Monday, December 11th, 2017

Настраиваемый шлюз приложений Microsoft Intelligent Application Gateway 2007 (IAG 2007) (Часть 2)

Published on Февраль 11, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

В прошлый раз мы прошли краткий курс SSL VPN для понимания текущего состояния решений SSL VPN. Я решил, что вам лучше знать все это, поскольку если вы когда-нибудь пытались понять, что такое и что делает SSL VPN, ваши попытки могли не увенчаться успехом. Как вы, думаю, уже знаете, производители SSL VPN не слишком откровенны в отношении того, что они предлагают, надеясь навязать вам свое решение, прикрываясь шумихой вокруг SSL VPN. Особенно это верно в отношении производителей традиционных «аппаратных» маршрутизаторов и коммуникаторов, которые пытаются расширить свой рынок за счет областей, где у них нет ни опыта, ни знаний, но которые хотят улучшить свою репутацию на рынке.

На самом деле, такое положение вещей было верным и для продукта Whale, до того, как компания Microsoft приобрела Whale. Whale, также, как и другие игроки на рынке SSL VPN, не была нацелена на предоставление деталей своих решений. Почему? Скорее всего потому, что конкуренция на рынке SSL VPN была жесткой, так что продавцы старались сделать все, чтобы конкуренты не могли разобраться в решении и не смогли его скопировать.

Однако, поле покупки Whale компанией Microsoft все значительно изменилось. В отличие от производителей «аппаратных» SSL VPN, Microsoft хочет, чтобы вы знали детали ее решения. Microsoft хочет, чтобы вы знали все о IAG 2007 для того, чтобы вы могли принять обдуманное решение. Вам не нужно зависеть от профессионализма продавцов и надеяться, что те не «впарят» вам «что-то такое», что, как вы поймете в дальнейшем, является совсем не тем, на что вы рассчитывали. При покупке IAG 2007 вы получаете полную информацию, причем открытую, об этом решении и сможете протестировать его без необходимости контакта с продавцами для получения платной пробной версии.

Такая философия открытости решения IAG 2007 дает мне возможность написать статью о деталях работы IAG. В данной статье (которая, скорее всего, будет состоять из двух или трех частей) мы достаточно подробно рассмотрим IAG 2007 для сервера ISA 2006 Standard Edition. Мы рассмотрим основные возможности и увидим, как эти возможности используются для создания безопасного решения удаленного доступа в вашей организации.

В данной статье мы рассмотрим следующее

Варианты соединений:

  • Расширенная проверка обратного прокси на уровне приложений
  • Переадресация портов и сокетов
  • Сетевой коннектор

Доступ к файлам

Возможности безопасности:

  • ISA-сервер
  • Проверка вложений
  • Поддержка протоколов аутентификации
  • Положительная и отрицательная логика проверки web-приложений
  • Перевод адресов узлов
  • Безопасный выход и время неактивности

Дополнительные проверки совместимости клиента и доступ на основе политик

Методы соединений

При работе с IAG 2007 вы не ограничены одним типом соединения при связи клиентов с VPN-шлюзом IAG 2007. IAG 2007 Предоставляет вам несколько вариантов, так что вам нужно выбрать, какой тип соединения подходит для необходимого вам доступа к приложениям. В отличие от многих других решений SSL VPN вы не ограничены одним методом соединения.

IAG 2007 предоставляет три основных метода соединений:

  • Расширенная проверка обратного прокси на уровне приложений
  • Переадресация портов и сокетов
  • Сетевой коннектор

Расширенная проверка обратного прокси на уровне приложений

Расширенная проверка обратного прокси на уровне приложений, включенная в IAG 2007, похожа на правила web-публикации ISA-сервера. Однако, существуют серьезные различия между правилами web-публикации ISA-сервера и расширенной проверкой обратного прокси на уровне приложений IAG 2007. Отличия таковы:

Более высокий уровень проверки на уровне приложений

В ISA-сервер включен фильтр HTTP-безопасности. Однако, данный фильтр предоставляет минимальный уровень защиты, если только вы не настроите его на блокирование или разрешение особых методов и создадите подписи на отклонение.

