01 июня 2020 года 
 
Новости
производителей
Статьи
и обзоры
Вирусная
активность
Тесты
лабораторий
мнения
и комментарии
 
MSInfo.Ru - информационная безопасность как цель
Информационно-новостной дайджест из мира программного обеспечения, безопасности
 
Календарь событий
Июнь   2020
Пн
1
8 15 22 29
Вт 2 9 16 23 30
Ср 3 10 17 24
Чт 4 11 18 25
Пт 5 12 19 26
Сб 6 13 20 27
Вс 7 14 21 28

Microsoft ISA Server 2006 – новое слово в защите сети

25 сентября 2007 года

Источник: Михаил Демидов, "КомпьютерБизнесМаркет"

В настоящее время корпорацией “Microsoft” на рынке продвигается три семейства продуктов по защите информации под единым брендом Microsoft ForeFront. Для защиты клиентских машин служит Microsoft ForeFront Client Security, для защиты сервера – Microsoft Forefront Security для Exchange Server (почтовый сервер), Microsoft Forefront Security for Sharepoint (сервер порталов) и Antigen for Instant Messaging (сервер обмена быстрыми сообщениями), а для защиты периметра сети – Whale Communications Intelligent Application Gateway и Microsoft Internet Security & Acceleration Server (ISA Server). О последнем продукте и пойдет речь в данной статье.

Современное состояние дел в сфере защиты сетей характеризуется слиянием инфраструктуры и моделей безопасности. Одним из наглядных примеров тому служит приложение Data Protection Manager (DPM), который относится к семейству Microsoft System Center, но вместе с тем он является инфраструктурным продуктом, потому что он предназначен для резервирования данных, которые хранятся на сервере Exchange, баз данных SQL и файловых серверов.

Всего существует шесть основных проблем, с которыми приходится сталкиваться системным администраторам и от которых должен защитить межсетевой экран. К ним относятся:

– отказ сервисов (Service Disruption);

– взлом web-узлов и сетевых ресурсов (Website Defacement);

– неверная идентификация пользователей (Identity Theft);

– неавторизованный доступ;

– изменения данных, записей и журналов;

– потеря конфиденциальной информации (либо кража, либо физическое уничтожение).

ISA Server представляет из себя межсетевой экран на уровне приложений с интегрированной поддержкой VPN-сетей и интегрированными сервисами (публикация приложений, кэширование web-страницы обновлений и фильтрация данных). По мнению даже самих разработчиков из Microsoft, у них все получается хорошо только с третьей попытки, а ISA Server является уже пятым поколением межсетевых экранов, поэтому с ним проблем уже быть в принципе не должно. Приведем несколько фактов из истории:

– за три года не было выявлено ни одной уязвимости, которая приводила бы приложение к фатальным результатам;

– все пакеты обновлений для ISA Server (недавно, например, вышел Service Pack 3 для ISA Server 2003) либо добавляют функциональности к приложению, либо исправляют мелкие недоработки, которые никак не приводили к сбоям в защите информации;

– закончена сертификация русской версии ISA Server 2006 Standard Edition по российским требованиям;

– было получено одобрение по двум группам требований – уровень ОУД 1 (усиленный) по ГОСТ 15408 и уровни 3 и 4 по ФСТЕК для межсетевых экранов;

– ISA Server 2006 успешно сертифицирован в Германии по самым строгим требованиям (Common Criteria Evaluation Assurance Level 4+) – это самый высокий уровень для коммерческих продуктов, а плюс указывает на то, что были выполнены требования из более высоких уровней.

От традиционного межсетевого экрана ISA Server отличается тем, что работает на уровне приложений (а межсетевой экран работает только на уровне TCP/IP протокола). В стандартные задачи обычного межсетевого экрана входит только решение задачи “быть или не быть” сетевому соединению, исходя из набора правил и исключений. Но при этом все равно можно устроить атаку на сервисы, которые защищает межсетевой экран, и в данном случае обычная система будет бессильна. ISA Server позволяет блокировать атаку вне зависимости от того, в какой момент времени она началась, то есть, если идет атака по TCP/IP или атака уже после успешной аутентификации на сервере, то такие попытки будут пресечены. ISA Server проверяет заголовки пакетов и содержимое уровня приложений: заголовки IP-адресов, адреса источников и конечных точек маршрута, TTL и контрольные суммы, заголовки TCP, очередность портов.

Новые возможности ISA Server 2006


1. публикация/защита:

а) автоматическое преобразование ссылок (в случае подачи запроса на один сервер, при том условии, что он не успевает на него ответить, может ответить другой сервер, при этом система будет работать стабильно);

б) мастер публикации Exchange/Sharepoint (быстрая настройка продуктов с учетом новой функциональности);

в) балансировка нагрузки web-серверов.

