Лекция Сетевая безопасность. План защиты
Вид материала | Лекция |
- Лекция (4 учебных часа – 2 ч 40 мин) Сетевая безопасность, 592.19kb.
- Безопасность Windows, 757.83kb.
- Информационная безопасность специальных технических зданий при электромагнитных воздействиях, 489.59kb.
- План мероприятий по обеспечению защиты пдн На листах, 107.13kb.
- К рабочей программе учебной дисциплины «Программно-аппаратные средства защиты информации», 24.23kb.
- Кыргызко-турецкий университет “манас” силлабус, 117.92kb.
- Грачев Г. В. Информационно-психологическая безопасность личности: состояние и возможности, 1891.38kb.
- Вопросы для подготовки к экзамену по дисциплине «Безопасность и управление доступом, 54.31kb.
- Главы Администрации Ростовской области от 17. 04. 1997 n 170 "О проведении Дней защиты, 74.25kb.
- Протокол заседания Правления, 266.1kb.
Перед установкой ISA Server 2004 необходимо напомнить, что этот программный продукт и не является самостоятельной операционной системой и может быть установлен на компьютер только под управлением WS2003 или более поздней операционной системы. Перед установкой необходимо загрузить все важные обновления операционной системы, а также проверить работоспособность сетевых адаптеров, установленных на компьютере, где предполагается установка ISA Server. На внутренних сетевых адаптерах должны быть настроены статические адреса. Все подключения удаленного доступа, которые планируется использовать, должны быть сконфигурированы до установки ISA Server. Также необходимо учесть, что после установки ISA Server будут отключены следующие серверные службы: ICS/ICF, NAT, SNMP, FTP, NNTP, IIS, WWW.
Нужно помнить, что внутренние сетевые адаптеры ISA Server не имеют шлюза по умолчанию, поэтому для обеспечения связи ISA Server с внутренней сетью необходимо корректировать таблицу его маршрутизации.
ISA Server необходимо размещать на отдельном компьютере, не перегружая его другими серверными ролями. Крайне не рекомендуется запускать ISA Server на контроллере внутреннего домена организации. Если ISA Server планируется использовать в качестве брандмауэра, эффективнее установить его в составе рабочей группы или в отдельном домене.
Для автоматической установки можно использовать разработанные сценарии развертывания. В зависимости от стратегии внедрения ISA Server существуют сценарии развертывания для рабочей группы, для филиала компании и для службы каталогов Active Directory.
Для успешной работы ISA Server необходим еще один сервер, выполняющий специальную роль хранения конфигурации ISA Server (CSS). Наличие этого сервера увеличивает безопасность системы и делает ее более гибкой. Наличие специального сервера хранения более не делает необходимым интеграцию конфигурационной информации ISA Server в Активный каталог, а это позволяет установить ISA Server в рабочую группу, что повышает безопасность сети.
Установить CSS можно с помощью специального мастера с установочного диска ISA Server. CSS также устанавливается на компьютер, находящийся под управлением WS2003 или старше. Нюанс заключается в том, что даже для установки ISA Serverа, как сервера кэширования, необходимо приобрести не только сам ISA Server, но и две копии WS2003, что делает систему достаточно дорогой. Теоретически и сам ISA Server и CSS можно поставить на контроллер домена (тем самым не приобретая отдельных копий WS2003), но делать это крайне не рекомендуется.
Необходимо обеспечить бесперебойную связь CSS и ISA Server. Для этого предусмотрена технология ADAM. Установить ее компоненты можно с установочного диска ISA Server 2004. После установки в системной папке Windows создается системная папка ADAM. Из нее нужно запустить программу ldp.exe. С помощью нее можно установить соединение между CSS и ISA Server. Для этого в настройках соединения в этой программе необходимо ввести полное доменное имя CSS-сервера и изменить значение базового порта с 389 на 2171 или 2172. Первый порт используется, если используется встроенная аутентификация Windows. Второй порт используется, если на предприятии внедрена система открытых ключей. Необходимо еще раз обратить внимание, что эта процедура должна быть выполнена на том компьютере, где предполагается установить ISA Server.
После всего этого можно приступать непосредственно к установке ISA Server 2004. После запуска одноименного мастера с установочного диска необходимо следовать его инструкциям, в нужный момент указав адрес CSS-сервера, используя по необходимости имеющиеся сертификаты, задав диапазоны внутренних адресов и определив политику предприятия.