Два основных ограничения фильтра HTTP-безопасности ISA-сервера:

  1. Созданные подписи являются подписями блокировки, вы не можете создать подписи «белого списка»
  2. Подписи основаны на простых строках, так что вы не сможете использовать стандартные выражения для выполнения сложных проверок адресов URL и данных.

В свою очередь, IAG 2007 поддерживает стандартные выражения (Regular Expressions — RegEx), а вы можете использовать правила разрешения и блокировки.

Положительная и отрицательная фильтрация

Фильтр HTTP-безопасности ISA-сервера требует от вас выполнения большого объема работы для обнаружения того, какие соединения идут к вашему опубликованному web-серверу. Даже после всех этих работ вам все равно нужно определить, что необходимо заблокировать для защиты от всех известных вредоносных программ, блуждающих по сети.

В свою очередь, IAG 2007 обладает встроенным механизмом проверки на уровне приложений для бизнес-приложений, которые вы захотите опубликовать. Разработчики IAG 2007 потратили не одну тысячу часов на то, чтобы распознать соединения бизнес-приложений и включить их в механизм фильтрации. Вам не нужно знать эту информацию самому: разработчики все сделали за вас.

В дополнение к «положительной логике» (при которой вы знаете только разрешенные соединения с вашим опубликованным web-сервером), в IAG 2007 включены и фильтры «отрицательной логики». Такие фильтры блокируют известные «плохие» соединения, которые выполняют вредоносные программы, уже находящиеся в сети. Конечным эффектом будет то, что известные «плохие» соединения будут блокироваться фильтром отрицательной логики, а фильтры положительной логики будут защищать вас от неизвестных атак.

Фильтры действуют не только для ключевых приложений Microsoft, которые вы можете опубликовать в сети, но и для многих популярных продуктов, произведенных не компанией Microsoft. Приложения Microsoft, для которых используется встроенный механизм проверки на уровне приложений, включают web-службы Exchange-сервера (OWA, OMA, ActiveSync и RPC/HTTP), службы SharePoint и Microsoft CRM. Помимо web-служб Microsoft данный механизм защищает и другие популярные приложения, например, SAP Enterprise Portal, Webtop Documentum, Domino Web access, SecureView и др. IAG 2007 разработан для защиты соединений удаленного доступа с гетерогенными предприятиями.

Ниже на рисунке представлен пример работы механизма проверки приложений и фильтра для опубликованного SharePoint-сервера.

Шлюз microsoft

Рисунок 1

Автоматическое создание портала

Одной из вещей, которую делают SSL VPN, а ISA-сервер не делает, является автоматическое создание сайта портала для пользователей для их соединения с опубликованными приложениями. При использовании правил web-публикации ISA-сервера пользователи должны запоминать URL, с которыми они соединяются, для каждого опубликованного web-сервера. Если вы публикуете несколько приложений, пользователям придется либо запоминать URL всех приложений, либо, если вы достаточно снисходительно относитесь к ним, вы можете сами создать страницу портала для помощи пользователям. Однако, это требует дополнительной работы, и если вы не являетесь web-программистом, не думаю, что вы захотите все это делать.

Ниже на рисунке показан пример портала, автоматически создаваемого IAG 2007. После создания портала вы прописываете опубликованные приложения на портале, и они появляются на странице портала. Хотя в данном разделе мы рассматриваем публикацию web-приложений (как пример функции обратного прокси IAG 2007), вы видите, что и не-web приложения можно включать в портал. Данный портал появляется только после регистрации пользователя.

