Monday, December 11th, 2017

Конфигурирование Брандмауэра ISA на PIX DMZ для Безопасного Удаленного Доступа к OWA и другим Службам Exchange

Published on Февраль 12, 2009 by   ·   Комментариев нет

Одна проблема, которую я изредка должен был решать до того времени, пока ни появился ISA Server 2004 — была, когда организации требовалось удалить ее текущую инфраструктуру PIX брандмауэра для безопасной поддержки ISA Server 2000 сценариев удаленного доступа к Exchange Server. В отличие от нового ISA брандмауэра, организации рассматривали ISA Server 2000, главным образом, как Web-прокси сервер, подобный Proxy Server 2.0. До тех пор, пока было такое восприятие ISA Server 2000 как только прокси сервера, никогда не вставал вопрос, должен ли оставаться PIX там, где он установлен. Вопросы были в другом: где установить ISA Server 2000 позади PIX.

За последние шесть месяцев я был приятно удивлен количеством компаний, которые пришли к выводу, что защита, которую обеспечивают брандмауэры, имеющие только базовую инспекцию пакетов с контролем состояния соединений, не достаточна для защиты сетей от нынешних смешанных сетевых атак и атак уровня приложений.

Пока проблема инспекции уровня приложений с контролем состояния соединений варится годами среди специалистов по сетевой безопасности, прошло 12-18 месяцев с тех пор, когда я видел, как традиционные сетевые менеджеры серьезно спрашивали об эффективности тогдашней инфраструктуры пакетной инспекции с контролем состояния соединений и искали улучшенные решения, такие как брандмауэр ISA (которые обеспечивали бы и инспекцию пакетов, и инспекцию уровня приложений с контролем состояния соединений).

Теперь я решаю вопросы о том, должен ли брандмауэр ISA заменять текущую инфраструктуру PIX или все же он должен оставлять существующий PIX на прежнем месте и интегрировать возможности брандмауэра по инспекции пакетов и уровня приложений с контролем состояния соединений для повышения уровня безопасности, обеспечиваемого PIX.

Преимущества и недостатки использования существующего PIX

Здесь приведены преимущества и недостатки такого решения. Преимущества сохранения PIX следующие:

  • Большинство персонала сетевых инфраструктур уже хорошо пропитаны подходом Cisco к выполнению действий и чувствуют себя более «комфортабельно» с PIX
  • На местах есть персонал, который хорошо понимает PIX конфигурацию и управление
  • PIX может разгружать брандмауэр ISA от «мусорного» трафика, оставляя больше процессорного времени для движков инспекции пакетов и уровня приложений с контролем состояния брандмауэра ISA
  • PIX может быть использован для поддержки шлюзов VoIP, расположенных на корпоративной сети и исправляет тот факт, что брандмауэр ISA не поддерживает SIP шлюз уровня приложений
  • Компания уже имеет значительные «капитальные вложения» в инфраструктуру PIX и обучение
  • PIX может использоваться в качестве резервного брандмауэра для исходящего доступа в случаях, когда брандмауэр ISA испытывает проблемы с оборудованием (Я не рекомендую использовать PIX для поддержки сценариев входящего доступа)
  • Вы можете обойти возражения «угодливых тестеров», вооруженных клипбордами и галочками, которые не знают того, о чем говорят (многие из них пропитаны мифами о безопасности и неправильным представлением, такими, как обсуждаемые в статье Security Myths (Мифы безопасности) по адресу http://www.microsoft.com/technet/community/columns/secmgmt/sm0305_2.mspx)

Недостатки сохранения существующего PIX:

  • Стоимость продолжающихся контрактов поддержки Cisco
  • Возможность брандмауэрных недоразумений из-за смеси брандмауэрных окружений
  • Недостаток поддержки безопасной публикации Exchange RPC, потому что не имеется интеллекта уровня приложений для поддержки защищенного Exchange RPC протокола
  • Увеличение сложности брандмауэрной конфигурации
  • Могут случаться проблемы с FTP, зависящие от применения PIX фильтра FTP
  • Задержки полного перехода от PIX на безопасную инфраструктуру брандмауэра ISA

В целом, мое обычное предпочтение — оставить на месте PIX. Это обычно не причиняет проблем чему-либо, компания уже заплатила за него и это смягчает ИТ-менеджеров, кто «еще не уверен».