Установку ISA Server можно автоматизировать, используя пять предустановленных конфигурационных файлов, находящихся в папке FPC на установочном диске (InstallNewManagementServer.ini – установка сервера CSS, InstallStandAloneServer.ini – установка ISA Server и сервера CSS, InstallArrayAndServer.ini – установка ISA Server и создание нового массива, InstallJoinedServer.ini – установка ISA Server и присоединение его к заданному массиву, UninstallServer.ini – отмена установки). Необходимо отредактировать желаемые параметры в этих файлах, а потом, запустив их выполнение из командной строки, имеющей следующий синтаксис:
“^ Путь_к_ISASetup\setup.exe” [/[x|r]] /v /q[b|n] FULLPATHANSWERFILE= “\Путь_к_файлу_конфигурации\Имя_файла\”.
Ключи команды следующие: \r – автоматическая установка, \x – автоматическое удаление, \v – обязательный параметр для установки, необязательный для удаления, \q[b|n] – тип «тихой» установки (b – с диалоговыми окнами, n – без диалоговых окон). Для автоматического восстановления можно использовать команду PathToISASetup\setup.exe REINSTALL=ALL.
Во избежание проблем при установке ISA Server необходимо помнить, что установка возможна только от имени учетной записи администратора сервера; автоматическая установка невозможна, если на компьютере уже установлен ISA Server 2000. При использовании конфигурационных файлов необходимо заключать полный путь к ним в косые черты и кавычки. Удаленную установку необходимо производить, используя удаленный рабочий стол, а не сервер терминалов.
Выше была описана установка ISA Server в домене. Чтобы установить ISA Server в рабочей группе необходимо, во-первых, создать сертификат сервера и позаботиться о централизованной аутентификации (например, использовать RADIUS). Во-вторых, определиться с «видом рабочей группы»: можно установить CSS-сервер в домене, а ISA Server в рабочей группе, CSS и ISA Server в рабочей группе, а можно создать два массива ISA серверовов (один в составе рабочей группе и подключен к внешнему Интернету, а второй включен в корпоративный домен и обслуживает корпоративную сеть). Оба массива связаны сетью периметра. Третий вариант представляет собой самый безопасный из возможных, и при достаточном финансировании именно он рекомендуется к использованию. В целом, использование ISA Serverов в составе рабочих групп наряду с корпоративным доменом гораздо безопаснее, чем интеграция брандмауэра в домен, но требует настройки системы открытых ключей и дополнительных финансовых затрат на программное обеспечение.
После установки ISA Server необходимо помнить, что весь трафик через все протоколы и порты по умолчанию запрещен, а изменять настройки ISA Server могут только пользователи с административными привилегиями. Причем существуют две схемы административных ролей: администраторы предприятия и администраторы массива. Администраторы предприятия получают доступ ко всем ISA серверам, а администраторы массива имеют полномочия только в пределах своего массива.
Существуют две роли администраторов предприятия: ^ Enterprise Auditor (просматривает настройки предприятия и массивов) и Enterprise Administrator (неограниченный доступ к настройке любых параметров ISA Server).
Существуют три роли администраторов массивов: ^ Monitoring Auditor (позволяет просматривать настройки и осуществлять заранее заданный мониторинг ISA Server, но не позволяет менять настройки мониторинга), Auditor (позволяет просматривать политики брандмауэра, создавать отчеты и управлять внутренними службами, включает в себя полномочия роли Monitoring Auditor), Administrator (не ограниченный доступ к настройкам в пределах массива).
Лекция 5. Установка и настройка клиентов ISA Server 2004.
В зависимости от доступа к ISA Server и ресурсам на нем или за ним выделяют три клиента ISA Server:
- клиент брандмауэра (направляет запросы в службу брандмауэра в ISA Server, поддерживает много протоколов);
- Web-прокси (направляет запросы протоколов FTP, HTTP, HTTPS в службу брандмауэра на ISA Server);
- SecureNAT (на клиентском компьютере осуществляет маршрутизацию запросов на ISA Server путем выбора последнего в качестве основного шлюза).
Клиенты ISA Server отличаются друг от друга сложностью настройки, встроенными возможностями и реализуемым уровнем безопасности. Если ISA Server используется как сервер кэширования, на клиентах необходимо настроить Web-прокси. Если нужна простая маршрутизация без аутентификации и контроля над действиями пользователей, то нужно применять SecureNAT. Если нужна максимальная безопасность и поддержка различных протоколов, на компьютерах необходимо установить клиент брандмауэра.
