Filtrowanie w warstwie aplikacji w serwerze ISA Server 2004

Transkrypt

1 Filtrowanie w warstwie aplikacji w serwerze ISA Server 2004 Artykuł przeglàdowy Czerwiec 2004 r. Najnowsze informacje znajdujà si pod adresem:

2 Spis treêci Przeglàd Jak działa filtrowanie w warstwie aplikacji? Dost pne filtry Filtry wprowadzone w ISA Server Filtr wykrywania włamaƒ z wykorzystaniem serwera DNS Filtr dost pu do usługi FTP Wewn trzne i zewn trzne serwery FTP Wiele poziomów dost pu Rozszerzenia wprowadzone w oprogramowaniu ISA Server Filtr H Filtr wykrywania włamaƒ z wykorzystaniem protokołu POP Filtr RPC Poczàtkowe mo liwoêci serwera ISA Server Udoskonalenia wprowadzone w pakiecie ISA Server Feature Pack Filtr SMTP i program przesiewajàcy wiadomoêci (Message Screener) Rozszerzenia w oprogramowaniu ISA Server Filtr SOCKS V Filtry dodane w pakiecie Feature Pack Filtr translacji łàcza Filtr SecurID Nowe filtry w oprogramowaniu ISA Server Filtr HTTP Filtr MMS Filtr uwierzytelniania opartego na formularzach OWA Filtr PNM Filtr PPTP Filtr uwierzytelniania usługi RADIUS Filtr RTSP Filtr Web proxy ZgodnoÊç serwera Web proxy w oprogramowaniu ISA Server 2004 z serwerem ISA Server RozszerzalnoÊç filtrów Wnioski

3 Przeglàd Techniki stosowane do ataków na sieci korporacyjne stajà si coraz bardziej wyrafinowane. Włamywacze poêwi cajà du o czasu i wysiłku, szukajàc sposobów na wykorzystanie słabych punktów w metodach komunikacji stosowanych przez popularne usługi, takie jak udost pnianie stron WWW czy poczty elektronicznej. Próbujàc wykorzystaç słaboêci, regularnie wysyłajà oni do tych usług nieprawidłowe polecenia lub dane. Tradycyjne zapory nie sà w stanie oceniç prawidłowoêci takiej komunikacji, poniewa jej nie rozumiejà. Oprogramowanie Internet Security and Acceleration (ISA) Server 2004 firmy Microsoft zawiera wbudowane mechanizmy, zwane filtrami warstwy aplikacji, które zaprojektowano aby wykrywaç i zapobiegaç szkodliwej komunikacji. Wraz z wprowadzeniem na rynek serwera ISA Server 2000 wzrosło zagro enie bezpieczeƒstwa, dlatego Microsoft rozszerzył oprogramowanie ISA Server 2004 o jeszcze lepsze funkcje rozpoznawania najpopular niej szych metod komunikacji u ywanych obecnie w Internecie. Od strony technologicznej usługi te działajà w warstwie aplikacji komunikacji sieciowej tj. w najwy szej warstwie ruchu sieciowego, w której działajà serwery WWW, aplikacje do obsługi poczty elektronicznej, media strumieniowe i inne podobne usługi. Dzi ki zaawansowanym, wzmocnionym zabezpieczeniom na tym poziomie, ISA Server 2004 pozwala chroniç sieç przed atakami z wykorzystaniem znanych i nieznanych luk, zarówno teraz, jak i w przyszłoêci. Jak działa filtrowanie w warstwie aplikacji? Zapora filtrujàca w warstwie aplikacji rozpoznaje nieprawidłowe polecenia i dane, blokujàc je tak, aby kod próbujàcy wykorzystaç słabe punkty nigdy nie dotarł do komputera docelowego. Zapory obsługujàce filtrowanie w warstwie aplikacji, takie jak ISA Server 2004, mogà zatrzymaç niebezpieczny kod na granicy sieci, zanim b dzie on w stanie wyrzàdziç jakàkolwiek szkod. Zapobieganie atakom nie jest jednak ograniczone tylko do ataków skierowanych przeciwko konkretnym komputerom. Filtrowanie w warstwie aplikacji mo e tak e słu yç do zatrzymywania losowych ataków przeprowadzanych przez wirusy i robaki. ISA Server 2004 nie tylko udost pnia wbudowane filtry wykrywajàce i blokujàce wiele ró nych rodzajów ataków, ale tak e umo liwia u ytkownikom tworzenie własnych filtrów przy u yciu rozbudowanych, elastycznych interfejsów. Co wi cej, ISA Server 2004 ma bogate mo liwoêci rozbudowy, dzi ki czemu programiêci w firmie u ytkownika oraz niezale ni producenci oprogramowania mogà rozszerzaç jego funkcjonalnoêç, mi dzy innymi o mo liwoêci filtrowania. Aby zapewniç pełne bezpieczeƒstwo sieci korporacyjnej, nale y nie tylko zapobiegaç zewn trznym zagro eniom, ale tak e zwróciç uwag na kwestie ochrony wewn trznej. ISA Server 2004 chroni sieç równie przed zagro eniami wewn trznymi, a ponadto zapobiega szkodliwym działaniom, jakie cz sto podejmujà nieêwiadomi niebezpieczeƒstwa pracownicy. Na przykład mo na skonfigurowaç filtry w oprogramowaniu ISA Server 2004 w taki sposób, by uniemo liwiç pracownikom pobieranie potencjalnie szkodliwych programów z Internetu lub zapewniç, e krytyczne dane klientów nie opuszczà sieci w wiadomoêciach . 1

