Использование 2006 ISA Firewall (RC) для публикации сайтов OWA – Сценарий с единственным сервером Exchange (Часть 1)

Новый брандмауэр ISA firewall включает в себя набор новых возможностей, которые отражают улучшения, касающиеся web публикаций (Web Publishing) в ISA 2004 firewall. Хотя при поверхностном взгляде у этих улучшений не хватает так называемого “wow” фактора, эти улучшения гораздо больше, чем прежде облегчают создание самых безопасных решений удаленного доступа (remote access) к web службам Exchange Web services на рынке на сегодняшний день.

Если вы хотите ознакомиться с продолжением статьи, то, пожалуйста, прочитайте: Использование брандмауэра ISA 2006 Firewall (RC) для публикации OWA сайтов – Сценарий с одним сервером Exchange Server (Часть 2).

Для демонстрации некоторых изменений, которые были включены в новый брандмауэр ISA firewall, мы рассмотрим, как опубликовать один back-end сервер Exchange, у которого нет front-end устройств (devices). В результате этого мы получаем единственную среду, которую вы можете использовать для тестирования нового брандмауэра ISA и опробовать предоставляемые им новые возможности для улучшения безопасности удаленного доступа (remote access) к службам Exchange Server Web services.

Ниже на рисунке показан пример тестовой сети.

Рисунок 1

Основные факты, касающиеся установки сети следующие:

• Все машины являются частью одного домена (domain). Это наилучшая практика для брандмауэра ISA, и поэтому мы будем придерживаться ее в нашем примере. Я знаю, что сразу могут появится жалобы от людей, которые занимаются поддержкой маршрутизаторов в сети, но эти люди не являются экспертами по безопасности. А мы являемся.
• Необходимо, чтобы на контролере домена (DC computer) были установлены Active Directory, DHCP, DNS, Certificate Services (службы по сертификации) и WINS. Не все из этих служб необходимы в нашем конкретном сценарии, но все они могут использоваться брандмауэром ISA в некоторых других сценариях. В этом конкретном сценарии будут использоваться только DHCP, DNS, Active Directory и корпоративные службы CA. WINS в основном используется для поддержки клиентских VPN соединений, когда компьютеры VPN клиентов не являются членами домена и не могут в квалифицировать неквалифицированные имена (unqualified names) правильно и в полном объеме
• Сертификат Web site certificate был сгенерирован для back-end сервера Exchange OWA Web сайта с помощью помощника Web Site Certificate Wizard, который включен в состав IIS для запросов сертификата от корпоративного online enterprise CA. Я не буду вдаваться в подробности здесь, т.к. я уже описывал это много раз ранее.
• Название сертификата для Web сайта, связанного с сайтом OWA — owa.msfirewall.org. Этот сертификат был экспортирован вместе с закрытым ключом (private key) в файл, а затем импортирован хранилище сертификатов (certificate store) на компьютере с брандмауэром ISA. Этот сертификат будет связан с Web приемником (listener), который мы создадим позднее в этой статье.
• Сертификат CA, выпущенный CA для сертификата Web сайта устанавливается на брандмауэре ISA. Это случится автоматически, если брандмауэр ISA firewall был сделан членом домена (domain member) до установки программного обеспечения ISA firewall software. Если брандмауэр ISA был сделан членом домена после того, как было установлено программное обеспечение ISA firewall software, то нам предстоит еще выполнить тогда некоторую нудную процедуру, чтобы мы могли извлечь пользу от автоматической регистрации сертификатов (certificate autoenrollment). Проще всего это сделать, вручную импортировав CA сертификат в хранилище Trusted Root Certificate Authorities machine certificate store на компьютере с брандмауэром ISA
• Раздельный (split) DNS для поддержки желаний пользователей по использованию одного имени для подключения к сайту OWA вне зависимости от расположения. Это значит, что пользователи смогут использовать одно и то же имя для подключения к брандмауэру ISA, когда они находятся в корпоративной сети (corporate network) или если они располагаются где-то вне офиса.

