Устанавливаем межсетевой экран MS ISA Server 2004

АНДРЕЙ БИРЮКОВ

Устанавливаем межсетевой экран MS ISA Server 2004

Вам предстоит внедрить в вашей компании Microsoft ISA Server 2004. Какова архитектура этого распространенного межсетевого экрана, на что обратить внимание при его установке и как настроить основные службы?

Приступая к работе

Быстрота передачи данных по электронной почте, возможность мгновенно находить нужную информацию с помощью поисковых систем – все это сделало Интернет удобным инструментом, необходимым для работы. Однако помимо тех удобств, которые предоставляют ресурсы глобальной сети, они могут стать и источником массы угроз: атаки хакеров, вредоносные приложения, утечка информации, нежелательная почта. Все эти факторы представляют угрозу как для частных пользователей, так и крупных корпораций, и могут привести к значительным убыткам. Для борьбы с угрозами существует множество как аппаратных, так и программных решений. Если у вас сеть под управлением MS Windows, то вам наверняка знаком такой продукт, как Microsoft ISA Server 2004.

Разберемся с топологией сети

Хотелось бы обратить ваше внимание на такую важную вещь, как имеющаяся на момент внедрения ISA топология сети. В сети организации имеются ресурсы, которые должны быть доступны как из глобальной сети, так и из локальной (например, почтовый сервер, веб-сервер, FTP-сервер и т. д.). Возможны два варианта подключения.

В одном случае и рабочие станции, и серверы находятся в од­ном сегменте сети. Такой вариант встречается в небольших организациях, где количество рабочих станций не превосходит 20 машин, а серверов зачастую не больше двух.

В другом случае сеть организации содержит подсети, и соответственно серверы, доступ к которым необходим как снаружи, так и изнутри, находятся в одной подсети (которая также именуется DMZ, демилитаризованной зоной), а пользователи и локальные ресурсы находятся в других подсетях. При такой топологии серверы, находящиеся в DMZ, должны быть отделены одним межсетевым экраном от Интернета и другим – от локальной сети. При этом на внешнем межсетевом экране должен быть реализован доступ «снаружи» к нужным ресурсам, используя терминологию ISA Server, эти ресурсы должны быть опубликованы. По-хорошему, эти два межсетевых экрана должны находиться на разных серверах и использовать различное программное обеспечение (например, Windows и ISA и Linux и iptables).

Однако далеко не все, особенно небольшие компании, могут позволить себе использовать два сервера для защиты сети. Поэтому зачастую прибегают к более дешевому варианту: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй – в DMZ и третий – в локальную сеть.

Далее в статье сетевой адаптер, подключенный к Интернету, я буду называть WAN, интерфейс, подключенный к демилитаризованной зоне, – DMZ, а к локальной сети – LAN.

На рис. 1 изображены два варианта подключения межсетевого экрана. В случае «а» используются два межсетевых экрана, один подключен к WAN и DMZ, а второй – к DMZ и LAN, в случае «б» – один межсетевой экран, подключенный и к WAN, и к LAN, и к DMZ.

Рисунок 1. Варианты развертывания межсетевого экрана и демилитаризованной зоны

Если вы собираетесь реализовать второй вариант подключения, то обратите внимание на его недостатки.Прежде всего это общее снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям. Например, если у вас в сети один почтовый сервер и он находится в демилитаризованной зоне, то при отключении межсетевого экрана он будет недоступен, и у пользователей в почтовом клиенте начнут появляться сообщения об ошибке соединения. Как следствие – поток звонков и жалоб системному администратору на неработоспособность сети.

Другой недостаток использования одного сервера – это то, что в случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна.

И наконец, пожалуй, самый важный недостаток такой топологии, в случае если злоумышленнику удастся проникнуть на сервер, он сможет получить доступ как в DMZ, так и локальную сеть.

Я буду описывать настройки сервера, который подключен к WAN и DMZ, вариант топологии «а» и при необходимости буду делать пояснения для реализации варианта «б».

Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из варианта «а» можно превратить в вариант «б», добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается. Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.

Архитектура ISA и подготовка к установке

Существуют две версии ISA 2004: Standard и Enterprise.

