Ochrona serwerów Web Microsoft Internet Information Services za pomocà oprogramowania ISA Server 2004

Transkrypt

1 Ochrona serwerów Web Microsoft Internet Information Services za pomocà oprogramowania ISA Server 2004 Artykuł przeglàdowy Czerwiec 2004 Najnowsze informacje znajdujà si pod adresem:

2 Spis treêci Wprowadzenie Zaawansowane filtrowanie HTTP Delegowanie podstawowego uwierzytelnienia Uwierzytelnianie oparte na formularzach Outlook Web Access Uwierzytelnianie usługi RADIUS dla przychodzàcych połàczeƒ z witrynà 3 Uwierzytelnianie SecurID dla przychodzàcych połàczeƒ z witrynà 4 Mostkowanie SSL-SSL Elastyczne przekierowanie witryn 6 Bezpieczne kreatory publikowania serwerów Web Ochrona wewn trznych nazw serwerów za pomocà translacji łàczy U ycie grup u ytkowników w celu sterowania dost pem do witryn 9 Wnioski

3 Wprowadzenie Ataki na serwery Web sà najcz stszymi atakami przeciwko zasobom firm. Witryny WWW dost pne dla u ytkowników Internetu muszà byç zabezpieczone w najwy szym mo liwym stopniu, aby mogły z powodzeniem odpieraç cz ste ataki. Pierwszym krokiem w zabezpieczeniu publicznie dost pnych serwerów Web jest mo liwie jak najlepsze utwardzenie systemu operacyjnego oraz komponentów serwera Web, przy zachowaniu niezmienionych funkcji aplikacji. Nast pnym krokiem jest umieszczenie przed serwerem Web zapory działajàcej w warstwie aplikacji. Taka zapora analizuje cały przechodzàcy przez nià w obie strony ruch, ocenia, czy jest on bezpieczny i poprawny, a nast pnie na tej podstawie przepuszcza go lub odrzuca. Mimo i bezpieczeƒstwo jest podstawowà sprawà przy umo liwianiu u ytkownikom Internetu korzystania z firmowych zasobów Web, to bezpieczeƒstwo bez dost pnoêci jest niewiele warte. Zapora musi zapewniç wysoki poziom bezpieczeƒstwa, a jednoczeênie umo liwiç administratorowi zapory wszechstronnà kontrol nad sposobem, w jaki u ytkownicy Internetu uzyskujà dost p do firmowych zasobów Web. Oprogramowanie Internet Security and Acceleration (ISA) Server 2004 firmy Microsoft jest zaporà działajàcà w warstwie aplikacji, która sprawdza przechodzàcy przez nià ruch i podejmuje inteligentne decyzje o przyznaniu lub odmowie dost pu, na podstawie analizy bezpieczeƒstwa i poprawnoêci tego ruchu. Inteligentne mechanizmy filtrowania w warstwie aplikacji zastosowane w oprogramowaniu ISA Server 2004 nie tylko zapewniajà wysoki poziom bezpieczeƒstwa firmowych serwerów Web, ale tak e dajà administratorowi dokładnà kontrol nad dost pem do tych zasobów za poêrednictwem zapory. W niniejszym artykule omówiono zastosowane w oprogramowaniu ISA Server 2004 technologie zapewniajàce bezpieczny dost p do serwerów Web opartych na Internet Information Server (IIS) znajdujàcych si za zaporà. Sà to mi dzy innymi: zaawansowane filtrowanie HTTP, delegowanie uwierzytelnienia podstawowego, uwierzytelnianie oparte na formularzach Microsoft Outlook Web Access (OWA), uwierzytelnianie usługi RADIUS (Remote Access Dial-In User Service) dla przychodzàcych połàczeƒ z witrynà Web, uwierzytelnianie SecurID przychodzàcych połàczeƒ z witrynà WWW, mostkowanie SSL-SSL, elastyczne przekierowywanie witryn WWW, bezpieczny kreator publikowania serwera Web, ochrona wewn trznych nazw serwerów dzi ki translacji łàczy, zastosowanie niestandardowych grup zapór sterujàcych dost pem do witryny WWW. Zaawansowane filtrowanie HTTP Protokół HTTP zapewniajàcy dost p do serwerów Web w sieci firmowej jest najcz Êciej u ywanym protokołem w Internecie. W skład oprogramowania ISA Server 2004 wchodzi filtr HTTP działajàcy w warstwie aplikacji, który analizuje wszystkie połàczenia nawiàzane przez u ytkowników Internetu z witrynami WWW w sieci firmowej oraz umo liwia sterowanie niemal ka dym aspektem komunikacji HTTP przechodzàcej przez zapor ISA Server Hakerzy, na przykład, cz sto przejmujà kontrol nad serwerami Web, korzystajàc z plików wykonywalnych systemu Microsoft Windows, za pomocà których uruchamiajà programy na serwerze Web. 1

4 Włamywacz, któremu uda si uruchomiç aplikacje na serwerze Web, mo e kontrolowaç praktycznie ka dy aspekt jego działania. Zapor ISA Server 2004 mo na skonfigurowaç w taki sposób, aby blokowała wszystkie próby dost pu do plików wykonywalnych Windows i ich uruchomienia na serwerze Web. Zapobiega to uruchamianiu takich programów jak cmd.exe, które umo liwiajà wprowadzanie poleceƒ dla serwera Web z poziomu wiersza poleceƒ. Innym sposobem zabezpieczenia serwera Web jest ograniczenie metod HTTP, których mo na u ywaç do interakcji mi dzy klientem a serwerem Web. Na przykład metody POST i PUT słu à do zapisywania danych w ró nych lokalizacjach na serwerze. Aby zablokowaç przychodzàce àdania zawierajàce metody POST i PUT, mo na u yç zaawansowanego filtrowania HTTP wbudowanego w oprogramowanie ISA Server Zaawansowany filtr HTTP w oprogramowaniu ISA Server 2004 umo liwia tak e tworzenie niestandardowych sygnatur, które mo na wykorzystaç w celu blokowania dost pu do serwerów Web. Załó my na przykład, e na serwerze Web IIS jest uruchomione forum dyskusyjne. Tworzàc obiekt sygnatur zawierajàcy standardowe listy słów, które nie mogà pojawiaç si w dyskusji, i stosujàc te listy do filtru, mo na zapewniç, e u ytkownicy forum b dà u ywaç tylko właêciwego j zyka, a komentarze zawierajàce obel ywe zwroty nie zostanà przesłane do serwera. To tylko kilka przykładów metod, jakimi mo na zabezpieczaç witryny WWW za pomocà zaawansowanego filtrowania HTTP w warstwie aplikacji, udost pnianego przez ISA Server Dzi ki takiemu filtrowaniu mo na zatrzymaç niemal ka dy znany atak a tak e wiele nieznanych na obrze u sieci, zanim dotrze on do firmowego serwera Web. Delegowanie podstawowego uwierzytelnienia Wiele bezpiecznych witryn WWW wymaga, aby u ytkownicy, zanim b dà mogli korzystaç z zasobów witryny, uwierzytelnili si przez wysyłanie danych uwierzytelniajàcych w postaci nazwy u ytkownika i hasła. Poniewa nie cała zawartoêç stron WWW na serwerach IIS jest przeznaczona dla wszystkich u ytkowników, uwierzytelnianie pozwala administratorowi zapory okreêliç, kto ma dost p do których danych na serwerze. Uwierzytelnianie zapewnia kontrol dost pu do zawartoêci stron WWW, ale jednoczeênie otwiera serwer dla wszystkich u ytkowników nawet tych, którzy nie zostali pomyêlnie uwierzytelnieni. Wynika to z faktu, e gdy u ytkownik za àda informacji z serwera Web, musi połàczyç si z tym serwerem. Wprawdzie serwer Web nie odeêle àdanej zawartoêci u ytkownikowi, który nie poda wymaganych danych uwierzytelniajàcych, ale włamywacz mo e skorzystaç z poczàtkowego nieuwierzytelnionego połàczenia, aby dostaç si do serwera i złamaç jego zabezpieczenia oraz zmieniç zawartoêç stron WWW. Mógłby nawet przejàç cały serwer i wykorzystaç go do przeprowadzenia ataku na inne komputery w sieci firmowej. ISA Server 2004 pozwala zabezpieczyç firmowà witryn WWW przed atakami, uwierzytelniajàc u ytkowników w samej zaporze. Tylko ci u ytkownicy, którzy pomyêlnie przejdà procedur uwierzytelniania, b dà mieli dost p do serwera Web. JeÊli u ytkownik nie zostanie uwierzytelniony, ISA Server 2004 po prostu rozłàczy połàczenie. W ten sposób oprogramowanie ISA Server 2004 zatrzymuje ataki hakerów i inne nieprawidłowe połàczenia u ytkowników na zaporze. Delegowanie podstawowego uwierzytelnienia jest skutecznym mechanizmem zabezpieczenia wszystkich witryn WWW znajdujàcych si za zaporà ISA Server Funkcja delegowania podstawowego uwierzytelnienia mo e równie działaç oddzielnie dla ka dej witryny, co pozwala okreêlaç, które witryny majà byç chronione. 2

5 Uwierzytelnianie oparte na formularzach Outlook Web Access Witryny OWA (Outlook Web Access) sà specjalnymi witrynami WWW, które umo liwiajà u ytkownikom zdalny dost p do poczty elektronicznej serwera Microsoft Exchange Server za pomocà protokołu HTTP. ISA Server 2004 pozwala zabezpieczyç wszystkie witryny na serwerze Internet Information Server (IIS), a oprócz tego zapewnia specjalnà ochron witrynom OWA dzi ki funkcji uwierzytelniania opartego na formularzach. Aby zrozumieç sposób działania tej funkcji, nale y najpierw przyjrzeç si, jak przebiega łàczenie si u ytkownika z witrynà OWA bez takiego uwierzytelniania. W odpowiedzi na wysłane przez u ytkownika àdanie wyêwietlenia treêci Web witryna OWA generuje formularz logowania i wysyła go u ytkownikowi. U ytkownik wpisuje nazw i hasło, po czym wysyła te informacje do serwera Web OWA. Serwer Web uwierzytelnia u ytkownika i, jeêli ma on uprawnienie do pobierania informacji z witryny OWA, zezwala na połàczenie i przesyła àdane informacje u ytkownikowi. Problem w tym scenariuszu polega na tym, e włamywacze mogà wykorzystaç poczàtkowe, nieuwierzytelnione połàczenie do zaatakowania witryny OWA. ISA Server 2004 rozwiàzuje ten problem, samodzielnie generujàc formularz logowania, co zapobiega nawiàzywaniu połàczeƒ z witrynà OWA przez u ytkowników nieuwierzytelnionych. Gdy u ytkownik łàczy si z Internetu z witrynà OWA przez ISA Server 2004, zapora akceptuje àdanie połàczenia, generuje formularz logowania OWA i wysyła go u ytkownikowi. U ytkownik wpisuje nazw i hasło, a nast pnie wysyła te informacje do zapory ISA Server Aby uwierzytelniç u ytkownika, zapora wysyła jego dane uwierzytelniajàce do kontrolera domeny lub serwera RADIUS. JeÊli uwierzytelnienie powiedzie si i u ytkownik uzyska uprawnienie dost pu do witryny OWA, zapora zezwoli na połàczenie, a u ytkownik b dzie mógł korzystaç ze skrzynki pocztowej udost pnianej przez witryn OWA. Uwierzytelnianie oparte na formularzach w oprogramowaniu ISA Server 2004 zapewnia jeszcze jednà korzyêç przedsi biorstwom u ywajàcym serwera Microsoft Exchange Server: takie uwierzytelnianie jest dost pne dla wszystkich wersji serwera Exchange. Bez oprogramowania ISA Server 2004 tylko wersja Microsoft Exchange Server 2003 obsługuje uwierzytelnianie oparte na formularzach. Natomiast oprogramowanie ISA Server 2004 pozwala wprowadziç uwierzytelnianie oparte na formularzach równie dla serwerów Microsoft Exchange Server 5.5 i Microsoft Exchange Server Uwierzytelnianie usługi RADIUS dla przychodzàcych połàczeƒ z witrynà WWW Obsługa uwierzytelniania RADIUS (Remote Access Dial-In User Service) umo liwia komputerowi z zainstalowanà zaporà ISA Server 2004 uwierzytelniaç tych u ytkowników, którzy nie sà uwzgl dnieni w lokalnej bazie danych. Za pomocà usługi RADIUS mo na uwierzytelniaç u ytkowników nale àcych do domen Active Directory, Windows NT 4.0 lub innych usług katalogowych, zanim zezwoli im si na połàczenie z firmowà witrynà WWW. PrzypuÊçmy na przykład, e w sieci firmowej jest domena Active Directory obejmujàca 6500 u ytkowników, a baza danych tej domeny ma słu yç do uwierzytelniania pracowników, którzy 3

6 b dà mieç dost p do firmowych informacji ze zdalnych miejsc. Jednà z mo liwoêci jest przyłàczenie zapory ISA Server 2004 do domeny, do której nale à u ytkownicy. Jednak problem z takà konfiguracjà polega na tym, e jeêli włamywacz złamie zabezpieczenia zapory, to b dzie mógł wykorzystaç jej status jako członka domeny w celu zwi kszenia skutecznoêci ataku na serwery wewnàtrz sieci firmowej. Dlatego powszechnie uwa a si, e bezpieczniej jest nie przyłàczaç zapory ISA Server 2004 do wewn trznej domeny sieciowej. Lepszym rozwiàzaniem jest skonfigurowanie zapory ISA Server 2004 w taki sposób, by uwierzytelniała ona przychodzàce àdania Web za pomocà usługi RADIUS. Przy takim podejêciu zapora przekazuje àdania do serwera RADIUS znajdujàcego si za zaporà. Nast pnie serwer RADIUS przekazuje àdanie do komputera, w którym przechowywane sà informacje potrzebne do uwierzytelnienia u ytkownika. Komputer ten mo e byç kontrolerem domeny Active Directory, innym serwerem RADIUS lub serwerem katalogowym innej firmy, który obsługuje komunikaty uwierzytelniania usługi RADIUS. Jeszcze innym sposobem jest u ycie serwera IAS (Internet Authentication Server) wbudowanego w systemy Microsoft Windows 2000 i Microsoft Windows Server Zapora ISA Server 2004 mo e przekazywaç àdania uwierzytelnienia od u ytkowników Internetu do serwera IAS w sieci firmowej, a wówczas serwer IAS przekazuje te àdania do kontrolera domeny Active Directory. Kontroler domeny Active Directory uwierzytelnia u ytkownika i wysyła wynik pomyêlnego uwierzytelnienia do serwera RADIUS, który z kolei wysyła go do zapory ISA Server Uwierzytelnianie SecurID dla przychodzàcych połàczeƒ z witrynà WWW RSA SecurID jest dwufaktorowym rozwiàzaniem do uwierzytelniania u ytkowników. Aby umo liwiç u ytkownikom dost p do witryn WWW w sieci firmowej, wymaga ono nie tylko znajomoêci tajnego osobistego numeru identyfikacyjnego (PIN), ale tak e posiadania tokenu. Metoda ta jest bezpieczniejsza od kombinacji nazwy u ytkownika i hasła, poniewa u ytkownik w celu uzyskania dost pu do zasobów firmowych witryn WWW musi zarówno znaç coê (numer PIN), jak i mieç coê (token). Ka dy token ma niepowtarzalny klucz symetryczny, który w połàczeniu z algorytmem szyfrowania generuje co minut nowy kod. Tylko oprogramowanie serwera RSA ACE/Server wie, który kod jest prawidłowy w danym momencie dla danej kombinacji u ytkownika i tokenu. Aby zalogowaç si do chronionych zasobów, u ytkownik musi podaç zarówno kod, jak i numer PIN. Tokeny SecurID sà dost pne w kilku postaciach. Tokeny sprz towe majà form breloczków, kart i PINpadów. Tokeny programowe sà dost pne dla stacji roboczych Windows, komputerów kieszonkowych Pocket PC, Palm i Blackberry oraz telefonów bezprzewodowych DoCoMo. Zapory ISA Server 2004 obsługujà uwierzytelnianie SecurID za pomocà filtru SecurID działajàcego w warstwie aplikacji. Filtr ten odbiera przychodzàce àdania uwierzytelnienia SecurID i przekazuje je do serwera ACE w sieci firmowej. Serwer ACE uwierzytelnia u ytkownika i wysyła wyniki do zapory ISA Server JeÊli uwierzytelnienie powiedzie si, zapora zezwoli u ytkownikowi na dost p do firmowej witryny WWW. PrzypuÊçmy na przykład, e przedsi biorstwo chce umo liwiç podró ujàcym dyrektorom zdalny 4

7 dost p za poêrednictwem bezpiecznego połàczenia z witrynà WWW do danych dotyczàcych sprzeda y oraz informacji o konkurencji. Dane te sà poufne i nie wolno ich udost pniç osobom z zewnàtrz. Dost p do nich mo na zapewniç przy u yciu uwierzytelniania jednofaktorowego, ale ze wzgl du na ich wysoce poufny charakter, firma potrzebuje wy szego poziomu ochrony. Po wdro eniu rozwiàzania SecurID i przekazaniu dyrektorom tokenów SecurID w postaci breloczków, tylko u ytkownicy znajàcy prawidłowe numery PIN oraz posiadajàcy tokeny sprz towe b dà mogli uzyskaç dost p do bezpiecznej witryny WWW. Mostkowanie SSL-SSL Mostkowanie SSL-SSL jest kolejnà funkcjà oprogramowania ISA Server 2004, która zapewnia wysoki poziom bezpieczeƒstwa zdalnego dost pu do firmowych witryn WWW w tym przypadku poprzez uniemo liwienie ukrycia ataków wewnàtrz tuneli SSL. Standardowa zapora sieciowa nie ma mo liwoêci sprawdzania na poziomie aplikacji ruchu zabezpieczonego zgodnie z protokołem SSL, poniewa dane sà przesyłane wewnàtrz tunelu SSL. Jednak zapora ISA Server 2004 potrafi odszyfrowaç komunikacj SSL, przeanalizowaç jà pod kàtem bezpieczeƒstwa, ponownie zaszyfrowaç bezpieczne informacje i przesłaç tunelem do miejsca docelowego. Aby lepiej zrozumieç, dlaczego funkcja mostkowania SSL-SSL w oprogramowaniu ISA Server 2004 zapewnia lepszy poziom zabezpieczeƒ witryn WWW, zobaczmy, co si dzieje, gdy u ytkownik próbuje uzyskaç dost p do zabezpieczonej zgodnie z protokołem SSL witryny WEB przez tradycyjnà zapor (innà ni ISA Server 2004). W takim przypadku u ytkownik Internetu wysyła àdanie SSL do witryny WWW. Zwykła zapora rozpoznaje, e jest to połàczenie SSL, i przekazuje àdanie witrynie WWW. Nast pnie przeglàdarka Web u ytkownika i witryna WWW negocjujà seri parametrów definiujàcych połàczenie SSL, po czym szyfrujà informacje przesyłane mi dzy sobà. Poniewa przesyłane informacje sà ukryte w zaszyfrowanym tunelu SSL, zwykła zapora nie mo e oceniç treêci tych informacji. Gdy taka zapora przesyła dane tam i z powrotem, rozpoznaje tylko, e sà one zaszyfrowane. W zwiàzku z tym wszelkie zabezpieczenia tego połàczenia muszà byç zaimplementowane w samym serwerze Web i tylko wtedy, gdy serwer ten odszyfruje pakiety i przeanalizuje niezaszyfrowane informacje. JeÊli informacje te sà rzeczywiêcie niebezpieczne, to w tym momencie mo e byç ju za póêno, aby zastosowaç zabezpieczenia: szkody mogły zostaç ju poczynione. Sprytni włamywacze mogà wykorzystaç t słaboêç tradycyjnych zapór, nawiàzujàc szyfrowane sesje SSL z witrynami znajdujàcymi si za zaporà. Zapora nie mo e okreêliç, czy w połàczeniu SSL mi dzy włamywaczem a witrynà WWW jest zawarty niebezpieczny kod, poniewa jest on ukryty w tunelu SSL. Z kolei zapory ISA Server 2004 majà dost p do danych przesyłanych tunelem SSL odszyfrowujà je i przepuszczajà przez zaawansowane, wszechstronne filtry HTTP działajàce w warstwie aplikacji, dzi ki czemu mogà oceniç stopieƒ bezpieczeƒstwa tych informacji. Gdy u ytkownik Internetu próbuje połàczyç si z witrynà WWW znajdujàcà si za zaporà ISA Server 2004, poczàtkowo połàczenie jest nawiàzywane z zewn trznym interfejsem zapory. Nast pnie przeglàdarka u ytkownika i zewn trzny interfejs zapory ISA Server 2004 negocjujà bezpiecznà sesj SSL, zapora ISA Server 2004 odszyfrowuje połàczenie SSL, a jej filtry HTTP analizujà dane. JeÊli filtry znajdà podejrzane lub niebezpieczne polecenia bàdê dane, zapora ISA Server 2004 zerwie połàczenie. JeÊli zapora uzna, e połàczenie jest bezpieczne, ponownie zaszyfruje 5

8 dane i nawià e drugie połàczenie SSL, tym razem mi dzy swoim wewn trznym interfejsem a serwerem Web w sieci firmowej. Nast pnie przeêle àdanie połàczenia do serwera Web w sieci wewn trznej. Taki sam proces jest stosowany, gdy serwer Web odsyła odpowiedzi do u ytkownika Internetu. Odpowiedzi te przechodzà przez tunel SSL mi dzy serwerem Web a wewn trznym interfejsem zapory ISA Server Zapora odszyfrowuje pakiety i analizuje je. JeÊli okreêli, e odpowiedzi nie sà bezpieczne lub w inny sposób łamià zasady protokołu HTTP, odrzuca je. JeÊli uzna, e odpowiedzi sà prawidłowe i bezpieczne, ponownie je szyfruje i przekazuje przez tunel SSL mi dzy swoim zewn trznym interfejsem a u ytkownikiem Internetu. W ten sposób funkcja mostkowania SSL-SSL zawarta w oprogramowaniu ISA Server 2004 zapobiega ukrywaniu ataków w tunelu SSL. Elastyczne przekierowanie witryn WWW Administratorzy zapory cz sto muszà zapewniç u ytkownikom Internetu dost p do wielu serwerów Web w sieci firmowej. Witryny WWW mogà zawieraç łàcza wykorzystujàce t samà pełnà nazw domeny, której u ywa u ytkownik zdalny, ale innej Êcie ki, dlatego zapora wymaga podania w àdaniu u ytkownika zarówno nazwy, jak i Êcie ki, aby móc je przekazaç dalej. PrzypuÊçmy na przykład, e w sieci przedsi biorstwa sà dwa serwery Web SERWER1 i SERWER2 oraz jedna nazwa domeny zapewniajàca dost p z Internetu do wszystkich firmowych zasobów Web. Nale y u yç innej Êcie ki dla ka dego serwera, ale tej samej domeny dla obu. Zapory ISA Server 2004 mogà zapewniç dost p do wielu serwerów Web poprzez wyra enia adresowe, które powodujà przekierowanie przychodzàcych àdaƒ do właêciwego serwera. Mo na na przykład skonfigurowaç wyra enia adresowe tak, aby àdania wysyłane na adres były przez zapor kierowane do serwera SERWER1, a àdania wysłane na adres do serwera SERWER2. Takie przekierowanie jest całkowicie niezauwa alne dla u ytkownika: zapora ISA Server 2004 obsługuje je automatycznie, analizujàc informacje nagłówka HTTP i na tej podstawie podejmujàc decyzje. Zapory ISA Server 2004 ułatwiajà tak e zdalny dost p do istniejàcych witryn WWW o zło onej hierarchii folderów. PrzypuÊçmy na przykład, e w witrynie WWW w sieci firmowej sà foldery /place i /kadry. Operator witryny nie chce ujawniaç u ytkownikom Internetu faktycznych nazw tych folderów, ale chce im umo liwiç bezpieczny, uwierzytelniony dost p do nich. Mo na to zrobiç za pomocà oprogramowania ISA Server 2004, wykorzystujàc jego funkcje przekierowywania witryn WWW. W tym celu mo na tak skonfigurowaç reguły publikowania witryn WWW w oprogramowaniu ISA Server 2004, aby àdania wysyłane na adres informacje były przekazywane do place, a àdania na adres pracownicy do Podobnie jak w poprzednim przykładzie, zapora ISA Server 2004 wykonuje to przekierowanie w sposób niezauwa alny dla u ytkownika. U ytkownicy Internetu widzà tylko, e sà połàczeni z witrynami WWW, a tak e Êcie ki wpisane w przeglàdarkach (lub wyêwietlone w klikanych łàczach). Zapora ISA Server 2004 Êledzi te àdania i przekazuje je do odpowiednich serwerów Web. Oprócz tego automatycznie wpisuje wszystkie informacje o przekierowaniach do dzienników serwera proxy i zapory, aby mo na było w wygodny sposób analizowaç wzorce odwiedzin w póêniejszym czasie lub, jeêli tak woli administrator, wyêwietlaç je w czasie rzeczywistym za pomocà analizatora dzienników w oprogramowaniu ISA Server

9 Bezpieczne kreatory publikowania serwerów Web Publikowanie witryn WWW, a zwłaszcza bezpiecznych witryn WWW, mo e byç trudnym zadaniem. Nale y je wykonaç w odpowiedni sposób, poniewa ka dy błàd mo e prowadziç do powa nego naruszenia bezpieczeƒstwa, a w konsekwencji byç mo e utraty danych i złamania zabezpieczeƒ serwera Web. ISA Server 2004 upraszcza publikowanie bezpiecznych witryn WWW dzi ki wszechstronnym i wydajnym kreatorom publikowania witryn WWW. Publikowanie witryn WWW w oprogramowaniu ISA Server 2004 pozwala udost pniç u ytkownikom Internetu zasoby Web znajdujàce si w sieci firmowej. Gdy zapora ISA Server 2004 otrzyma àdanie z serwera Web w sieci firmowej, przekierowuje je do tego serwera. Mo na tak e skonfigurowaç zapor w taki sposób, aby przed przekierowaniem połàczenia do serwera Web uwierzytelniała u ytkownika. Ponadto ISA Server 2004 mo e przed przekierowaniem przeanalizowaç połàczenie w warstwie aplikacji, aby potwierdziç, e jest ono bezpieczne i nie zawiera Êladów prób ataku. Oprogramowanie ISA Server 2004 zawiera trzy kreatory publikowania witryn WWW, których mo na u yç do publikowania firmowych witryn WWW. kreator publikowania serwera Web Publish a Web Server, kreator publikowania bezpiecznego serwera Web Publish a Secure Web Server, kreator publikowania serwera pocztowego Publish a Mail Server. Kreator Publish a Web Server umo liwia publikowanie korporacyjnych serwerów Web, które nie wymagajà połàczeƒ SSL. Opublikowany serwer Web mo na w ka dej chwili zabezpieczyç, wymagajàc od u ytkowników uwierzytelnienia w zaporze ISA Server 2004 zanim zostanie im udost pniony serwer Web. Kreator Publish a Secure Web Server upraszcza publikowanie serwera Web z obsługà protokołu SSL. SSL zapewnia szyfrowanie danych przesyłanych mi dzy klientem Internet Explorer w Internecie a bezpiecznà witrynà WWW w sieci firmowej. Bezpiecznà witryn WWW mo na opublikowaç za pomocà tunelowania SSL wówczas zapora ISA Server 2004 b dzie emulowała zachowanie tradycyjnej zapory. Mo na te jednak opublikowaç jà przy u yciu wyjàtkowej, bardzo bezpiecznej funkcji mostkowania SSL-SSL dost pnej w oprogramowaniu ISA Server 2004 (informacje dotyczàce mostkowania SSL-SSL znajdujà si powy