Thursday, October 18th, 2018

Как сделать брандмауэр ISA таким же бестолковым, как и традиционный структурно проверяющий пакеты

Published on Февраль 6, 2009 by   ·   Комментариев нет

Эта статья впервые появилась в информационном бюллетене на ISAserver.org пару месяцев назад. Она была так популярна, что я решил обновить и расширить её и вынести её в онлайн на главном сайте статей ISAserver.org.

Для меня одним из худших способов начать день является чтение почты вроде этой:

«Мы хотим установить ISA Server 2004 в Web кэш-режиме. Мы уже имеем аппаратный брандмауэр, так что нам не нужен ISA в режиме брандмауэра. Как мне это сделать?»

Что делает это болезненным испытанием, так это то, что я не могу понять, что стряслось с теми людьми, которые хотят заткнуть свои брандмауэры ISA. Когда Вы устанавливаете брандмауэр ISA в конфигурации с единственным NIC, Вы теряете существенную часть средств защиты, которую брандмауэр ISA может Вам обеспечить (дополняет и расширяет возможности защиты, которую обеспечивает Ваш текущий структурно проверяющий пакеты брандмауэр). Несмотря на то, что брандмауэр ISA будет изящно защищать себя в режиме с единственным NIC, Вы проявляете милосердие к структурно проверяющему пакеты брандмауэру для защиты сети, которая не является местом, где я хотел бы оказаться.

Это похоже на высказывание типа: «Мой Феррари развивает слишком большую скорость; не могли бы Вы дать мне инструкции о том, как удалить три шины, чтобы уменьшить его скорость? У меня уже есть Yugo для быстрой езды».

Дело в том, что брандмауэр ISA является достижением искусства, брандмауэром третьего поколения, который обеспечивает и структурную проверку пакета(это обеспечивает любой «аппаратный» брандмауэр) и добавляет к тому структурную проверку прикладного уровня брандмауэра ISA, которую традиционные аппаратные брандмауэры не предоставляют.

Когда я спрашиваю этих парней — что за потребность в затыкании их брандмауэров ISA, то слышу чепуху вроде:

  • «Я чувствую себя более комфортно с аппаратным брандмауэром».
  • «Я не доверяю Microsoft-овской безопасности».
  • «А разве ISA не является Proxy сервером?»

Я чувствую себя более комфортно, когда со мной в кровати находится мой плюшевый мишка, потому что я верю, что это остановит монстров, выходящих из туалета. Но только лишь то, что это создаёт мне ощущение комфорта, вовсе не означает, что плюшевый мишка способен защитить от монстров, выходящих из туалета. Они обычно появляются независимо от состояния моего мишки.

Подумайте об этом. Какой брандмауэр защищает больше взломанных сетей, чем любой другой? (подсказка: это не брандмауэр ISA).

Если Вы не доверяете Microsoft-овской безопасности, почему Вы вообще используете какое-либо программное обеспечение Microsoft? Безопасность хоста исключительно важна, и, возможно, более важна, чем сетевая безопасность, обеспеченная любым брандмауэром.

Ан, нет, Proxy Server 2.0 был отправлен в отставку несколько лет назад — брандмауэр ISA является БРАНДМАУЭРОМ. Больше не спрашивайте об этом.

Однако, ясно, что многие «эксперты» по брандмауэрам и администраторы всё ещё обеспокоены монстрами, выходящими из туалета, а «аппаратные» брандмауэры- это их игрушечные мишки. Хотя мы никогда не сможем превратить брандмауэр ISA в мишку, мы можем заставить его выглядеть подобно одному из тех твердолобых, которые чувствуют себя дискомфортно без «аппаратного» брандмауэра.

Ну что ж, мы пройдём вещи, которые Вы можете сотворить, чтобы сделать брандмауэр ISA таким же тупым (и ненадёжным), как аппаратный брандмауэр.