После того, как настроен DNS и установлены сертификаты, вы можете начинать публиковать ваш сервер OWA Server.

Для того чтобы создать правило публикации Web Publishing Rule, откройте консоль брандмауэра ISA, раскройте название массива (array name) и щелкните на узел Firewall Policy. Выберите закладку Tasks в окне Task Pane и нажмите на ссылку Publish Exchange Web Client Access.

На странице Welcome to the New Exchange Publishing Rule Wizard введите название для правила в текстовом поле Exchange Publishing rule name. В нашем примере мы назовем его OWA. Нажмите на кнопку Next.

Рисунок 2

На странице Select Services выберите параметр Exchange Server 2003 из выпадающего списка Exchange version. Появятся следующие параметры:

• Outlook Web Access
• Outlook RPC/HTTP(s)
• Outlook Mobile Access
• Exchange ActiveSync

В нашем сценарии мы будет публиковать только сайт OWA site, но нет причин, по которым вы бы не могли выбрать другие параметры. В следующей статье я сфокусируюсь на конфигурации брандмауэра ISA firewall для поддержки клиентов Windows Mobile clients. Выберите параметр Outlook Web Access и нажмите на кнопку Next.

На странице Publishing Type, у вас появятся два параметра:

• Publish a single Web site or load balancer (опубликовать один web сайт или сбалансировать нагрузку). Этот параметр позволяет вам опубликовать один сервер, который не является частью Web farm, или если у вас есть балансировщик нагрузки стронних производителей (third party load balancer) за брандмауэром ISA, то вы можете опубликовать адрес этого балансировщика загрузки (load balancer address). Если у вас несколько (farm) front-end серверов Exchange, я настоятельно рекомендую попробовать поддержку интегрированного Web Farm, который поставляется с новых брандмауэром ISA, т.к. в результате вы получите более высокую работоспособность и производительность, а также избавитесь от одного узкого аварийного места, которое представляют собой балансировщики нагрузки сторонних производителей.
• Publish a server farm of load balanced Web servers (опубликовать несколько сбалансированный web серверов). Этот параметр позволяет вам опубликовать Web farm (ферму) front-end серверов Exchange Servers с помощью встроенных возможностей по публикации Web Farm publishing capabilities брандмауэра ISA. Встроенные возможности по публикации (Web farm publishing feature) обеспечивают превосходную балансировку загрузки и мониторинг состояния (health monitoring).

В этом примере мы опубликуем один сервер Exchange Server, поэтому выберем настройку Publish a single Web site or load balancer и нажмем на кнопку Next.

На странице Server Connection Security у вас также появится две возможности:

• Use SSL to connect to the published Web server or server farm (Использовать SSL для подключения к серверу). Эта настройка говорит брандмауэру ISA использовать безопасное SSL соединение между ним и опубликованным Web сервером. Я настоятельно рекомендую, чтобы вы всегда использовали эту настройку, потому что ни одной сети нельзя доверять. Т.к. ни одной сети нельзя доверять, то вы должны гарантировать, что даже соединения происходящие внутри корпоративной сети должны быть зашифрованы, а эта настройка позволяет вам это гарантировать.
• Use non-secured connections to connect the published Web server or server farm (Использовать небезопасные соединения для подключения к опубликованному web серверу). Эта настройка сообщает брандмауэру ISA использовать небезопасную связь между ним и опубликованным Web сервером. Я настоятельно рекомендую не использовать эту настройку, т.к. при этом информация между брандмауэром ISA и опубликованным Web не будет шифроваться и поэтому к ней любой человек легко сможет получить доступ с помощью сетевого анализатора (network sniffer).

В этом примере мы используем наилучшие рекомендации для брандмауэра ISA firewall и поэтому будем использовать безопасное SSL соединение между брандмауэром ISA firewall и опубликованным Web сервером. Выберите настройку Use SSL to connect to the published Web server or server farm и нажмите на кнопку Next.

На странице Internal Publishing Details вы должны ввести информацию о Web сервере, который вы собираетесь опубликовать. В текстовом поле Internal site name введите общее (common/subject) название сертификата для Web сайта, который связан с OWA Web сайтом. Вы должны сделать это потому, что это необходимо для процесса соединения (CONNECT process) между внутренним интерфейсом брандмауэра ISA и опубликованным Web сервером. Неисполнение этих инструкций приведет к ошибке 500 Server Error.

Одно из главных улучшений, включенных в новый брандмауэр ISA firewall – это возможность указать название или IP адрес опубликованного Web сервера. В ISA 2004, название во вкладке To использовалось как для определения имени опубликованного сервера во внутренней сети, так и для определения имени, которое использовалось для соединения (CONNECT).

Это было проблематично, т.к. название сертификата для Web сайта, связанного с сайтом OWA, почти никогда не является реальным именем сервера (они и не должно). Из-за этого, вы должны установить раздельный (split) DNS (что вы должны сделать в любом случае) или создать запись в файле HOSTS на брандмауэре ISA, которое сопоставляет общее (common/subject) название сертификата OWA Web сайта IP адресу опубликованного Web сервера.

В новом сервере ISA Server 2006 firewall, вам не надо выполнять все эти трюки. Название, которое используется для соединения (CONNECT), вы вводите в текстовом поле Internal site name, а запрос на соединение посылается на IP адрес или по имени, которое вы задаете в текстовом поле Computer name or IP address после установки галочки в поле Use a computer name or IP address to connect to the published server. Это немного упрощает настройку, я все же настоятельно рекомендую использовать раздельную (split) DNS инфраструктуру для поддержки ваших пользователей, которые перемещаются между внутренней и внешней сетью со своими ноутбуками.

В этом примере общее (common/subject) название в сертификате Web сайта, связанного с OWA Web сайтом — owa.msfirewall.org, поэтому мы введем это название в текстовом поле Internal site name. IP адрес компьютера — 10.0.0.3, поэтому я введу это значение в текстовое поле Computer name or IP address. Обратите внимание, что если бы мы использовали аутентификацию с помощью сертификатов пользователей (User Certificate authentication) в нашем сценарии и ограниченную делегацию керберос (Kerberos Constrained Delegation), то мы должны были бы тогда вводить реальный FQDN внутреннего сервера Exchange.

Нажмите на кнопку Next.

На странице Public Name Details выберите настройку This domain name (type below) из выпадающего списка Accept request for. Вы должны всегда выбирать эту настройку, при публикации Web сайтов. Если вы выберите настройку Any domain name, то вы потенциально можете увеличить область действия хакеров, а этого, наверно, никто из вас не хочет.

В текстовом поле Public name введите общее (common/subject) название сертификата Web сайта, который будет связан с Web приемником (listener), который используется в этом правиле публикации Web Publishing Rule. В этом примере, мы свяжем сертификат Web сайта, который связали с самим OWA Web сайтом, поэтому мы будем использовать тоже самое (common/subject) название, что и для внутреннего Web сайта, который в нашем случае — owa.msfirewall.org.

Нажмите Next.

На странице Select Web Listener вы можете выбрать Web Listener, который вы уже создали или создайте новый. Т.к. мы еще не создавали Web Listener, то мы нажмем на кнопку New для создания нового Web слушателя (listener).

На странице Welcome to the New Web Listener Wizard, введите название Web приемника (Listener). В этом примере мы назовем Web Listener OWA SSL Listener а затем нажмем на кнопку Next.

На странице Client Connection Security а вас есть две настройки:

• Require SSL secured connections with clients (требовать безопасные SSL соединения с клиентами). Эта настройка сообщает брандмауэру ISA firewall, что вы хотите обязать внешних клиентов использовать безопасное SSL соединения при подключении к внешнему интерфейсу брандмауэру ISA firewall. Эту настройку вы должны выбирать практически во всех случаях, когда вы публикуете центральный OWA сервер для дополнительных офисов.
• Do not require SSL secured connections with clients (не требовать безопасные SSL соединения с клиентами). Эта настройка позволяет вам использовать небезопасные соединения между клиентом и внешним интерфейсом брандмауэра ISA. Никогда не используйте эту настройку, если только вы не используете методология, обсуждаемую в иной моей статье.

В этом примере мы используем наилучшие рекомендации для брандмауэра ISA firewall, поэтому мы выберем настройку Require SSL secured connections with clients и нажмем на кнопку Next.

На странице Web Listener IP Address вы выбираете, чтобы сети брандмауэра ISA (firewall Networks) и IP адреса, для которых вы хотите принимать входящие соединения. В нашем примере, мы хотим, чтобы и внешние и внутренние пользователи могли иметь доступ к сайту OWA. Для этого необходимо поставить галочки в полях External и Internal. Обратите внимание, что у нас уже есть настроенная раздельная (split) DNS инфраструктура, которая поддерживает использование одного и того же названия вне зависимости от расположения пользователей.

Если у вас есть несколько IP адресов, связанных с каким-либо интерфейсом брандмауэра ISA, ты вы должны нажать на кнопку Select IP Addresses и выбрать требуемый IP адрес, для которого вы хотите чтобы приемник разрешал входящие соединения. Это увеличивает количество ваших настроек, т.к. если вы настраиваете Web Listener на прослушивание всех IP адресов, то вы не можете создавать другие приемники, т.к. сокет SSL уже будет связан со всеми адресами.

В этом примере у нас есть только один IP адрес, связанный с каждым из интерфейсов, поэтому мы выберем External (внешнюю) и Internal (внутреннюю) сети и нажмем на кнопку Next.

На странице Listener SSL Certificates вы выбираете сертификаты, которые вы хотите связать с Web приемником. В нашем примере у нас есть только один сертификат. Однако, мы можем использовать этот приемник для публикации нескольких Web сайтов с использованием различных общих названий (common names) и связать все эти сертификаты с этим приемником. Это полезно для единой среды (sign-on environment), когда вы хотите разрешить пользователям OWA доступ к опубликованному сайту SharePoint Portal Server, не требуя входить заново.

Обратите внимание, что в сценарии, когда вы хотите связать несколько сертификатов с Web приемником, Web Listener должен слушать более чем по одному IP адресу, т.к. вы можете связать сертификат с одним IP адресом.

В этом примере нажмите на кнопку Select Certificate. В диалоговом окне Select Certificate вы можете увидеть список сертификатов, которые можно использовать в правиле публикации Web Publishing Rule. Это диалоговое окно также может предоставить вам информацию о сроке действия сертификата. Если вы поставите галочку в поле Show only valid certificates, то вы увидите только сертификаты, срок действия которых еще не истек для связи с вашим Web listener.

В нашем конкретном сценарии, мы выберем сертификат owa.msfirewall.org и нажмем на кнопку Select.

Рисунок 3

Нажмите на кнопку Next на странице Listener SSL Certificates.

На странице Authentication Settings у вас есть несколько настроек. Однако, вы всегда должны выбирать настройку HTML Form Authentication из выпадающего меню Select how clients will provide credentials to ISA Server при публикации OWA сайтов.

Обратите внимание на настройку Collect additional delegation credentials in the form. Вы должны подключить эту настройку при использовании аутентификации RADIUS OTP или RSA SecurID.

