Windows - ISA tűzfalszolgáltatások bemutatása

ISA szerver 2. rész

A mostani részben a tűzfal szolgáltatásaival foglalkozunk. Ezek közül is kiemelten a bejövő és a kimenő kérések szűrésével, IP csomagszűréssel, tartalom, oldal, protokoll- és házirendi szabályok definiálásával, támadás-észleléssel és riasztások konfigurálásával.
Az ISA 2000 szerver a tűzfalszolgáltatásból, alkalmazásszűrőkből, Web proxy szolgáltatásból és Web (ISAPI) szűrőkből áll. Egy HTTP átirányító szűrő eltérít minden HTTP kérést a Web proxy-szolgáltatáshoz.
Az ISA tűzfal dinamikus IP csomagszűrést biztosít és SecureNAT szolgáltatást, amely a NAT klienseknek lehetővé teszi az ISA-n keresztüli kapcsolódást. Az ISA használja a Windows 2000 sávszélesség kezelő QOS szolgáltatását.
Kimenő kérések szabályozása
Az ISA szerver egyik elsődleges funkciója, hogy úgy kapcsolja a helyi hálózatot az Internetre, hogy megvédje azt a veszélyes tartalomtól. Ahhoz, hogy megkönnyítsük a csatlakozást, használjuk az ISA szervert, hogy létrehozzunk egy hozzáférési házirendet, amely engedélyezi a belső klienseknek a megadott Internet kiszolgálók elérését. A hozzáférési házirend az útválasztási szabályokkal együtt meghatározza, hogy a kliensek miként érik el az Internetet.
Amikor az ISA szerver feldolgoz egy kimenő kérést, akkor ellenőrzi az útválasztó szabályokat, oldal és tartalom szabályokat, protokoll szabályokat, hogy eldöntse a hozzáférés engedélyezését. Egy kérés csak akkor engedélyezett, ha a protokoll-, oldal-, és tartalomszabályok egyaránt engedélyezik a hozzáférést, és ha nincs olyan szabály, amely közvetlenül tiltó lenne a kérésre.
Néhány szabály beállítható úgy, hogy meghatározott klienseket fogadjon el. Ebben az esetben a kliens megadható akár IP címmel, akár felhasználói névvel. Az ISA szerver a kéréseket differenciáltan dolgozza fel, attól függően, hogy az objektumra milyen fajta klienskérések érkeztek, és hogyan van a szerver konfigurálva.
Egy kimenő kérés esetén a szabályok az alábbi sorrend szerint kerülnek feldolgozásra:
  • Protokoll szabályok. Először az ISA szerver ellenőrzi a protokollszabályokat. Csak akkor engedélyezi a kérést, ha egy protokollszabály meghatározottan engedélyezi a kérést, és nincs tiltó protokollszabály megadva.
  • Oldal- és tartalomszabályok. Következő lépésben az ISA szerver ellenőrzi az oldal- és tartalomszabályokat. Csak akkor hagyja jóvá a kérést, ha egy oldal- és tartalomszabály közvetlenül engedélyezi a hozzáférést, és nincs tiltó oldal- és tartalomszabály.
  • IP csomagszűrők. Az ISA szerver ezután ellenőrzi, hogy van-e beállított IP csomagszűrő, amely blokkolja a kérést, hogy meghatározza, ha a kérés tiltott.
  • Útválasztó szabályok, vagy tűzfal láncolt beállítása. Végül, az ISA szerver ellenőrzi az útválasztó szabályokat (ha egy Web proxy kliens kérte az objektumot) vagy a tűzfalláncoló konfigurációt (ha egy SecureNAT vagy tűzfal kliens kérte az objektumot), hogy vajon a kérés kiszolgálható-e.
A szabályok az ISA Management eszköz (Start menüből elérhető) Access Policy csomópontja alatt definiálhatók. Itt választhatunk oldal- vagy tartalom-, illetve protokollszabályok között. A szabályok konfigurálásakor megadhatunk időbeli korlátot (napszakokat), célt, amelyre a szabály vonatkozzon (pl. név, IP cím, vagy minden elérhető cél). HTTP tartalom meghatározása is lehetséges. Megadhatjuk, hogy csak bizonyos fajta, pl. szöveges vagy VRML tartalomra vonatkozzon a szabály. Ezen kívül még meghatározhatjuk itt, hogy csak bizonyos felhasználók, vagy mindenkinek a lekérdezéseire vonatkozzon a beállítás.
Bejövő kérések szabályozása
Az ISA szerver szintén biztonságossá teheti a belső szerverek elérését a külső kliensek számára. Használjuk az ISA szervert, hogy létrehozzunk publikációs házirendet, amely IP csomagszűrőkből, Web publikáló szabályokból, vagy szerverpublikáló szabályokból áll együtt az útválasztó szabályokkal, meghatározva a belső szerverek publikus voltát.
Használhatjuk valamely ISA szabályt az alábbiak közül, hogy szervert tegyünk közzé:
  • Web publikáló szabályokat, hogy Web szerver tartalmat publikáljunk.
  • Szerverpublikáló szabályokat, hogy közzétegyünk tartalmat minden egyéb szervernek, amely a belső hálózatban van.
  • IP csomagszűrőket, hogy tartalmat tegyünk közzé a szervereken, a körkörös hálózatokon (vagy másként rejtett alhálózatokon).
A publikációs szabályok a Publishing menüpont alatt érhetők el.