В зависимости от потребности сети клиенты ISA Server можно комбинировать друг с другом вплоть до установки на одном компьютере всех трех клиентов. При этом необходимо помнить, что если используются операционные системы помимо Windows, то клиент брандмауэра работать не будет, и не зависимо от типа клиента ISA Server все запросы по протоколу HTTP обрабатывает так, как если бы они поступили от клиентов Web-прокси.
Рассмотрим установку и настройку клиентов по возрастанию ее сложности. Чтобы установить на компьютере SecureNAT достаточно в настройках протокола TCP/IP клиентского компьютера в поле «Основной шлюз» ввести адрес внутреннего адаптера ISA Server или маршрутизатора, на котором имеется маршрут к ISA Server. В случае, если в сети для адресации используется DHCP-сервер, для настройки SecureNAT необходимо в параметрах DHCP-сервера или в параметрах области настроить параметр 003 Router, присвоив ему значение внутреннего адреса ISA Server.
SecureNAT не поддерживает аутентификацию клиентов. Поэтому ограничивать доступ к сетевым ресурсам можно только на основании адреса компьютера. На этом настройка SecureNAT завершается. При работе с клиентами такого вида необходимо контролировать внутренний адрес ISA Server. И если он изменился, изменять адреса основного шлюза на клиентских компьютерах. Также необходимо учитывать, что клиенты SecureNAT разрешают имена при помощи DNS. Поэтому если такому клиенту не удается подключиться к какому-либо ресурсу, необходимо проверить настройки DNS и связь клиента с ISA Server. Клиенты SecureNAT поддерживаются большинством операционных систем и браузеров.
Клиент Web-прокси работает в любой операционной системе и с любым браузером, поддерживающим технологию HTTP1. Этот клиент поддерживает четыре протокола: HTTP, HTTPS, FTP, Gofer. Этот клиент поддерживает аутентификацию пользователей. Поэтому ограничить доступ к отдельным ресурсам можно для отдельных учетных записей.
Для настройки Web-прокси на клиенте необходимо настроить свойства соединения в браузере. Для этого необходимо указать адрес proxy-сервера и порт, по которому осуществляется соединение. Причем эти настройки должны совпадать с настройками на самом ISA Serverе.
На ISA Server Web-прокси, как правило, настраивают во внутренних сетях и сети-периметра. Для включения Web-прокси на сервере необходимо в консоли Управление ISA Server выбрать нужную сеть и в ее свойствах поставить значок напротив параметра «включить клиент Web-прокси» и указать соответствующий номер порта. В случае, если в организации внедрена система Открытых ключей, можно установить поддержку SSL. В противном случае для аутентификации клиентов предусмотрено еще четыре вида технологий (простая, встроенная Windows, RADIUS, встроенная с проверкой). Клиентский компьютер можно настраивать как вручную, так и с помощью групповых политик (если сеть построена на основе доменов).
Проблемы при использовании Web-прокси чаще всего связаны с состоянием службы ^ Microsoft Firewall (эту службу нужно перезапустить, если на ISA Server установили новый сетевой адаптер, если клиенты теряют подключение к ISA Server, надо проверить кабели и работоспособность самого подключения командой Ping). Напомним, что настройки портов для использования Web-прокси на ISA Server и на клиентских компьютерах должны быть одинаковыми.
Перейдем к работе с клиентом брандмауэра. Установка клиента брандмауэра состоит из трех частей: создание для него общего ресурса, установки на клиентских компьютерах и настройки.
Создать общий ресурс для клиента брандмауэра можно либо на ISA Server, либо на другом сервере, что предпочтительнее. При этом на внутреннем интерфейсе ISA Server рекомендуется отключить общий доступ к файлам и принтерам. Для создания общего ресурса необходимо запустить установку ISA Server с компакт-диска, выбрать выборочную установку и установить клиент брандмауэра на жесткий диск. При этом на системном диске будет создана папка MSPCLNT. С клиентских компьютеров необходимо зайти в эту папку и запустить программу setup. В домене клиент брандмауэра можно распространить в сети с помощью групповой политики.
