Sunday, July 22nd, 2018

Защищаем ISA Server 2004 (Часть 1)

Published on Февраль 10, 2009 by   ·   Комментариев нет

В данной статье, состоящей из двух частей, я расскажу о том, как защитить сервер ISA 2004. Защита крайне важна, однако, часто недооценивается. В принципе, брандмауэры создаются безопасными, но для того, чтобы они были еще более защищены, необходимо принять соответствующие меры. В данной статье мы рассмотрим некоторые из важных моментов.

Другие части этой же статьи:

Проверка сервера ISA 2004 может выявить слабую защиту сервера, и на это стоит обратить внимание. В данной статье профессионал в области безопасности найдет подробную инструкцию по защите сервер ISA 2004, касающуюся процедур по созданию и поддержке безопасного окружения ISA Server 2004. Эти процедуры включают в себя оценку трех факторов: безопасность компьютера с установленным на нем ISA-сервером, безопасность настроек ISA-сервера и безопасность работы с ISA-сервером.

Одной из основных функций сервера ISA 2004 является защита вашей сети и других ресурсов от злонамеренных атак. ISA-сервер прекрасно выполняет эту задачу, но все-таки следует принять меры по защите компьютера с установленным на нем ISA-сервером для оптимизации его работы и защиты как его самого, так и его ресурсов.

Защита – это процесс, при котором следует увеличить безопасность настроек ISA-сервера, а также операционной системы, на которой он работает.

Тесты на возможность проникновения от сторонних производителей

Тесты на возможность проникновения – это прекрасная возможность обнаружить дыры в вашей системе. Такая проверка должна производиться квалифицированной и опытной сторонней организацией, при этом важна и проверка самой такой организации. Подумайте, что может случиться, если такие проверки будет проводить хакер? Если он найдет уязвимость, скажет ли он вам об этом или оставит лазейку для себя? В данной ситуации нужно быть параноиком. Не доверяйте организации на слово, проверьте ее рекомендации и историю. Это может сохранить жизнь вашей организации. Тесты на возможность проникновения должны раскрыть определенные вещи, которые помогут вам при разработке стратегии защиты.

Защита инфраструктуры Windows

Для того, чтобы защитить операционную систему, нужно знать, как работает ISA-сервер. Просмотрите службы, разрешения на диски, локальные учетные записи, доступ к утилитам, доступные программы. Более подробную информацию об этом процессе можно зайти здесь:: http://www.microsoft.com/technet/prodtechnol/isa/2004/plan/hardeningwindows.mspx.

Дополнительную информацию можно почерпнуть из этого документа: Isaharden.doc.

Шаг 1: Защита компьютера с ISA-сервером

Первый шаг очевиден: необходимо определить физическую безопасность компьютера с установленным на нем ISA-сервером. Физическую безопасность можно назвать базовой безопасностью. Недостаток данного типа безопасности может повлечь серьезные последствия, поскольку злоумышленник при наличии физического доступа может нанести физический вред, а также изменить настройки ISA-сервера. Авторизированный физический доступ также может стать проблемой, если недостаточно обученный авторизированный персонал будет модифицировать аппаратное обеспечение и физические характеристики без надлежащего контроля. Дальнейшие детали мы обсудим позже.

Для гарантии физической безопасности должны применяться соответствующие меры. Если они учтены, можно переходить к изучению других проблем. Для защиты компьютеры примите к сведению следующие рекомендации:

Физическая безопасность компьютера
Это очевидный, но в тоже время очень важный аспект безопасности, поскольку физическая незащищенность компьютера ведет к большому риску, который может выразиться в неавторизованном доступе к серверу и его порче, что повлияет на целостность ISA-сервера, всей сети и ее ресурсов. Для устранения этой потенциальной угрозы нужно убедиться, что ISA-сервер расположен в физически защищенном месте, которое постоянно проверятся на предмет безопасности и гарантирует доступ только авторизированного персонала. Дополнительно следует использовать камеры слежения и обязательно протоколировать физический доступ к серверу. Проверка доступа в защищенное место и лиц, получивших такой доступ, так же важна, как и технический контроль.