Версия Standard подходит в качестве решения для небольших и средних компаний, количество рабочих мест в которых не превышает 100-150. Основной особенностью ISA 2004 Standard Edition является то, что данная редакция позволяет разворачивать межсетевой экран только на одном сервере. Другими словами, если в вашей сети не используются кластеры и балансировка нагрузки, то нет никакого смысла покупать более дорогую версию Enterprise Edition, так как в остальном функциональности версий совпадают.

Версия Enterprise ориентирована на большие сети, в которых для обеспечения быстрого и бесперебойного доступа в Интернет и предоставления других сервисов необходима балансировка нагрузки, централизованное управление и хранение конфигураций.

Также в Enterprise включена поддержка протокола CARP (Cache Array Routing Protocol). Этот протокол осуществляет управление поиском кэшированных страниц в массиве ISA северов. То есть когда пользователь обращается к какой-либо веб-странице, CARP определяет на каком ISA-сервере массива сохранить эти данные. Затем, когда другой пользователь обращается к этой же странице, CARP обращается к тому серверу, на котором страница сохранена. Таким образом, с помощью CARP осуществляется оптимизация кэширования данных.

В своей серии статей я ограничусь описанием настроек для версии Standard Edition.

С аппаратными требованиями, предъявляемыми Microsoft ISA 2004 к серверу, вы можете ознакомиться в статье [1]. Там же содержатся рекомендации по использованию операционной системы, поэтому я лишь предлагаю сразу после установки ОС развернуть все последние обновления и проследить за тем, чтобы не было установлено никаких лишних компонентов, так как наличие любого дополнительного приложения увеличивает вероятность успешного взлома системы. Не стоит забывать, что мы разворачиваем межсетевой экран, а не какой-то внутренний сервер, то есть пограничный узел, который первым будет «проверяться на прочность» хакерами.

Следующий элемент архитектуры – таблица маршрутизации, которая должна быть настроена до установки программного обеспечения ISA. Таблица включает маршруты ко всем сетям, которые не являются локальными для сетевых интерфейсов межсетевого экрана. Эти записи в таблице маршрутизации необходимы, потому что у ISA может быть только один основной шлюз. Обычно основной шлюз настроен на сетевом интерфейсе, используемом для внешней сети. Поэтому, если имеется внутренняя сеть или другая сеть, содержащая несколько дочерних сетей, например DMZ, нужно настроить записи в таблице маршрутизации так, чтобы ISA мог взаимодействовать с компьютерами и другими устройствами в соответствующих подсетях. То есть для варианта с использованием трех сетевых карт необходимо будет прописать маршруты DMZ – LAN, DMZ – WAN. Маршрут WAN – LAN обязательно определять, так как у нас будет указан шлюз по умолчанию в настройках сетевой карты WAN. Для указания маршрутов можно использовать консоль RRAS (Routing and Remote Access Service, служба маршрутизации и удаленного доступа) или команды ROUTE и netsh в командной строке для добавления записи в таблицу маршрутизации.

После настройки маршрутизации необходимо правильно разместить DNS-сервер. Так как в случае неправильной настройки ISA первым ресурсом, на котором это отразится, будет служба DNS. В большинстве организаций, использующих ISA, есть один или несколько внутренних DNS-серверов. Хотя бы один из них должен быть настроен на разрешение имен внутренних хостов и хостов в Интернете, а межсетевой экран ISA должен быть настроен на использование этого DNS-сервера. Если имеется DNS-сервер во внутренней сети, то не следует настраивать интерфейсы межсетевого экрана на использование внешнего DNS-сервера. Это может привести к замедлению трансляции имен или даже к ошибкам. Продумайте заранее и при необходимости уточните у вашего провайдера адреса DNS-серверов.

Наконец, последний подготовительный элемент, это настройка сетевых интерфейсов. Тут следуйте нескольким рекомендациям от Microsoft:

• Шлюз по умолчанию, предоставленный ISP, нужно указывать только на внешнем интерфейсе WAN, на внутреннем LAN его указывать не нужно.
• На внутреннем интерфейсе LAN необходимо указать адрес внутреннего DNS-сервера, на интерфейсе WAN ничего указывать не нужно.
• Аналогично и для WINS-сервера. Вопреки рекомендациям Microsoft данную службу очень часто используют для разрешения имен многие программные продукты.
• Клиент сетей Microsoft на внутреннем интерфейсе должен быть включен, на внешнем – выключен.