Если шлюз не идет переадресация

Рисунок 2

Настройка портала на основе аутентификации и авторизации

Помимо создания портала, его можно настроить на основе учетной записи пользователя, зарегистрировавшего на портале, а также на основе статуса безопасности компьютера, соединяющегося с порталом. Учетная запись пользователя и статус безопасности (как часть функции проверки клиента IAG 2007) действуют как ограничители (или фильтры) того, что пользователь может делать на портале. Не нужно создавать несколько порталов. IAG 2007 позволяет создать один портал, а затем автоматически настроить доступ к приложениям на основе учетных записей, членстве в группах или статуса безопасности компьютера пользователя.

Ниже на рисунке показан пример того, как можно назначить приложения различным пользователям или группам, чтобы они отображались или не отображались на портале.

Автоматизированное создание сайта

Рисунок 3

Поддержка различных провайдеров аутентификации

ISA-сервер поддерживает несколько протоколов аутентификации, большинство из которых нацелены на связь с доменом Microsoft Active Directory для аутентификации пользователей. В IAG 2007 встроена поддержка тех же протоколов, что и в ISA-сервере, однако, их количество расширено за счет других провайдеров аутентификации. Например, IAG 2007 поддерживает LDAP не только для Active Directory, но и для Notes, Netscape и Novell, а также TACACS+. IAG 2007 можно настроить на поддержку любого протокола аутентификации и необходимого вам провайдера. Помимо этого, IAG 2007 проверяет список провайдеров аутентификации, так что работа не будет завершена, даже если средство не найдет совпадений с первым провайдером. Это значительное преимущество в тех случаях, когда необходимо слияние, и вы пытаетесь объединить схемы аутентификации на шлюзах.

Переадресация портов и сокетов

С помощью IAG 2007 вы также можете публиковать и не-web приложения. В отличие от правил публикации серверов, использующихся для публикации не-web приложений на ISA-сервере, IAG 2007 включает безопасный SSL удаленный доступ для всех не-web приложений. По сравнению с публикацией серверов через правила публикации ISA-сервера у IAG 2007 есть ряд значительных преимуществ:

Шифрование нешифрованных протоколов приложений

При создании правил публикации серверов для нешифрованных протоколов в ISA-сервере информация, которой обменивается клиент и сервер, проходит через Интернет в явном виде, и потому любой, кто запустит программы прослушивания сети, сможет прочесть соединения. Самым распространенным примером этого является POP3. Пользователям нравится использовать POP3 для связи с корпоративными почтовыми ящиками с помощью многочисленных клиентских приложений электронной почты. POP3-сессии не защищены, поэтому имя пользователя и пароль, а также и остальные данные, при использовании правил публикации серверов ISA-сервера передаются через Интернет в явном виде.

В свою очередь, при использовании SSL VPN-шлюза IAG 2007 для публикации POP3 соединения клиента и IAG 2007 защищены в SSL-туннеле. Злоумышленники с программами прослушивания сети не смогут перехватить имя пользователя и пароль, а также не смогут прочесть и само сообщение. Это справедливо для всех нешифрованных протоколов, таких как SMTP, POP3, IMAP4, RPC/MAPI, SMB/CIFS, RDP, NNTP и т.п. The SSL VPN устройства IAG 2007 предоставляет безопасность и конфиденциальность в тех случаях, в которых ISA-сервер не справляется.

Предварительная аутентификация для не-web протоколов

Правила публикации серверов ISA-сервера не поддерживают предварительную аутентификацию для не-web протоколов. Это справедливо не только для ISA-сервера, но и для все брандмауэров, которые предоставляют возможности переадресации портов или обратного разрешения NAT для не-web протоколов. Это не ограничение брандмауэра, это ограничения самих протоколов, и вам необходим некий компонент прокси для обработки запросов на аутентификацию.

IAG 2007 решает эту проблему путем предоставление доступа по не-web протоколам через web-прокси, чем, в общем-то, и является SSL VPN-шлюз. Для получения доступа к не-web протоколу пользователь должен сначала аутентифицироваться на SSL VPN-шлюзе IAG 2007. После успешной аутентификации пользователь может быть авторизован для использования не-web протокола, что будет указано, в случае авторизации, на странице портала. Таким образом и происходит предварительная аутентификация для не-web протоколов, которую может делать только такой SSL VPN–шлюз, как IAG 2007.

