Аутентифікація доступу до Інтернету з використанням сервера ISA, Windows IT Pro

Захист та розмежування клієнтського доступу до Internet Найбільш відомою проблемою забезпечення безпеки під час роботи з Internet є захист мережі від вторгнень ззовні. І тому використовується контрольований доступ до Internet. Щоб

Захист та розмежування клієнтського доступу до Internet

Найбільш відомою проблемою забезпечення безпеки під час роботи з Internet є захист мережі від вторгнень ззовні. І тому використовується контрольований доступ до Internet. Щоб надати певним обліковим записам користувача доступ до Internetу через proxy-сервер, можна задіяти Microsoft Internet Security and Acceleration (ISA) Server 2000. Сервер ISA не тільки допомагає захистити внутрішніх клієнтів від зовнішніх атак, але й надає можливість контролю та управління активністю користувачів в Internet . Сервер ISA підтримує доступ до внутрішніх серверів ззовні (reverse proxy), але така можливість не розглядається.

Версії та режими

Сервер ISA випускається у двох версіях: корпоративної та стандартної (enterprise та standard). ISA Server Enterprise Edition дозволяє запускати сервер ISA як у режимі виділеного (standalone) сервера, так і в режимі логічного об'єднання декількох серверів ISA в один масив (створити масив можна і на одному комп'ютері, але це не дасть жодних переваг). Конфігурація як масиву підтримує корпоративні адміністративні політики, т. е. зміни, зроблені одній із систем масиву, поширюються попри всі системи масиву, отже відпадає необхідність вносити такі самі зміни кожному системі. Можна створити кілька масивів для підтримки багаторівневих політик та прав доступу. Крім того, можнапередавати право керування масивами іншим користувачам та групам. Enterprise Edition інтегрується з Active Directory (AD) і зберігає конфігураційні дані масиву серверів ISA в AD, на відміну виділеного сервера ISA, конфігурація якого зберігається у системному реєстрі. Коли Enterprise Edition встановлюється в мережі, де немає AD, сервер ISA стає виділеним сервером. Enterprise Edition масштабується на будь-яку кількість процесорів. ISA Server Standard Edition підтримує не більше чотирьох процесорів. Для спрощення я використовую в тестовій мережі ISA Server як виділений сервер, не інтегрований в AD.

Клієнт SecureNAT

Клієнт брандмауера

Клієнт брандмауера повинен запускати спеціальне програмне забезпечення, ISA Server Firewall Client. Під час встановлення сервера ISA створюється каталог \%programfiles%microsoft isa serverclients, що містить усі програмні та конфігураційні файли, необхідні для встановлення клієнта. Для налаштування клієнта брандмауера використовується оснащення ISA ManagementClient Configuration, яке запускається з Microsoft Management Console (MMC). ISA Server розповсюджує ці установки на всі системи, які використовують клієнта брандмауера. Це програмне забезпечення сервер ISA використовує як провайдер рівня сокетів Windows (Winsock Layered Service Provider). Клієнт приймає всі запити від програм, що використовують сокети, і передає їх на систему із запущеним на ній сервером ISA. У результаті всі програми у внутрішній мережі, що використовують сокети, працюють так, ніби вони безпосередньо підключені до Internet. Після встановлення цього програмного забезпечення на клієнтських системах користувачі, зокрема, зможуть запускати ftp.exe з командного рядка та отримувати доступ до зовнішніх FTP-сайтів.

Уклієнта брандмауера роздільна здатність імен влаштовано просто. За промовчанням ISA Server дозволяє всі імена, що містять точки (наприклад, www.braginski.com); імена без точок дозволяються локально. Для зміни налаштувань роздільної здатності імен можна використовувати оснастку ISA Management.

Запит клієнта брандмауера містить імена користувачів, тому можна застосовувати політики доступу, що базуються на іменах користувачів. Однак запити виконуються в контексті поточного користувача, і клієнтське програмне забезпечення не має механізму для запиту користувачів іншого імені та пароля, якщо ім'я та пароль зареєстрованого користувача неправильні. Тому, якщо заборонити користувачеві вихід за межі мережного екрана, спроба вийти в Internet призведе до помилки без пропозиції ввести інше ім'я та пароль.

Клієнт Web Proxy

Управління

Сервер ISA керується через оснастку ISA Management, яка підтримує вікна керування двох типів: Taskpad View (подання панелі завдань) та Advanced View (розширене уявлення). Я віддаю перевагу розширеному уявленню, показаному наекрані 1. Воно логічно організує всі компоненти сервера ISA у відповідних папках під системним об'єктом «сервер ISA». Призначення цих папок описано у врізанні«Папки керування сервером ISA».

доступу
Екран 2. Налаштування вихідних запитів

Подібно до Microsoft IIS, сервер ISA підтримує різні методи реєстрації. Щоб вибрати схему реєстрації, яку клієнт використовуватиме для перевірки імені та пароля на proxy-сервері, потрібно вибрати сервер ISA у секції ідентифікації та натиснути Edit, щоб відкрити діалогове вікно Add/Edit Listeners (додати/редагувати слухачів). Я рекомендую вибративбудовану (Integrated) аутентифікацію, яка наказує клієнту використовувати аутентифікацію за протоколом Kerberos (коли сервер ISA та клієнти є членами домену AD) або за протоколом NT LAN Manager (NTLM). Якщо вибирається вбудована автентифікація, браузер клієнта спочатку намагається задіяти ім'я та пароль зареєстрованого користувача. Якщо ім'я або пароль не підходять, браузер видає запрошення знову ввести ім'я та пароль. Тому більшість користувачів домену використовують вбудовану автентифікацію. У режимі автентифікації Basic with this domain (Базова в поточному домені) ім'я та пароль надсилаються по мережі відкритим текстом. Така автентифікація безпечна лише у разі використання програм з'єднання Secure Sockets Layer (SSL). Режим Digest with this domain («Відповідно до правил домену») працює подібно до NTLM, а варіант Client certificate («Сертифікат клієнта») працює тільки зі з'єднаннями SSL.

