращают маршрутизацию от брандмауэра ISA, чтобы достичь той же сети брандмауэра ISA, из которой выполняются запросы.

Тем не менее, единственное решение состоит в том, чтобы позволить внутренним хостам проходить через брандмауэр ISA, если мы хотим, чтобы они использовали функцию FBA брандмауэра ISA и сохраняли хорошо спроектированный разделенный DNS. Проблема в том, что если мы используем веб-прослушиватель на внешнем интерфейсе брандмауэра ISA для доступа к сайту OWA, внутренние хосты должны будут преобразовать имя сайта OWA во внешний IP-адрес на брандмауэре ISA. Это нарушает правильно спроектированную инфраструктуру разделенной DNS, поскольку внутренняя зона всегда должна содержать только внутренние адреса, а внешняя зона в инфраструктуре разделенной DNS должна содержать только внешние адреса. Если мы поместим внешние адреса в наши внутренние зоны, то это может привести к другим компрометациям хорошо спроектированной сетевой инфраструктуры, например, использование .local для вашего внутреннего домена верхнего уровня Active Directory?

В этой статье я расскажу о процедурах, необходимых для создания двух веб-прослушивателей: одного прослушивателя для клиентов внешней сети и другого прослушивателя для клиентов внутренней сети. Внутренний веб-прослушиватель будет использоваться для всех клиентов в корпоративной сети, даже для тех, которые не находятся в той же сети брандмауэра ISA, что и сайт OWA. Внутренний веб-прослушиватель будет создан на интерфейсе брандмауэра ISA, который находится в той же сети брандмауэра ISA, что и сайт OWA.

Мы выполним следующие процедуры, чтобы внутренние и внешние пользователи могли использовать функцию FBA брандмауэра ISA для повышения безопасности доступа к OWA:

• Запрос и привязка сертификата к веб-сайту OWA
• Экспорт сертификата веб-сайта с закрытым ключом в файл
• Отвязать сертификат веб-сайта от сайта OWA
• Запрос и привязка сертификата к веб-сайту OWA
• Экспортируйте второй сертификат с его закрытым ключом в файл
• Скопируйте сертификаты на брандмауэр ISA и импортируйте их в хранилище сертификатов компьютера брандмауэра ISA.
• Создание внешних и внутренних веб-прослушивателей
• Создайте правила веб-публикации
• Создайте записи Host (A) в разделенном DNS и создайте запись файла HOSTS на брандмауэре ISA.
• Протестируйте решение

В этой части 1 этой серии статей, состоящей из двух частей, мы рассмотрим этапы настройки на компьютере с веб-сайтом OWA. Во второй части мы сосредоточим наше внимание на процедурах, выполняемых на устройстве брандмауэра ISA.

Запрос и привязка сертификата к веб-сайту OWA

Первым шагом является запрос сертификата для сайта OWA. Этот сертификат будет экспортирован в файл вместе с закрытым ключом и скопирован на брандмауэр ISA. Этот сертификат будет привязан к внешнему веб-прослушивателю, используемому в правиле веб-публикации, которое внешние пользователи будут использовать для доступа к сайту OWA.

Выполните следующие шаги, чтобы запросить и привязать сертификат к веб-сайту OWA:

1. На сервере Exchange Server, на котором размещается сайт OWA, откройте консоль IIS из меню «Администрирование».
2. В консоли диспетчера службы IIS (Internet Information Service) разверните имя сервера, а затем разверните узел «Веб-сайты». Щелкните правой кнопкой мыши веб-сайт по умолчанию и выберите «Свойства».
3. В диалоговом окне Свойства веб-сайта по умолчанию щелкните вкладку Безопасность каталога.
4. На вкладке «Безопасность каталога» нажмите кнопку «Сертификат сервера» в рамке «Безопасная связь».
5. Нажмите «Далее» на странице «Добро пожаловать на страницу мастера сертификатов веб-сервера ».
6. На странице «Сертификат сервера» выберите параметр «Создать новый сертификат» и нажмите «Далее».
7. На странице «Отложенный или немедленный запрос» выберите параметр « Отправить запрос немедленно в сетевой центр сертификации». Мы выбираем этот вариант в этом примере, потому что в этой организации развернут корпоративный ЦС. Если в вашей организации не развернут корпоративный ЦС, вам придется использовать сайт регистрации через Интернет, чтобы получить сертификат для сайта OWA. Поскольку центры сертификации предприятия предоставляют множество интегрированных функций для любого домена Active Directory, я настоятельно рекомендую вам развернуть центр сертификации предприятия в домене Exchange Server. Нажмите «Далее».