Уменьшение работ, связанных с доступом отовсюду (упрощенная DNS)

Одной из трудоемких проблем, с которой сталкиваются администраторы ISA-серверов, является создание разделенной DNS. Разделенная DNS может значительно упростить жизнь пользователей, поскольку они смогут использовать одно и то же имя для доступа к ресурсу, не взирая на место расположения пользователя. Они используют одно и то же имя как при работе внутри корпоративной сети, так и при работе через Интернет. Разделенная DNS – отличное решение для организаций любого размера, однако, при возникновении разговора на эту тему, я часто встречал отторжение со стороны администраторов, поскольку они, видимо, неправильно понимают, как работает DNS или же они имеют неправильное представление о настройке инфраструктуры разделенной DNS.

В IAG 2007 полностью упразднена необходимость разделенной DNS, поскольку пользователям необходимо знать только имя портала. После соединения пользователя с порталом все разрешение имен производит IAG 2007, так что пользователям не нужно помнить ничего, кроме имени портала, а администраторам не нужно разбираться в технических и политических проблемах создания инфраструктуры разделенной DNS.

Контроль приложений через доступ к сокетам

Возможность переадресации сокетов позволяет вам контролировать не только то, какие порты приложений клиентов разрешены для связи через SSL VPN-шлюз IAG 2007, но и то, какое приложение используется для связи с определенным портом. Эта возможность похожа на функциональность клиента брандмауэра ISA-сервера, где вы можете настроить доступ на основе имени образа. Недостатком такого подхода является то, что даже не слишком искушенный пользователь может легко изменить имя приложения на диске.

В IAG 2007 метод контроля приложений клиента брандмауэра используется немного шире: контроль доступа происходит на основе значения хэша приложения. Например, нам нужно разрешить доступ RPC для клиентов Outlook через шлюз SSL VPN, но мы не хотим, чтобы другие приложения использовали RPC для прохода через шлюз. Мы можем настроить политику на IAG 2007 и разрешить RPC-доступ через SSL VPN-шлюз, но только для приложения Outlook 2003, на основе значения хэша приложения, создающего вызовы к порту RPC клиента. Такой вариант гораздо безопаснее того, что предлагает клиент брандмауэра, поскольку даже если пользователь или вредоносная программа изменит имя другого файла на outlook.exe, соединения с приложениями, отличными от Outlook, не будут работать, поскольку значения хэша не будут совпадать.

Ниже на рисунке показано диалоговое окно, появляющееся на компьютере пользователи, где показаны соединения, выполненные с помощью переадресации портов и сокетов.

Шлюз microsoft

Рисунок 4

Для поддержки работы не-web приложений через SSL VPN-шлюз IAG 2007 можно использовать один из двух следующих методов:

Переадресация портов

Переадресация портов – это компонент SSL VPN, который прослушивает определенный адрес и порт для каждого опубликованного приложения и вынуждает приложение отсылать все данные на адрес сервера приложения. Клиент переадресации портов SSL VPN туннелирует трафик внутри SSL и отсылает его на шлюз SSL VPN. Переадресация портов безопасна, поскольку SSL VPN шифрует туннель, содержащий нешифрованные протоколы приложений, о чем было сказано выше. Переадресация портов поддерживает только простые приложения, которым не требуются вторичные соединения.

Переадресация сокетов

SSL VPN клиент переадресации сокетов соединяется с интерфейсом службы Microsoft Winsock и использует интерфейсы Windows LSP/NSP (Layered Service Provider/Name Space Provider – Многоуровневый поставщик услуг/Поставщик пространства имен) для управления на низком уровне. Поставщик пространства имен используется для разрешения имен внутренних серверов для гарантии того, что они будут туннелироваться, а не отсылаться через Интернет. Главным преимуществом безопасности переадресации сокетов состоит в том, что клиент переадресации сокетов может идентифицировать пользователи и процесс, создающий трафик и установить особые параметры безопасности на такие соединения. Эта возможность позволяет использовать особый контроль над приложением, о чем говорилось выше.