  • Установите брандмауэр ISA в Unihomed Web Proxy режиме
  • Создайте «All Open(всё открыто)» правило исходящего доступа(Outbound Access Rule)
  • Никогда не требуйте подтверждение подлинности для выходного доступа
  • Не устанавливайте Firewall клиент
  • Не конфигурируйте броузеры как Web Proxy клиенты
  • Не используйте HTTP фильтр безопасности
  • Не присоединяйте брандмауэр ISA к Вашему домену Active Directory

Отупление брандмауэра ISA путём установки в Unihomed Web Proxy режиме

Когда Вы устанавливаете брандмауэр ISA в unihomed Web Proxy режиме, единственным хостом в Вашей сети, который полностью защищён брандмауэром ISA, является сам брандмауэр ISA. Брандмауэр ISA (unihomed) в такой конфигурации действует только как передний(forward) и обратный(reverse) Web proxy сервер. Пока брандмауэр ISA поддерживает свои функциональные возможности межсетевой защиты для защиты самого себя, Вы уповаете на милость структурно проверяющего пакеты брандмауэра по охране покоя Вашей сети.

Как сделать брандмауэр?

Создание правила доступа «всё открыто»

Вы когда-нибудь задавались вопросом, почему техники первого уровня с другой стороны телефона всегда говорят Вам «откройте порт», даже несмотря на то, что ни один брандмауэр в мире не имеет кнопки «открыть порт»? Причина в том, что «аппаратные» брандмауэры предполагают, что Вы собираетесь позволить всему от всех уходить в Internet, так что единственные порты, которые должны быть «открыты»-это те, которые являются входными со стороны Internet (есть некоторые неосмысленные предположения по поводу «открыть порт», но мы поговорим об этих проблемах в другой раз).

Как зделать брендмауер?

Вы можете уменьшить общий уровень безопасности брандмауэра ISA до такого, какой Вы получаете от использования аппаратного брандмауэра, создав правило доступа «All Open(всё открыто)» на брандмауэре ISA. Это даст всем пользователям доступ ко всем протоколам при подключении к Internet, причём они могут оставаться анонимными пока делают это.

Разрешение только анонимных подключений через брандмауэр ISA

Говоря об анонимных подключениях, большинство администраторов аппаратных брандмауэров согласятся, что аутентификация является этаким мучением. Пользователи жалуются, что им не позволено обращаться к некоторым сайтам при использовании некоторых протоколов, в то время как другим пользователям, казалось бы, это разрешено.

Как сделать брандмауэр?

Это не справедливо, не так ли? Каждый был в состоянии делать всё, что только захочется, в Internet, когда у Вас был только «аппаратный» брандмауэр. Это ясное свидетельство того, что что-то не так с брандмауэром ISA, правильно? Если все пользователи не могут добраться до всего, значит ISA, должно быть, сломал что-то.

Исправьте это, превратив брандмауэр ISA в подобие Вашего аппаратного брандмауэра, и не требуйте аутентификацию на любом из Ваших правил доступа брандмауэра ISA.

Не устанавливайте Firewall клиент

Firewall клиент позволяет сетевым клиентским системам, защищённым брандмауэром ISA, прозрачно отсылать пользовательский мандат через зашифрованный канал к брандмауэру ISA для целей аутентификации. Это позволяет брандмауэру ISA навязывать строгий контроль доступа, основанный на пользователе/группе, над соединениями, сделанными через брандмауэр ISA или к нему.

Как сделать брандмауэр?

Проблемой является то, что аппаратный брандмауэр не требует наличия контроля доступа, основанного на пользователе/группе. Итак, ясно, что нет смысла устанавливать Firewall клиент. А если у Вас всё же есть аппаратный брандмауэр, который позволяет осуществлять подтверждение подлинности для выходного доступа, то установите Firewall клиент, но не задавайте шифрование канала. Это оболванит брандмауэр ISA так, что он будет действовать подобно незашифрованному каналу Вашего аппаратного брандмауэра для пересылки имён пользователей и паролей.

Это сделает многие вещи проще для каждого.

Не конфигурируйте Web броузеры как Web Proxy клиенты

Клиентская конфигурация Web Proxy даёт Web броузеру возможность автоматически отсылать пользовательский мандат к брандмауэру ISA и общаться напрямую с его Web proxy компонентом. Это даёт Вам возможность получить контроль доступа, основанный на пользователе/группе, над всем Web доступом, и в то же самое время, вместе с выгодой от средства Web кэширования брандмауэра ISA выжать и лучшую производительность.

