Monday, December 11th, 2017

Настройка HTTP-фильтра сервера ISA 2006

Published on Февраль 11, 2009 by   ·   Комментариев нет

В данной статье я расскажу об HTTP-фильтре сервера ISA 2006. Я покажу, как использовать это фильтр для защиты сети от некоторых типов атак при публикации Web-серверов. Также вы увидите, как можно предотвратить использование пользователями протокола Universal Firewall Bypass (Универсальный обход брандмауэра) (HTTP) для обхода брандмауэра сетевым трафиком таких приложений, как Microsoft Live Messenger, Yahoo Messenger и подобных, у которых есть функция использования HTTP вместо их встроенных протоколов.

Начнем с основ Web-фильтра сервера ISA 2006.

Что такое Web-фильтр

Web-фильтр сервера ISA 2006 – это набор динамических библиотек (Dynamic Link Libraries — DLL), основанных на модели IIS ISAPI (Internet Server Application Programming Interface – Программный интерфейс приложений Интернет-сервера).

Web-фильтр сервера ISA 2006 будет загружаться из фильтра Web-прокси. Если Web-фильтр загружен, вся информация будет передаваться в фильтр Web-прокси. Фильтр Web-прокси отвечает за определение типов событий, которые нужно отслеживать. Фильтр web-прокси знает о каждом наступлении такого события.

Ниже на рисунке показана работа HTTP-фильтра в сервере ISA 2006.

Нет configure HTTP в isa 2006

Рисунок 1: HTTP-фильтр сервера ISA 2006

Работа web-фильтра

Web-фильтр сервера ISA 2006 отвечает за следующее:

  • Сканирование и изменение HTTP-запросов
  • Анализ сетевого трафика
  • Сканирование и изменение HTTP-ответов
  • Блокирование определенных HTTP-ответов
  • Шифрование и сжатие данных

и так далее.

Важное замечание: HTTP-фильтр сервера ISA 2006 – это особое исключение в правилах для установки Maximum Header length (Максимальная длина заголовка). Максимальная длина заголовка такая же, как и для всех правил сервера с определениями протокола HTTP.

Внимание: HTTP-фильтр сервера ISA 2006 также может фильтровать и трафик HTTPS, но только в вариантах обратной публикации web-серверов с использованием HTTPS-сопряжения. Если вы хотите использовать проверку исходящего трафика HTTPS с помощью HTTP-фильтра, следует использовать программное обеспечение сторонних производителей.

Настройка HTTP-фильтра

Для настройки HTTP-фильтра щелкните правой кнопкой по правилу, содержащему определение протокола HTTP, и выберите из контекстного меню пункт Configure HTTP (Настроить HTTP).

Блокировка контента в isa 2006

Рисунок 2: Основные настройки HTTP-фильтра сервера ISA 2006

Request Header (Заголовок запроса):

Maximum Headers length (bytes) (Максимальная длина заголовков (байт)):

Максимальная длина заголовков – это максимальное число байт в заголовке URL и HTTP для HTTP-запроса до того, как ISA-сервер заблокирует запрос.

Request Payload (Загрузка заголовков):

Maximum payload length (bytes) (Длина максимальной загрузки (байт)):

С помощью данного параметра можно ограничить максимальный размер (в байтах) информации, которую пользователь может отослать с помощью метода HTTP POST при публикации Web-серверов.

URL-Protection (Защита URL):

Maximum URL Length (Bytes) (Максимальная длина URL (байт)): Максимальная длина разрешенного URL

Maximum Query length (Bytes) (Максимальная длина запроса (байт)): Максимальная длина URL в HTTP-запросе

Verify normalization (Проверка нормализации)

Данный параметр можно выбрать для указания того, что запрос с адресом URL, содержащим потерянные символы после нормализации, будет блокирован. Нормализация – это процесс декодирования кодированных запросов URL. После декодирования URL будет снова нормализовано для гарантии того, что никакой процесс не использует ни один из символов для кодирования URL. Если HTTP-фильтр находит разницу в URL после второй нормализации, запрос отклоняется.

Block High bit character (Блокирование символов старшего байта)

При выборе данного параметра URL, содержащие двухбайтовую комбинацию символов (Double Byte Characters — DBCS) или символы кодировки Latin1, будут блокированы. Включенный параметр блокирует языки, требующие для отображения всех специальных символов более 8 бит.

Исполняемые файлы

Block responses containing Windows executable content (Блокировать ответы, содержащие исполняемые файлы Windows). Данный параметр блокирует скачивание и выполнение все исполняемых файлов, например EXE-файлов.

Далее рассмотрим настройку разрешенных или заблокированных HTTP-методов.