Управление обновлениями
Пакеты обновлений – это приложения, которые выпускаются после выхода программного продукта. Если в уже выпущенном продукте найден дефект, для него выпускаются исправления, которые, объединенные вместе, составляют пакет обновлений. Без пакета обновлений продукт может не работать должным образом. Некоторые пакеты обновлений добавляют функциональности и устраняют некоторые логические и побочные ошибки. Периодически выпускаются заплатки системы безопасности, которые призваны исправлять участки программы, имеющие недостатки, или изначально незащищенные программистами. Обычно ISA-сервер не имеет таких недостатков. Типичное заблуждение: раз ISA-сервер установлен на Windows, ему присущи уязвимости. На самом деле это не так. ISA-сервер проверяет весь трафик от и к локальному узлу. Делается это с помощью программного обеспечения типа LSP для сетевых соединений низкого уровня, которое и перехватывает весь трафик. Трафик проверяется ISA-сервером, и только в том случае, если трафик разрешается, уязвимость может быть использована.

Миллионы пользователей ежедневно пользуются платформой Windows. Многие из этих пользователей являются программистами или технически образованными людьми. Некоторые любят проводить тесты на устойчивость и находить уязвимости в Windows. Если уязвимость найдена, может пройти несколько дней или недель до того, как производители программного обеспечения выпустят необходимую заплатку. Это особенно справедливо для альтернативного программного обеспечения, которое не имеет под собой того финансирования и поддержки, присущего коммерческому программному обеспечению. Шанс, что ваш компьютер просканирован и будет найдена уязвимость, гораздо выше, чем вы можете себе предположить. Менеджер по безопасности, работающий на одного из самых больших провайдеров, продемонстрировал мне установку операционной системы без обновлений. В течение десяти минут компьютер был обследован зараженными узлами, и сам был заражен червем.

Решение:
На всех компьютерах в сети должны быть установлены обновления. Следует запланировать проверку Microsoft и других производителей на предмет выхода обновлений используемого вами программного обеспечения. Вы можете автоматизировать этот процесс, однако следует проверять все обновления и результаты их работы. Недооценка этого факта может стоить вашей организации многих часов простоя, которые можно приравнять к потерям. Если вы не хотите фигурировать в статистике, убедитесь, что все компьютеры своевременно обновлены.

Определение членства в домене:
Этот раздел следует прочесть тому, что хочет сделать ISA-сервер членом домена. ISA-сервер никогда не должен быть контроллером домена, хотя небольшие изменения на SBS-сервере (Small Business server) могут позволить это. При вариантах с высокой защитой решением может стать полная изоляция домена. Помните, что если компьютер является частью домена, у него есть доступ ко всему домену, и даже если при наличии проверки учетных записей, он все равно является угрозой. Злоумышленник будет искать компьютер, который сделает всю работу за него: будет обследовать домен на предмет подтверждения учетных записей пользователей и/или аутентификации.

Учетные записи:
Если вы используете Windows NT и выше, убедитесь, что администраторская учетная запись хорошо защищена. Лучше всего дать этой учетной записи какой-нибудь обычное имя, а затем создать новую запись с именем «administrator». Дав этой записи самые ограниченные привилегии, вы тем самым заставите злоумышленника, которому удастся получить доступ к этой фальшивой администраторской записи, потратить впустую большое количество времени. Однако злоумышленник, который понимает, как отображается информация об учетных записях, без труда обнаружит запись с наибольшими привилегиями. Если аутентификация учетных записей в сети, например, от ISA-сервера к контроллеру домена, не защищена, она может стать главной уязвимостью. Для этого в средах с высоким уровнем безопасности для аутентификации в домене имеет смысл применять особые сетевые карты. Трафик не будет проходит по обычной сети, которую можно прослушать. В таких средах конфиденциальность пользователя составляет главный риск, и, в случае отказа от использования таких сетевых карт, следует использовать шифрование.

Некоторые учетные записи ISA-сервера не нужны, поэтому их легко проверить. Настоятельно рекомендую удалять ненужные учетные записи, а не просто отключать их. Это следует сделать до установки ISA-сервера. Не следует добавлять новые учетные записи на более поздних стадиях работы, поскольку это может повлечь за собой риск физической безопасности.

Резюме

Во второй части мы продолжим обсуждать советы о защите ISA-сервера. Обновления и элементы физической защиты – это все хорошо, но это не все, что нужно сделать для безопасности ISA-сервера. Прочтите вторую часть статьи и найдите подходящее решение для вашей организации.

www.isaserver.org







Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]