Sunday, July 22nd, 2018

Защищаем ISA Server 2004 (Часть 2)

Published on Февраль 10, 2009 by   ·   Комментариев нет

В данной статье, состоящей из двух частей, я расскажу о защите сервера ISA 2004. Эта часть посвящена проверке брандмауэра и тому, что нужно сделать для проведения такой проверки.

Другие части этой же статьи:

Производители сами выпускают неплохие статьи, и я буду ссылаться на них для того, чтобы профессионалы в области сетевых технологий лучше понимали проблемы аппаратного и программного обеспечения. Главная задача защиты ISA-сервера состоит в том, чтобы уменьшить количество точек соприкосновения с ISA-сервером, что можно назвать уменьшением площади атаки. Давайте посмотрим, как это сделать.

Системная политика ISA-сервера

Ниже приведены ключевые элементы системной политики ISA-сервера, которые, для создания безопасной системы ISA, нужно внимательно настраивать и проверять.

Сетевые службы: эти службы управляются системной политикой и должны быть тщательно контролируемы на предмет доступа и разрешения на запуск.

Службы аутентификации: определяют механизм аутентификации ISA-сервера. Здесь вы можете установить прохождение аутентификации на нужном сервере, а также места входа дополнительных сетевых карт.

Удаленное управление: Этот элемент определяет, кто может администрировать сервер. Будьте аккуратны, предоставляя доступ к ISA-серверу, поскольку неверные настройки данного элемента могут подвергнуть сервер опасности. Рекомендуется использование статических IP-адресов или определение группы пользователей для удаленного администрирования. Тщательно обдумайте удаленное администрирование.

Общий ресурс клиентов брандмауэра: если вы используете эту функцию, я бы посоветовал вам перенести данный ресурс на другой сервер. Обратите внимание, что к данной функции имеет доступ только внутренняя сеть, которую можно контролировать с помощью системной политики.

Службы диагностики: Только для уполномоченных пользователей, либо для отдельной административной подсети. Это может быть специальная сеть, используемая специалистами ИТ.

Управление ролями и разрешениями: Нужно внимательно относиться к распределению разрешений на компьютере с установленными ISA-сервером и связанных с ним компонентах, поскольку ISA-сервер контролирует доступ к сети. Это может быть достигнуто путем тщательного определения настроек и прав регистрации для лиц, регистрирующихся на ISA-сервере. ISA-сервер позволяет это сделать с помощью назначения административных ролей пользователям и группам пользователей.

Административные роли: При проверке убедитесь, что данная кнопка нажата. При определении разрешений для ISA-сервера следует обратить особое внимание на роли администратора ISA-сервера. В ISA-сервере данный процесс облегчен использованием списка четко разграниченных ролей пользователей. Могут применять следующие роли:

  • Основные проверки ISA-сервера: Данная роль позволяет проверять компьютер с установленным ISA-сервером и сетевую активность, но не разрешает настраивать особые функции проверки. Это является частью процесса защиты, поскольку при проверке ISA-сервера вы можете найти дополнительные аспекты.
  • Расширенная проверка ISA-сервера: Данная роль позволяет проводить все проверки, включая настройку журналов, предупреждений безопасности и всех функций, доступных в базовой проверке. Данная роль используется для работы опытных пользователей на ISA-сервере.
  • Полный администратор ISA-сервера: Данная роль позволяет выполнять все задачи, включая настройку правил, применения сетевых шаблонов и проверок.

Уменьшение площади потенциальной атаки

Дальнейший процесс защиты ISA-сервера заключается в уменьшении площади потенциальной атаки. Делается это так:

  • Удалите или отключите ненужные приложения и службы на компьютере с ISA-сервером. Здесь встает вопрос об антивирусе. Антивирус нужен, однако он должен быть тщательно протестирован. Также следует убедиться, что данный антивирус имеет серверный класс, поскольку многие производители встраивают в программное обеспечение свой брандмауэр и другие модули, которые могут нарушить работу ISA-сервера.
  • Отключите все ненужные на данный момент функции ISA-сервера.
  • Отключите все системные политики, связанные со службами, которые не используются для управления сетью.
  • Ограничьте применение правил системной политики только необходимыми элементами сети.

Шаг 2: Защита настроек ISA-сервера

Для гарантии безопасности настроек ISA-сервера обязательно проверяйте настройки после обновления версий, например, после перехода с ISA 2000 на ISA 2004, поскольку различные версии используют различные политики. Также следует проверить политику брандмауэра, если она была создана взамен политики по умолчанию. Политику брандмауэра следует проверять на предмет разрешенного трафика, и для подтверждения того, что все ненужные порты закрыты. По умолчанию ISA-сервер применяет правило политики брандмауэра по умолчанию, называемое Default Rule (Правило по умолчанию). Эта политика отклоняет доступ всех неавторизированных пользователей всех сетей.

ISA-сервер может использоваться для VPN. В этом случае обязательно убедитесь, что ISA-сервер надежно защищен от любого неавторизированного доступа в сеть. Для защиты ISA-сервера, использующегося в качестве VPN-сервера, используйте следующее:

  • Безопасные соединения по протоколу L2TP поверх IP
  • Контроль операционных систем удаленных VPN-клиентов с помощью разрешения использования только определенных систем
  • Используйте функцию ISA-сервера Quarantine Control (Карантин). Она позволяет проверять пользователей, получающих доступ в сеть, и для устранения потенциальных атак ей предпринимаются действия по нейтрализации неавторизованных пользователей.

