Microsoft ISA Server 2004 – новий засіб захисту, Комерція, Різне, статті

В кінці минулого літа корпорація Microsoft випустила ISA (Internet Security and Acceleration) Server 2004 – Серверне рішення, що поєднує вдосконалений трирівневий міжмережевий екран рівня додатків, засоби організації та управління віртуальними приватними мережами та службу кешування Web-даних. Продукт призначений для захисту інформаційних систем організацій будь-якого розміру – від малих підприємств до великих корпорацій – від внутрішніх і зовнішніх атак і для оптимізації інформаційного трафіку при роботі з даними.

Перший продукт Microsoft, що забезпечує безпеку корпоративних систем при взаємодії з зовнішнім світом, – Proxy Server (кодова назва Catapult) – з’явився в середині 1996 р. Через півтора року вийшла його друга версія, в якій була істотно підвищена продуктивність міжмережевого екрану, а також помітно розширені можливості кешування. Наступний варіант системи розроблявся більше трьох років і був представлений на ринку на початку 2001 р. під новою назвою Internet Security and Acceleration Server 2000, що повинно було відобразити якісні зміни в продукті (як по функціоналу, так і по масштабованості рішення).

Саме з появою ISA 2000 аналітики стали регулярно включати продукт Microsoft у свої огляди корпоративних брандмауерів, хоча в число лідерів він найчастіше не входив. Судячи з усього, випуск ISA 2004 означає для Microsoft новий етап розвитку засобів забезпечення інформаційної безпеки, і з його допомогою корпорація має намір поліпшити свої позиції в даному сегменті ринку.

У Microsoft ISA 2004 з’явилося багато нововведень, які ми розглянемо нижче. А зараз відзначимо лише два найбільш істотні моменти. По-перше, в ISA 2004 повністю перероблена внутрішня архітектура, що дозволило не просто підвищити продуктивність, але й забезпечити підтримку декількох мереж одночасно і віртуальних приватних мереж (Virtual Private Network, VPN), що дозволяє застосовувати сервер в якості міжмережевого екрану на периметрі корпоративної мережі або міжмережевого екрану підрозділи без зміни архітектури мережі. По-друге, реалізований новий інтерфейс користувача, який за рахунок розширених засобів адміністрування забезпечує єдине управління мережею VPN і фаєрволом за допомогою зручного засобу редагування політик.

Нижче ми розглянемо основні функції ISA 2004 з точки зору його застосування: міжмережевий екран, Web-кешування, інструменти управління і засоби розширення. Крім того, в таблиці наведено короткий перелік технологічних функцій сервера із зазначенням ступеня їх новизни.


Основні функції Microsoft ISA Server 2004 (випуск Standard Edition)































































































