фигура 1

8. На странице «Имя и параметры безопасности» введите имя, которое позволит вам идентифицировать этот сертификат как сертификат, который будет привязан к веб-прослушивателю, который будет использоваться для прослушивания входящих веб-запросов от внешних хостов к веб-сайту OWA. В этом примере мы введем сертификат внешнего веб-прослушивателя в текстовое поле «Имя». Вы можете оставить другие записи по умолчанию. Нажмите «Далее».

фигура 2

9. Введите информацию о вашей организации и организационном подразделении в текстовые поля на странице «Информация об организации» и нажмите «Далее».
10. На странице Общее имя вашего сайта введите имя, которое внешние пользователи будут использовать для доступа к сайту OWA. В этом примере пользователи будут получать доступ к сайту OWA, введя URL-адрес https://owa.msfirewall.org/exchange. Поэтому мы введем owa.msfirewall.org в текстовое поле Common name. Вы должны убедиться, что общее имя в сертификате совпадает с полным доменным именем, которое внешние пользователи будут использовать для доступа к сайту. Нажмите «Далее».

Рисунок 3

11. Введите информацию о стране/регионе, штате/области и городе/населенном пункте в текстовые поля на странице «Географическая информация» и нажмите «Далее».
12. Используйте порт по умолчанию, указанный на странице « Порт SSL», и нажмите «Далее».
13. Используйте ЦС по умолчанию, указанный в списке Центры сертификации на странице Выбор центра сертификации, и нажмите Далее.
14. Просмотрите информацию на странице «Отправка запроса на сертификат» и нажмите «Далее».
15. Нажмите «Готово» на странице «Завершение работы мастера сертификатов веб-сервера».

Экспорт сертификата веб-сайта с его закрытым ключом в файл

Следующим шагом является экспорт этого сертификата в файл. Файл будет содержать сертификат веб-сайта и закрытый ключ. Позже мы скопируем этот сертификат на брандмауэр ISA.

Выполните следующие шаги, чтобы экспортировать сертификат в файл:

1. На вкладке «Безопасность каталога» нажмите кнопку «Просмотр сертификата».
2. В диалоговом окне Сертификат щелкните вкладку Сведения.
3. На вкладке «Сведения» нажмите кнопку «Копировать в файл».
4. Нажмите кнопку «Далее» на странице «Добро пожаловать в мастер экспорта сертификатов».
5. Выберите вариант «Да, экспортировать закрытый ключ» на странице «Экспорт закрытого ключа».
6. На странице «Формат файла экспорта» снимите флажок «Включить надежную защиту». Установите флажок Включить все сертификаты в путь сертификации, если это возможно. Нажмите «Далее».

Рисунок 4

7. Введите пароль и подтвердите пароль в текстовых полях на странице Пароль. Нажмите «Далее».
8. На странице Файл для экспорта введите путь и имя файла сертификата. В этом примере мы введем c:external_listener_cert и нажмем Next.

Рисунок 5

9. Нажмите «Готово» на странице «Завершение работы мастера экспорта сертификатов».
10. Нажмите «ОК» в диалоговом окне «Мастер экспорта сертификатов».
11. Нажмите OK в диалоговом окне Сертификат.
12. Не закрывайте диалоговое окно Свойства веб-сайта по умолчанию. Мы будем использовать его в следующей процедуре.

Отвязать сертификат веб-сайта от сайта OWA

Теперь нам нужно отвязать сертификат от веб-сайта OWA. Причина этого в том, что мы хотим сгенерировать другой сертификат с тем же общим именем, используя мастер сертификатов веб-сайта. Причина, по которой нам необходимо сгенерировать другой сертификат с тем же именем, заключается в том, что мы не можем связать один и тот же сертификат с двумя разными веб-прослушивателями на брандмауэре ISA. Мы можем обойти эту проблему, создав два разных сертификата с одинаковым общим именем. Один из сертификатов будет привязан к внешнему веб-прослушивателю, а второй сертификат будет привязан к веб-прослушивателю, используемому для обслуживания запросов узлов внутренней корпоративной сети.