Amikor az ISA szerver feldolgoz egy kérést egy külső klienstől, ellenőrzi az IP csomagszűrőket, a publikációs és az útválasztó szabályokat annak meghatározására, hogy melyik belső szerver szolgálja ki a kérést.
Bejövő kérésnél a szabályok az alábbi sorrendben kerülnek feldolgozásra:
  • IP csomagszűrés. Ha az IP csomagszűrés bekapcsolt, akkor egy IP csomagszűrő meghatározott módon tilt egy lekérdezést, a kérés elutasított lesz.
  • Web publikáló szabályok. Ha Web publikáló szabályok közvetlenül tiltják a kérést, akkor a hozzáférés megtagadott lesz.
  • Útválasztási szabályok. Ha egy útválasztó szabály meghatározza, hogy a kérések átirányítódjanak egy megadott felettes szervernek, vagy egy másik kiszolgált oldalra kerüljenek, akkor a meghatározott szerver kezeli a kérést. Ha egy útválasztó szabály meghatározza, hogy a kérés egy meghatározott szerverhez kerüljön, akkor a belső Web szerver visszaadja az objektumot.
IP csomagszűrés
Az IP csomagszűrés elfogja és kiértékeli a csomagot, mielőtt magasabb szintre kerülne a protokollban vagy az alkalmazásban. Ez magában foglal minden IP csomagot, beleértve a TCP csomagokat, UDP datagrammokat és egyéb csomag-típusokat. Az IP csomagszűrők beállíthatók úgy, hogy csak a meghatározott csomagok jussanak át az ISA szerveren. Ez magas szintű biztonságot jelent a hálózaton. Az IP csomagszűrés blokkolhatja a csomagokat, amelyek egy meghatározott Internet host-ról jönnek és visszautasítja azokat a csomagokat, amelyek számos közismert támadással kapcsolatosak. Az IP csomagszűrés szintén blokkolhatja a csomagokat, amelyek bármely belső hálózati szolgáltatásnak célzottak, beleértve a Web proxy-t, tűzfalat, WWW, SMTP szolgáltatásokat.
Az IP csomagszűrőkkel elfoghatjuk, és egyben engedélyezhetjük, vagy blokkolhatjuk valamely meghatározott számítógépre célzott csomagokat a céges hálózatban. Kétféle statikus IP szűrő létezik, az engedélyező és a tiltó szűrő.
Azok a csomagok, amelyek közvetlenül nem blokkoltak, átkerülnek az ISA szolgáltatásokhoz alkalmazásszinten. Az alkalmazás szintjén meghatározhatunk ISA szerver-házirendet, amely egy szabálycsoportot határoz meg, amely megadja, hogy milyen fajta kommunikáció lehetséges. Az ISA szerver-házirend szintén meghatározhatja a kommunikációt, amely engedélyezheti, vagy blokkolhatja a Web proxy, vagy tűzfal-szolgáltatások elérését. A port-ok nyitva lehetnek átvitelre, vagy felvételre, és azonnal zárulnak, miután valamely ISA szerverszolgáltatás bezárta a kapcsolatot.
A csomagszűrési beállításokat az Access Policy menüpont alatt találhatjuk meg. Itt többféle előre konfigurált szűrőt találunk, amelyet módosíthatunk, vagy újabb szűrőkkel bővíthetjük a sort.
Dinamikus csomagszűrés
Az ISA szerver támogatja a bemenő és kimenő IP csomagszűrést. Az ISA szerver képes dinamikusan meghatározni, hogy mely csomagok kerülhetnek át a belső hálózati körforgásba és az alkalmazásszintű szolgáltatásokba. Megadhatunk hozzáférési házirendszabályokat, amelyek automatikusan nyitják a port-okat akkor, ha engedélyezett a forgalom, és zárják, amikor a kommunikáció véget ért. Ez a folyamat dinamikus IP csomagszűrés néven ismert. Ez a fejlesztés csökkenti a nyitott portok számát bármely irányban, és magas szintű problémamentes biztonságot nyújt a hálózatnak.
Több alkalmazás-protokoll esetében, mint például a médiafolyam, a dinamikus IP csomagszűrés nyújtja a legbiztonságosabb módszert a dinamikusan allokált port-ok kezelésében.
Támadások és riasztások
Az ISA szerver egyik szolgáltatása egy betörés-felismerő mechanizmus, amely azonosítja, amikor támadási kísérlet történik a hálózatunkra, és számos meghatározott műveletet végez a támadás esetére.
Ahhoz, hogy észlelje a váratlan támadókat, az ISA összeveti a hálózati forgalmat és a naplóbejegyzéseket a jól ismert támadási módszerekkel. A gyanús aktivitás riasztást eredményez, amely egy meghatározott műveletsorozat lehet. A műveletek tartalmazzák a kapcsolatmegszűntetést, a szolgáltatás leállítását, e-mail értesítést és naplózást.
Az ISA szerver az alábbi típusú támadásokat figyeli:
  • All-port scan támadás
  • Enumerated-port scan támadás
  • IP-half scan támadás
  • Land támadás
  • Ping-of-death támadás
  • UDP bomb támadás
  • Windows out-of-band támadás
A Monitoring Configuration fa csomópont alatt található Alerts tárolóban találhatjuk meg a riasztásokat. Egyedileg beállíthatjuk valamennyit. A riasztások tulajdonságlapján megadhatjuk az esemény bekövetkeztének körülményeit, valamit a műveleti lapon, az esemény kapcsán foganatosítani kívánt intézkedéseket.

ISA szerver cikksorozat