Есть три установки, которые я обычно рассматриваю в этом гибридном PIX и ISA брандмауэрном окружении. Это:

  • Брандмауэрные настройки «back to back» (спина к спине)
  • Параллельные брандмауэрные настройки
  • Настройка брандмауэра ISA в PIX DMZ

Брандмауэрная настройка «Back to Back»

В брандмауэрной настройке back to back (спина к спине) PIX расположен спереди брандмауэра ISA и имеет, по крайней мере, один интерфейс на Интернете и один — на сетевом сегменте, который разделяет с внешним интерфейсом брандмауэра ISA. Эта конфигурация делает PIX первым устройством для входящего трафика и последним устройством для исходящего трафика.

Основное преимущество этой конфигурации в том, что PIX может обрабатывать весь входящий «мусорный» трафик, которым является любой трафик, который вы не хотите принимать. Такой трафик включает весь основной трафик для ресурсов, которые не предоставлены вами для пользователей Интернета.

Dmz pix

Эта конфигурация легка в настройке. WAN интерфейс PIX настроен с соответствующим публичным адресом и шлюзом-маршрутизатором, а его LAN интерфейс настроен на тот же сетевой ID, что и внешний интерфейс брандмауэра ISA. Внешний интерфейс брандмауэра ISA настроен адресом на том же сетевом ID, что и LAN интерфейс PIX, а внешний интерфейс брандмауэра ISA настроен на использование PIX в качестве шлюза по умолчанию.

Брандмауэрная конфигурация «back to back» поддерживает почти все входящие и исходящие соединения в и из корпоративной сети. Эта конфигурация является проблемной только для входящих и исходящих защищенных Exchange RPC соединений, потому что PIX не имеет интеллекта подходящего уровня для выполнения фильтрации и соответствия протоколу, требуемых для защищенного Exchange RPC. Есть только один способ заставить это работать — открыть все входящие и исходящие порты для PIX, при этом полностью теряется смысл его использования в качестве передового устройства в этом месте.

Брандмауэрная политика на PIX является прямолинейной: разрешить все исходящее из IP-адресов, связанных с внешним интерфейсом брандмауэра ISA и разрешить входящие только те протоколы, которые были опубликованы брандмауэром ISA.

Например, если вы опубликовали OWA сайт позади брандмауэра ISA, вы настроите PIX для пересылки всех соединений TCP 443 их получателям на IP-адреса на внешнем интерфейсе брандмауэра ISA, используемых Web-приемником.

Помните, что вы можете использовать или личные, или публичные адреса на DMZ между PIX и брандмауэром ISA. Я предпочитаю использовать публичные адреса, потому что поддерживаются протоколы верхнего уровня, но, если вы не имеете эту возможность, личные адреса будут работать также хорошо. Однако, учтите, что некоторые протоколы и комбинации NAT редактора не всегда работают друг с другом в конфигурации «двойного NAT».

Параллельная Брандмауэрная Конфигурация

В параллельной брандмауэрной конфигурации оба, и PIX, и брандмауэр ISA имеют публичные и личные интерфейсы. Публичные интерфейсы настроены с адресами публичной части, а личные интерфейсы настроены с допустимыми адресами на корпоративной сети. Обычно публичные интерфейсы расположены на одном и том же сетевом ID, и личные интерфейсы так же расположены на одном и том же сетевом ID, хотя это обычно не требуется в зависимости от ваших сетевых требований.

Pix 515 примеры конфигурации

Преимущество этой конфигурации в том, что вы получите пользу от полной инспекции пакетов и уровня приложения с контролем состояния соединения и для входящих, и для исходящих соединений через брандмауэр ISA, и полную инспекцию пакетов с контролем состояния соединения на PIX.

Вы можете развернуть полномасштабные возможности брандмауэра ISA, включая VPN, Web-прокси и кэширование, Брандмауэрных клиентов, входящего и исходящего Secure Exchange RPC (Защищенный Exchange RPC) и все остальные возможности расширенной публикации Exchange Сервера, включенные в брандмауэр ISA. Дополнительно, если вы имеете шлюз VoIP, основанный на SIP, на корпоративной сети, вы можете настроить его на использование PIX в качестве Интернет-щлюза.