Можливості  Опис 
Підтримка декількох мереж 
Н Конфігурація з підтримкою декількох мереж Перевірка потоку даних між певними мережами. Можна налаштувати одну або декілька мереж, визначити взаємовідносини між ними і політики доступу для кожної мережі
Н Особливі політики для кожної з мереж Допомагає захистити мережу від внутрішніх і зовнішніх загроз, обмежуючи обмін даними між клієнтами – навіть в межах однієї організації
Н Динамічна перевірка всього потоку даних Перевірка всіх даних, що проходять через міжмережевий екран, незалежно від їхнього джерела та одержувача, в контексті їх протоколу та стану підключення
Н Маршрутизація і перетворення мережевих адрес (NAT) Визначає відносини між мережами залежно від дозволеного типу доступу та обміну даними між ними
Н Мережеві шаблони Включає п’ять мережевих шаблонів, які відповідають загальним мережевим топологій. У разі використання одного з шаблонів для налаштування політики брандмауера ISA Server автоматично створить необхідні правила і мережеві відносини
Віртуальні приватні мережі 
У Управління VPN Вбудована підтримка можливостей VPN на основі служби маршрутизації та віддаленого доступу Windows Server 2003. ISA Server 2004 може призначати IP-адреси підключаються до мережі клієнтам VPN і застосовувати політику до всього віддаленого потоку даних
Н Політики безпеки і динамічна перевірка для VPN Дозволяє настроювати клієнти VPN в якості окремої мережі і створювати особливі політики доступу для кожного клієнта VPN. Механізм обробки правил використовує політику доступу для перевірки запитів від клієнтів VPN, динамічної перевірки цих запитів і динамічного створення та розриву з’єднань між клієнтами VPN та мережі
Н Інтеграція з рішеннями VPN сторонніх виробників Підтримка протоколу IPSec означає, що ISA Server 2004 може бути вбудований в середовища з інфраструктурами VPN від інших виробників, включаючи ті, де використовуються конфігурації з тунельним режимом IPSec для підключень типу «вузол-вузол»
Інфраструктура безпеки 
У Фільтрація додатків Різноманітні нові можливості фільтрації додатків і сценаріїв публікації для серверів. Одна з нових можливостей, вдосконалена фільтрація HTTP, спеціально призначена для сервера Exchange Server, служб Outlook Web Access і Internet Information Services
Н Розширена підтримка протоколів Можна використовувати десятки стандартних протоколів для інтеграції ISA Server 2004 з основними Інтернет-додатками. ISA Server 2004 дозволяє управляти доступом до будь-якого протоколу, включаючи протоколи IP-рівня і потік даних IPSec
У Механізми перевірки автентичності За допомогою стандартних типів перевірки автентичності або просторів імен Windows, RADIUS або RSA SecurID можна встановлювати особу користувача, застосовуючи правила до користувачів або груп користувачів в будь-якому просторі імен
У Спрощена модель політик ISA Server 2004 тепер використовує єдиний механізм обробки упорядкованих правил, що забезпечує докладні механізми для управління потоком даних і застосування політик. За допомогою механізму обробки правил адміністратори можуть керувати доступом до мереж та Інтернету на основі імен користувачів, груп, додатків, адрес, розклади і типу переданих даних
  Динамічна фільтрація пакетів ISA Server 2004 скорочує ризик зовнішніх атак, відкриваючи порти тільки в тих випадках, коли це необхідно
У Інтелектуальні фільтри додатків Інформаційні фільтри, що блокують тільки певні типи даних, дозволяють контролювати потік даних окремих додатків, наприклад, мультимедіа-потоки і електронну пошту
У Вдосконалений клієнтський міжмережевий екран Клієнтська програма міжмережевого екрану дозволяє інтегрувати перевірку справжності, автоматичну настройку Web-проксі і безпеку на основі ролей за допомогою групових політик. До ключових удосконаленням відносяться поліпшене взаємодія складних протоколів, підтримка багатокористувацьких облікових записів і обмін інформацією з застосуванням шифрування
  Прозорість для всіх клієнтів ISA Server сумісний з клієнтами і серверами додатків на всіх платформах, включаючи клієнтів NAT і SecureNAT, причому не потрібно ніякого спеціального клієнтського ПЗ
У Публікація ISA Server 2004 дозволяє розміщувати сервери за фаєрволом як в корпоративній, так і в зовнішній мережі, і безпечно публікувати служби в Інтернеті
  Перетворення посилань Функція перетворення служить для перетворення внутрішніх посилань у лінки, доступні ззовні
Кеш 
У Правила кешування Централізований механізм для встановлення правил кешування дозволяє настроювати правила вилучення і подачі об’єктів, які зберігаються в кеші
  Ефективний розподіл вмісту Можна скоротити час відгуку і витрати на забезпечення пропускної здатності, розподіляючи дані Web-сайтів та бізнес-додатків між серверами і розташовуючи кеш з Web-контентом ближче до користувачів
  Високопродуктивний Web-кеш Web-кешування забезпечує більш високу швидкість доступу користувачів до контенту і знижує навантаження на мережу
  Інтелектуальне кешування Активне кешування постійно використовуваних об’єктів гарантує їх регулярне оновлення для кожного користувача. Існує можливість попереднього завантаження у кеш цілих Web-сайтів за певним розкладом
Управління 
У Управління Нові функції управління спрощують організацію безпеки мереж. З’явилися також нові елементи інтерфейсу користувача, наприклад, панелі завдань, панелі довідкової інформації і новий варіант редактора політик міжмережевого екрану з можливістю перетягування об’єктів
Н Експорт та імпорт Можливість експорту та імпорту даних конфігурації між комп’ютерами з ISA Server в форматі XML дозволяє легко виконати реплікацію конфігурації брандмауера у разі розгортання декількох вузлів
Н Інструментальна панель Єдине місце для представлення всього зведеної ключової інформації результатів спостереження. При наявності проблем легко перейти до вікна більш докладної інформації результатів спостереження
Н Засіб перегляду журналу Засіб перегляду журналу дозволяє відображати журнали брандмауера в реальному часі – в оперативному режимі надходження інформації або в режимі перегляду історії. За допомогою фільтрів можна знайти певні записи в полях журналу
У Вбудовані звіти Можливість створення за розкладом стандартних звітів про використання мережі та програм, моделях передачі даних в мережі і безпеки
Примітка: Н – новинка; У – покращено

