Monday, December 11th, 2017

Cоздание множественных периметров безопасности с использованием Multihomed ISA-брандмауэров. Часть 2: Определение целей, настройка ISA-сетей и Правила Сети с особым изучением внешнего Exchange сервера

Published on Февраль 12, 2009 by   ·   Комментариев нет

В первой части этой серии статей о конфигурировании Multihomed брандмауэров ISA для поддержки разных сегментов DMZ мы дошли до принципов разработки DMZ и обсудили различные типы DMZ, которые может поддерживать брандмауэр ISA. Еще мы в деталях рассмотрели различия между сегментами DMZ с авторизованным и анонимным доступом, а также как можно безопасно поместить внешний Exchange сервер в сегмент DMZ с авторизованным доступом, убрав его из того сегмента, где находится внутренний Exchange сервер.

Если Вы пропустили первую часть, пожалуйста, прочтите Создание множественных периметров безопасности с использованием Multihomed ISA-брандмауэров, часть 1

В этой, второй части, мы для примера определим работающую сеть и управление доступом, которое мы создадим, чтобы разрешить связь через ISA-брандмауэр.

На рисунке 1 подробно показан вид этой сети. У ISA-брандмауэра – четыре сетевых интерфейса:

  • Внешний интерфейс, который соединяет ISA-брандмауэр с Интернетом. Это интерфейс с настроенным по умолчанию роутером. Внешний интерфейс ISA-брандмауэра имеет 2 IP-адреса, поэтому можно создать 2 WEB-приемника: первый для входящих соединений с сайтом OWA, а другой для остальных служб  Exchange сервера, включая OMA, Exchange ActiveSync, а также Outlook 2003 RPC/HTTP
  • Внутренняя сеть по умолчанию, в которой корпоративные пользователи, контроллеры домена и другие сетевые службы и сервисы. Внутренняя сеть по умолчанию расположена по адресам 10.0.0.0/24. Внутренний Exchange сервер – на контроллере домена, IP адрес внутреннего Exchange сервера — 10.0.0.2. Внутренний интерфейс ISA-брандмауэра – по IP-адресу 10.0.0.1.
  • В сегменте авторизованного доступа DMZ находится внешний Exchange сервер. Авторизованный доступ DMZ – по адресам 10.0.1.0/24. IP-адрес внешнего Exchange сервера 10.0.1.2, а IP-адрес интерфейса DMZ на ISA-брандмауэре — 10.0.1.1. Настроенный по умолчанию роутер на внешнем Exchange сервере – по IP-адресу на интерфейсе DMZ (10.0.1.1).
  • На сегменте DMZ с анонимным доступом установлен Windows Server 2003 IIS-сервер, обслуживающий анонимные входящие соединения SMTP и FTP. SMTP-сервер действует как промежуточный SMTP сервер для входящей почты, идущей на внутренний ISA-брандмауэр. Сегмент DMZ с анонимным доступом расположен по адресам 172.16.0.0/16. IP-адрес сервера в этом сегменте 172.16.0.2. IP-адрес интерфейса ISA-брандмауэра в сегменте DMZ анонимного доступа — 172.16.0.1. Роутер по умолчанию в сегменте DMZ с анонимным доступом находится по IP-адресу 172.16.0.1.

    Внешний доступ exchange

    Рисунок 1

Политика сетевой защиты, поддерживающая внешний Exchange сервер в сегменте DMZ с авторизованным доступом

Брандмауэр ISA будет настроен на разрешение авторизованных соединений с внешним Exchange сервером в сегменте DMZ  с авторизованным доступом. Будут созданы следующие правила доступа для соединений из Интернета с внешними Exchange серверами:

  • HTTPS для поддержки входящих соединений с OWA, OMA, Exchange ActiveSync и RPC посредством HTTP. ISA-брандмауэр будет настроен на пред-авторизацию соединений с этими службами до того, как эти соединения пойдут дальше к внешнему Exchange серверу. Только после того, как ISA-брандмауэр проверит и авторизует соединение, оно идёт дальше к внешнему Exchange серверу.
  • POP3S для поддержки безопасных входящих POP3-соединений с внешним Exchange сервером. Безопасное соединение TLS защитит логин и пароль пользователя, которые иначе могут быть доступны злоумышленникам в Интернете.
  • IMAP4S для поддержки безопасных входящих IMAP4-соединений с внешним Exchange сервером. Безопасное соединение TLS защитит логин и пароль пользователя, которые иначе могут быть доступны злоумышленникам в Интернете.
  • SMTPS/SMTP для поддержки безопасных входящих SMTP-соединений с внешним Exchange сервером. Внешний Exchange сервер будет настроен как промежуточный узел для прошедших авторизацию соединений с внешними доменами. Этот двойной подход помогает защититься от спамеров, пытающихся использовать внешний Exchange сервер как промежуточный узел SMTP. Тем не менее, мы ограничим учетную запись, которая может отправлять сообщения, до одной учетной записи с неброским именем и сложным паролем, чтобы упростить управление и помешать атакам спамеров, пытающихся угадать пароль.