PIX и брандмауэр ISA могут быть «спиной к друг-другу» до момента, пока один из них не станет недоступным. Вы можете использовать аппаратное устройство между корпоративными сетевыми host’ами и LAN интерфейсами брандмауэров или использовать что-либо такое же простое, как Internet Router Discovery Protocol (Протокол Обнаружения Интернет Маршрутизатора) для обеспечения защиты от сбоев и поломок (хотя есть некоторые проблемы безопасности с использованием IRDP).

Я считаю это наилучшей конфигурацией, потому что она обеспечивает наибольшую доступность, прекрасную протокольную поддержку, превосходную безопасность и относительно простую установку и настройку. Все host’ы на корпоративной сети используют брандмауэр ISA, как их точку входящего и исходящего доступа, кроме случаев, когда эти серверы требуют SIP поддержку. PIX может действовать, как горячий резерв брандмауэра ISA, или вы можете использовать его для устройств, требующих исходящий доступ в Интернет, но не требуя авторизации для исходящих соединений.

Брандмауэр ISA в PIX DMZ Конфигурации

Брандмауэр ISA в PIX DMZ конфигурации позволяет вам обеспечить комфорт для администраторов старой школы, кто все еще не может спать по ночам из-за брандмауэра ISA на краю корпоративной сети. Эта конфигурация уменьшает обратную передачу, которую мы можете получать от отъявленных PIX парней, оставляя все еще разрешенным для вас получать всю защиту пакетов и уровня приложений с контролем состояния соединений и управление доступом, обеспеченные брандмауэром ISA.

Эта установка использует PIX в качестве крайнего брандмауэра для сети. PIX имеет три интерфейса (DMZ лицензии): Публичный интерфейс, личный корпоративный интерфейс и DMZ интерфейс, который разделен с внешним интерфейсом брандмауэра ISA. Внешний интерфейс брандмауэра ISA находится на том же сетевом ID, что и DMZ интерфейс PIX, а внутренний интерфейс брандмауэра ISA расположен на корпоративной сети, на том же сетевом ID, что и личный корпоративный интерфейс PIX.

Польза от этой конфигурации в том, что этим завершается забота о помещении так называемого «программного брандмауэра» на край сети. Это важно выполнять, так как даже брандмауэр ISA Server 2000, который не настолько защищен и крепок против атак на брандмауэр ISA Server 2004, никогда на рапортовал о риске от внешнего интерфейса.

Теперь с новым брандмауэром ISA все интерфейсы вполне закаленные и компоненты IP-фильтра лежат так низко в сетевом стеке, что если защита брандмауэра ISA даже и нарушится, нарушится стек в целом и никакой трафик не будет перемещаться в или сквозь брандмауэр.

Pix dmz mail proxy ad

Эта конфигурация позволяет PIX быть только граничным устройством и делает брандмауэр ISA основным внутренним брандмауэром для входящего и исходящего доступа Интернета. Разница между этой конфигурацией и конфигурацией front-end/back-end (Внешний/внутренний), которую мы обсуждали ранее, только в том, что и брандмауэр ISA, и PIX имеют интерфейсы на корпоративной сети.

Хотя это и явно меньшая защищенность (так как только PIX расположен между Интернетом и корпоративной сетью), такая конфигурация еще долго эффективно умиротворяет приверженцев традиций, так что брандмауэр ISA может себя утвердить.

Вы можете использовать или публичные или личные адреса в DMZ сети между внешним интерфейсом брандмауэра ISA и DMZ интерфейсом PIX. Идеальная ситуация, когда используется публичный адрес, так что это избавляет от любых NAT проблем, связанных с двойным NAT’ингом, упоминавшихся ранее в брандмауэрной конфигурации «спина к спине».

Брандмауэрные правила на PIX должны быть настроены на разрешения всех входящих и исходящих соединений к и из внешних адресов брандмауэра ISA. PIX может выполнять инспекцию уровней 3 и 4 с контролем состояния соединений и предотвращать взлом на сетевом уровне, когда разрешены все соединения к и из внешнего интерфейса брандмауэра ISA. PIX должен также быть настроен на разрешение no inbound traffic (не входящий трафик) из Интернета в корпоративную сеть, и разрешения исходящего трафика только от специальных серверов на корпоративной сети, которые обеспечивают сервисы, не полностью поддерживаемые брандмауэром ISA (такие, как шлюзы VoIP).