Эти рекомендации помогут вам избежать часто встречающихся ошибок при настройке межсетевых экранов.

Установка по требованию

Возможно несколько режимов установки Microsoft ISA Server 2004: ручная, автоматизированная, ручная с помощью терминального клиента. Для случаев, когда производится установка нескольких серверов, предусмотрена автоматизированная установка. Для этого необходимо внести соответствующие изменения в файл msisaund.ini. Подробно о таком типе установки вы можете прочесть в источнике [2].

Еще одно удобное средство – возможность установки ISA с помощью терминального клиента. После завершения установки правило системной политики настраивается так, чтобы соединения по протоколу RDP (Remote Desktop Protocol, протокол удаленного рабочего стола) были разрешены только с IP-адреса компьютера, который был подключен в процессе установки программного обеспечения ISA. Это отличается от стандартной настройки системной политики при установке программного обеспечения межсетевого экрана с консоли, когда любой хост во внутренней сети может инициировать RDP-соединение с внутренним (LAN) интерфейсом ISA.

Для того чтобы начать установку ISA, необходимо запустить файл isaautorun.exe. Затем после подтверждения согласия с лицензионным соглашением и введения регистрационных данных вам предлагается выбрать режим установки, выбираем Custom. Настоятельно не рекомендуется выбирать тип установки Complete, так как в таком случае будут установлены все службы, в том числе и те, которые вам не нужны. Наличие лишних сервисов на шлюзовом сервере снижает общую защищенность сети. Поэтому не ставьте на шлюзовой сервер никаких лишних приложений.

На следующем этапе установки ISA необходимо указать Internal Network, внутреннюю сеть, содержащую доверяемые сетевые службы, с которыми должен взаимодействовать межсетевой экран. Примерами таких служб являются контроллеры домена Active Directory, DNS и DHCP-серверы, серверы терминалов и рабочие станции управления. Определите адреса, входящие во внутреннюю сеть по умолчанию.

Можно вручную ввести адреса, которые будут входить во внутреннюю сеть, указав первый и последний адрес диапазона адресов внутренней сети в текстовых полях «From» (от) и «То» (кому) и щелкнув кнопку «Add» (добавить). Но лучше настроить внутреннюю сеть по умолчанию, используя вариант «Select Network Adapter» (выбрать сетевой адаптер). Это позволяет программе установки ISA воспользоваться таблицей маршрутизации, чтобы определить адреса, используемые для внутренней сети по умолчанию. Поэтому важно правильно настроить записи таблицы маршрутизации, прежде чем устанавливать межсетевой экран. Щелкните мышью «Select Network Adapter» (выбрать сетевой адаптер). В соответствии с оговоренными ранее наименованиями сетевых интерфейсов, выбираем LAN. Указываем необходимый диапазон IP-адресов. Далее нужно остановить службы ICF (Internet Connection Firewall) и RRAS (Routing and Remote Access), если они у вас используются. В противном случае при установке ISA вы получите сообщение об ошибке.

Далее нажимаем «Start», по окончании установки межсетевого экрана ISA необходимо произвести перезагрузку сервера.

После установки ISA, но перед подключением сервера к Интернету необходимо установить на него последний пакет обновлений. Для ISA Server 2004 на момент написания статьи это был Service Pack 2. Проверить наличие последних обновлений вы можете по адресу [3].

Открываем доступ

Сразу после установки сервер ISA работает в режиме запрета всех соединений, и для того чтобы организовать пользователям локальной сети доступ к ресурсам Интернета, необходимо открыть доступ к соответствующим элементам межсетевого экрана. Вкратце стандартную конфигурацию можно представить так:

• Системные политики разрешают выборочный трафик с брандмауэра ISA и на него.
• Запрещен весь трафик через брандмауэр ISA, потому что есть только одно запрещающее правило.
• Между сетями VPN/VPN-Q и внутренней сетью установлены отношения типа «маршрут».
• Между внутренней сетью и внешней сетью по умолчанию задано отношение трансляции адресов NAT.
• Только администраторы могут менять политику брандмауэра ISA.