Помимо этого, с помощью перехвата и переадресации всего трафика на шлюз SSL VPN избегается использование разделенного туннелирования. Такая возможность увеличивает безопасность и предохраняет от распространенных сетевых рисков, связанных с использованием пользователями совместного подключения к Интернету на сетевом уровне соединений клиента SSL VPN, что часто происходит со многими «аппаратными» вариантами SSL VPN, в которых клиент SSL VPN настроен как виртуальный адаптер в привилегированном режиме.

Сетевой коннектор

В отличие от обратного прокси и переадресации портов/сокетов, сетевой коннектор предоставляет настоящие соединения SSL VPN. При работе обратного прокси и переадресации портов/сокетов не происходит виртуального сетевого соединения. Сетевой коннектор дает настоящее SSL VPN соединение, которое туннелирует IP внутри IP и назначает VPN-клиенту удаленного доступа действующий IP-адрес корпоративной сети, а также предоставляет возможности PPTP или L2TP/IPSec соединения VPN-сети с корпоративной сетью.

Сетевой коннектор внедряется как сетевое устройство и появляется в окне Network Devices (Сетевые устройства) клиентского компьютера. Если возможность использования сетевого коннектора включена в портал, приложение Сетевой коннектор автоматически установится на компьютер клиента. Конечно, следует внимательно относиться к тому, на каких компьютерах разрешена работа сетевого коннектора, поскольку разрешать использовать данный уровень доступа пользователям, работающим из интернет-кафе, не желательно. Вы можете использовать функции проверки клиента IAG 2007 и политики безопасности для гарантии того, что только доверенные компьютера могут воспользоваться сетевым коннектором.

Сетевой коннектор предоставляет следующие функции:

  • Автоопределение и ручная настройка параметров корпоративной сети, таких как WINS, DNS, DNS-суффикс
  • Выдача IP-адресов с помощью пула статических адресов или DHCP
  • Контроль раздельного туннелирования
  • Фильтры маски протокола для TCP, UDP и ICMP
  • Поддержка Windows 2000, Windows XP и Windows Server 2003
  • Установка клиента сетевого коннектора IAG 2007 не требует перезагрузки
  • Ярлык сессии предоставляет статистику и возможность отключения
  • Полная односторонняя функциональность IP

Сетевой коннектор позволяет получить полный сетевой уровень доступа с полной поддержкой сложных протоколов, необходимых для нескольких первичных и вторичных соединений. Если вам требуются сложные протоколы, такие как, например, VoIP, который не поддерживается переадресацией портов или сокетов, вы можете использовать сетевой коннектор. Однако учтите, что сетевой коннектор не дает строгого контроля доступа на основе пользователей/групп ISA-сервера поверх VPN-соединений удаленного доступа. Сетевой коннектор работает как обычный «аппаратный» VPN-шлюз, который пропускает через канал всё, включая хакеров и вредоносные программы. Если вам необходима проверка обычных пакетов и проверка на уровне приложений для удаленных VPN-соединений, следует использовать удаленный VPN-доступ по протоколам PPTP или L2TP/IPSec VPN-сервера ISA-сервера.

Резюме

В данной статье мы рассмотрели методы соединений IAG 2007. Мы увидели, что для клиентов существует три способа связи с SSL VPN-шлюзом IAG 2007, которые зависят от требований приложений: обратный web-прокси, переадресация портов/сокетов и Сетевой коннектор. Обратный web-прокси разрешает функции обратного прокси для web-приложений с улучшенной проверкой на уровне приложений. Переадресация портов/сокетов полезна при контроле доступа не-web приложений, а сетевой коннектор используется для предоставления полного доступа сетевого уровня так же, как и другие VPN сетевого уровня. На следующей неделе мы поговорим о доступе к файлам и возможностям безопасности, включенным в IAG 2007. Увидимся!

www.isaserver.org


Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]