4 Filtrowanie w warstwie aplikacji mo na te zastosowaç do jeszcze bardziej rygorystycznego ograniczenia działaƒ, jakie pracownicy mogà podejmowaç w sieci. Oprócz mechanizmów, które blokujà mo liwoêç pobierania konkretnych plików oraz zmniejszajà ryzyko ujawnienia informacji w wiadomoêciach , ISA Server 2004 zawiera równie funkcje filtrowania, które mogà ograniczyç typowe rodzaje niewłaêciwej komunikacji w sieci. Na przykład mo na za ich pomocà zablokowaç usługi wymiany plików peer-to-peer, takie jak Kazaa czy Grokster. Tego typu usługi nie tylko w znacznym stopniu obcià ajà zasoby sieciowe, ale tak e mogà spowodowaç konsekwencje prawne dla firmy. Dzi ki zaawansowanym mo liwoêciom filtrowania w oprogramowaniu ISA Server 2004 mo na ograniczyç te i inne rodzaje niepo àdanej komunikacji w sieci. Dost pne filtry W tym rozdziale znajduje si przeglàd bogatego zestawu filtrów zabezpieczajàcych wbudowanych w ISA Server Na poczàtku opisano filtry, które zostały wprowadzone w oprogramowaniu ISA Server Nast pnie opisano filtry dodane w pakiecie ISA Server Feature Pack 1 bezpłatnym zestawie dodatkowych funkcji dla serwera ISA Server Na koƒcu opisano nowe filtry, które pojawiły si wraz z wprowadzeniem na rynek produktu ISA Server Wszystkie filtry znajdujàce si w oprogramowaniu ISA Server 2000 lub pakiecie Feature Pack 1 sà fabrycznie włàczone do serwera ISA Server Filtry wprowadzone w ISA Server 2000 ISA Server 2000 zawierał siedem wbudowanych filtrów. Niektóre z nich majà swoje nowsze wersje, które wprowadzono w pakiecie ISA Server Feature Pack 1 lub w serwerze ISA Server 2004; te udoskonalenia omówiono poni ej w opisie filtru. Filtr wykrywania włamaƒ z wykorzystaniem serwera DNS Filtry wykrywania włamaƒ analizujà całà komunikacj przechodzàcà przez ISA Server i szukajà zachowaƒ, które mogłyby wskazywaç na próby niewłaêciwego dost pu. Udost pnienie podstawowego oprogramowania do wykrywania włamaƒ jako integralnej cz Êci serwera ISA Server jest jego ogromnà zaletà. Cały ruch mi dzy odr bnymi sieciami (na przykład siecià prywatnà firmy a Internetem) przechodzi przez zapor serwera ISA Server, dlatego stanowi ona idealne miejsce przesiewania informacji. Zapora serwera ISA Server nie tylko umo liwia wykrywanie, izolowanie i usuwanie niepo àdanego ruchu, zanim dotrze on do sieci prywatnej jej zastosowanie w tym celu pozwala tak e wyeliminowaç koniecznoêç zakupu i utrzymania dodatkowych, specjalistycznych systemów. (Wi cej informacji dotyczàcych wykrywania prób włamaƒ i zapobiegania im znajduje si w punkcie Filtr wykrywania włamaƒ z wykorzystaniem protokołu POP). Filtr wykrywania włamaƒ z wykorzystaniem serwera DNS wykrywa próby niepo àdanej komunikacji, skierowane do usługi DNS (Domain Name System), która umo liwia komputerom wzajemne identyfikowanie i znajdowanie si w sieci. Usługi DNS, ze wzgl du na rol, jakà odgrywajà w komunikacji, sà obecne w wi kszoêci sieci przynajmniej w minimalnej swojej postaci, przez co stały si popularnym celem ataków. Dost pny w oprogramowaniu ISA Server filtr do wykrywania tego rodzaju włamaƒ zaprojektowano w taki sposób, by blokował próby ataków na usługi DNS zanim wyrzàdzà szkody w sieci. Filtr dost pu do usługi FTP Zabezpieczanie protokołu FTP (File Transfer Protocol) na poziomie zapory jest zazwyczaj bardzo zło one. 2

5 Zawarty w oprogramowaniu ISA Server 2004 filtr dost pu do usługi FTP, zapewniajàcy bezpieczne zarzàdzanie wszystkimi połàczeniami FTP, został zaprojektowany w taki sposób, e sam obsługuje całà t zło onoêç, ułatwiajàc prac administratorom. ISA Server mo e byç wykorzystywany zarówno w celu zapewnienia komputerom klientów bezpiecznego dost pu do serwerów FTP, jak i w celu ochrony firmowych serwerów FTP przed atakami. Oprogramowanie ISA Server filtruje wszystkie przychodzàce àdania zanim dotrà do serwerów FTP, dzi ki czemu zwi ksza si ich bezpieczeƒstwo. Wewn trzne i zewn trzne serwery FTP Administratorzy w przedsi biorstwie zazwyczaj nie sà w stanie kontrolowaç odległych serwerów FTP w Internecie. Jednak ISA Server pozwala ograniczyç dost p do serwerów FTP niezale nie od tego, czy znajdujà si one wewnàtrz, czy na zewnàtrz przedsi biorstwa. ISA Server znajduje si mi dzy u ytkownikiem àdajàcym pliku a serwerem FTP czy to działajàcym w sieci firmy, czy te poza nià dlatego mo e skutecznie ograniczyç lub zablokowaç àdania dost pu skierowane zarówno do zewn trznych, jak i wewn trznych serwerów FTP. Wiele poziomów dost pu Za pomocà omawianego filtru