После этого можно переходить к настройке брандмауэра на ISA Server и клиентских компьютерах. На ISA Server необходимо включить поддержку клиента брандмауэра для необходимых наборов сетей, настройки же клиента брандмауэра осуществляются аналогично Web-прокси. Также можно настроить обход настройки для локальных доменов и разрешить прямой доступ к определенным Web-сайтам и приложениям. Также необходимо помнить, что для правильной работы клиента брандмауэра на ISA Server должны быть открыты TCP и UD порты 1745.
Для настройки клиента брандмауэра на локальном компьютере существует специальный графический интерфейс, доступ к которому можно получить, щелкнув на специальный значок в системном трее (он появится там после установки брандмауэра).
Также можно настроить четыре конфигурационных файла, находящихся в профиле текущего пользователя и в общих настройках для всех пользователей (файлы профиля пользователя перекрывают общие настройки). Имя ISA Server и параметры его автообнаружения настраиваются в файле common.ini. Параметры отображения значка брандмауэра в области уведомлений и возможность автоматического определения параметров Web-прокси настраиваются в файле management.ini. Параметры работы приложений и параметры обработки специальных видов трафика для конкретного клиента настраиваются в файле application.ini. Диапазоны внутренних сетей для клиента брандмауэра можно настроить в файле locallat.txt.
^ Лекция 6. Мониторинг ISA Server 2004.
Контроль за работоспособностью самого ISA Server представляет собой важную задачу, поэтому необходимо осуществлять мониторинг важных служб и подсистем ISA Server. Из консоли Управление ISA Server можно следить за информацией о количестве и состоянии сеансов, состоянии служб, трафике, проходящем через ISA Server, конфигурации элементов массива, к которому подключен ISA Server, а также получать информацию о предустановленных и созданных администратором оповещениях. Указанную информацию можно получить на соответствующих вкладках узла Мониторинг в консоли Управление ISA Server. По умолчанию частота обновления информации 60 секунд. Можно в 2 раза уменьшить или увеличить эту частоту.
Перейдем к рассмотрению названных компонентов мониторинга более подробно. Оповещение – возможность отправки сообщений администратору о том, что произошло какое-то событие или превышено пороговое значение того или иного счетчика. ISA Server содержит 56 предустановленных оповещений. Можно создавать собственное оповещение. Реакцией на оповещение может быть одно из пяти действий: отправка сообщения администратору по электронной почте, запуск программы, запись в системном журнале, запуск / остановка службы ISA Server.
Оповещение создают с помощью специального Мастера, который позволяет выбрать условия и события, которые будут приводить к срабатыванию оповещения, сервер, на котором будет применять оповещение, степень его важности и тип реакции. Следует учесть, что если в качестве реакции выбрана отправка сообщения по электронной почте, то следует использовать почтовый сервер в локальной сети, т.к. трафик внешнему серверу может быть запрещен брандмауэром.
В случае, если в качестве реакции выбран запуск той или иной программы, необходимо будет указать реквизиты учетной записи пользователя, от имени которого программу можно запустить. Найдя и проанализировав причину срабатывания оповещения, его (оповещение) нужно сбросить или подтвердить. Сброс оповещения означает стирание информации о нем из системного журнала, а подтверждение этого оповещения делает информацию о нем доступной для других администраторов.
Наиболее эффективным средством мониторинга является создание записей в системном журнале и последующее их изучение. По умолчанию события регистрируются в журналах службы Microsoft Firewall, Web-прокси и SMTP Massage Screener. Эти журналы могут представлять собой текстовые записи, а два первых могут быть частью базы SQL сервера. Просматривать эти журналы можно из консоли Управление ISA Server, в которой для облегчения поиска записей предусмотрена удобная система фильтрации. Также некоторые события ISA Server как серверной роли регистрируются в журнале Система ОС Windows Server 2003, который можно просмотреть с помощью утилиты Просмотр событий. На основании информации из журналов администратор может создавать отчеты о статистике работы сервера. Отчеты можно формировать вручную или автоматически.
Работоспособность ISA Server обеспечивают следующие службы:
^ Microsoft ISA Server Control (отвечает за срабатывание оповещений, обеспечивает обновление конфигурации элементов массива и управляет перезапуском других служб);
Microsoft Firewall (обрабатывает запросы клиентов ISA Server, при остановке этой службы ISA Server блокируется службой Firewall Engine);
^ Microsoft ISA Job Scheduler (по расписанию кэширует информацию о Web-серверах);
ISA Server Storage (управляет чтением и записью информации в локальном хранилище конфигурации);
^ Firewall Engine (управляет трафиком через брандмауэр. Если она остановлена, то разрешен любой трафик.);
Microsoft Data Engine Service (управляет базой данных журналов ISA Server);
^ Network Load Balancing (распределяет сетевую нагрузку в массиве ISA Serverов);
Remote Access Service (обеспечивает функционирование VPN).