Теперь нам необходимо разрешить доступ пользователей локальной сети к ресурсам Интернет. Многие системные администраторы открывают доступ из внутренней сети в Интернет по всем портам, мотивируя это тем, что не хотят заниматься «тонкой настройкой», открывая конкретные порты конкретным пользователям. Однако это пагубная практика во всех отношениях.

Во-первых, вредоносное программное обеспечение, в частности, «троянские кони» используют для соединения с «хозяином» нестандартные порты. Поэтому межсетевой экран может стать преградой для несанкционированного проникновения в сеть, в случае если антивирусы не смогли определить вредоносный код.

Во-вторых, наличие доступа по всем портам позволит пользователям сети беспрепятственно применять клиентов различных пиринговых сетей, что не слишком благоприятно сказывается на использовании корпоративного канала доступа в Интернет, а также на производительности труда сотрудников.

И в-третьих, хорошим тоном является наличие корпоративной политики безопасности, построенной по принципу: все, что не разрешено, то запрещено. Закрытие портов является неотъемлемой частью такой политики.

Итак, будем открывать доступ пользователей только к определенным портам. Как правило, протоколы, с помощью которых допускается взаимодействие с внешней сетью, ограничиваются следующими: SMTP, HTTP, HTTPS, DNS, FTP, ICQ, ICMP, SSH, Telnet (последние два протокола нужны, как правило, только администраторам). Для того чтобы создать правило доступа, выберите в консоли администрирования ISA раздел «Firewall policy», затем в меню «Action» выбираем «New > Access Rule». В появившемся окне указываем наименование правила, далее определяем, какое это правило, запрещающее или разрешающее, в нашем случае выбираем «Allow», в следующем окне необходимо указать протоколы, к которым будет применяться данное правило. Соответственно выбираем, например HTTP, затем указываем источники, в нашем случае это будет сеть Internal (LAN), а в качестве точки назначения External (WAN).

Рисунок 2. Правило для протокола HTTP

Затем укажите пользователей, которым будет разрешен выход в Интернет, при этом аутентификацию можно осуществлять посредствам RADIUS-сервера и локальной базы пользователей. В результате выполнения всех этих действий получаем правило доступа для протокола HTTP. Аналогичным образом создаются правила для всех остальных протоколов, за исключением двух последних (SSH и Telnet), которые, как уже упоминалось ранее, нужны только администраторам. Для того чтобы создать правило доступа только для определенных хостов, необходимо при назначении источника указать не подсеть (Network), как это делалось в предыдущем примере, а отдельный узел (Computer), которым пользуется администратор.

Публикуем ресурсы

Итак, все необходимые обновления установлены, межсетевой экран подключен к глобальной сети и теперь нужно открыть доступ к ресурсам, находящимся в DMZ или LAN из внешней сети WAN. В терминологии ISA эта операция называется «публикацией ресурса». Прежде всего определимся, что именно нам необходимо публиковать. Как правило, в сети организации размещаются почтовый сервер, сервер FTP, а также ресурсы, доступ к которым осуществляется посредством шифрования SSL (например, Outlook Web Access). Несмотря на то что для размещения веб-сайта компании сейчас, как правило, используются ресурсы провайдера, во многих сетях для доступа к некоторым локальным ресурсам используется HTTP, поэтому мы рассмотрим публикацию веб-сервера в качестве примера.

Обратите внимание на то, что веб-публикацию иногда называют «реверсивным представительством» (reverse proxy). Это означает, что, когда публикуется веб-ресурс, фильтр прокси межсетевого экрана ISA всегда перехватывает запрос и затем представляет его опубликованным с помощью правила публикации веб-сервера. Механизм реверсивного проксирования также широко используется различными антивирусными системами, которые интегрируют свои фильтры в ISA Server, таким образом осуществляя проверку входящих запросов на наличие вредоносного кода.

Еще одно удобное средство публикаций ресурсов в ISA – предварительная аутентификация соединений, устанавливаемых с опубликованными веб-ресурсами. То есть можно заранее проверить подлинность пользователя на межсетевом экране. Предварительная аутентификация не позволяет атакующим и злоумышленникам применять неаутентифицированные соединения для использования известных и неизвестных слабых мест в веб-серверах и приложениях.

Существует также множество других функций и фильтров, которые позволяют опубликовывать различные веб-ресурсы, для углубленного изучения используйте источники [2, 3].