ej). Kreator Publish a Mail Server umo liwia publikowanie bezpiecznych witryn Outlook Web Access. Kreator przeprowadza u ytkownika przez procedur konfigurowania bezpiecznych, zaszyfrowanych połàczeƒ SSL z witrynà OWA, a tak e przez czynnoêci, które nale y wykonaç, aby mo liwe było korzystanie z funkcji uwierzytelniania za pomocà formularzy w oprogramowaniu ISA Server Wszystkie te kreatory nie tylko pozwalajà uniknàç zgadywania ustawieƒ przy publikowaniu witryn WWW w sieci firmowej, ale tak e zapobiegajà popełnianiu bł dów konfiguracyjnych, które mogłyby prowadziç do niepo àdanych i nieoczekiwanych rezultatów. 7

10 Ochrona wewn trznych nazw serwerów za pomocà translacji łàczy Wiele aplikacji Web osadza w łàczach wysyłanych u ytkownikom Internetu nazwy serwerów znajdujàcych si w sieci prywatnej. PrzypuÊçmy na przykład, e w firmie jest zainstalowana aplikacja, z której intensywnie korzystajà u ytkownicy sieci przedsi biorstwa. Poniewa aplikacja ta została zaprojektowana tylko do u ycia w intranecie, wysyła klientom àdajàcym informacji z serwera Web nazwy serwerów znajdujàcych si w sieci prywatnej. Teraz firma chce udost pniç aplikacj swoim klientom i partnerom znajdujàcym si w zdalnych lokalizacjach. Problem polega na tym, e ci u ytkownicy nie majà dost pu do serwerów w sieci prywatnej za poêrednictwem ich nazw, dlatego nie sà oni w stanie skorzystaç z potrzebnych im informacji, które si na tych serwerach znajdujà. Na przykład serwer Microsoft SharePoint Portal Server mo e odpowiedzieç na àdanie wyêwietlenia informacji znajdujàcych si na serwerze SER WER1, odsyłajàc łàcze do Jednak poniewa SERWER1 jest serwerem w sieci prywatnej, zdalny u ytkownik nie b dzie w stanie za poêrednictwem tego łàcza dostaç si do àdanych informacji. Zapory ISA Server 2004 rozwiàzujà ten problem za pomocà wbudowanej funkcji translacji łàczy. Funkcja ta pozwala na utworzenie słownika, który pozwala tłumaczyç nazwy serwerów prywatnych w odpowiedziach serwera Web na nazwy publiczne, dost pne dla zdalnych u ytkowników. Na przykład mo na tak skonfigurowaç translacj łàczy w oprogramowaniu ISA Server 2004, aby nazwa SERWER1 była tłumaczona na com. Gdy serwer Web odpowie na wysłane przez u ytkownika àdanie informacji, odsyłajàc łàcze zapora ISA Server 2004 przechwyci t odpowiedê i zmieni nazw SERWER1 na www. domena.com. Dzi ki temu u ytkownik Internetu zobaczy adres zamiast Z kolei u ytkownicy w sieci firmowej nadal b dà odbierali strony z łàczami do adresu poniewa znajdujà si wewnàtrz zapory i nie muszà łàczyç si z tym serwerem Web za jej poêrednictwem. Innà zaletà translacji łàczy jest uniemo liwienie uzyskania przez włamywaczy nazw serwerów w sieci prywatnej. JeÊli włamywacz z Internetu dowie si, e serwer Web w sieci prywatnej ma nazw SERWER1, to mo e u yç tej informacji do przeprowadzenia ataku na ten serwer w przyszłoêci na przykład z innej maszyny w sieci prywatnej, do której włamał si w inny sposób. Funkcja translacji łàczy uniemo liwia uzyskanie rzeczywistych nazw serwerów w sieci prywatnej, gdy właêciwa nazwa serwera jest zawsze tłumaczona przy u yciu słownika na nazw dost pnà publicznie. Funkcja translacji łàczy w oprogramowaniu ISA Server 2004 zapewnia wi kszà elastycznoêç, umo liwiajàc skonfigurowanie słownika translacji łàczy oddzielnie dla ka dej reguły publikowania witryny WWW. Dzi ki temu administrator nie musi stosowaç jednego, globalnego słownika translacji łàczy do wszystkich witryn WWW publikowanych przez zapor ISA Server Zamiast tego mo e utworzyç oddzielny słownik dla ka dej reguły publikowania witryny WWW. 8