Управлять службами можно как из консоли ^ Управление ISA Server, так и с помощью стандартной консоли Службы, находящейся в Панели инструментов.
Информацию о количестве и типах подключений к ISA Server можно получить, управляя сеансами. О сеансах можно получить не только развернутую информацию (имя пользователя, установившего сеанс, время сеанса, IP-адрес компьютера, тип клиента и прочее), но и фильтровать, а при необходимости и разъединять сеансы.
Для оценки производительности ISA Server существует специальная одноименная консоль. В ней в режиме реального времени можно отслеживать состояние различных параметров работы сервера в зависимости от выбранных счетчиков производительности. Встроенных счетчиков масса. Все они разбиты по группам в зависимости от контролируемых объектов. Особо нужно контролировать следующие объекты: ISA Server Cache (содержит счетчики наблюдения за кэшем, например, общее число Интернет-адресов) , ISA Server Firewall Packet Engine (содержит счетчики брандмауэра, например, число отброшенных пакетов), ISA Server Firewall Service (счетчики наблюдения за сеансами), ISA Server Web Proxy (счетчики для контроля клиентов Web-прокси).
Следить за счетчиками в режиме реального времени эффективно при соблюдении следующих условий:
- есть предположение о проблемном элементе в работе системы;
- для данного элемента сформирована «базовая линия».
Первое условие позволит выделить конкретные счетчики для анализа. ^ Базовая линия – это набор показаний счетчиков при нормальной работе системы. Данные показания будут служить эталоном для последующего сравнения с ними текущих показаний счетчиков. Поэтому соблюдение второго условия позволит ответить на вопрос: действительно ли наблюдаемый элемент системы является проблемным?
^ Лекция 7. Сетевые шаблоны.
Для управления трафиком между сегментами на ISA Server необходимо настроить несколько базовых объектов: протоколы, наборы пользователей, фильтры содержимого пакетов и сетевые компоненты. Среди последних можно выделить диапазоны адресов, подсети, наборы компьютеров, наборы допустимых имен, ссылок и прослушивателей. Причем можно настраивать как разрешенные, так и запрещенные объекты. Настройка указанных компонентов осуществляется с помощью графических Мастеров и выполняется в зависимости от потребности организации и сетевой топологии. Указанные объекты могут быть сгруппированы по категориям. Например, это касается протоколов – языков обмена данными между компьютерами. Можно осуществлять настройку каждого протокола в отдельности или целой категории протоколов. Для фильтрации и перенаправления трафика в зависимости от пользователя, осуществляющего прием или передачу, нужно сконфигурировать набор пользователей по аналогии с группой пользователей в Активном каталоге.
Безусловно, особый интерес представляют возможные источники и получатели трафика на уровне сетевого интерфейса. Для контроля над ними необходимо настраивать сетевые объекты. Сети разделяются на четыре вида: локальную (включает IP-адреса самого ISA Server), внутреннюю (включает все IP-адреса, связанные с внутренним сетевым адаптером), внешнюю (включает все ненастроенные IP-адреса, изменить ее вручную нельзя), клиентов VPN (создаются автоматически при подключении удаленного клиента).
Сети можно объединять в наборы, чтобы управлять ими совместно. В случае, если в корпоративной сети используется несколько коммутационных устройств, причем часть из них не подключена ко внутреннему адаптеру ISA Server непосредственно, для управления трафиком в них нужно использовать специальный объект – Подсеть.
В случае если в сети существуют компьютеры, для которых необходимы особые правила регулирования сетевого трафика, то необходимо управлять их единичными IP-адресами. Ими управляют с помощью специального объекта, который называется Компьютер. Из Компьютеров можно создавать наборы.
Для управления трафиком в зависимости от Web-адреса удаленного узла или от его имени можно создавать наборы URL и доменных имен, а также задать IP-адреса и номера портов, на которых ISA Server прослушивает Web-запросы с помощью Прослушивателей.
После создания базовых объектов можно начинать управлять трафиком. В ISA Server обработка трафика осуществляется на основе определенной политики брандмауэра, которая состоит из правил трех уровней, применяемых последовательно: