Monday, November 20th, 2017

ISA Server 2006: Установка ISA 2006 Enterprise Edition (beta) в настройками Unihomed Workgroup – Работа после установки, Часть 4

Published on Февраль 12, 2009 by   ·   Комментариев нет

Это заключительная часть статьи о работах после установки unihomed ISA-сервера в режиме web-прокси.

Если вы хотите прочесть предыдущие части статьи, воспользуйтесь ссылками:

Установка настроек аннулирования сертификатов

ISA-сервер можно настроить так, что он будет проверять входящие сертификаты на наличие их в списке отзыва сертификатов. Вы можете использовать следующие альтернативы:

  • Проверить, является ли данных входящий клиентский сертификат отозванным – Я считаю, что термин «клиентский сертификат» является неудачным, поскольку он лишен некоторой точности. Я имею в виду, что следует использовать термины, которые несут точное и ясное значение и помогают различать похожие термины. Знаете ли вы, что такое клиентский сертификат? Если бы существовал объект, называемый «клиентский сертификат», то его можно было бы запросить у одного из серверов сертификатов. Но, к сожалению, вы не можете этого сделать, поскольку на сервере сертификатов нет такой вещи, как клиентский сертификат. Термин «клиентский сертификат» — это неправильное употребление названия для пользовательского сертификата. Если вы включите эту функцию, то ISA-сервер будет проверять списки отзыва сертификатов для проверки, является ли данный пользовательский сертификат отозванным. Обратите внимание, что эта возможность применяется только при включенной на web-приемнике ISA-сервера для правил web-публикации аутентификации с помощью пользовательских сертификатов.
  • Проверить, не отозван ли входящий сертификат сервера предыдущим сценарием – Эта функция применяется, если ISA-сервер в режиме web-прокси создает безопасные соединения с предыдущим ISA- или web-сервером. В случае наличия предыдущего web-сервера, ISA-сервер может создать HTTP-SSL сопряжение, по которому клиент, находящийся за последующим ISA-сервером, будет посылать запросы через HTTP, а последующий ISA-сервер переадресует эти запросы на предыдущий ISA-сервер с помощью HTTPS (безопасный HTTP). Обратите внимание, что SSL используется только для соединений web-прокси. Затем начальный HTTP-запрос переадресуется предыдущим ISA-сервером на сервер назначения как HTTP-запрос соединения.
  • Проверить, не отозван ли входящий сертификат сервера обратным сценарием – Эта установка применяется при публикации web-сайтов на ISA-сервере. Когда ISA-сервер создает вторую SSL-сессию (между самим сервером и опубликованным web-сайтом в корпоративной сети), он проверяет список отзыва сертификатов на наличие в нем сертификата опубликованного web-сайта.

    Как настроить isa server 2006?

    Рисунок 1

Установки по умолчанию хороши. Однако, если вы хотите гарантировать, что с опубликованным web-сервером, который использует отозванный сертификат, не будет никаких соединений, следует включить последнюю опцию на представленном выше диалоговом окне.

Указание предпочтений Diffserv

Diffserv – это способ предоставления качества обслуживания (QoS) для пакетов, проходящих по сети. Diffserv — это сокращение от Differentiated Services (Дифференциальное обслуживание). Diffserv использует биты в заголовке IP для обозначения различного уровня обслуживания, т.е. Diffserv отмечает пакеты различными уровнями приоритета. Пакеты с наивысшим приоритетом управляются сетевыми устройствами с поддержкой Diffserv (маршрутизаторы и коммуникаторы) в первую очередь, а пакеты с низким уровнем приоритета ставятся в очередь на время, определенное алгоритмом, который встроен в сетевое устройство производителем.

Установка Diffserv производится в узле General (Общие) под узлом Configuration (Настройки) в левой панели консоли управления ISA-сервера. Щелкните по ссылке Specify Diffserv Preferences (Указание предпочтений Diffserv) (Рисунок 2).

Isa server 2006

Рисунок 2

Я не буду углубляться в настройки Diffserv, поскольку это сложная тема, которая требует понимания того, как ISA-сервер управляет битами Diffsrv, и как ваша конфигурация сети настроена на поддержку Diffserv. Если вы никогда прежде не слышали о Diffserv, лучше пропустить данную настройку. Если вы слышали о Diffserv и знаете, что ваша сеть поддерживает уровни обслуживания Diffserv, вы можете использовать эту функцию. Учтите, что биты Diffserv добавляются только к соединениям HTTP и ни к какому другому протоколу. Это хорошо для нашего unihomed ISA-сервера в режиме web-прокси, но, надеюсь, в будущем появится поддержка QoS и для других протоколов (включая VoIP).

Дополнительную информацию о Diffserv смотрите здесь: http://www.rhyshaden.com/qos.htm

Определение серверов LDAP и RADIUS

ISA-сервер поддерживает различные механизмы аутентификации. Среди них:

  • Встроенная аутентификация – Встроенная аутентификация доступна в том случае, если ISA-сервер является членом домена. В этом случае вы можете получить все преимущества от всех протоколов аутентификации, поддерживаемых в Active Directory. ISA-сервер напрямую соединяется с контроллерами домена для аутентификации пользователей. Этот вариант предоставляет наивысший уровень поддержки аутентификации для всех протоколов и сценариев доступа
  • Аутентификация RADIUS – Аутентификация RADIUS требует наличия в вашей сети одного или нескольких серверов RADIUS. ISA-сервер переадресует учетные данные пользователя в текстовом виде на сервер RADIUS, который затем переадресует их на сервер аутентификации Active Directory. Поддержка аутентификации RADIUS используется только для запросов, обрабатываемых фильтром web-прокси, включая прямые и обратные (web-публикация) сценарии. При использовании аутентификации RADIUS появляются значительные расходы на производительность и администрирование
  • Аутентификация LDAP – Это новая возможность в ISA Server 2006. Теперь вы можете настроить ISA-сервер, который не является членом домена, на использование LDAP-запросов к контроллеру домена. Это позволит получить, в отличие от аутентификации RADIUS, преимущества пользователей и групп Active Directory (при аутентификации RADIUS пользователи и группы Active Directory не используются).

На следующих рисунках показано, как настроить сервера RADIUS и LDAP. Настройку этих серверов следует проводить до создания правил доступа, поскольку в настоящее время (в версии Beta 1), вы не можете создавать серверы «на лету» при создании правила доступа или правила публикации.

Для доступа к настройке серверов RADIUS и LDAP щелкните по узлу General (Общие), расположенному под узлом Configuration (Настройки) в левой панели консоли управления ISA-сервером. В средней панели щелкните по ссылке Define LDAP and RADIUS Servers (Определить сервера RADIUS и LDAP).

Isa 2006

Рисунок 3

Isa server 2006

Рисунок 4

Настройка обнаружения проникновения и DNS-атак

В ISA-сервер встроена система обнаружения и предупреждения проникновения (IDS/IPS) на сетевом уровне и уровне DNS-атак. Для вызова интерфейса настройки этой системы щелкните по узлу General (Общие), расположенному под узлом Configuration (Настройки) в левой панели консоли управления ISA-сервера. В средней панели щелкните по ссылке Enable Intrusion Detection and DNS Attack Detection (Включить обнаружение проникновения и DNS-атак).

По умолчанию опция Enable intrusion detection (Включить обнаружение проникновения) включена, и активировано обнаружение всех атак, кроме сканирования портов. Я настоятельно рекомендую не включать определение сканирования портов, если только у вас нет собственного аналитика сетевых вторжений, который понимает природу сканирования портов и будет предпринимать шаги для выяснения таких событий. Если у вас нет такого человека, единственное, что вы приобретете, включив обнаружение сканирования портов, так это постоянное беспокойство по поводу базы заказчика, и никакой более высокий уровень безопасности не будет достигнут.

Isa 2006

Рисунок 5

Помимо этого, ISA-сервер может определять основные атаки, связанные с DNS. Обнаружение DNS-атак включено по умолчанию, и автоматически выбраны атаки DNS host name overflow (Переполнение хост-имен DNS) и DNS length overflow (Переполнение длины DNS). Атака DNS zone transfer (Перенос зон DNS) по умолчанию не выбрана. Если вы не хотите разрешать перенос зон с опубликованных вами DNS-серверов, включите эту опцию. Если вы хотите получать предупреждения о таких атаках, не забудьте настроить предупреждения для DNS-атак.

Isa server 2006 íàñòðîéêà

Рисунок 6

Определение предпочтений

IP Предпочтения IP в ISA-сервере включают в себя большой набор опций, направленных на настройку поддержки соединений на IP-уровне. Для вызова интерфейса настройки предпочтений IP щелкните по узлу General (Общие), расположенному под узлом Configuration (Настройки) в левой панели консоли управления ISA-сервера.

В диалоговом окне IP Preferences (Предпочтения IP) выберите вкладку IP Options (Опции). Опция Enable IP options filtering (Включить IP-функцию фильтрации) включена по умолчанию, и автоматически включена функция Deny packets with the selected IP options (Отклонять пакеты с выбранными опциями), в которой ISA-сервером указаны несколько функций для блокирования. Не изменяйте настройки по умолчанию, если у вас нет на то достаточных оснований.

Isa server 2006

Рисунок 7

Выберите вкладку IP Fragments (IP-фрагменты). По умолчанию опция Block IP fragments (Блокировать IP-фрагменты) отключена. Причина в том, что блокирование IP-фрагментов от прохождения их через ISA-сервер может повлиять на L2TP/IPSec-соединения, а также неблагоприятно отразиться на производительности и надежности потоковых данных.

Для unihomed ISA-сервера, работающего в режиме web-прокси, L2TP/IPSec VPN –соединения не являются проблемой, поскольку ISA-серверы в режиме web-прокси не поддерживают VPN-соединения. Потоковые данные поверх HTTP могут быть меньше подвержены фрагментации, чем потоковые данные поверх их встроенных протоколов, поэтому можно включить эту опцию для unihomed ISA-сервера, работающего в режиме web-прокси, но в случае возникновения проблем с потоковыми данными, их придется решать.

При включении блокирования IP-фрагментов вы увидите предупреждение Enabling this option may result in the blocking of protocols that use large packets. For example, VPN connections that are based on L2TP or IPSec, and request for RADIUS authentication requiring certificates, may also be blocked (Включение данной опции может блокировать работу протоколов, которые используют большие пакеты. Например, VPN-соединения, основанные на L2TP или IPSec. Запросы на сертификаты аутентификации RADIUS также могут быть блокированы). Это повторяет то, о чем я говорил выше. Блокирование IP-фрагментов может отразиться на EAP-соединениях с сервером RADIUS. Однако, поскольку в основном это проблема связана с VPN-аутентификацией, основанной на EAP, у вас не должно быть проблем при использовании ISA-сервера в режиме web-прокси.

Isa server

Рисунок 8

Вкладка IP Routing (IP-маршрутизация), наверное, одна из самых непонятных функций из всего набора настроек ISA-сервера. Она совсем не связана с тем, что вы предполагаете под IP-маршрутизацией. Она связана с соединениями по сложным протоколам, управляемых ISA-сервером.

Например, если вы устанавливаете FTP-соединение в активном режиме, соединение данных от FTP-сервера к ISA-серверу представляет собой вторичное соединение, установленное FTP-сервером к ISA-серверу. Такая сессия может быть запущена в пользовательском режиме или в режиме ядра. При включении IP-маршрутизации, производительность вторичного соединения гораздо выше.

Обратной стороной включения IP-маршрутизации на ISA-сервере является то, что вы не сможете использовать IPSec между клиентами web-прокси и ISA-сервером.

Isa server 2006

Рисунок 9

Настройка установок уменьшения переполнения

Поскольку огромное количество улучшений ISA Server 2006 напрямую связаны с фильтром web-прокси, вы обязательно должны познакомиться с одним из обновлений, связанным с брандмауэром. Это улучшенная функция уменьшения переполнения, которая позволяет настраивать работу ISA-сервера при наличии в сети червя или подобных атак переполнения.

ISA-сервер позволяет настроить защиту на основе следующих установок:

  • TCP connect requests per minute, per IP address (Запросов на TCP-соединение в минуту, на IP-адрес) – Уменьшает развитие червя, если зараженный узел сканирует сеть на наличие уязвимых узлов. Также уменьшает атаку переполнения, которая происходит в случае, если злоумышленник посылает большое количество TCP-сообщений
  • TCP concurrent connections per IP address (Конкурирующих TCP-соединений на IP-адрес) – Уменьшает TCP-атаки переполнения, которые случаются в случае, если узла устанавливает с ISA-сервером большое количество TCP-соединений или если атакованные серверы находятся за ISA-сервером
  • TCP half-open connections (Полуоткрытые TCP-соединения) – Уменьшает SYN-атаки, при которых узел посылает большое количество TCP SYN-сообщений без завершения TCP-соединения. Обратите внимание, что по умолчанию предел автоматически высчитывается как половина предела, установленного для конкурирующих TCP-соединений на IP-адрес
  • HTTP requests per minute, per IP address (HTTP-запросов в минуту на IP-адрес) – Уменьшает HTTP DoS-атаки, при которых узел посылает большое количество HTTP-запросов к атакованным web-сайтам
  • Non-TCP new sessions per minute, per rule (Новые не-TCP-сессии в минуту на правило) – Уменьшает не-TCP DDoS-атаки, при которых большое количество ложных узлов атакуют сервер или уменьшают пропускную способность сети путем отсылки большого количества не-TCP пакетов
  • UDP concurrent sessions per IP address (Конкурирующих UDP-сессий на IP-адрес) – Уменьшает атаку переполнения UDP, при которой узел посылает на сервер, находящийся за ISA-сервером, большое количество UDP-сообщений
  • Set event trigger for denied packets (Установить запуск процедуры по событию для отклоненных пакетов) — Запускает процедуру, уведомляющую администратора ISA-сервера об IP-адресе, с которого посылается большое количество TCP и не-TCP пакетов, отклоняемых политиками ISA-сервера. Также уменьшает журналы и использование системных ресурсов, если в установках ISA-сервера указано, что трафик писать в журнал не нужно.

    Как установить предыдущие запросы?

    Рисунок 10

Начать работу можно с установками по умолчанию, но наверняка вам захочется создать исключения для некоторых серверов, таких как опубликованные Web-серверы и почтовые серверы. Внимательно изучайте предупреждения относительно этих установок уменьшения переполнения, а затем создавайте исключения на основе результатов ваших исследований.

На Рисунке 11 показана вкладка IP Exceptions (Исключения IP) и диалоговое окно Computer Sets (Компьютеры), которые появляются после нажатия на кнопку Add (Добавить). Тут вы можете выбрать существующий набор компьютеров, или создать свой набор, для которого будут применяться исключения из настроек уменьшения переполнения.

Isa server 2006

Рисунок 11

Резюме

Мы завершили описание пост-установочных работ для unihomed ISA-сервера в режиме web-прокси, единственного члена массива. Теперь мы можем рассмотреть более интересные задачи, такие как публикация серверов SharePoint Portal и web-служб Exchange с использованием новых возможностей ISA Server 2006. Увидимся!

www.isaserver.org


Смотрите также:

Tags: , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]