Міжмережевий екран підприємства


Багаторівневий міжмережевий екран. Для досягнення максимального рівня безпеки мереж підприємств використовується фільтрація пакетів, фільтрація каналів і фільтрація потоку даних додатків.

Динамічна фільтрація пакетів виявляє пакети, які будуть пропущені в захищені області мережі, а також до проксі-службам прикладного рівня. При цьому в міру необхідності автоматично виконується відкриття (а по завершенні сеансу зв’язку – закриття) відповідних портів.

Фільтрація каналів забезпечує прозорий для додатків шлюз для міжплатформного доступу до telnet, RealAudio, Windows Media, IRC (Internet Relay Chat), а також до багатьох інших протоколах і службам Інтернету. На відміну від інших міжмережевих екранів, фільтрація каналів в ISA Server 2004 працює спільно з динамічною фільтрацією пакетів, що спрощує її використання і підвищує загальну безпеку роботи мережі.

Фільтрація і динамічна перевірка даних додатків здатна розпізнавати команди протоколів (наприклад, НТТР, FTP і Gopher), що надходять від клієнтських комп’ютерів. Сервер ISA Server імперсонірует у внутрішній мережі клієнтські комп’ютери, приховуючи від зовнішнього середовища внутрішню топологію мережі та IP-адреси підприємства.

Динамічна перевірка даних додатків. ISA Server 2004 динамічно проводить інтелектуальну перевірку на рівні додатків потоку даних, що проходить через міжмережевий екран. Щоб уникнути можливих розривів підключення або порушення системи безпеки це робиться з урахуванням контексту даних програми та стану підключення.

Інтелектуальна фільтрація даних додатків. Крім базової фільтрації даних, сервер ISA Server 2004 контролює потік даних додатків, розпізнаючи в ньому дані і команди за допомогою спеціальних фільтрів. Засоби інтелектуальної фільтрації дозволяють на основі аналізу змісту потоку даних пропускати, блокувати, перенаправляти або змінювати дані протоколів HTTP, FTP, SMTP, POP3, DNS, даних конференцій по протоколу H.323, потокового мультимедіа, віддаленого виклику процедур і VPN.

Безпечна публікація. Механізм безпечної публікації серверів дозволяє захистити від зовнішніх атак в Інтернеті Web-сервери, поштові сервери і програми електронної торгівлі. ISA Server здатний видавати себе за опублікований сервер, реалізуючи додатковий рівень захисту. Для захисту внутрішніх серверів в правилах Web-публікації можна визначити доступні комп’ютери, а правила публікації засобів управління сервером захищають внутрішні сервери від незаконного доступу з боку зовнішніх користувачів. Крім того, опубліковані сервери захищені від атак ззовні за допомогою інтелектуальної фільтрації даних додатків.

Виявлення вторгнень. Інтегрований компонент виявлення вторгнень (розроблений на основі технології компанії Internet Security Systems) повідомляє користувачів та вживає необхідні дії у разі виявлення спроби незаконного проникнення в мережу (наприклад, сканування портів, використання коштів WinNuke або Ping of Death).

Вбудована підтримка VPN. Для надання стандартного безпечного віддаленого доступу використовуються вбудовані служби віртуальних приватних мереж Windows 2000 і Windows Server 2003. ISA Server 2004 підтримує безпечні VPN-підключення філій або віддалених користувачів до основного офісу. Політика міжмережевого екрану застосовується до VPN-підключень і дозволяє точно контролювати ті протоколи і ресурси, до яких отримують доступ користувачі таких підключень.