Список настроек Select how ISA Server will validate client credentials включает в себя:

• Windows (Active Directory) Используйте эту настройку, когда брандмауэр ISA является членом домена. Это самая безопасная и гибкая настройка
• LDAP (Active Directory) Используйте эту настройку, когда брандмауэр ISA не является членом домена (domain member), но вы хотите использовать группы Active Directory для контроля доступа (access control)
• RADIUS Используйте эту настройку, когда брандмауэр ISA не является членом домена (domain member), и вы не хотите использовать группы Active Directory (т.к. вы не сможете, если используете аутентификацию RADIUS). Это самая небезопасная настройка.
• RADIUS OTP Используется, если вы использует программное обеспечение RADIUS сторонних разработчиков.
• RSA SecurID Используется, если вы установили RSA SecurID решение двухфакторной аутентификации.

В этом примере, мы используем лучшие рекомендации для брандмауэра ISA, а брандмауэр ISA является членом домена (domain member), поэтому мы можем использовать безопасность и гибкость, которое предоставляет членство в домене. В этом случае, мы выберем настройку HTML Form Authentication и настройку Windows (Active Directory) и нажмем на кнопку Next.

Перед тем, как перейти к следующем шагу, вы, вероятно, хотите узнать более подробную информацию о доступных методах аутентификации (authentication methods) и о том, что вы можете с ними сделать. Метод аутентификации, который вы выбираете, определяет, какие типы методов делегации аутентификации доступны для вас. На рисунке ниже представлена эта информация. В следующей статье я подробнее расскажу об этой таблице и объясню, что в действительности означает эта информация для промышленной среды.

Рисунок 4

На странице Single Sign On Settings поставьте галочку в поле Enable SSO for Web site published with this Web listener. Эта настройка позволяет вам публиковать несколько Web сайтов, принадлежащих одному домену, и иметь одну точку входа для каждого из этих сайтов. В отличие от ISA 2004, где вы должны были заходить на каждый Web сайт отдельно, даже если они находятся в одном домене, если вы подключите SSO в ISA Server 2006, то после того, как пользователь зашел на Web с использованием соответствующего Web приемника, то все другие сайты, опубликованные для этого Web Listener, будут включены для SSO.

В этом примере мы не публикуем несколько Web сайтов. Однако, если бы мы делали это, то SSO домен был бы msfirewall.org. Поэтому мы поставим галочку в поле и .msfirewall.org в поле SSO domain name и нажмем на кнопку Next.

Нажмите на кнопку Finish на странице Completing the New Web Listener Wizard.

Нажмите на кнопку Next на странице Select Web Listener.

На странице Authentication Delegation выберите, как вы хотите передавать имя пользователя и пароль (credentials) на опубликованный Web сайт. Передача аутентификации (Authentication delegation) позволяет брандмауэру ISA firewall проводить предварительную аутентификацию пользователя перед передачей имени пользователя и пароля на Web сайт. Тип передачи, которую может осуществлять брандмауэр ISA, зависит от того, как пользователь проходит аутентификацию на брандмауэре ISA.

У вас есть следующие настройки, если на Web слушателе используется аутентификация, основанная на HTML формах (HTML form based authentication):

• No delegation, and client cannot authenticate directly Эта настройка позволяет вам брандмауэру ISA firewall проводить аутентификацию пользователя, но не передает имя пользователя и пароль на опубликованный Web сервер и не разрешает клиенту проходить аутентификацию на Web сервере, даже если Web сервер запрашивает аутентификацию. Используйте эту настройку, если вы только хотите, чтобы внешние клиенты проходили аутентификацию на брандмауэре ISA, а не на опубликованном Web сервер.
• No delegation, but the client may authenticate directly Эта настройка позволяет брандмауэру ISA firewall проводить аутентификацию пользователя, но брандмауэр ISA не будет передавать имя пользователя и пароль на Web сервер. Однако, в этом случае, если Web сервер запрашивает имя пользователя и пароль, то клиенту разрешается их ввести.
• Basic authentication Эта настройка разрешает клиенту проходить аутентификацию на брандмауэре ISA firewall, а затем брандмауэр ISA firewall передает имя пользователя и пароль для аутентификации на Web сервере. При использовании этого метода, убедитесь, что у вас всегда установлен SSL на SSL (SSL to SSL bridging), таким образом, чтобы имя пользователя и пароль не перехватывались в канале между внутренним интерфейсом ISA и опубликованным Web сервером.
• NTLM authentication Эта настройка позволяет клиенту проходить аутентификацию на брандмауэре ISA firewall, а затем передавать имя пользователя и пароль в качестве прав для NTLM на опубликованный Web сервер. Это более безопасная настройка, чем в случае с основной передачей (basic delegation), т.к. реальные имя пользователя и пароль не передаются по проводам между внутренним интерфейсом брандмауэра ISA и опубликованным Web сервером. Однако, это можно использовать лишь в ситуации, когда NTLM может быть использовано на Web сервер. В примере с OWA, в этот раз вы должны использовать основную аутентификацию (Basic authentication) для аутентификации в директории /Exchange. Это может изменится в будущем, но в настоящее время группа Exchange рассматривает использование NTLM как неподдерживаемую конфигурацию.
• Negotiate (Kerberos/NTLM) Эта настройка позволяет клиенту проходить аутентификацию на брандмауэре ISA firewall, а затем использовать аутентификацию Kerberos или NTLM на опубликованном Web сервере. Сценарии, для которых это применимо, аналогичны сценарию с передачей NTLM.
• Kerberos constrained delegation Эта настройка позволяет клиенту проходить аутентификацию на брандмауэре ISA firewall с использованием пользовательских сертификатов (User Certificate). После аутентификации с помощью пользовательского сертификата (User Certificate), имя пользователя и пароль передаются в качестве имени пользователя и пароля для Kerberos по отношению к брандмауэру ISA. Брандмауэр ISA должен быть настроен для доверительной передачи (trusted for delegation)

В нашем конкретном сценарии публикации Exchange 2003 OWA Web сайта, необходимо выбрать настройку Basic authentication (основная аутентификация). Причина для этого заключается в том, что разработчики Exchange официально поддерживает только основную аутентификацию (Basic authentication) для папки /Exchange. Это может измениться в будущем, но сейчас мы будем использовать основную аутентификацию (Basic delegation). Выберите настройку Basic authentication и нажмите на кнопку Next.

Рисунок 5

На странице User Sets вы можете принять настройку по умолчанию All Authenticated Users или можете создать специальные группы (custom groups), у которых будет доступ к OWA сайту. В этом примере мы выберем настройку по умолчанию, но если ваша компания хочет ограничить доступ для определенных пользователей, то вы можете использовать кнопку Add для выбора глобальных групп домена (domain Global Groups), или создать свои собственные специальные группы (custom ISA firewall Groups), если вы хотите создать специальные группы пользователей, которые не описаны в Active Directory.

Нажмите на кнопку Next.

Нажмите на кнопку Finish на странице Completing the New Exchange Publishing Rule Wizard.

Нажмите на кнопку Apply для сохранения изменений и обновления политик брандмауэра (firewall policy). Нажмите на кнопку OK в диалоговом окне Apply New Configuration.

Резюме

В этой первой части нашей статьи, посвященной публикации сайта OWA на одном сервере Exchange, мы рассказали о некоторых принципах, которые лежат в основе нашей публикации, а также о подробно рассказали о правиле публикации Web Publishing Rule. Во второй части 2 этой серии мы рассмотрим настройку правила публикации OWA Web Publishing Rule и то, как улучшить безопасность, благодаря настройке фильтра безопасности HTTP Security Filter для блокирования опасных соединений, которые могут проходить по зашифрованному SSL туннелю. До встречи!

www.isaserver.org

• Vpn сервер Windows 2008
• Развертывание vpn без домена
• Nat Windows 2003
• Ограничение времени выполнения хранимой процедуры oracle
• Уникальные шрифты

Tags: bandwidth, cache, dns, domain, Exchange, ISA Server, ldap, mac, monitoring, vpn