Sunday, October 21st, 2018

Развенчание мифа о том, что брандмауэр ISA не должен быть членом домена

Published on Февраль 10, 2009 by   ·   Комментариев нет

На прошедшем недавно TechEd я прослушал несколько докладов, один из которых был написан Стивом Рейли (Steve Riley) и посвящен новому брандмауэру ISA firewall 2006. Если вам не довелось услышать это выступление, то вы сделаете себе одолжение, если хотя бы посмотрите одну из его презентаций. Стив очень динамичный и живой докладчик, и он действительно знает, как привлечь к себе внимание слушателя. Еще одна вещь, которую я могу сказать о речах Стива, это то, что я всегда ухожу с презентации, думая совершенно о другом, о том, о чем прежде не задумывался.

Однако, иногда Стив делает мою жизнь сложной, потому что превосходит сам себя. В недавнем своем заявлении из области ,“что я могу сказать сегодня, чтобы сделать жизнь Тома (Tom) более сложной”, он заявил, что сервер ISA никогда не должен быть членом домена. Когда я услышал это, то у меня отвисла челюсть, взгляд мой помутнел, и я вернулся в свое нормальное состояние лишь благодаря моему хорошему другу Крису Грегори (Chris Gregory).

Почему у меня была такая бурная реакция на то, что сказал Стив? Последние два года я пытался убедить администраторов брандмауэров ISA в том, что машина, которая является членом домена более безопасна и более гибка, чем машина, которая не является членом домена, и что они совершают ошибку, не подключая брандмауэр к домену (domain). Это значительный момент и к нему нужно отнестись ответственно, т.к. существует серьезная угроза для безопасности в том случае, если в не включаете брандмауэр ISA в домен (domain).

Это побудило меня написать длинный, но детальный и содержательный анализ, посвященный массивам брандмауэров ISA, которые являются и не являются членами домена. Я делаю это потому, что я не могу выйти на сцену и категорично заявить, что “ни один брандмауэр ISA никогда не должен быть членом рабочей группы (workgroup member)”, уйти с нее, а затем Стиву необходимо будет ответить на вопросы тысяч пользователей, которые будут говорить ему: “Я понимаю, что брандмауэр ISA никогда не должен быть членом рабочей группы (workgroup member), но как мне сделать то или это”.

Недавно я разговаривал с группой консультантов по брандмауэру на эту тему, и приготовил несколько слайдов, сделанных с помощью PowerPoint, посвященных этой тематике. Т.к. я сижу пристегнутый в кресле самолета прямо напротив выхода (это значит, что я могу откинуть свое кресло назад), то я собираюсь скопировать и вставить эти слайды из PointPoint в это документ, таким образом, чтобы лучше помнить это обсуждение :)

В этой статье мы обсудим преимущества и недостатки конфигурации, когда массив брандмауэров ISA является членом домена или рабочей группы. Вскоре должна выйти вторая статья, в которой я опишу сценарии, в которых массивы брандмауэров ISA сначала должны быть членами домена, затем могут быть членами домена, и, наконец, будет не важно является ли он членом домена или нет. Также в этой статье будет приведено описание некоторых психиатрических проблем, не связанных с тем, является ли массив брандмауэров членом домена Active Directory или нет.

Следует ли массивы брандмауэров ISA Firewall Arrays помещать в домен (Domain) или рабочую группу (Workgroup)?

Таков вопрос. Гораздо проще было бы поместить брандмауэр ISA в рабочую группу (workgroup), в которой вы сможете избежать визга жалующихся менеджеров, ничего не знающих о брандмауэрах. Или “сетевых парнях (network guys)”, которые думают, что сетевая безопасность заключается в открытии и закрытии портов. Или все таки поместить ее в домен, где вы можете получить более высокий уровень общей безопасности и тем самым значительно улучшить свое положение с безопасностью?

Давайте взглянем на следующее:

  • Преимущество членства в домене (domain membership)
  • Недостатки членства в домене (domain membership)
  • Преимущества не членства в домене (workgroup membership)
  • Недостатки не членства в домене (workgroup membership)

В этой статье я сфокусируюсь на корпоративной версии брандмауэра ISA firewall Enterprise Edition, т.к. эта версия лучше подходит для установки в корпоративных средах, в которых администраторы брандмауэра ISA имеют интерфейс с группами инфраструктуры IT со старомодными заблуждениями относительно сетевой безопасности (network security). В следующей статье я расскажу вам о серьезной проблеме, с которой мы столкнулись на сегодняшний день, касающейся взлома сетевой безопасности этими “сетевыми парнями (network guys)”, и как это вредит каждому уровню безопасности сетевой информации на сегодняшний день.

Преимущества членства в домене (Domain Membership)

Существует много преимуществ членства в домене. Все они перечислены ниже:

  • Удобный контроль доступа, основанный на Пользователях/Группах (User/Group)
    Когда брандмауэр ISA является членом домена, вы можете осуществлять удобный контроль доступа, на основе пользователей и групп, для всех соединений, проходящих через брандмауэр ISA. Это касается всех входящих и исходящих соединений от и к корпоративной сети. Вы можете использовать группы домена, и вам не надо создавать специальные группы для брандмауэра ISA — Ad Hoc ISA firewall groups, что необходимо сделать, если вы используете аутентификацию RADIUS. Т.к. это правда, что ISA 2006 добавляет возможность использовать аутентификацию LDAP для подключения перечисления групп Active Directory (group enumeration), то эта возможность работает только для правил публикации Web Publishing Rules, и не позволяет подобную функцию для исходящего контроля доступа (outbound access control) с помощью правил доступа брандмауэра ISA firewall Access Rules. Аутентификация LDAP может быть также проблематичной, т.к. это может увеличить риск блокирования учетной записи (account lockout). Если вы не включите брандмауэр ISA членом домена, то вы будет зависеть от возможностей RADIUS для исходящего контроля доступа (outbound access control) для Web протоколов и у вас не будет контроля доступа, основанного на пользователях/группах для любых других протоколов.
  • Не надо создавать массивы учетных записей (array accounts) для соединений внутри массива (intra-array communications)
    Члены массива брандмауэра ISA должны взаимодействовать друг с другом с помощью соединений внутри массива. Это хорошо видно, когда члены массива брандмауэра ISA являются частью домена. Если член массива брандмауэра ISA не является членом домена, то вам надо создать зеркальные учетные записи членов массива. Т.к. нет синхронизации паролей между членами рабочей группы, то вы должны вручную изменить пароли этих зеркальных учетных записей для каждого члена массива (array member). Если у вас 4 массива брандмауэров ISA, в каждом содержится 31 член, то вы должны зарезервировать некоторое количество времени в день изменения пароля. Другая проблема заключается в том, что вы не сможете управлять компьютерами с удаленной рабочей станции путем прозрачного входа в массив; напротив, вы каждый раз должны будете вводить свое имя пользователя и пароль, что осчастливит “shoulder surfers” («шпионов из-за плеча» т.е. тех, кто подглядывает за набираемыми паролями) в вашей организации. Как вы увидите дальше, существуют также и другие проблемы.
  • Полная поддержка аутентификации с помощью сертификата пользователя (user certificate authentication)
    Аутентификация с помощью сертификатов (к несчастью называемая также аутентификацией с помощью сертификатов клиента) позволяет пользователю использовать пользовательский сертификат для аутентификации на брандмауэре ISA firewall сценариях Web Publishing. Это мощная схема аутентификации, т.к. эти сертификаты можно установить на смарт-катрах (smart cards) и других устройствах, для избежания необходимости передачи пользовательских полномочий по проводам. Вы можете пользоваться полной поддержкой аутентификации с помощью сертификата пользователя, если брандмауэр ISA является членом домена (domain member). У вас нет поддержки аутентификации с помощью сертификатов пользователя, если брандмауэр ISA firewall не является членом домена (domain member). Я знаю, что вы думаете – я создам отдельный домен для моего массива брандмауэров ISA firewall array в той же среде (forest), что и домен пользователя, а затем создам одностороннюю доверительную связь (one-way trust). Это обычная практика для тех, кто доверился слухам и суевериям, что брандмауэры ISA, которые являются членами домена не являются безопасными. Но я вас могу успокоить, что в конфигурации с рабочими группами (workgroup) вы по-прежнему не сможете воспользоваться аутентификацией с помощью сертификата пользователя.
  • Полная поддержка менеджера операций Microsoft Operations Manager (MOM)
    MOM – это мощный инструмент предназначенный для мониторинга и создания отчетов по состоянию и конфигурации вашего брандмауэра ISA. Хотя и существует возможность настроить агент MOM для работы с не членами домена, существуют проблемы с установкой, настройкой и управлением при работе с не членами домена. С другой стороны брандмауэра ISA, который является членом домена не представляет особой сложности; его легко устанавливать, настраивать и управлять им. Простота установки, настройки и управления означает уменьшение ошибок, что в свою очередь ведет к улучшению безопасности.
  • Полная поддержка клиента брандмауэра (Firewall Client)
    Я могу сказать достаточно хорошие вещи о клиенте брандмауэра (Firewall client). Клиент брандмауэра (Firewall client) подключает прозрачную удаленность соединений к брандмауэру ISA для всех сетевых соединений, совершенных приложениями Winsock. Можно представить клиента брандмауэра (Firewall client) в виде Winsock proxy. С помощью клиента брандмауэра (Firewall client) вы можете заносить в журнал имя пользователя, название приложения, название компьютера и многое другое для каждого соединения, которое было совершено пользователем по любому протоколу, используемого для подключения к ресурсу через брандмауэр ISA. Клиент брандмауэра (Firewall client) предоставляет вам удобный контроль доступа, основанный на пользователях/группах по любому протоколу, и эта информация хранится в файле журнала брандмауэра ISA для удобства управления. Вы не сможете получить информацию такого типа, если вы используете любой другой брандмауэр. Но если вы хотите уберечь себя от глубоких знаний преимуществ, которые предоставляет клиент брандмауэра (Firewall client), то просто запомните, что брандмауэр ISA должен быть членом домена (domain member). Если ваш брандмауэр ISA является членом рабочей группы (workgroup member), то клиент брандмауэра (Firewall client) представляет всего лишь упущенную возможность для улучшения безопасности вашей сетевой инфраструктуры (network infrastructure), потому что вы просто не сможете его использовать.
  • Полная поддержка для управления политикой групп Group Policy Management
    Каждый администратор Windows знает, что политика групп (Group Policy) – это основной компонент для хорошо управляемой и безопасной сети Windows. Если массивы брандмауэра ISA являются членами домена Active Directory, то вы можете создать объекты политики групп (Group Policy), которые будут контролировать конфигурацию на всех членах массива брандмауэра ISA. Это облегчает централизацию основного администрирования и конфигурации безопасности OS, которые в противном случае необходимо будет вручную настраивать для каждого члена массива (array member). Это значительное преимущество, потому что может быть тысячи компьютеров в сотнях массивов брандмауэров ISA внутри организации. В действительности ли вы хотите выполнять эту настройку отдельно для каждого сервера в каждой рабочей группе? Если вы не включаете брандмауэр ISA в домен, то вы отказываетесь от централизованного управления безопасностью, что не только снижает общий уровень безопасности, но и повышает административные издержки. Не хорошо.
  • Администраторы массива могут прозрачно входить на любую машину в домене, управляемую с помощью Active Directory
    Как упоминалось ранее, если члены массива брандмауэров ISA (firewalls array members) являются частью домена, то вы можете управлять этим массивом с любой рабочей станции (workstation), которая является частью того же самого или доверительного домена (trusted domain). В этом есть два главных преимущества. Во-первых, это гораздо удобнее. А т.к. это гораздо удобнее, то вы с легкостью будете выполнять ключевые задачи по управлению брандмауэром ISA, не тяготясь вводом пароля администратора брандмауэра, который состоит из 37 символов (это реальный сценарий, который я видел не раз) и во-вторых, вам не надо будет несколько раз за день вводить пароль, и поэтому у хакеров не будет возможности выяснить ваш пароль во время одной из ваших попыток входа.
  • Гораздо проще настраивать и управлять
    Простота – это палка о двух концах, особенно, если мы говорим о безопасности. С одной стороны есть простота типа “hardware firewall (аппаратный брандмауэр)”, который лишь разрешает все входящее и позволяет ответы любого типа от удаленного сервера до тех пор, пока кто-нибудь не пошлет запрос на начальное соединение к этому серверу, или как помощники SBS, которые осуществляют настройку, но не попытаются уменьшить этот кошмар. С другой стороны, есть простота, которая облегчает сложные и трудоемкие конфигурации для опытного администратора. В нашем случае это та самая версия простоты, которую предоставляет членство в домене (domain membership) администраторам брандмауэра ISA, которая делает конфигурацию более безопасной. Массивы брандмауэра ISA, которые являются членами домена (Domain member) очень легко устанавливать и обеспечивать их безопасность. С другой стороны массивы брандмауэра ISA, которые являются членами рабочих групп, очень сложно устанавливать и есть очень много месть, в которых можно сделать ошибки, которые в свою очередь может скомпрометировать не только массив брандмауэра ISA, но потенциально и всю сеть целиком. Позднее в этой статье я расскажу о некоторых конфигурациях, необходимых для работы в режиме рабочей группы.

Недостатки членства в домене (Domain Membership)

Несмотря на то, что фраза «все хорошо» звучит достаточно часто, практика показывает, что не все так хорошо. Некоторые вещи лучше других, другие в большинстве своем хороши, а третьи почти все хороши, но ничто ни хорошо целиком. То же самое верно и для членства в домене (domain membership) для членов массива брандмауэра ISA. Ниже приведены все недостатки членства в домене:

  • Если кто-либо взломает Active Directory, то они могут завладеть брандмауэром ISA
    Противники членства в домене заявляют, что если взломан Active Directory, то атакующий может использовать эту информацию против брандмауэра ISA firewall. Но позвольте мне сказать вам, что если кто-то взломал ваш Active Directory, то, как мне кажется, брандмауэр ISA firewall будет самой меньшей из ваших проблем. Представьте себе сценарий, в котором кто-то взламывает Active Directory и узнает пароль администратора домена. Теперь у этого атакующего есть доступ ко всем файловым серверам, Web серверам, серверам баз данных, серверам Exchange Servers и любым другим серверам, которые только можно себе представить. Т.к. брандмауэр ISA настроен таким образом, чтобы предоставлять членам группы администраторов домена (domain admins group) исходящий HTTP доступ, то для чего им нужно что-то делать с брандмауэром ISA firewall? Они просто загрузят программное обеспечение для удаленного контроля, которое работает по HTTP на любой понравившийся им сервер, сделают несколько отлаженных действий для определения, какие сайты им необходимо сымитировать, чтобы пройти через брандмауэр и будут таковы. Им даже не понадобится касаться брандмауэра ISA firewall. Хакеру с верными полномочиями нет нужды небрежно обращаться с брандмауэром ISA firewall (с точки зрения атакующего это может привлечь внимание ненужных людей) для передачи добычи, если он владеет Active Directory.
  • Если захвачен брандмауэр (Firewall), то Active Directory может стать уязвимым Тут примерно такая же история, что и в предыдущем пункте. Если захвачен брандмауэр до такой степени, что захватчики могут использовать членство компьютера в домене для атаки сети, то в действительности не имеет значения является ли машина членом домена, или нет. Что может сделать хакер, который захватил брандмауэр ISA, который является членом домена (domain member)? Хорошо, у хакера будет доступ к внутри доменным (intradomain) протоколам к контролеру домена (DC). Что он будет с ними делать? Лично я не знаю, может вы мне подскажете? Собирать имена пользователей? И что дальше? Безопасность обеспечивается паролями, а не именами пользователей. Никто не сможет мне ответить на вопрос, что хакер сможет сделать с доступом к внутри доменным (intradomain) протоколам. Конечно, если захвачен брандмауэр ISA firewall, то злоумышленник может изменить политику на брандмауэре (firewall policy) на свой вкус, но то же самое верно и для режима работы брандмауэра ISA в рамках рабочей группы (workgroup), поэтому сценарий не меняется и будет совершенно таким же, как и в случае с членством в домене (domain membership). Также, если хакер не заинтересован в бесполезной DoS атаке (бесполезной с точки зрения воровства и уничтожения корпоративной информации), то злоумышленник захочет пригнуться и пройти под радарами брандмауэра ISA firewall. То что в действительности не захочет сделать профессиональный сетевой хакер, так это привлечь к себе внимание плясками вокруг брандмауэра ISA firewall, который является одним из самых контролируемых устройств в сети. Однако, вся эта дискуссия очень спорная, потому что за последние шесть лет не было ни одного захвата брандмауэра ISA, когда брандмауэр ISA был правильно настроен. На этом моменте я хочу уточнить, что такое «правильно настроенный» брандмауэр ISA, так как это само по себе очень долгое обсуждение, хотя одна из возможностей заключается в том, что массив брандмауэра ISA находится в домене. Хороший парень на TechEd на прошлой неделе поднял вопрос и высказал, что я никогда четко не описывал, что такое правильно настроенный брандмауэр ISA firewall, по крайней мере в этой статье. Я обещаю предоставить вам эту информацию в очень недалеком будущем.
  • Администраторы домена (Domain Admins) могут администрировать брандмауэр ISA firewall
    Это правда, что у администраторов домена (domain admins) есть доступ и возможность изменения конфигурации массивов брандмауэров, подключенных к домену. В действительности ли это проблема для безопасности? Если вы не можете доверять вашим администраторам домена Active Directory, то кому тогда вы можете доверять? Вы набираете своих администраторов домена с улицы и приклеиваете им на грудь эмблему компании, или же вы все-таки проверяете их личную историю, финансовое состояние и многое другое перед тем как нанять их на работу и отдать им ключи от всех сетевых серверов и служб Microsoft в вашей корпорации? Я предполагаю, что сервера SQL и Exchange также не безопасны, потому администраторы домена (domain admins) могут администрировать эти сервера. Поэтому только совсем неграмотный человек может озаботиться этой проблемой.

Преимущества Рабочих групп (Workgroup)

Также, как все не может быть хорошо, все не может быть и плохо. То же самое верно и для режима работы в рабочей группе для брандмауэров, которые не являются членами домена. Ниже представлены преимущества массивов брандмауэров ISA, которые не являются членами домена:

  • Если захвачен брандмауэр, то хакер может не добраться до Active Directory
    Это обратная сторона предыдущей дискуссии. Ключевое слово здесь может. Хакер может не получить доступ к Active Directory. Это все зависит от расположения брандмауэра ISA. Если брандмауэр ISA производит аутентификацию какого-либо типа, даже если установлен для работы в качестве обратного прокси (reverse proxy) в аппаратном “hardware” DMZ брандмауэра, то хакер потенциально может собирать действующие пользовательские учетные записи и пароли. Хакер может установить сетевой сниффер (network sniffer) и другие более продвинутые средства на брандмауэре ISA в аппаратном “hardware” DMZ брандмауэра и собирать значимую информацию, которая может привести к краже учетных записей и паролей. Нет, я не собираюсь говорить, как это делается, достаточно того, что вы просто будете знать, что это возможно. Теперь, когда у него есть эта информация, он запросто может использовать подручные средства для проникновения в сети и использования этой информации. Снова помните, что это всего лишь полеты фантазии, потому что не было ни одного зафиксированного случая взлома брандмауэра ISA, который был правильно настроен, и профессиональные хакеры (которых вам в действительности надо опасаться) не будут атаковать брандмауэр ISA firewall, потому что их основная цель оставаться незаметными, как можно дольше.
  • Администраторы домена (Domain admins) не могут администрировать массив
    В режиме рабочей группы вы можете настраивать пользовательские учетные записи, которые используются для администрирования массива брандмауэра ISA, и эти учетные записи зеркально отображаются на каждом члене массива брандмауэра (firewall array member). Так как эти учетные записи маловероятно будут иметь то же самое имя пользователя и пароль, что и какой-либо администратор домена Active Directory, то ваши опасные и неуклюжие администраторы домена (domain administrators) не смогут подорвать безопасность сети, играя с конфигурацией вашего брандмауэра ISA. В действительности, администраторы домена (domain admins) и не опасны и не неуклюжи, и являются наиболее надежными операторами компьютеров в структуре. Если вы не можете доверять своим администраторам домена, то у вашей структуры гораздо большие проблемы, чем тот факт, что они могут администрировать массив брандмауэра ISA.
  • Если захвачен Active Directory, то нельзя причинить вред брандмауэру Это верно. Если кто-либо захватил ваш Active Directory, а массив брандмауэра ISA не является членом домена, то с помощью учетной записи администратора домена (domain admin account) нельзя изменить конфигурацию брандмауэра ISA. Конечно, он сможет скомпрометировать ваши сервера Exchange, SQL, SharePoint, и другие сервера Microsoft в сети, но брандмауэр ISA останется нетронутым. В режиме работы в рабочей группе массив брандмауэра ISA становится колоссом в дымящихся обломках вашего сетевого Рима и единственно оставшимся в живых. В этом положении вы уверены, что конфигурация брандмауэра будет по-прежнему важна для вас? А если так, не кажется ли вам, что вы должны будете выполнить настройку через интернет, как только вы заметите, что все эти сервера скомпрометированы? И будет ли это в действительности важно? Более вероятно, что злоумышленник сможет просто использовать правильное имя пользователя и пароль для передачи информации за пределы сети не касаясь конфигурации брандмауэра ISA.

Недостатки брандмауэров ISA, которые не являются членами домена

Теперь давайте перейдем к самой интересной и важной теме – недостатки режима работы в рабочей группе для массивов брандмауэр, которые не являются членами домена. Многие из них обратны преимуществам членства в домене. Ниже представлены эти недостатки:

  • Требует сертификат сервера (server certificate) в CSS
    Для того чтобы в режиме работы в рабочей группы можно было использовать аутентификацию с помощью CSS, на CSS должен быть установлен сертификат сервера (server certificate). Каждый член массива брандмауэра ISA и CSS должен иметь CA сертификат, выпущенный СА сервером, установленный в хранилище Trusted Root Certification Authorities. Вы не сможете использовать для этого сертификаты MMC, потому что для MMC необходимо, чтобы все машины принадлежали одному домену. Поэтому вы получите удовольствие от выяснения того, как использовать сайт Web enrollment site или другой механизм для генерации сертификата. Не забудьте получить общее (common/subject) название непосредственно в сертификате или все развалится на части, что я подробно опишу в следующем пункте. Все это не очень сложно (для меня), но если вы с этим не сталкивались, то придется повозиться.
  • Требуются изменения DNS
    Членам массива брандмауэра ISA необходимо отличать название CSS для общения с ним. Однако, название компьютера CSS может не соответствовать названию в сертификате. Например, предположим, вы хотите поставить CSS на одном из членов массива брандмауэра ISA в режиме рабочей группы. Члены массива брандмауэра общаются друг с другом с помощью NIC внутри массива. Член массива брандмауэра, на который устанавливается CSS, уже имеет своем машинное имя, зарегистрированное в DNS, и оно соответствует IP адресу на внутреннем интерфейсе этой машине. Т.к. мы не можем использовать название этой машины, то мы должны использовать общее (common/subject) название на сервере сертификата, которое отлично от названия машины и ввести запись Host (A) record в DNS для этого имени, которое соответствует IP адресу NIC внутри массива, на том члене массива брандмауэра ISA, на котором размещен CSS. Но это еще не все, вы должны использовать инструмент Windows Server 2003 Support tool, под названием setspn, для того чтобы зарегистрировать это название в Active Directory. Вы ничего не знаете о принципах наименования служб? Приготовьтесь и включите керосинку. Опять же, это достаточно несложно (для меня), но если вы не сделали этого 500 раз, то это достаточно сложно запомнить.
  • Необходимо отслеживать статус сертификата, для отсеивания просроченных сертификатов (expired certificates)
    Срок действия сертификатов истекает, и истекает он как всегда в самый неподходящий момент. В противоположность компьютерным учетным записям в Active Directory, которые никогда не устаревают, ваш сертификат на CSS устареет, и вы не будете счастливы, когда не сможете выяснить, почему ваш массив брандмауэра ISA firewall array не может общаться с CSS, до тех пор пока не провозитесь с этой проблемой около 8 часов и не поймете, что это была лишь проблема с просроченным сертификатом.
  • Необходимо использовать аутентификацию RADIUS или SecurID для обратного прокси (reverse proxy) (LDAP в ISA 2006)
    В отличие от массива брандмауэра ISA, который входит в домен, где вы сталкиваетесь с огромным количеством параметров для аутентификации для аутентификации на обратном прокси (reverse proxy), для брандмауэра, который работает в режиме рабочей группы (workgroup), то вы должны использовать аутентификацию RADIUS и SecurID (в ISA 2006 у вас будет RADIUS OTP и LDAP). Если вам нечего делать, то проверьте записи журнала брандмауэра ISA для нескольких запросов RADIUS, которые были сделаны во время среднего соединения к вашему опубликованному сайту OWA. Вы не должны удивляться, почему доступ к вашему сайту OWA слишком медленная. Вы также добавите еще толику возможных неприятностей, если добавите RADIUS сервер (или даже если упадет служба RADIUS на DC) или если сервер ACE всплывет вверх пузом. И помните, что с RADIUS вы не можете использовать ваши доменные группы (domain groups) для аутентификации на обратном прокси (reverse proxy authorization). Вы должны будете создать свои собственные группы брандмауэра ISA и добавлять в нее пользователя за пользователем в консоли ISA firewall console, или плюнуть на все и разрешить доступ всем авторизованным пользователям (не идеальный сценарий для контроля доступа). В ISA 2006 вы сможете использовать группы Active Directory при обращении к DC, но, как упоминалось ранее, потенциально увеличивается риск блокировки учетной записи (account lockout) в результате DoS с помощью LDAP (в настоящее время не подтверждено). И если вы разрешите LDAP от брандмауэра ISA к контролеру домена DC, то вам необходимо будет открыть порт для полного доступа членов домена (это применимо к брандмауэру ISA в аппаратном “hardware” DMZ сценарии).
  • Можно использовать RADIUS только для прямого прокси (forward proxy)
    В сценарии с прямым прокси (forward proxy) единственно доступный метод аутентификации – RADIUS, и его можно использовать только для Web соединений. Весь другой трафик должен проходить через некое иное устройство, которое вряд ли отвечает должному уровеню доступа к брандмауэру ISA. RADIUS для сценария с прямым прокси (forward proxy) страдает от таких же ограничений, что упоминались выше для конфигурации с обратным прокси (reverse proxy).
  • Встроенные учетные записи (On-box accounts) необходимы для соединений внутри массива и управления массива брандмауэра
    Как упоминалось ранее, вы должны создать отдельные учетные записи в локальной SAM каждого члена массива брандмауэра ISA для соединений внутри массива и для администрирования брандмауэра. Это не очень большая проблема, если у вас один массив, состоящий из двух членов, но ситуация становится немного более неприятной, если у вас 31 член в вашем массиве, и у вас дюжина массивов по всей вашей сети, раскинувшейся по всему миру. И когда у всех из вас различный коллектив, который я упоминал ранее относительно shoulder surfers, вспомним о задержках в конфигурации, из-за того, что вы не хотите заново вводить пароль из 67 символов, и накладных расходах при поддержке. То с чем вы столкнетесь в конфигурации брандмауэра ISA в режиме рабочей группы – это значительно более высокий уровень административных издержек и снижение общего уровня безопасности.
  • Нельзя использовать аутентификацию с помощью сертификатов пользователя (user certificate authentication)
    Невозможность поддержки аутентификации с помощью сертификатов пользователя (user certificate authentication) – это один из основных ударов по безопасности при установке массива брандмауэра ISA в режиме рабочей группы (workgroup mode). Если вы хотите избежать передачи имени пользователя и пароля, то вы должны использовать SecurID, или, если вы используете ISA Server 2006, то вы можете работать с одноразовыми паролями к RADIUS. Нехватка аутентификации с помощью пользовательских сертификатов (user certificate authentication) особенно плохая новость для людей, которые хотят использовать аутентификацию с помощью сертификатов пользователей на своих устройствах с Windows Mobile. В течение последней недели на TechEd, я общался с двумя умными парнями, которые хотели знать, как гарантировать, что только мобильное устройство с Windows, управляемое ими, может подключиться к их сети через брандмауэр ISA firewall. Я посоветовал аутентификацию с помощью сертификатов пользователя (user certificate authentication) и отражения глобального сертификата пользователя (global user certificate) на учетную запись Windows mobile account. Если они не подключили свой брандмауэр ISA к домену, то они не смогут сделать это и останутся ни с чем в своих попытках увеличения безопасности для своей инфраструктуры Windows Mobile.
  • Не поддерживается отображения пользователей VPN, если пользователи соединяются от не Windows клиентов VPN ,
    В ISA 2004 и 2006 у вас есть замечательная  возможность, которая позволяет вам отображать попытки аутентификации пользователей от не Windows VPN клиентов на учетные записи, содержащиеся в Active Directory. Например, если пользователь зашел с помощью Apple VPN client, то этот пользователь может зайти своего имени и пароля в AD и эта попытка входа будет отражена на учетную запись в Active Directory. Насколько я знаю, другие сервера VPN не поддерживают такой тип отображения пользовательских учетных записей (user account mapping). Но если вы установить массив брандмауэр ISA в режиме рабочей группы, то у вас словно и не будет брандмауэра ISA и VPN сервера, и не будет доступа к этой исключительной возможности отображать клиентские соединения VPN на учетные записи в Active Directory для не Windows клиентов.
  • Не поддерживается контроля доступа, основанного на пользователях/группах за исключением Web трафика
    Это большая и важная причина, из-за которой в конфигурации в режиме рабочей группы (workgroup mode) значительно снижается безопасность. Компьютер, который работает в режиме рабочей группы – это обычно обыкновенное устройство с функцией прямого и обратного Web прокси, по крайней мере в контексте безопасности. Для не Web протоколов, вы достигнете безопасности от брандмауэра ISA не большей, чем вы бы получили от обычного аппаратного брандмауэра “hardware” firewall, что, как мы знаем, не очень-то и много. Что еще хуже, как и в случае с обычным аппаратным брандмауэром, информация, которая содержится в журналах, не очень осмысленная, и если понадобится проводить аудит сеть с обычным аппаратным брандмауэром, или с брандмауэром ISA в режиме рабочей группы, то в журналах я найду очень немного полезной информации (хотя брандмауэр ISA в режиме рабочей группы будет гораздо лучше, потому что в его журнале Web прокси, по крайней мере, будет хоть какая-то полезная информация). Контроль исходящего доступа, основанный на группах и пользователях – это больше не удобная или дополнительная величина безопасности. Если вы жертва внутренней работы (которая является причиной большинства сценариев взлома сети), и у вас нет осмысленной журнализации имени пользователя, имени компьютера, информации о названии приложения, то вам придется отвечать за нехватку старания и объяснять, почему вы не можете предоставить властям и инспектору эту информацию. Если вы оказались в подобной ситуации не пытайтесь одурачить проверяющих объяснениями типа “аппаратные брандмауэра более безопасны” или “членство в домне небезопасно”.
  • Поддерживается только один CSS!
    Сервер хранения конфигурации (configuration storage server — CSS) содержит всю информацию о массиве брандмауэра ISA. Информация о конфигурации массива брандмауэра ISA перемещается из CSS в локальный реестр каждого члена массива брандмауэра. Все задачи по конфигурации и управлению выполняются в CSS, а не напрямую на каждом члене массива брандмауэра ISA. Если массив брандмауэра ISA firewall array не может общаться с CSS, то массив брандмауэра ISA по прежнему будет осуществлять осмысленную проверку на пакетном и прикладном уровне, но вы не сможете вносить изменения в текущую конфигурацию до тех пор, пока массив не сможет обратиться к CSS. Если CSS установлен в рабочей группе (workgroup) (например, если массив брандмауэра ISA в конфигурации рабочей группы (workgroup configuration) и CSS установлен на одном из членов массива брандмауэра), то вы можете установить только один CSS для всего массива. Это может быть проблематично, если вы хотите установить массив из 31 брандмауэров ISA. Напротив, если CSS размещен на члене домена (domain member), то вы можете настроить несколько CSS для различных нужд, и избежать запутанной ситуации, когда вас просят внести изменения в конфигурацию, и не объяснять, что вы установили CSS на члене рабочей группы, а не на члене домена.

Резюме
В этой статье я рассказал о преимуществах и недостатках включения членов массива брандмауэра ISA firewall array members в рабочую группу или домен Active Directory domain. С помощью осторожного анализа этих относительных преимуществ и недостатков становится ясно, что включение членов массива брандмауэра ISA в домен Active Directory обеспечивает значительно более безопасную и более гибкую конфигурацию брандмауэра, чем в случае, когда массив брандмауэра является частью рабочей группы (workgroup). С помощью анализа мы приходим к твердому убеждению, что общая безопасность, предоставляемая брандмауэром ISA членом домена, выше, чем брандмауэра, работающего в режиме рабочей группы (workgroup mode). Пока это заключение летит в лицо среднему сетевому менеджеру инфраструктуры, который ничего не понимает в безопасности сети и приложений, становится ясно, что когда вы примите в расчет все факторы, то мы не сможем оправдать те скудные знания, которые эти люди используют при умозаключениях относительно членства в домене.

www.isaserver.org

























Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]