Настраиваем публикацию веб-ресурсов по протоколу, отличному от SSL

Для того чтобы произвести публикацию, нужно в консоли администрирования выбрать раздел «Firewall Policy,» а затем в закладке «Tasks» указать «Publish a Web Server». Затем указываем имя правила публикации, на странице «Select Rule Action» выбираем «Allow», после этого определяем веб-сайт для публикации. Для этого заполняем поля открывшегося окна (рис. 3), здесь вы наверняка обратите внимание на переключатель «Forward the original host header instead of the actual one (specified above)» (пересылать исходный заголовок хоста вместо фактического, заданного ранее). Данное свойство определяет, пересылать ли на опубликованный веб-сервер действительный заголовок хоста в запросе, отравленный внешним клиентом. Это важно, если на одном веб-сервере содержится несколько веб-сайтов и они используют разные заголовки хостов.

Рисунок 3. Публикация веб-ресурса

Далее следует страница «Public Name Details» (параметры общедоступного имени), на которой определяется, какие домены или IP-адреса будут применять пользователи для соединения с опубликованным веб-сайтом с помощью правила публикации. Здесь не рекомендуется разрешать принимать запросы к любому имени домена «Any Domain Name», так как в таком случае узел становится потенциально уязвим для различных атак, так как все обращения на опубликованный порт будут передаваться веб-серверу, в таком случае могут быть отправлены запросы, содержащие вредоносный код. Поэтому рекомендуется в этом окне определить, к каким доменам разрешено принимать запросы. В поле «Path» можно указать, к каким каталогам нужно разрешить доступ на данном веб-сайте.

В следующем окне необходимо определить веб-приемник «Web Listener», то есть сетевой объект, применяемый в правилах публикации веб-серверов. Веб-приемник ожидает (прослушивает) входящие подключения к заданному порту в интерфейсе или на выбранном IP-адресе. В случае нашей топологии указываем интерфейс WAN. Затем в свойствах приемника указываем порт, который должен прослушиваться, как правило, это порт 80.

В окне «User Sets» определяется, нужна ли аутентификация для доступа к веб-серверу. В нашем случае аутентификация не требуется, то есть выбираем «All Users». В результате работы мастера мы получаем новое правило доступа к веб-ресурсу.

Сохраняем результат

Все настройки ISA можно сохранить в зашифрованном XML-файле. Для этого выполните действия: в меню «File» выберите опцию «Tasks», далее «Export», укажите в разделе «ISA Server export options» использование шифрования «Export confidential information» и «Export user permission settings» для экспортирования прав доступа. Затем указываем используемый пароль, и зашифрованный документ готов. Такой способ также очень удобен в ситуации, когда требуется на другом межсетевом экране развернуть полностью идентичные настройки, например, при организации VPN-соединения между несколькими офисами. В таком случае настройки экспортируйте в зашифрованный XML-файл и отправьте администратору другого офиса по электронной почте, где он сможет импортировать настройки на свой сервер.

В следующем номере

Из второй статьи, посвященной ISA-серверу, вы узнаете, как подключить удаленные офисы через VPN, а также рассмотрим тему публикации веб-ресурсов с помощью SSL.

Приложение

Что делать, если в сети активно применяется какое-либо критичное для работы клиент-серверное приложение, использующее для соединения нестандартные порты?

У многих, особенно начинающих, администраторов может возникнуть такой вопрос. Конечно, можно попробовать поискать документацию по данному продукту или же воспользоваться сетевым монитором (сниффером). Однако есть более быстрый и удобный способ. Все обращения к закрытым портам можно отслеживать средствами ISA, для этого нужно открыть закладку «Logging», фильтр можно использовать стандартный или же настроить на журналирование пакетов, удовлетворяющих определенным критериям, например, по IP-адресу или типу пакетов. Далее включаем журналирование «Start Logging». Получив нужную информацию, открываем порты для необходимого вида трафика.

1. http://www.microsoft.com/technet/isa/2004/plan/bestpractices.mspx – требования к аппартной части
2. Шиндер Т. Шиндер Д. ISA Server 2004.
3. http://www.microsoft.com/technet/downloads/isa/2004/servicepacks/default.mspx – пакеты обновлений для ISA Server 2004.