За замовчуванням після встановлення сервера ISA його алгоритм управління доступом (нарис. 2показана спрощена версія) запобігає доступу внутрішніх клієнтів до всіх зовнішніх систем. Для кожного вихідного запиту служба Firewall Service визначає, чи є явно задані поточні дозволи доступу або заборони на кожен із запитуваних протоколів, сайтів або тип вмісту. Можна призначати спеціальні правила для сайтів та їх вмісту, які будуть визначати, який сайт чи тип вмісту буде доступний тим чи іншим користувачам. ISA Server забороняє всі зовнішні запити, поки адміністратор явно не дозволить їх. Він також перевіряє всі пакети, що проходять через проксі-сервер на предмет явної заборони запитів будь-яким пакетним фільтром IP. Сервер ISA не використовує будь-яких забороняючих фільтрів позамовчуванням. Наприклад, зовнішні системи не зможуть отримувати відповіді від сервера ISA на команду ping доти, доки адміністратор не створить відповідний пакетний IP-фільтр, який явно дозволяє проходження пакетів протоколу Internal Control Message Protocol (ICMP), який використовує команда ping. Тому першим завданням адміністратора у забезпеченні доступу клієнтів до Інтернету буде додавання до списку дозволених протоколів HTTP і HTTP Secure (HTTPS).

Для налаштування правил і фільтрів можна використовувати папки Access Policy Site and Content Rules (правила доступу до сайтів та вмісту), Protocol Rules (правила використання протоколів) та IP Packet Filters (фільтри пакетів IP) консолі керування ISA Management. Для створення правила використання протоколів слід клацнути правою кнопкою миші на папці Protocol Rules, а потім вибрати New Rule для запуску майстра New Rule Wizard. Дотримуючись вказівок майстра, створіть правило, яке дозволяє використовувати протоколи HTTP і HTTPS. У своєму прикладі я назвав це правило Http Allow (дозвіл HTTP). Натисніть Next і виберіть Allow. На наступному екрані потрібно вибрати протоколи HTTP та HTTPS зі списку Selected Protocols. На всіх наступних екранах натискаємо Next для прийняття стандартних установок. Після закриття майстра слід перезапустити служби Firewall Service та Web Proxy, вибираючи в контекстному меню кожної служби (у папці MonitoringServices) пункт Stop, потім залишається вибрати Start для перезапуску служб.

Політики використання протоколів та політики управління доступом

аутентифікація
Екран 3. Підключення до proxy-сервера

Використання сервера ISA як мережевого екрана та сервера-посередника допоможе захистити мережу від зовнішніх атак за рахунок можливостікерування зовнішнім доступом. Крім того, proxy-сервер дозволяє керувати доступом внутрішніх клієнтів до Інтернету.

Папки керування сервером ISA

Для керування Microsoft Internet Security and Acceleration (ISA) Server 2000 використовується консоль Microsoft Management Console (MMC) та оснащення ISA Management. Оснащення ISA Management підтримує розширений режим (Advanced view), який групує параметри сервера до папок, що знаходяться під кожним системним об'єктом ISA Server. Цей режим спрощує керування сервером ISA. Розглянемо докладніше ці папки та їх призначення.

Папка Monitoringмістить кілька вкладених папок. У вкладеній папці Alerts зберігаються короткі повідомлення та попередження, які з'являються у системному журналі Firewall Service у відповідь на ті чи інші події. Вкладена папка Services містить інформацію про запущені служби та дозволяє зупиняти та запускати їх. Вкладена папка Sessions допомагає стежити за активністю сервера ISA. Вкладена папка Reports містить завдання створення звітів сервером ISA (наприклад, звітів про використання Web), які можна запускати за розкладом.

Папка Computerмістить список комп'ютерів, на яких встановлена ​​система ISA і які є членами масивів поряд із обраною системою.

Папка Access Policyмістить три вкладені папки: Site and Content Rules, Protocol Rules та IP Packet Filters. Сервер ISA використовує комбінацію цих правил забезпечення захисту доступу до Internet.

Папка Cache Configurationдозволяє налаштовувати функцію кешування сервера ISA (тобто який вміст і протягом якого часу має зберігатися в кеші сервера ISA). Папка Monitoring Configuration дозволяє визначити, яка дія маєвиконати сервер ISA у відповідь на певну подію (наприклад, надіслати електронною поштою повідомлення адміністратору у разі зупинення будь-якої служби). Папка Extensions може стати в нагоді для роботи з динамічними бібліотеками, які розширюють функціональність сервера ISA (для написання таких бібліотек слід використовувати ISA Server SDK). Папка Network Configuration керує тим, як сервер ISA маршрутизує запити і як ISA перенаправляє їх у інші proxy-серверы. Папка Client Configuration містить настройки клієнта брандмауера ISA Server Firewall Client.

Поділіться матеріалом з колегами та друзями