Прозорість міжмережевого екрану. Механізм SecureNAT шляхом заміни внутрішнього IP-адреси на зовнішній надає прозорий доступ до міжмережевого екрану і захист для всіх IP-клієнтів (незалежно від конфігурації клієнта і не вимагаючи спеціального ПО). Складні фільтри прикладного рівня, які служать для управління підключенням, надають комплексну підтримку клієнтам SecureNAT.

Перевірка автентичності користувачів. Для клієнтів Web-проксі і міжмережевого екрану ISA Server 2004 підтримує аутентифікацію Windows (NTLM і Kerberos). Для клієнтів Web-проксі підтримуються клієнтські сертифікати, вибіркова, базова, анонімна перевірка справжності, а також перевірка достовірності на основі форм. Перевірка автентичності користувачів може проводитися за даними локальної бази даних на межсетевом екрані, Active Directory або за допомогою служби RADIUS.

Міст SSL-SSL. Для серверів, що використовують доступ тільки по зашифрованих і перевіреним каналам, ISA Server 2004 підтримує механізм фільтрації моста SSL-SSL. На відміну від більшості міжмережевих екранів, в ISA Server 2004 зашифровані дані можуть бути перевірені до потрапляння на сервер. Міжмережевий екран розшифровує потік SSL, проводить динамічну перевірку, а потім повторно шифрує і пересилає дані опублікованого Web-сервера.

Сервер Web-кешування


Високопродуктивне Web-кешування. Підвищено продуктивність Web-кешування для внутрішніх клієнтів, які отримують доступ до серверів Інтернету, а також зовнішніх користувачів Інтернету, які підключаються до Web-серверу підприємства. Для досягнення максимальної продуктивності ISA Server 2004 використовує швидке кешування в оперативній пам’яті і оптимізований дисковий кеш.

Інтелектуальне кешування. Завдяки активному кешуванню часто використовуваних об’єктів користувач отримує Web-контент останньої версії. ISA Server 2004 автоматично визначає часто використовувані Web-сайти, а також необхідну частоту оновлення їх змісту (на підставі тривалості перебування об’єкта в кеші або часу останнього вилучення об’єкта). У періоди низького споживання мережевих ресурсів ISA Server 2004 без втручання диспетчера мережі попередньо завантажує Web-контент в кеш. Крім того, Web-кеш ISA Server 2004 можна використовувати для попереднього завантаження автономного контенту, яке зберігається на компакт- або DVD-дисках.

Кешування за графіком. Існує можливість попереднього завантаження у кеш цілих Web-сайтів за певним графіком. За рахунок цього можна надати користувачам на підприємстві доступ до контенту на автономних Web-серверах.

Управління міжмережевим екраном


Управління доступом за допомогою політик. Організація може контролювати вхідний та вихідний доступ по користувачам, групам, додатків, джерел і місць призначення, щодо зміни контенту, а також за розкладом. За допомогою майстрів політик міжмережевого екрану задаються доступні Web-сайти і контент, доступність певного протоколу для установки вхідних і вихідних підключень, а також дозволи на установку підключень між певними IP-адресами за допомогою заданих протоколів і портів.

Спрощене управління. У ISA Server 2004 конфігурацію брандмауера можна цілком скопіювати в файл XML. Потім такий файл переноситься на змінний носій або відправляється в складі безпечного поштового повідомлення адміністратору іншого міжмережевого екрану, щоб забезпечити стандартну конфігурацію в рамках всієї організації. Крім того, можна скопіювати в файл XML, а потім імпортувати і окремі елементи конфігурації.

Інтеграція з Active Directory. Міжмережевий екран ISA Server 2004 для перевірки справжності вхідних і вихідних підключень використовує базу даних користувачів Active Directory.

Графічні панелі задач і майстри конфігурації. Ці кошти спрощують навігацію і налаштування стандартних завдань. Так, за допомогою майстра можна опублікувати сервер Exchange в мережі під захистом комп’ютера ISA Server 2004, налаштувати міжмережевий екран на виконання функцій сервера або шлюзу VPN або створити нове правило міжмережевого екрану (рис. 1).