Как сделать брандмауэр?

Однако так как аппаратный структурно проверяющий пакеты брандмауэр не содержит Web proxy компонент и не подтверждает подлинность пользователей, то нет смысла включать Web proxy конфигурацию. Вы также не хотите, чтобы Web доступ был слишком быстрым из-за Web proxy компонентов, так как Ваш аппаратный брандмауэр не в состоянии кэшировать Web страницы для ускорения Internet доступа.

Не конфигурируйте HTTP фильтр безопасности брандмауэра ISA

Брандмауэр ISA является усиленным брандмауэром, структурно проверяющим пакеты и прикладной уровень. Одним из ключевых средств структурной проверки прикладного уровня брандмауэра ISA является его HTTP фильтр безопасности.

Как зделать брендмауер?

HTTP фильтр безопасности позволяет брандмауэру ISA полностью проверять практически любые аспекты HTTP соединения и блокировать то, что базируется на параметрах по Вашему выбору. Замечательной особенностью является то, что решения блокирования прилагаются к правилам разрешения, так что даже когда Вы разрешаете HTTP соединения для некоторого специфического подключения, если есть подозрительные компоненты в соединении, то брандмауэр ISA заблокирует его.

Аппаратный брандмауэр не способен полностью проверять соединения, двигающиеся через него, поэтому Вы хотите убедиться, что не конфигурируете HTTP фильтр безопасности на брандмауэре ISA. Дальнейшее даёт возможность брандмауэру ISA быть таким же тупым, как Ваш структурно проверяющий(только) пакеты аппаратный брандмауэр.

И последнее…

И последнее. НЕ включайте брандмауэр ISA в Ваш домен Active Directory.

Если бы Вы присоединили брандмауэр ISA к Вашему домену, Вы могли бы использовать Firewall клиент; Вы могли бы использовать интегрированную аутентификацию для исходящего доступа, чтобы прозрачно посылать пользовательский мандат к брандмауэру ISA для удостоверяемого Web доступа; Вы могли бы вести учёт приложений, которые пользователи используют, чтобы подключаться к Internet через брандмауэр ISA; Вы могли бы упростить клиентскую и шлюзовую конфигурацию VPN удалённого доступа; Вы могли бы использовать отображение (mapping) пользовательского сертификата; Вы могли бы упростить пре-аутентификацию входящих Web запросов — Вы могли бы делать эти вещи и многие другие.

Ваш аппаратный брандмауэр не может делать ничего из этих вещей, так что можете быть уверены, что Ваш брандмауэр ISA стал точно таким же бестолковым, как и «аппаратный» брандмауэр, и не присоединяйте брандмауэр ISA к домену!

Резюме

Вы сделали это. Брандмауэр ISA теперь точно такой же, как и Ваш аппаратный брандмауэр. Чувствуете ли Вы себя в большей безопасности? Чувствуете ли Вы что-то типа того, что Вы имеете больше возможностей контроля входного и выходного доступа через брандмауэр ISA? Чувствуете ли Вы, что максимально окупили большинство инвестиций в программное обеспечение брандмауэра ISA и что Вы приложили всё необходимое и должное усердие, требующееся для осуществления лучших практик сетевой безопасности и управляющего соглашения(regulatory compliance)?

Хотелось бы надеяться, что всё это исполнено в контексте «безопасности», которую, как вы думаете, «аппаратный» брандмауэр предположительно обеспечит Вашей организации. Пока что Вы можете, конечно, сохранить Ваш нынешний аппаратный брандмауэр и поставить его перед брандмауэром ISA (чем больше уровней защиты плохие парни должны преодолеть, тем лучше). Не вводите себя в заблуждение — только из-за того, что Вы заплатили в 5 раз больше за «аппаратный» брандмауэр, это не означает, что он обеспечивает хотя бы половину безопасности брандмауэра ISA.

Источник www.isaserver.org


Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]