Yahoo massenger isa 2006

Рисунок 3: HTTP-методы

В данном примере мы блокируем все команды HTTP POST, так что никто не сможет загрузить содержимое на внешние сайты.

Фильтр контента isa server 2006

Рисунок 4

Блокирование исполняемых файлов

С помощью данного параметра можно заблокировать или разрешить некоторые расширения файлов в определенном правиле сервера.

Добавить фильтрацию 443 isa

Рисунок 5: Использование сервера ISA 2006 для блокировки некоторых расширений файлов

Блокирование содержимого с сомнительным расширением

Данный параметр дает возможность блокирования всех расширений, которые сервер не может определить.

В нашем примере мы блокируем доступ к файлам с расширением .EXE.

Isa 2006 сетевой фильтр

Рисунок 6: Блокирование файлов с расширением .EXE

Управление заголовком HTTP

Когда web-клиент посылает запрос на web-сервер или web-сервер отвечает на запросы, первой частью ответа является запрос или ответ HTTP. После запроса или ответа HTTP клиент или сервер отсылает заголовок HTTP. Поле заголовка запроса позволяет клиенту отсылать дополнительную информацию серверу. Заголовок HTTP содержит информацию о браузере, операционной системе, деталях авторизации и т.п. Заголовок клиента использует атрибут User-Agent, который определяет, какое приложение отвечает за запрос.

С помощью HTTP-фильтра можно блокировать определенные заголовки HTTP.

Как настроить isa server 2006?

Рисунок 7: Вкладка Header (Заголовок) свойств HTTP-фильтра

Значения поля Server Header (Заголовок сервера) дают администраторам возможность контролировать удаление HTTP-заголовка из запроса или изменение заголовка HTTP в запросе, а также другие возможности.

В следующем примере мы используем описанную возможность для блокирования сети Kazaa, информация о которой располагается в заголовке.

Как настроить шыф 2006?

Рисунок 8: Блокирование Kazaa

Подписи HTTP-фильтра

Подпись HTTP может находиться в теле и заголовке HTTP. Подписи HTTP можно использовать для запрета выполнения определенных приложений. Для поиска необходимой подписи HTTP вы должны знать подпись, использующуюся приложением. В Интернете можно найти документы, которые дадут вам информацию об определенных подписях HTTP, но можно воспользоваться и программой-сканером сети. Ниже в статье я опишу использование сканера сети для этой цели.

Важно: Фильтрация подписей HTTP в сервере ISA 2006 работает только в том случае, если для запросов и ответов используется кодировка UTF-8.

Isa блокирует переходы с Yandex ru

Рисунок 9: Блокирование подписей HTTP

Ниже показано, как блокировать доступ для протокола Windows Live Messenger.

Как настроить isa server 2006?

Рисунок 10: Блокирование Windows Live Messenger

Важно: Сервер ISA 2006 проверяет только первые 100 байт тела запроса или ответа. Есть возможность увеличения этого количества, но это выльется в уменьшение производительности сервера.

Сообщение об ошибке HTTP при блокировании HTTP-фильтром содержимого

Проблемы нормализации запросов

Рисунок 11: Сообщение HTTP-фильтра о доступе

Как найти определенные заголовки HTTP

Для определения неизвестных вам подписей HTTP можно воспользоваться сканером сети, например Windows Netmon 3.0.

Ниже на рисунке показан пример результата сканирования сети программой Microsoft Netmon 2.0, но вы можете использовать и другие средства, например Wireshark (ранее называлось Ethereal).

Блокировка сайта isa 2006 excpetion

Рисунок 12: Отслеживание HTTP в Netmon

В данном примере показан тип запроса (GET), заголовок запроса HTTP (HTTP/1.1), атрибут User-Agent (Mozilla/4.0) и подпись (MSIE 6.0).

HTTPFILTERCONFIG.VBS

Для импорта и экспорта настроек HTTP-фильтра можно воспользоваться средством HTTPFILTERCONFIG.VBS из набора средств разработки сервера ISA 2006, которое находится в папке C:\PROGRAMME\MICROSOFT ISA SERVER 2006 SDK\SDK\SAMPLES\ADMIN.

Isa 2006 https

Рисунок 13: Средство HTTPFILTERCONFIG.VBS

Заключение

В данной статье я рассказал, как работает HTTP-фильтр сервера ISA 2006. HTTP-фильтр – это прекрасное средство для блокирования опасного содержимого для защиты от вредных программ, троянов или червей. Также фильтр можно использовать и для блокирования определенных подписей HTTP. Блокирование подписей дает администратору возможность запретить работу приложений наподобие Windows Live Messenger, которые могут использовать HTTP при блокировании их обычного протокола ограничениями брандмауэра.

www.isaserver.org


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]