2) аутентификация:

а) single sign on;

б) многофакторная аутентификация (SSL Certs);

в) поддержка однократных паролей (LDAP/RADIUS OTP Back-End);

г) KCD/NTML Negotiation Delegation;

д) настраиваемые формы аутентификации, в том числе и созданные пользователем.

3) кэширование/приоритезация:

а) кэш Windows Update (BITS) (ускорение скачивания обновления и экономия трафика, чтобы не скачивать одно и то же по несколько раз);

б) компрессия HTTP;

в) устойчивость к переполнению (защита от DoS-атак и червей);

г) поддержка на медленных линиях FW Storage (тиражирование данных между серверами).

ISA Server выпущен в двух версиях – Standard и Enterprise. Вторая версия отличается от первой, во-первых, наличием централизованного управления, во-вторых, балансировкой нагрузки и поддержкой отказоустойчивости, в-третьих, поддержкой массивов серверов. Это значит, что можно собрать сеть из двух и более серверов и осуществлять единое администрирование из одной точки без необходимости переключения между разными межсетевыми экранами, внося одни и те же коррективы в их работу. Для пользователя это означает, что в случае выхода одного файервола из строя, другой межсетевой экран возьмет на себя его задачи, при этом замена будет практически незаметна – замедления в работе при условии однородности каналов связи не будет. Также в единую политику управления входит возможность использования Active Directory или выделенного сервера для хранения настроек, работа в рабочих группах и ролевое администрирование с контролем администраторских привилегий. В области управления массивами дела обстоят следующим образом: есть балансировка нагрузки для web-сесии (CARP), есть выбор сценария внедрения – многофункциональные массивы или поддержка какой-нибудь одной функции (VPN, FW, proxy), а также масштабируемость и отказоустойчивость.

Единая консоль управления не претерпела радикальных изменений интерфейса со времен ISA Server 2004 Enterprise Edition. Принцип остался тем же: все сервера собираются в один массив, единожды создаются политики, и сервера получают единые конфигурационные базы данных для работы.

Другим важным функционалом в ISA Server 2006 является контроль пользователей (User Security Policy Agent), интеграция с Active Directory (как группы, так и отдельные пользователи) и с журналированием в базу данных (SQL Server), чтобы обеспечить более гибкий сбор статистики не в ущерб производительности, как если бы записи были в файлах LOG. Например, если у вас несколько сотрудников с одинаковыми именами и фамилиями, но с разными гелиосами (именами в сети), то можно увидеть, какой именно из этих сотрудников в данный момент времени отключился от сети (и раньше положенного срока отправился в пятницу на дачу).

Следующим немаловажным функционалом в ISA Server 2006 является наличие клиентского файервола. Он будет востребован уже для более тонкой настройки сети, когда, например, двум сотрудникам надо позарез использовать ICQ на компьютерах, в то время как у всех ICQ-протокол запрещен. Он расширяет возможности системы: контролирует WinSock (контроль TCP/IP) и приложения (клиент корректно определяет источник запроса и его адресата – если это не локальное подключение, то оно автоматически переводится на межсетевой экран, тем самым оставляя трафик под присмотром), а также поддерживает как 32-битные, так и 64-битные версии Microsoft Windows, включая Windows Vista. Клиентский файервол постоянно обновляется, сейчас уже доступны для скачивания версии 4.x.

Также ISA Server является расширяемой платформой – независимые производители-партнеры Microsoft предлагают свои варианты обеспечения дополнительных мер защиты (фильтрацию web-сайтов, фильтры приложений, фильтры контента, антивирусную защиту (в России это Антивирус Касперского, прошедший успешно сертификацию), аутентификационную защиту (например в России это компания “Алладин”), фильтрацию XML, Intrusion Detection, фильтрацию IM, ускорители SSL и балансировку нагрузки), с полным списком которых можно ознакомиться на сайте http://www.microsoft.com/isaserver/partners.

Не секрет, что без надежной системы аутентификации говорить о том, что построена надежная и стабильная система, не приходится. Пользователю в настоящее время нужен доступ к корпоративной сети из любого места и практически в любой ситуации. Если у пользователя есть ноутбук, то проблема решается быстро, с помощью электронного ключа (в виде USB-брелока), но бывает и так, что ноутбука нет, а есть смартфон или КПК/коммуникатор или есть Интернет-кафе и желание подключиться к корпоративной сети. В таком случае можно воспользоваться системой получения одноразовых паролей, генерируемых с помощью USB-брелока. Пользователь вводит в браузере адрес ресурса, к которому надо подключиться, этот запрос передается на ISA Server, который предлагает пользователю аутентификацию с использованием одноразового пароля, пользователь вводит свой логин и сгенерированный пароль, ISA Server получает эту информацию и через RADIUS Server аутентификации соединяется со службой каталога сети, и если ваш пароль соответствует тому, что записано в Active Directory, то доступ вы получаете.