Другой проблемой для ISA-сервера, работающего как VPN-сервер, может стать незащищенность от вирусов, которые поступают на ISA-сервер с зараженных VPN-клиентов. Такие потенциальные угрозы могут быть предотвращены с помощью различных средств защиты от вирусов. Следует внедрять проверки для определения нарушений и разработать процедуру оповещения, например, по электронной почте, о потенциальной атаке. Если зараженный VPN-клиент известен, его можно исключить из списка клиентов, которым разрешены соединения, двумя способами: запретить доступ по имени пользователя или по IP-адресу.

Для большей безопасности VPN-соединения должны быть аутентифицированы. Это достигается с помощью различных протоколов аутентификации.

Еще одна функция ISA-сервера, которая защищает настройки, это разрешение администраторам контролировать количество соединений к серверу в любой момент времени. Предел соединений может быть настроен для удовлетворения особых требований клиентов, и в случае достижения установленного предела, все последующие соединения отвергаются. Для безопасного окружения рекомендуется разрешать наименьшее количество соединений.

Шаг 3: Защита операций ISA-сервера

Теперь мы определим, как установить сетевую инфраструктуру, защищенную ISA-сервером.

Удаленный доступ к сети

Ограничьте коммутируемый доступ для доверенных и авторизированных пользователей и ограничьте функциональность пользователей из удаленных сетей. Для отслеживания пользовательской активности можно разработать специальные политики. При удаленном доступе к сети доверенным и безопасным методом является VPN. Данные, которые проходят по VPN-соединениям, гораздо сложнее перехватить, чем данные в обычных PPP-соединениях в PSTN-сетях. При повышенной безопасности поместите систему в место, где для любого удаленного доступа к любому ресурсу требуется подтверждение учетных данных. Используйте клиентские сертификаты и методы аутентификации по паролю. В случае неправильного внедрения удаленный доступ остается одним из самых слабых звеньев в сетевой безопасности и является той дыркой, которую так ищут злоумышленники.

Антивирус

Установки антивирусного программного обеспечения должны быть самыми жесткими. Это гарантирует недопущение любой формы вирусной активности. При выборе антивируса протестируйте его с вашим ISA-сервером и убедитесь, что данный антивирус разработан специально для серверов.

Определение / предупреждение проникновения.

Определение проникновения – это важная часть защиты сети Windows. Существует много различных продуктов обнаружения проникновения, которые помогут защититься от нежелательного вторжения.

Установленные службы

На большинстве компьютеров под управлением Windows службы работают в качестве зарегистрированных процессов. В таких службах злоумышленники и хотят найти уязвимости. Отключение всех ненужных служб оставляет злоумышленникам меньше возможностей найти брешь. К тому же это уменьшает нагрузку на аппаратное обеспечение и требует меньше времени для контроля.

Файловая система

На защищенных компьютерах должна быть установлена файловая система с наивысшей формой безопасности. NTFS является высокозащищенной файловой системой, которая позволяет администраторам и пользователям контролировать доступ к файлам, имеющим определенные разрешения. Данные на дисках не так уязвимы, как в случае использования системы FAT. В то же время некоторые компании разработали программы, которые могут читать файлы на дисках NTFS, не взирая на разрешения. По умолчанию, система NTFS требуется для файла кэша ISA-сервера. Я рекомендую использовать самые безопасные установки файловой системы при установке ISA-сервера.

BIOS

Назначьте пароль на доступ к BIOS. Если злоумышленник получит физический доступ к ISA-серверу и захочет изменить порядок загрузки внутри компьютера, ему вначале потребуется войти в BIOS, чтобы установить загрузку с CD-ROM, поскольку утилиты, которые дают доступ к компьютеру, обычно располагаются на CD-дисках. Назначив пароль на BIOS, вы увеличите безопасность еще на одну ступень. Если пользователь не может получить доступ в компьютер, поскольку он ограничен физически, BIOS нельзя будет перегрузить и он останется заблокированным. Обратите внимание, что некоторые производители устанавливают общий пароль на BIOS, который заменяет ранее установленные пароли. Поэтому, при выборе аппаратного обеспечения выбирайте производителя, у которого нет такой возможности.

Это часто встречающаяся физическая атака, поэтому запретите доступ или установите на ISA-сервер устройство, которое разрешает только удаленный доступ.

Диски загрузки

При назначении дисков для загрузки убедитесь, что загрузка возможно только с диска C:, поскольку остальные устройства, такие как CD, дискеты и переносные диски предоставляют возможности для атаки. Злоумышленникам может потребоваться установка или загрузка приложений сторонних производителей, и, в случае возможности загрузки в обход операционной системы, это может стать возможным. Многие специалисты по безопасности защищают операционные системы, но не обращают внимания на опции загрузки и возможности использования переносных устройств.

Резервное копирование

В любой организации стратегия восстановления после кризиса является частью бизнес-процесса. Также и в ISA-сервере стратегия резервного копирования должна быть частью стратегии безопасности. Все настройки ISA-сервера должны сохраняться в резервных копиях и периодически восстанавливаться на тестовых системах. Резервные копии очень важны, и необходимо, чтобы носители с копиями хранились вне офиса. Хранение резервных копий внутри офиса не поможет в случаях физического разрушения офиса. Для ситуаций, которые требуют высокого уровня безопасности данных, нужно использовать хранение вне офиса.

Резюме

Защита ISA-сервера – это постоянный процесс, и к нему нужно относиться очень серьезно. Постоянные проверки, похожие на то, что показано на сайте ISACA, которые включают и проверку брандмауэра, должны проводиться как минимум раз в год. Сохраните целостность вашей сети, защитите вашу пограничную сеть.

www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]