Все Windows клиентские операционные системы на корпоративной сети могут быть сконфигурированы как Брандмауэрные или Web-прокси клиенты брандмауэра ISA. Не-Windows клиенты и серверы могут быть настроены как SecureNAT клиенты брандмауэра ISA. Как и в других сценариях, PIX может быть использован в качестве адреса Интернет-шлюза для шлюза VoIP, расположенного на корпоративной сети.

Этот проект позволяет вам получить все преимущества от строгого управления доступом брандмауэра ISA на базе пользователь/группа, регистрации и отчетности, и также позволяет вам усилить его супер безопасную поддержку для удаленного доступа к Exchange Серверам и сервисам на корпоративной сети.

Следуя пути к Exchange в Брандмауэре ISA в PIX DMZ Окружении

Рисунок, приведенный ниже, показывает входящий и исходящий путь для высокозащищенного удаленного доступа к Exchange OWA серверу, используя брандмауэр ISA в PIX DMZ конфигурации.

Удаленный клиент в Интернете соединяется с брандмауэром ISA через PIX. Адрес, используемый удаленным клиентом, зависит от того, используете ли вы публичные или личные адреса на DMZ между PIX и брандмауэром ISA. Если личные адреса используются на DMZ, то удаленный OWA клиент подключается к IP-адресу на внешнем интерфейсе PIX и PIX выполняет NAT преобразование соединения на внешний интерфейс брандмауэра ISA. Если используются публичные адреса на DMZ между PIX и брандмауэром ISA, то удаленный host может соединиться непосредственно на публичный адрес на внешнем интерфейсе брандмауэра ISA.

Доступ к owa из интернета

Примечание к рисунку: пути запроса и ответа совпадают. Однажды брандмауэр ISA, получив запрос на соединение, выполняет инспекцию пакетов и уровня приложения с контролем состояния соединения и, если попытка соединения не представляет распознанный или потенциальный риск, запрос пересылается на OWA сайт на корпоративной сети. Когда OWA сайт отвечает, он должен послать этот ответ назад через брандмауэр ISA, а затем брандмауэр ISA передает наружу удаленному клиенту через PIX.

Для OWA публикации настройки по умолчанию в брандмауэре ISA установлены на замену оригинального IP-адреса клиента на IP-адрес локального интерфейса брандмауэра ISA (ближайший интерфейс к опубликованному OWA сайту). Это позволяет вам конфигурировать OWA сайт с адресом шлюза, который не маршрутизирует исходящие соединения в Интернет через брандмауэр ISA, так как OWA сайту только нужно знать маршрут к IP-адресу на локальном интерфейсе брандмауэра ISA. Вы даже имеете возможность настроить адрес шлюза не по умолчанию на OWA сайт так же, как и OWA серверу не требуется инициализация non-proxied (не подменяемого) исходящего соединения к Интернет host’у.

Однако вы также имеете возможность в Правиле Web Публикации OWA сохранить оригинальный IP-адрес удаленного клиента. В этом случае, OWA сервер должен быть сконфигурирован, как SecureNAT клиент брандмауэра ISA, так как он нуждается в ответе на IP-адрес, который не является локальным адресом.

Это, правда, не взирая на то, используете ли вы публичные или личные адреса на DMZ сегменте между PIX и брандмауэром ISA. Если вы используете публичные адреса, OWA сайт будет отвечать на реальный адрес клиента (или адрес шлюза, если OWA клиент расположен позади прокси или NAT устройства). Если вы используете личные адреса, то OWA серверу требуется отвечать на личный адрес на DMZ интерфейсе PIX (в зависимости от того, настроен ли PIX выполнять частичный или полный NAT).

Заключение

В этой статье мы рассмотрели возможности, доступные для интегрирования брандмауэра ISA в установленное PIX (или другого «аппаратного» брандмауэра) окружения. Наилучшие возможности включают брандмауэрная конфигурация back to back (спина к спине), параллельная брандмауэрная конфигурация и конфигурация брандмауэра ISA в PIX DMZ. Конфигурация брандмауэра ISA в PIX DMZ имеет некоторые преимущества над другими возможностями, наиболее значительной из которых является то, что вы можете побороть некоторое беспокойство традиционных сетевых и брандмауэрных менеджеров, установив брандмауэр с инспекцией пакетов и уровня приложения с контролем состояния соединения на границу корпоративной сети. Главная обратная сторона этой конфигурации в том, что PIX имеет интерфейс на корпоративной сети, который не защищен брандмауэром ISA.

www.isaserver.org


Смотрите также:

Tags: , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]