11 U ycie grup u ytkowników w celu sterowania dost pem do witryn WWW ISA Server 2004 mo e wykorzystywaç baz danych kont u ytkowników usługi Active Directory, aby kontrolowaç ich dost p do publikowanych przez siebie firmowych witryn Web. Reguły dost pu mo na okreêliç na podstawie przynale noêci do grup, tak aby tylko członkowie konkretnych grup mieli dost p do zasobów okreêlonego serwera Web. Dotychczas konfigurowanie dost pu na podstawie przynale noêci do grupy było trudne, poniewa zazwyczaj tylko administratorzy domen mogli konfigurowaç grupy w usłudze Active Directory. Poniewa zazwyczaj administratorzy zapór nie sà członkami grupy administratorów domeny, wi c mogli oni konfigurowaç swoje grupy tylko poprzez dodawanie oddzielnie ka dego członka. Nie tylko opóêniało to wdra anie reguł dost pu przez zapor, ale tak e mogło spowodowaç dopisanie niewłaêciwych członków do grupy, która ma uprawnienia do zabezpieczeƒ. ISA Server 2004 rozwiàzuje ten problem, umo liwiajàc administratorowi skonfigurowanie grup zapory (tzw. user set), które mogà byç u ywane do okreêlania praw dost pu, bez potrzeby tworzenia takich grup w katalogach zawierajàcych informacje o u ytkownikach i grupach. Oprogramowania ISA Server 2004 mo na u ywaç w celu uzyskania dost pu do baz danych o u ytkownikach za poêrednictwem katalogu Active Directory, a tak e usługi RADIUS lub SecurID, a nast pnie na podstawie tych danych utworzyç własne grupy zapory. PrzypuÊçmy na przykład, e firma zamierza opublikowaç w swojej sieci witryn Outlook Web Access oraz utworzyç dwie grupy u ytkowników. Jedna z tych grup ma mieç dost p do witryny OWA z sieci firmowej i z lokalizacji zdalnych, a druga tylko z sieci firmowej. Zamiast tworzyç specjalnà grup zdalnych u ytkowników witryny OWA w katalogu Active Directory we współpracy z administratorem domeny, administrator zapory mo e samodzielnie utworzyç takà grup w zaporze i dodaç do niej konta tych u ytkowników, którzy potrzebujà zdalnego dost pu do witryny OWA. Dodawanie u ytkowników do grupy zapory wymaga od administratora zapory jedynie mo liwoêci odczytu informacji z katalogu Active Directory (w przeciwieƒstwie do tworzenia nowych kont lub grup w domenie Active Directory), wi c mo e on wykonaç to zadanie samodzielnie bez pomocy administratora domeny. Administrator zapory mo e nast pnie utworzyç reguł publikowania witryny OWA, która daje dost p do tej witryny tylko członkom grupy jej zdalnych u ytkowników. U ytkownicy, którzy chcà korzystaç z witryny OWA wewnàtrz sieci firmowej, nie b dà odrzucani przez t reguł, poniewa znajdujà si za zaporà. 9

12 Wnioski ISA Server 2004 zwi ksza funkcjonalnoêç zapory dla systemów Windows Server dzi ki bogactwu zaawansowanych funkcji obejmujàcych zapor klasy korporacyjnej, publikowanie witryn WWW i zabezpieczenia sieci VPN. Zapora ISA Server 2004 mo e monitorowaç cały przechodzàcy przez nià ruch, w tym połàczenia klientów VPN. Ponadto administratorzy mogà monitorowaç i konfigurowaç wszystkie komputery z oprogramowaniem ISA Server 2004 w przedsi biorstwie z jednego pulpitu, u ywajàc scentralizowanego interfejsu administracyjnego. Funkcje zapory ISA Server 2004 sà idealne do ochrony punktów styku sieci firmowej, LAN i Internetu, a tak e do zabezpieczenia kluczowych fragmentów prywatnej, wewn trznej sieci. Oprogramowanie ISA Server 2004 analizuje cały ruch i przekazuje go lub odrzuca na podstawie wielu ró nych kryteriów, takich jak nadawca, miejsce docelowe i rodzaj aplikacji wysyłajàcej lub odbierajàcej. Kryteria akceptacji i odrzucenia ruchu mo na rozszerzyç, aby obejmowały konkretne reguły, na przykład dotyczàce harmonogramów i grup. ISA Server 2004 wyposa ono w wiele technologii przeznaczonych do ochrony witryn WWW działajàcych na serwerach Microsoft Internet Information Server (IIS). Technologie te współpracujà ze sobà, zapewniajàc wysoki poziom bezpieczeƒstwa i dost pnoêci informacji przechowywanych przez witryny IIS. Dzi ki temu oprogramowanie ISA Server 2004 stanowi znakomite narz dzie do ich zabezpieczenia zarówno przed znanymi, jak i nieznanymi atakami z Internetu. 10