Выполните следующие действия, чтобы отвязать сертификат от веб-сайта OWA:

1. Нажмите кнопку «Сертификат сервера» в рамке «Безопасная связь» на вкладке «Безопасность каталога ».
2. Нажмите «Далее» на странице «Добро пожаловать на страницу мастера сертификатов веб-сервера ».
3. Выберите параметр «Удалить текущий сертификат» на странице «Изменить текущее назначение сертификата». Нажмите «Далее».

Рисунок 6

4. Просмотрите информацию на странице «Удалить сертификат» и нажмите «Далее».
5. Нажмите «Готово» на странице «Завершение работы мастера сертификатов веб-сервера».

Чтобы завершить процесс удаления сертификата, чтобы мы могли сгенерировать новый сертификат с тем же общим именем, мы должны удалить сертификат из хранилища сертификатов на локальном компьютере. Выполните следующие действия, чтобы удалить сертификат веб-сайта из локального хранилища сертификатов компьютера с OWA:

1. Нажмите «Пуск», а затем « Выполнить». В диалоговом окне «Выполнить» введите MMC и нажмите «ОК».
2. В консоли 1 нажмите «Файл», а затем нажмите «Добавить/удалить оснастку».
3. Нажмите «Добавить » в диалоговом окне «Добавить/удалить оснастку».
4. Нажмите запись «Сертификаты» в списке «Доступные автономные оснастки» на странице «Добавить автономную оснастку», затем нажмите «Добавить».
5. На странице оснастки «Сертификаты» выберите параметр «Учетная запись компьютера» и нажмите «Далее».
6. На странице «Выбор компьютера» выберите параметр «Локальный компьютер» и нажмите «Готово».
7. Нажмите «Закрыть » в диалоговом окне «Добавить автономную оснастку».
8. Нажмите «ОК» в диалоговом окне «Добавить/удалить оснастку».
9. В консоли MMC разверните узел Сертификаты (локальный компьютер), а затем разверните узел Личный. Щелкните узел Сертификаты. На правой панели вы увидите сертификат, привязанный к веб-сайту OWA. Щелкните сертификат правой кнопкой мыши и выберите Удалить.

Рисунок 7

10. Нажмите «Да» в диалоговом окне «Сертификаты», спросив, уверены ли вы, что хотите удалить сертификат.
11. Сверните консоль сертификатов.

Запрос и привязка сертификата к веб-сайту OWA

Теперь нам нужно запросить еще один сертификат для веб-сайта OWA. Этот сертификат будет привязан к веб-прослушивателю, который будет использоваться правилом веб-публикации OWA, которое будет обслуживать запросы от пользователей в корпоративной сети. В отличие от последнего запрошенного нами сертификата, мы не будем отвязывать этот сертификат от сайта OWA. Это позволит подключаться к сайту OWA с использованием того же общего имени, owa.msfirewall.org. Ключом к хорошо спроектированной инфраструктуре разделенного DNS является то, что вы можете использовать одно и то же имя от начала до конца.

Брандмауэр ISA будет настроен на перенаправление запросов с owa.msfirewall.org на owa.msfirewall.org. Брандмауэр ISA будет настроен с записью в файле HOSTS, которая преобразует имя сайта OWA в фактический IP-адрес сайта OWA. Все остальные хосты, как внутренние, так и внешние, разрешат имя owa.msfirewall.org либо во внешний, либо во внутренний интерфейс брандмауэра ISA. Это позволяет брандмауэру ISA выполнять все подключения к сайту OWA и позволяет нам использовать функцию FBA брандмауэра ISA как для внутренних, так и для внешних сетевых узлов.

Выполните следующие шаги, чтобы запросить и привязать сертификат веб-сайта к сайту OWA:

1. В диалоговом окне Свойства веб-сайта по умолчанию щелкните вкладку Безопасность каталога.
2. On the Directory Security tab, click the Server Certificate button in the Secure Communications frame.
3. Нажмите «Далее» на странице «Добро пожаловать на страницу мастера сертификатов веб-сервера ».
4. На странице «Сертификат сервера» выберите параметр «Создать новый сертификат» и нажмите «Далее».
5. На странице «Отложенный или немедленный запрос» выберите параметр « Отправить запрос немедленно в сетевой центр сертификации». Мы выбираем этот вариант в этом примере, потому что в этой организации развернут корпоративный ЦС. Если в вашей организации не развернут корпоративный ЦС, вам придется использовать сайт регистрации через Интернет, чтобы получить сертификат для сайта OWA. Поскольку центры сертификации предприятия предоставляют множество интегрированных функций для любого домена Active Directory, я настоятельно рекомендую вам развернуть центр сертификации предприятия в домене Exchange Server. Нажмите «Далее».