Fig.1 
Рис. 1. Управління конфігурацією сервера.


Віддалене управління. Керувати роботою ISA Server 2004 можна у віддаленому режимі з допомогою оснастки MMC, служб терміналів Windows 2000 і віддаленого робочого стола Windows Server 2003. Для віддаленого управління міжмережевим екраном на комп’ютері Windows Server 2003 може використовуватися безпечне тунелювання SSL / RDP. Крім того, віддалене управління службами ISA Server 2004 можливо за допомогою сценаріїв, що запускаються з командного рядка.

Журнали, звіти та оповіщення. У стандартних форматах (текстові файли з символами-роздільниками, бази даних SQL і MSDE) створюються докладні журнали безпеки і доступу. Крім того, є можливість створювати за певним графіком стандартні звіти про використання мережі та програм, моделях потоку мережевих даних і безпеки з автоматичної публікацією в локальній папці або на віддаленому загальному ресурсі. Сповіщення на основі подій служать для відправки повідомлень адміністратору, запуску і зупинки служб міжмережевого екрану, а також автоматичного виконання дій на підставі заданих критеріїв.

Управління на рівні користувача. Існує можливість обмежити доступ клієнтів міжмережевого екрану і Web-проксі ISA Server 2004 для кожного окремого користувача (а не просто по IP-адресами), що дозволяє більш точно контролювати вхідний і вихідний доступ по всіх протоколах.

Розширювана платформа


ISA Server 2004 підтримує багато протоколів Інтернету, в тому числі HTTP / SSL, FTP, RDP, telnet, RealAudio і RealVideo, IRC, H.323, потокове мультимедіа Windows, поштові та новинні протоколи.

Незалежні розробники пропонують програми (наприклад, антивірусне ПЗ, засоби управління, фільтрації вмісту та складання звітів), призначені для використання з ISA Server, з урахуванням особливостей продукту. Так, існують фільтри сторонніх розробників, за допомогою яких можна запобігти завантаження в захищену мережу підприємства останніх версій вірусів, сценаріїв Java і елементів управління ActiveX.

До складу ISA Server 2004 включені докладні файли довідки Software Development Kit з розробки засобів на основі функцій міжмережевого екрану, кешування і управління продуктом, а також повна документація API та приклади створення додаткових Web-фільтрів і фільтрів додатків, оснасток ММС, засобів складання звітів, сценаріїв, оповіщень і т. д.

Сценарії застосування Microsoft ISA Server 2004


У ISA Server 2004 реалізована функціональність, здатна забезпечити безпеку, продуктивність, керованість і економічну ефективність роботи мереж в організаціях будь-якого розміру. Нижче ми розглянемо кілька основних сценаріїв розгортання сервера.

Надання доступу до електронної пошти співробітникам за межами мережі. Інтерфейс ISA Server 2004 дозволяє швидко встановити захист сервера Exchange в Інтернеті (рис. 2). Щоб прискорити розгортання і знизити ризик створення помилкової конфігурації, виконання стандартних завдань автоматизується за допомогою майстра Web-публікації поштового сервера.

Крім того, ISA Server 2004 запобігає можливим атаки на поштові сервери. Команди, які спрямовані на використання можливих вразливостей або розкриття надлишкової інформації, блокуються. В системі передбачена можливість попередньої перевірки автентичності користувачів, що дозволяє блокувати потенційно небезпечні анонімні запити до їх попадання на сервер Exchange.






  Рис. 8. Швидкий доступ до часто використовуваному Web-контенту.


***


Сервер ISA Server 2004, компонент системи Microsoft Windows Server System – надійне, просте і економічно вигідне рішення, що допомагає ІТ-фахівцям боротися з виникаючими загрозами безпеці. В Нині ISA 2004 представлений випуском Standard Edition. В кінці поточного року очікується вихід варіанту Enterprise Edition, в якому будуть розширені можливості управління розподіленим комплексом серверів для створення маштабіруємостью рішень корпоративного рівня.


* Стаття підготовлена ​​за матеріалами корпорації Microsoft.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*