Подведем итоги. Если вам требуется создать безопасный доступ к почте как для штатных сотрудников, так и для работающих дистанционно, если нужен безопасный доступ из Интернета к внутренним ресурсам компании, если для ваших партнеров нужно обеспечить защищенный доступ к некоторым данным, если нужно безопасно соединить филиалы с головным офисом предприятия, при этом контролировать доступ в Интернет и защиту клиентов от различных типов угроз, и плюс ко всему вы ищете решение, способное обеспечить быстрый доступ к наиболее часто используемым web-сайтам, то обратите внимание на ISA Server 2006. Например, в одном филиале есть три сотрудника, один из которых отправляет электронную почту, второй делает запрос в базу данных, а третий хочет открыть поисковик (все три операции совершаются одновременно). Традиционный межсетевой экран будет управлять этими процессами по принципу “кто успел, тот присел”, а ISA Server будет ранжировать их по степени важности – на первое место пойдет запрос к базе данных, потом электронная почта, а потом уже только откроется страница Google.com или что там хотели открыть.

Кроме того, ISA Server, будучи детищем Microsoft, идеально “заточен” под защиту родных сервисов, например, Microsoft Exchange Server. Основные преимущества:

– защита против новейших угроз безопасности (например от атаки червей);

– быстрая публикация сервисов и защищенный удаленный доступ к ним из Интернета;

– масштабируемое и расширяемое решение;

– защита доступа к содержимому почтового ящика из Microsoft Outlook 2003 с помощью протокола HTTP;

– расширенная защита доступа к Outlook Web Access, включая блокировку вложений и закрытие простаивающих сессий;

– мастера настройки, облегчающие процесс создания новой конфигурации.

Несомненно, важным является также наличие карантина частых виртуальных сетей (VPN), так как пользователь, подключающийся к корпоративной сети на удалении, должен соответствовать политике безопасности, принятой в этой сети. По умолчанию, это можно отключить, но администратор вправе создать карантинную сеть, в которую будут подключены все вновь прибывшие клиенты с целью проверки на наличие обновлений, настроек безопасности и так далее, после чего им будет разрешено в доступе в сеть.

Теперь немного слов о структуре внедрения беспроводной сети. Обычно точка доступа к беспроводной сети находится рядом с активным оборудованием, и пользователи через нее и подключаются к ресурсам сети. Но при неправильной настройке точки доступа возможны случаи несанкционированного доступа в сеть и перехват информации (пароли, сообщения и так далее). Поэтому более разумным вариантом является подключение к межсетевому экрану, благо то, что количество интерфейсов, которые он может поддерживать, не ограничено, и под каждый из них можно прописать необходимые правила и исключения (например VPN-карантин). Таким образом, достигается изоляция сети от периметра с целью защиты информации. Типичным примером такой сети является выделение в ней так называемой “демилитаризованной зоны”. В ней работают два межсетевых экрана, один отделяет ее от Интернета, а второй от внутренней сети. По советам международных аудиторов межсетевые экраны должны быть от разных производителей по причине того, что в продукте от одного и того же производителя могут быть найдены уязвимости, позволяющие получить полный доступ к внутренней сети. Пример создания подобной зоны может быть такой: открывает зону аппаратное решение (например продукция Antigen) – блокирует сеть от атак вирусов, от спама, от утечки информации, а закрывает Microsoft ISA Server (блокирует атаки на уровне приложений, дает доступ к ресурсам только авторизованным пользователям).

В помощь системному администратору Microsoft периодически выпускает Microsoft Internet Security and Acceleration Server Best Practices Analyzer Tool, который позволяет проверить правильность настроек и их соответствие международным рекомендациям, собрать информацию о проблеме и отправить ее в службу поддержки, построить схему сетевых сегментов, которые видимы с ISA Server для обеспечения правильности конфигурирования сети. Этот продукт поддерживает ISA Server 2004 и ISA Server 2006. Более подробную информацию можно найти на сайтах Microsoft, в частности информацию про ISA Server 2006 на http://www.microsoft.com/rus/isaserver, а также на web-ресурсах сообществ, самые известные из которых ISAserver.Org и ISAServer.Ru.

Пробную версию ISA Server (как Standard, так и Enterprise) можно загрузить с web-узла или заказать доставку диска почтой. С сентября этого года будут проводиться лабораторные работы по ISA Server в сертифицированных учебных центрах Microsoft (при желании можно прослушать и авторизованный курс по настройке и обслуживанию Microsoft ISA Server 2006).

В статье использовались материалы web-конференции Юрия Осипова (Microsoft) “Защита периметра с помощью ISA Server 2006”.



Распечатать
© 2007. Все права защищены.
Компания «1С-Мссофт.ру»,
Интернет-магазин Mssoft.Ru
Письмо администратору проекта


Rambler's Top100
новости производителей | статьи и обзоры | вирусная активность | тесты лабораторий

В магазине мссофт.ру вы можете купить лицензионный софт ведущих производителей: Microsoft, Adobe, microsoft office 2010.