Рисунок 8

6. На странице Имя и параметры безопасности введите имя, которое позволит вам идентифицировать этот сертификат как сертификат, который будет привязан к веб-прослушивателю, который будет использоваться для прослушивания входящих веб-запросов от внешних хостов к веб-сайту OWA. В этом примере мы введем Internal Web Listener Cert в текстовое поле Name. Вы можете оставить другие записи по умолчанию. Нажмите «Далее».

Рисунок 9

7. Введите информацию о вашей организации и организационном подразделении в текстовые поля на странице «Информация об организации» и нажмите «Далее».
8. На странице Общее имя вашего сайта введите имя, которое внешние пользователи будут использовать для доступа к сайту OWA. В этом примере пользователи будут получать доступ к сайту OWA, введя URL-адрес https://owa.msfirewall.org/exchange. Поэтому мы введем owa.msfirewall.org в текстовое поле Common name. Вы должны убедиться, что общее имя в сертификате совпадает с полным доменным именем, которое внешние пользователи будут использовать для доступа к сайту. Нажмите «Далее».

Рисунок 10

9. Введите информацию о стране/регионе, штате/области и городе/населенном пункте в текстовые поля на странице «Географическая информация» и нажмите «Далее».
10. Используйте порт по умолчанию, указанный на странице « Порт SSL», и нажмите «Далее».
11. Используйте ЦС по умолчанию, указанный в списке Центры сертификации на странице Выбор центра сертификации, и нажмите Далее.
12. Просмотрите информацию на странице «Отправка запроса на сертификат» и нажмите «Далее».
13. Нажмите «Готово» на странице «Завершение работы мастера сертификатов веб-сервера».

Экспорт второго сертификата с его закрытым ключом в файл

Теперь нам нужно экспортировать этот сертификат вместе с его закрытым ключом в файл. Позже мы скопируем этот сертификат на брандмауэр ISA и используем его для привязки к внутреннему веб-прослушивателю, который будет обслуживать запросы с сайта OWA от хостов во внутренней сети. Выполните следующие шаги, чтобы экспортировать сертификат:

1. На вкладке «Безопасность каталога» нажмите кнопку «Просмотр сертификата».
2. В диалоговом окне Сертификат щелкните вкладку Сведения.
3. На вкладке «Сведения» нажмите кнопку «Копировать в файл».
4. Нажмите кнопку «Далее» на странице «Добро пожаловать в мастер экспорта сертификатов».
5. Выберите вариант «Да, экспортировать закрытый ключ» на странице «Экспорт закрытого ключа».
6. На странице «Формат файла экспорта» снимите флажок «Включить надежную защиту». Установите флажок Включить все сертификаты в путь сертификации, если это возможно. Нажмите «Далее».

Рисунок 11

7. Введите пароль и подтвердите пароль в текстовых полях на странице Пароль. Нажмите «Далее».
8. На странице Файл для экспорта введите путь и имя файла сертификата. В этом примере мы введем c:external_listener_cert и нажмем Next.

Рисунок 12

9. Нажмите «Готово» на странице «Завершение работы мастера экспорта сертификатов».
10. Нажмите «ОК» в диалоговом окне «Мастер экспорта сертификатов».
11. Нажмите OK в диалоговом окне Сертификат.
12. Нажмите «ОК» в диалоговом окне «Свойства веб-сайта по умолчанию».

Резюме

В этой статье мы рассмотрели проблему включения аутентификации на основе форм брандмауэра ISA как для внутренних, так и для внешних хостов. Сложность этой конфигурации заключается в том, что нам нужно разрешить внутренним клиентам доступ к OWA-сайту через брандмауэр ISA, сохраняя при этом хорошо спроектированную разделенную инфраструктуру DNS. Решение, предложенное в этой статье, состоит в том, чтобы создать два веб-прослушивателя, один для внешних хостов, а другой для внутренних хостов. Затем мы рассмотрели настройку сертификатов на веб-сайте OWA и экспорт сертификатов в файл. Во второй части этой серии мы сосредоточим наше внимание на процедурах, выполняемых на устройстве брандмауэра ISA.