mo na okreêliç wiele poziomów dost pu, co umo liwi: blokowanie wszelkiego dost pu do serwerów FTP, zezwalanie na dost p do informacji przechowywanych na serwerze FTP w trybie tylko do odczytu, zezwalanie na pełny dost p do informacji przechowywanych na serwerze FTP w trybie zapisu i odczytu. Poziom dost pu okreêlony za poêrednictwem oprogramowania ISA Server jest niezale ny od wszelkich ograniczeƒ dost pu nało onych na sam serwer FTP (który mo na na przykład skonfigurowaç tak, aby blokował wszelki dost p) i stanowi do nich dodatek. Rozszerzenia wprowadzone w oprogramowaniu ISA Server 2004 Usługi sieciowe, takie jak FTP, majà przypisane okreêlone adresy (porty). W wi kszoêci przypadków administratorzy usług FTP u ywajà standardowych, powszechnie znanych adresów portów. Czasami jednak korzystne jest u ycie innego, niestandardowego portu. Nowa funkcja dodana w oprogramowaniu ISA Server 2004 zapewnia filtrowanie połàczeƒ FTP nawiàzywanych przy u yciu niestandardowych adresów. Dzi ki temu firma mo e ukryç swoje usługi FTP, korzystajàc z niestandardowych portów, jednoczeênie zapewniajàc systemom klienckim dost p do tych usług. Filtr H.323 Standard H.323 okreêla metod komunikacji stosowanà przez niektóre aplikacje multimedialne, która pozwala na zarzàdzanie zło onymi, wielopołàczeniowymi protokołami wymaganymi przy wymianie danych dêwi kowych, graficznych i tekstowych. Przykładem takiej aplikacji jest oprogramowanie konferencyjne Microsoft NetMeeting, które umo liwia u ytkownikom prowadzenie rozmów sieciowych (chat), współu ytkowanie diagramów, interaktywnà komunikacj za pomocà obrazu i dêwi ku, odsłuchiwanie prezentacji dêwi kowych i oglàdanie przekazów wideo. Filtr H.323 mo e byç stosowany do selektywnego ograniczania lub dopuszczania komunikacji wykorzystujàcej protokół H.323. Mo na go na przykład skonfigurowaç w taki sposób, by dopuszczał lub blokował: przychodzàce próby połàczeƒ, wychodzàce próby połàczeƒ, komunikacj audio, komunikacj wideo, współu ytkowanie aplikacji. 3

6 Filtr wykrywania włamaƒ z wykorzystaniem protokołu POP Protokół POP (Post Office Protocol) okreêla metod komunikacji wykorzystywanà przez oprogramowanie klientów do pobierania wiadomoêci z serwera poczty elektronicznej. Zawarty w oprogramowaniu ISA Server 2000 filtr wykrywajàcy włamania z wykorzystaniem protokołu POP chroni serwery poczty elektronicznej, przesiewajàc skierowane do nich àdania. (Wi cej informacji dotyczàcych wykrywania prób włamaƒ znajduje si w punkcie Filtr wykrywania włamaƒ z wykorzystaniem serwera DNS powy ej). Filtr wykrywajàcy włamania oparte na wykorzystaniu protokołu POP wyszukuje specyficzny rodzaj ataku, zwanego przepełnieniem buforu. Włamywacze cz sto stosujà t metod w celu zakłócenia działania systemu i uczynienia go niedost pnym albo w celu zmylenia go i uzyskania dost pu z uprawnieniami administratora. Po wykryciu próby tego rodzaju ataku, filtr izoluje go i blokuje, zapobiegajàc przepełnieniu buforu. Filtr RPC Liczne aplikacje sieciowe klasy korporacyjnej np. serwery poczty elektronicznej korzystajà przy wymianie informacji z mechanizmu RPC (Remote Procedure Call zdalne wywoływanie procedur). Protokół ten jest na przykład wykorzystywany przy komunikacji mi dzy serwerem Microsoft Exchange Server a oprogramowaniem klientów Microsoft Outlook do przesyłania wiadomoêci i obsługi pracy zespołowej. Poczàtkowe mo liwoêci serwera ISA Server 2000 U ywajàc filtru RPC dost pnego w oprogramowaniu ISA Server 2000, administratorzy poczàtkowo musieli zdecydowaç si, czy otworzyç zapor na całà komunikacj RPC, czy zamknàç jà w ogóle. Mo liwoêç kontrolowania komunikacji RPC była istotna, ale udost pnienie jej w całoêci wtedy, gdy potrzebna była tylko jej cz Êç, stwarzało zagro enie dla bezpieczeƒstwa sieci. Takie podejêcie umo liwiało włamywaczom stosowanie ró nych rodzajów ataków RPC z wykorzystaniem słabych punktów newralgicznych aplikacji korporacyjnych działajàcych w prywatnej sieci firmy. Udoskonalenia wprowadzone w pakiecie ISA Server Feature Pack 1 W pakiecie ISA Server Feature Pack 1 udoskonalono interfejs administracyjny, umo liwiajàc bardziej szczegółowà kontrol nad usługami RPC. Innymi słowy, zamiast otwierania całej komunikacji RPC, administrator mo e dopuêciç tylko okreêlone rodzaje ruchu RPC, na przykład ruch RPC zwiàzany z serwerem Exchange Server. Aktualizacja ta umo liwia ponadto takie skonfigurowanie oprogramowania ISA Server, by połàczenia z programu Outlook do serwera Exchange Server były szyfrowane. Filtr SMTP i program przesiewajàcy wiadomoêci (Message Screener) SMTP jest podstawowym protokołem stosowanym przy przesyłaniu wiadomoêci . We współczesnych Êrodowiskach, gdy codziennie ogromne iloêci niepo àdanej poczty elektronicznej (tzw. spamu) blokujà firmowe łàcza i serwery poczty, filtrowanie ruchu SMTP powinno byç obowiàzkowe. ISA Server zawiera filtr SMTP, który zapewnia to, poprzez dokładnà analiz wiadomoêci przechodzàcych przez zapor. Dwie silne metody przesiewania. ISA Server jest wyposa ony w dwie funkcje, które uniemo liwiajà włamywaczom uszkodzenie serwera poczty elektronicznej. Po pierwsze filtr SMTP bada zawartoêç przesyłki, analizujàc polecenia SMTP w celu upewnienia si, e nie sà szkodliwe dla serwera poczty elektronicznej. Po drugie, komponent Message Screener mo e zablokowaç spam, 4

7 analizujàc nast pujàce cechy poczty przychodzàcej i wychodzàcej: dokàd jest przesyłana (adresat), skàd pochodzi (nadawca), czy zawiera w temacie lub treêci zdefiniowane przez administratora słowa kluczowe lub ciàgi znaków, nazw, typ pliku i wielkoêç wszystkich załàczników. ISA Server mo na tak skonfigurowaç, aby w sytuacji, gdy jedna z powy szych cech odpowiada wzorcowi uznanemu przez filtr SMTP za spam, wiadomoêç była natychmiast usuwana, przesyłana do administratora zabezpieczeƒ w celu podj cia dalszych działaƒ lub zapisywana w specjalnym folderze. Mo na tak e skonfigurowaç komponent Message Screener tak, by blokował poczt z załàcznikami, o których wiadomo, e zawierajà wirusy lub inne szkodliwe oprogramowanie. Rozszerzenia w oprogramowaniu ISA Server 2004 ISA Server 2004 rozszerza mo liwoêci filtrowania i przesiewania danych protokołu SMTP, zwi kszajàc bezpieczeƒstwo serwerów . Na przykład prosty, oparty na kreatorze proces konfiguracji umo liwia łatwe zabezpieczenie serwerów Outlook Web Access. Inne zaawansowane kreatory w jeszcze wi kszym stopniu upraszczajà zabezpieczanie serwerów poczty elektronicznej i innych znajdujàcych si w przedsi biorstwie. Najistotniejszym celem przy projektowaniu oprogramowania ISA Server 2004 było zapewnienie bezpieczeƒstwa serwera Microsoft Exchange Server. Nowà funkcjà w aplikacjach Exchange Server 2003 i Outlook 2003 jest mo liwoêç łàczenia si klientów bezpoêrednio z serwerem poczty przez Internet za pomocà protokołu RPC przez HTTP, bez korzystania z sieci VPN. Nie było to dotychczas mo liwe, poniewa u ycie protokołu RPC wymaga otwarcia dodatkowych portów a tradycyjne zapory zazwyczaj uniemo liwiały aplikacji Outlook dost p do takich portów, poniewa nie rozumiały protokołu aplikacji. ISA Server wychodzi jednak poza analiz pojedynczych pakietów analizuje cały ruch RPC i sprawdza składni pod kàtem takich bł dów, jak nieprawidłowe słowa kluczowe. Zapewnia to bezpieczny ruch RPC, dopuszczajàc tylko taki ruch, który został wynegocjowany i jest wymagany przez klienta Outlook. ISA Server umo liwia tak e dynamiczne otwieranie i zamykanie dodatkowych portów. Sà one otwierane tylko w razie koniecznoêci i zamykane od razu, gdy przestanà byç potrzebne. Dzi ki temu ISA Server mo e wzmocniç szyfrowanie RPC, tworzàc warstw obrony przed ró nymi formami ataku. Filtr SOCKS V4 SOCKS jest protokołem, który umo liwia komputerom z jednej strony serwera SOCKS uzyskiwanie dost pu do komputerów z drugiej strony, w sposób niewymagajàcy bezpoêredniego połàczenia IP. Metoda komunikacji SOCKS mo e obsługiwaç niemal dowolnà platform klienta, w tym Microsoft Windows, Unix/Linux, Macintosh, a tak e urzàdzenia niestandardowe. Jest najcz Êciej stosowana w systemach innych ni Windows w mieszanym Êrodowisku informatycznym. W metodzie komunikacji SOCKS, gdy klient musi połàczyç si z serwerem aplikacji, łàczy si z serwerem proxy SOCKS. Nast pnie serwer proxy łàczy si w imieniu klienta z serwerem aplikacji i przesyła dane mi dzy klientem a tym serwerem. Dla serwera aplikacji serwer proxy jest klientem. ISA Server 2004 obsługuje komunikacj zgodnà z protokołem SOCKS w wersji 4. JeÊli aplikacja kliencka obsługuje komunikacj opartà na SOCKS, to ISA Server mo na tak skonfigurowaç, aby dopuszczał lub blokował takà komunikacj. Po włàczeniu filtr ten dynamicznie zarzàdza połàczeniami, zapewniajàc sprawnà komunikacj w tym zło onym protokole. 5

8 Uwaga: Aby zapewniç bezpieczeƒstwo, w sieciach stanowiàcych jednorodne Êrodowisko produktów Microsoft filtr ten najlepiej jest wyłàczyç, poniewa w takich Êrodowiskach protokół SOCKS nie jest potrzebny. Filtry dodane w pakiecie Feature Pack 1 Nast pujàce dwa filtry dodano po raz pierwszy w pakiecie ISA Server Feature Pack 1. Filtr translacji łàcza Adresy u ywane do przeglàdania zawartoêci Internetu w ramach sieci korporacyjnej mogà nie byç dost pne spoza tej sieci. Zewn trzni u ytkownicy wymagajà adresów sformatowanych jako standardowe adresy URL (na przykład natomiast adresy wewn trzne mogà byç oparte na nazwach NetBIOS, na przykład Zazwyczaj ta ró nica w formacie adresów nie stanowi problemu dla podstawowych serwerów WWW w przedsi biorstwie, poniewa treêci udost pniane przez te serwery sà najcz Êciej przeznaczone dla u ytkowników zarówno wewn trznych, jak i zewn trznych. Jednak nie wszystkie strony internetowe mogà byç przechowywane na podstawowych serwerach WWW. Inne serwery WWW, na przykład działajàce w wewn trznym intranecie, tak e mogà byç przez firm u ywane do udost pniania dodatkowych treêci u ytkownikom zewn trznym. Zwykle serwery te sà przeznaczone przede wszystkim do u ytku przez wewn trznych pracowników, dlatego cz sto schemat adresowania, z którego korzystajà, utrudnia lub uniemo liwia dost p do znajdujàcej si na nich treêci spoza sieci wewn trznej. W takim przypadku, gdy u ytkownik zewn trzny kliknie łàcze, mo e zobaczyç komunikat informujàcy o niedost pnoêci treêci danej strony. W rzeczywistoêci treêç ta jest dost pna, ale adres u yty przez łàcze nie jest poprawny spoza sieci firmy. Dost pnoêç nie jest jedynym wyst pujàcym tu problemem. Ujawnianie nazwy serwera wewn trznego u ytkownikom zewn trznym (którzy mogà jà odgadnàç na podstawie łàczy) tak e mo e stanowiç zagro enie bezpieczeƒstwa. Mimo i mo na zmieniç wszystkie adresy tak, by były dost pne zarówno z zewnàtrz, jak i wewnàtrz przedsi biorstwa, jest to proces kosztowny i czasochłonny. Mo e nawet spowodowaç koniecznoêç utrzymywania dwóch zbiorów tych samych treêci: jednego przeznaczonego dla pracowników wewn trznych (na przykład i drugiego dla pracowników spoza sieci prywatnej (na przykład ISA Server 2004 zapewnia prostszy sposób na rozwiàzanie tego problemu. Gdy ISA Server jest u ywany do przesiewania ruchu mi dzy publicznym Internetem a sieciami wewn trznymi, filtr translacji łàczy umo liwia odwzorowanie adresów wewn trznych ( na adresy, których mo na u ywaç z zewnàtrz ( Po włàczeniu translacji łàczy pierwotna zawartoêç intranetowego serwera WWW pozostaje bez zmian. Gdy ISA Server wykryje àdanie z adresu zewn trznego, pobiera odpowiednià treêç z intranetowego serwera WWW, po czym szuka w niej adresów wewn trznych i zamienia je na poprawne adresy dost pne z zewnàtrz. Nast pnie wysyła t treêç do zewn trznego komputera, który jej za àdał. Takie podejêcie zapewnia, e wszystkie àdania spoza przedsi biorstwa sà wysyłane do zewn trznie prawidłowych adresów, nawet jeêli łàcza w firmowym intranecie wskazujà na adresy wewn trzne. Filtr translacji łàczy mo e skanowaç strony WWW pod kàtem wyst powania łàczy do ró nego rodzaju treêci oraz zast powaç łàcza do wszelkich rodzajów dokumentów: dêwi kowych, wideo, obrazów 6

9 i wielu innych. Funkcja zamiany wewn trznych adresów w àdanej treêci stron sieci WWW na prawidłowo tłumaczone na zewnàtrz adresy przed ich wysłaniem do systemu àdajàcego rozwiàzuje problemy dost pnoêci wynikajàce z adresowania, bez ujawniania nazw serwerów wewn trznych zewn trznym u ytkownikom. Filtr SecurID Standardowy proces logowania w systemie Windows zakłada, e ka dy, kto poda poprawnà nazw u ytkownika i hasło, jest prawidłowym u ytkownikiem, wobec czego sà mu nadawane odpowiednie prawa dost pu. SecurID, produkt firmy RSA Security, zwi ksza bezpieczeƒstwo procesu logowania u ytkowników, wymagajàc od nich udowodnienia swojej to samoêci jeszcze jednym sposobem. Zazwyczaj realizuje si to za pomocà sprz towego lub programowego urzàdzenia uwierzytelniajàcego, które generuje niepowtarzalny kod co 60 sekund. W takim dwuelementowym procesie uwierzytelniania u ytkownik, aby móc zalogowaç si do sieci, musi nie tylko znaç prawidłowà nazw u ytkownika i hasło, ale tak e mieç urzàdzenie uwierzytelniajàce. Bez poprawnego kodu do systemu SecurID zalogowanie si jest niemo liwe. Filtr SecurID w oprogramowaniu ISA Server 2004 umo liwia zastosowanie tego dwuelementowego mechanizmu uwierzytelniania do zabezpieczenia serwerów Outlook Web Access i innych serwerów WWW. Znacznie zwi ksza to bezpieczeƒstwo logowania. Nowe filtry w oprogramowaniu ISA Server 2004 ISA Server 2004 zawiera osiem nowych filtrów, stanowiàcych znaczne rozszerzenie zabezpieczeƒ kluczowych usług sieciowych i protokołów komunikacyjnych. Niektóre z tych filtrów zapewniajà ochron nowych funkcji wprowadzonych w serwerze ISA Server 2004, takich jak uwierzytelnianie usługi RADIUS. Filtr HTTP Protokół HTTP jest podstawowà technologià transferu informacji ze stron WWW. Filtr HTTP umo liwia serwerowi ISA Server 2004 wszechstronnà analiz wszystkich istotnych aspektów komunikacji HTTP. Filtru tego mo na u yç do analizy àdaƒ z wewn trznych i zewn trznych serwerów WWW oraz blokowania àdaƒ okreêlonych nazw plików, typów plików lub stron WWW zawierajàcych konkretne słowa lub ciàgi znaków. Filtru HTTP mo na tak e u yç do blokowania dynamicznych odpowiedzi przesyłanych na strony WWW (na przykład formularze on-line, które mogà słu yç do wysyłania poufnych informacji o firmie) Dzi ki filtrowi HTTP mo na bardziej szczegółowo analizowaç zawartoêç stron WWW oraz dokładnie okreêlaç, jakie dane (zwane sygnaturà ) powinny byç wyszukiwane i blokowane przez zapor, na podstawie: informacji o àdajàcej witrynie WWW, informacji zawartych w dowolnej cz Êci àdania u ytkownika, informacji zawartych w dowolnej cz Êci odpowiedzi serwera WWW. PrzypuÊçmy na przykład, e firma chce blokowaç wszystkie strony WWW zawierajàce słowo hacker. Mo na utworzyç sygnatur, która wykrywa to słowo i blokuje stron, na której ono wystàpiło. W ten sposób u ytkownicy, których ta reguła dotyczy, nigdy nie otrzymajà strony WWW zawierajàcej to słowo. Aby zwi kszyç elastycznoêç filtru, mo na konfigurowaç te reguły oddzielnie dla ka dego u ytkownika lub grupy, blokujàc zawartoêç tylko w odniesieniu do nich, a nie do wszystkich u ytkowników. Filtrowanie HTTP pozwala tak e zabezpieczyç serwery WWW, poprzez wykrywanie i blokowanie 7

10 potencjalnie szkodliwych, nieprawidłowych informacji znajdujàcych si w àdaniu lub odpowiedzi WWW, co umo liwia zatrzymanie ataków zanim dotrà do serwera WWW. Na przykład włamywacze internetowi cz sto przekazujà programy narz dziowe do witryny WWW, którà chcà zaatakowaç lub korzystajà z programów, które znajdujà si ju na serwerze WWW. Filtrowanie HTTP w warstwie aplikacji mo na tak skonfigurowaç, by nie było mo liwe wydawanie poleceƒ uruchomienia tych programów. Filtr MMS Protokół MMS (Microsoft Media Server) jest podstawowà technologià mediów strumieniowych u ywanà przez produkty firmy Microsoft. MMS jest skomplikowanym protokołem, dlatego ISA Server 2004 zawiera filtr MMS upraszczajàcy prac z nim. Filtr MMS obsługuje zarówno przychodzàce, jak i wychodzàce połàczenia MMS: pozwala na zabezpieczenie wewn trznych klientów pobierajàcych zewn trzne treêci mediów strumieniowych przy u yciu takich aplikacji, jak Windows Media Player, a tak e zapewnia bezpieczeƒstwo serwerom mediów strumieniowych, dzi ki czemu mogà byç bezpiecznie instalowane na systemach znajdujàcych si w wewn trznej sieci organizacji. Filtr uwierzytelniania opartego na formularzach OWA Outlook Web Access (OWA) jest klientem opartym na usłudze WWW, który umo liwia korzystanie z poczty elektronicznej, kalendarza i innych funkcji programu Microsoft Outlook. Ze wzgl du na newralgiczny charakter informacji dostarczanych przez t aplikacj, bardzo wa ne jest zabezpieczenie jej przed atakami. ISA Server 2004 umo liwia dzi ki u yciu filtru uwierzytelniania opartego na formularzach OWA (FBA) przesiewanie całego ruchu skierowanego do witryny OWA przedsi biorstwa. Uwierzytelnianie oparte na formularzach, obsługiwane przez serwer Exchange Server 2003, zapewnia liczne korzyêci w zakresie bezpieczeƒstwa. Na przykład powoduje wygaêni cie wa noêci sesji, która była nieaktywna przez podany okres, co wymaga od u ytkownika ponownego uwierzytelnienia. Zapobiega tak e buforowaniu danych uwierzytelniajàcych u ytkownika, usuwajàc zagro enie, jakie niesie nieprawidłowe wylogowanie si oraz wymaga od klientów korzystania z połàczeƒ SSL zwi kszajàcych bezpieczeƒstwo. Filtr OWA FBA umo liwia serwerowi ISA Server 2004 odbieranie àdaƒ uwierzytelniania od u ytkowników próbujàcych zalogowaç si na serwerze OWA. Dzi ki temu u ytkownicy nie komunikujà si bezpoêrednio z serwerem OWA ISA Server działa jako poêrednik, uniemo liwiajàc dotarcie do serwera OWA ataków opartych na fałszywych danych uwierzytelniajàcych lub nieuprawnionych prób połàczeƒ. Filtr PNM Filtr PNM (Progressive Networks Metafile) zabezpiecza strumienie multimedialne wysyłane i odbierane przez produkty firmy RealNetworks. Ten popularny dostawca technologii mediów strumieniowych oferuje takie produkty, jak pakiety aplikacji RealOne Player i RealPlayer. ISA Server 2004 umo liwia zarzàdzanie przychodzàcymi i wychodzàcymi połàczeniami PNM. Zapewnia ochron zarówno wewn trznych u ytkowników korzystajàcych z zewn trznych danych strumieniowych za pomocà aplikacji RealNetwork, jak i posiadanych przez firm serwerów mediów strumieniowych RealNetwork. Filtr PPTP Protokół PPTP (point-to-point tunneling protocol) jest technologià wirtualnych sieci prywatnych (VPN) zapewniajàcà ochron informacji wymienianych mi dzy dwoma komputerami. Jest to jedna 8

11 z najcz Êciej u ywanych technologii sieci VPN, a oprogramowanie klienta PPTP jest dost pne w ka dym u ywanym obecnie systemie operacyjnym Windows. Protokół PPTP jest bardzo zło ony, korzysta z zaawansowanego szyfrowania i innych zabezpieczeƒ. Filtr PPTP zawarty w serwerze ISA Server 2004 pozwala na znaczne uproszczenie zarzàdzania tego typu komunikacjà. Korzystajàc z oprogramowania ISA Server 2004, mo na łatwo umieêciç serwer PPTP za zaporà ISA Server w sieci wewn trznej i zastosowaç filtr PPTP do zabezpieczenia przychodzàcego i wychodzàcego ruchu PPTP. Filtr PPTP umo liwia komputerowi wewnàtrz sieci przedsi biorstwa za zaporà ISA Server 2004 na ustanowienie bezpiecznego połàczenia PPTP z komputerem znajdujàcym si na zewnàtrz. JeÊli wewn trzna strona zapory ISA Server 2004 jest podłàczona do sieci prywatnej, a zewn trzna do Internetu, to filtr PPTP mo e zabezpieczaç komunikacj VPN mi dzy wewn trznymi klientami a zewn trznymi serwerami PPTP w Internecie. Filtr PPTP umo liwia tak e zabezpieczanie połàczeƒ PPTP nawiàzywanych spoza zapory ISA Server 2004 z serwerami PPTP w sieci wewn trznej, co pozwala bezpiecznie udost pniaç u ytkownikom serwery PPTP przez Internet. Ten dodatkowy poziom ochrony ma krytyczne znaczenie, poniewa serwery VPN sà cz sto głównym celem ataków. UWAGA: Innym sposobem, w jaki ISA Server 2004 zwi ksza bezpieczeƒstwo sieci VPN, jest obsługa czystego tunelowania IPSec połàczeƒ VPN typu site-to-site (na przykład mi dzy oddziałem korzystajàcym z serwera ISA Server a głównà siedzibà firmy korzystajàcà z zapory Cisco z zaimplementowanymi połàczeniami VPN typu site-to-site przez tunele IPSec). ISA Server 2004 zapewnia wysoki poziom zgodnoêci operacyjnej z zaporami i produktami VPN innych firm, dzi ki czemu mo na go u ywaç w wielu ró nych Êrodowiskach VPN. Filtr uwierzytelniania usługi RADIUS Filtr uwierzytelniania usługi RADIUS rozszerza dost pne metody uwierzytelniania. Mo na skonfigurowaç serwer ISA Server 2004 jako system autonomiczny, niezale nie od domeny, i mimo to umo liwiç mu nadawanie i odmawianie dost pu na podstawie kont u ytkowników domeny. Pozwala to znacznie zwi kszyç bezpieczeƒstwo, gdy ISA Server znajduje si na obrze u sieci przedsi biorstwa. Filtr uwierzytelniania usługi RADIUS umo liwia tak e serwerowi ISA Server 2004 obsług uwierzytelniania u ytkowników pracujàcych w systemach innych ni Windows. Za pomocà technologii RADIUS zapora ISA Server 2004 mo e uwierzytelniaç zarówno klientów Windows, jak i innych, na podstawie kont w systemach UNIX lub w pozostałych systemach innych ni Windows. Dzi ki tej mo liwoêci ISA Server 2004 mo e działaç w Êrodowiskach mieszanych, w których cz Êç z u ytkowników loguje si przez uwierzytelnianie w systemie Windows, a pozostali nie. Filtr uwierzytelniania usługi RADIUS umo liwia wszystkim u ytkownikom logowanie si przy u yciu standardowych nazw u ytkownika i haseł niezale nie od tego, czy majà konta w systemach Windows. Filtr RTSP Protokół RTSP (real-time streaming protocol) jest popularnym formatem mediów strumieniowych u ywanym przez kilku dostawców. Korzysta z niego mi dzy innymi firma Apple Computer w swoim oprogramowaniu QuickTime. Filtr RTSP mo na tak skonfigurowaç, aby dopuszczał lub ograniczał przychodzàce i wychodzàce połàczenia RTSP. Filtr RTSP zabezpiecza zarówno u ytkowników wewn trznych korzystajàcych z zewn trznej zawartoêci danych strumieniowych za pomocà aplikacji obsługujàcych protokół RTSP, jak i posiadane przez firm serwery mediów strumieniowych RTSP zainstalowane w sieci wewn trznej. 9

12 Filtr Web proxy Filtr Web proxy zapewnia wszystkim klientom ISA Server 2004 szybszy dost p do Internetu, dzi ki wykorzystaniu bufora Web proxy. W przypadku łàczenia si klientów Web proxy, FireWall i SecureNAT z zasobami WWW w Internecie, filtr Web proxy przechwytuje cały ruch wychodzàcy do portu 80 protokołu TCP i porównuje àdania z buforowanà zawartoêcià WWW. JeÊli zawartoêç jest dost pna w buforze, zapora zwraca àdane informacje, pobierajàc je z buforu Web proxy; jeêli nie, to zapora pobiera zawartoêç z internetowego serwera WWW, umieszcza jà w buforze i wysyła do klienta. Filtr Web proxy daje si konfigurowaç, dlatego mo e byç wyłàczany oddzielnie dla ka dej reguły dost pu. Ze wzgl du na znaczne zmiany w architekturze oprogramowania ISA Server 2004 rozró nienie jego zastosowania jako serwera Web proxy lub jako zapory jest ju nieadekwatne mo e on działaç w roli serwera Web proxy, zapory lub w obu tych rolach. Cz Êç tego produktu stanowiàca serwer Web proxy jest obecnie zintegrowana z głównymi funkcjami serwera ISA Server 2004, dlatego nie trzeba ju jej wybieraç podczas instalacji. W wyniku tej zmiany nowy filtr Web proxy zastàpił kluczowe fragmenty tej usługi z serwera ISA Server 2000: nie stanowi ona ju osobnej usługi lecz filtr włàczony bezpoêrednio w usług zapory. Taka Êcisła integracja oznacza, e w sytuacjach wymagajàcych uwierzytelnionych połàczeƒ WWW, nie jest ju konieczne konfigurowanie klientów FireWall jako klientów Web proxy. Zamiast tego usługa zapory w sposób przezroczysty akceptuje dane uwierzytelniajàce u ytkownika z komputera pracujàcego jako FireWall Client i u ywa ich do połàczeƒ przekazywanych do filtru Web proxy. W rezultacie uzyskuje si sprawne, bezpieczne i uwierzytelnione połàczenie z WWW bez koniecznoêci dodatkowego konfigurowania klienta. ZgodnoÊç serwera Web proxy w oprogramowaniu ISA Server 2004 z serwerem ISA Server 2000 Firmy, które zainwestowały w serwer ISA Server 2000, tak e mogà skorzystaç z zalet wprowadzenia nowych zapór opartych na serwerze ISA Server 2004 do infrastruktury zabezpieczeƒ sieciowych. Usługa serwera Web proxy w oprogramowaniu ISA Server 2000 jest w pełni zgodna z filtrem Web proxy produktu ISA Server Dzi ki temu klient u ywajàcy zapory ISA Server 2000 jako serwera Web proxy mo e w tym samym celu u ywaç zapory ISA Server PrzypuÊçmy na przykład, e przedsi biorstwo dysponuje maszynà z serwerem ISA Server 2000 działajàcà jako serwer Web proxy, który obsługuje 5000 klientów w głównej siedzibie firmy. Teraz przedsi biorstwo chce zainstalowaç zapory ISA Server 2004 w swoich oddziałach w celu wykorzystania funkcji bufora Web proxy, co przyspieszy dost p do Internetu zarówno w siedzibie firmy, jak i w jej oddziałach. Poniewa serwer Web proxy w oprogramowaniu ISA Server 2004 bez problemu współpracuje z usługà serwera Web proxy w zaporze ISA Server 2000 w siedzibie, mo na skonfigurowaç maszyny proxy w oddziałach tak, aby komunikowały si z serwerem proxy w siedzibie głównej. Dzi ki temu oddziały mogà korzystaç z rozszerzonych zabezpieczeƒ internetowych zapewnianych przez zapor ISA Server 2004, a jednoczeênie w łatwy sposób łàczyç si z serwerem Web proxy oprogramowania ISA Server 2000 w głównej siedzibie firmy. 10

13 RozszerzalnoÊç filtrów Strategie i implementacje zabezpieczeƒ sà ró ne w ró nych przedsi biorstwach. ISA Server ma bogate mo liwoêci rozbudowy i jest wyposa ony we wszechstronny pakiet SDK (software development kit), który pozwala dostosowywaç serwer do potrzeb klienta. Pakiet SDK umo liwia tworzenie filtrów, które przechwytujà, analizujà i modyfikujà dowolnà komunikacj. Mo na tak e tworzyç filtry WWW, wdra ajàc reguły dotyczàce przeglàdania, analizowania, blokowania, przekierowywania lub modyfikowania ruchu HTTP i FTP. JeÊli w przedsi biorstwie nie ma programistów, którzy mogliby utworzyç niestandardowe filtry, to mo na skorzystaç z oferty niezale nych dostawców wielu z nich oferuje rozwiàzania stanowiàce rozszerzenie podstawowego produktu ISA Server i zapewnia jego integracj z innymi produktami. Wnioski ISA Server 2004 jest zaawansowanà zaporà rozpoznajàcà dane w warstwie aplikacji, która za pomocà wielu filtrów aplikacyjnych analizuje przechodzàcà przez nià komunikacj w warstwie 7. ISA Server 2004 eliminuje ograniczenia tradycyjnych zapór filtrujàcych pakiety wykonujàc dokładnà analiz treêci na poziomie aplikacji. To inteligentne filtrowanie w warstwie aplikacji pozwala zabezpieczyç sieç przed atakami XXI wieku. 11