    Outlook 2003 mapi

    Рисунок 2

На рисунке 3 показано, что ISA-брандмауэр будет настроен так, чтобы разрешать соединения по требующимся протоколам с внешнего Exchange сервера с контроллером домена и внутренним Exchange сервером корпоративной сети.

Будет создано следующее правило доступа, разрешающее внутридоменные соединения между внешним Exchange сервером и контроллером домена по следующим протоколам:

  • Kerberos-Adm (UDP)
  • Kerberos-Sec (TCP)
  • Kerberos-Sec (UDP)
  • LDAP
  • LDAP (UDP)
  • LDAP GC (Global Catalog)
  • Microsoft  CIFS (TCP)
  • Microsoft CIFS (UDP)
  • NTP (UDP)
  • Ping
  • RPC (все интерфейсы interfaces)
  • DNS

По второму правилу доступа ISA-брандмауэр разрешит соединяться внешнему и внутреннему Exchange серверу по следующим протоколам:

  • HTTP
  • IMAP4
  • POP3
  • Link State-Algorithm Routing

Третье правило доступа позволит внешнему Exchange серверу соединяться с Интернетом из сегмента DMZ с авторизованным доступом по протоколу SMTP. Это правило позволяет отправлять электронную почту авторизованных пользователей на соответствующие SMTP-серверы Интернета.

Заметьте, что внешний Exchange сервер также должен уметь разрешать доменные имена MX. Внешний Exchange сервер сможет использовать DNS-сервер внутренней сети для разрешения этих имен в кооректные IP-адреса SMTP-сервера, куда идут электронные письма.

Анонимность ldap Windows server 2003

Рисунок 3

Политика сетевой защиты, поддерживающая соединения внутри и вне DMZ-сегмента с анонимным доступом

ISA-брандмауэр будет настроен с помощью правил публикаций WEB так, чтобы разрешать входящие SMTP, DNS и FTP соединения с сервером в сегменте DMZ с анонимным доступом. Никакой авторизации ни ISA-брандмауэр, ни сервер  проводить не будут.

Создание правил nat в Windows 2003

Рисунок 4

Другое правило публикации будет разрешать входящие соединения с сервера SMTP анонимного доступа с внутренним Exchange сервером в корпоративной сети. Сервер SMTP анонимного доступа пересылает лишь электронную почту, идущую в домен корпоративной сети. Вся остальная почта блокируется, и авторизация на этом сервере отключена. Это поможет в борьбе со спамерами, которые пытаются угадать логин и пароль, а затем пройти через SMTP сервер.

Multihomed контроллер домена

Рисунок 5

Правило публикаций сервера для поддержки безопасных соединений обмена RPC для клиентов Outlook MAPI

Внешний Exchange сервер не может быть прокси для безопасных соединений обмена RPC, за исключением клиентов, использующих Outlook 2003, и еще они должны использовать RPC/HTTP. Если Ваши клиенты Outlook не поддерживают RPC/HTTP, Вы все еще можете обеспечить поддержку удаленного доступа для полного клиента Outlook, используя правило публикаций сервера для поддержки безопасных соединений обмена RPC. Мы создадим правило, которое опубликует внутренний Exchange сервер с помощью определения протоколов безопасного соединения RPC для обеспечения поддержки клиентов полного Outlook MAPI, не являющихся клиентами Outlook 2003.

Соединение с сервером

Рисунок 6

Правила для исходящих соединений с поддержкой клиентов любой внутренней сети

Машинам в корпоративной сети (любой внутренней сети) понадобится доступ к содержанию Интернета и сегмента DMZ с анонимным доступом. Мы создадим правило доступа, разрешающее доступ всем авторизованным пользователям связываться по любым протоколам с Интернетом. Другое правило доступа заставит сервер DNS анонимно использовать протокол DNS при соединении с Интернетом. Нам нужно разрешить серверу DNS соединяться анонимно, так как обычно на этом сервере нет работающих пользователей, и мы хотим избежать установки брандмауэра на сетевые серверы. Третье правило позволит авторизованным пользователям корпоративной сети соединяться с серверами FTP в DMZ-сегменте.

Isa 2006 создание промежуточного dmz

Рисунок 7

Определение маршрутов между ISA-сетями

Очень важная часть разработки множественного периметра с использованием ISA-брандмауэра – отношения маршрутов между сетями с брандмауэрами ISA. ISA-брандмауэр позволяет Вам создавать сети, которые существуют в виде набора IP-адресов за сетевой картой ISA-брандмауэра.

В этой серии статей используются 4 вида ISA-сетей:

  • Внешняя сеть по умолчанию
  • Внутренняя сеть по умолчанию (любая внутренняя сеть)
  • DMZ с авторизованным доступом
  • DMZ с анонимным доступом

Каждая из этих сетей – набор IP-адресов за сетевой картой ISA-брандмауэров, установленных в этих сетях. Каждая такая сеть – это набор IP-адресов, которые задаёте Вы, за исключением внешней сети по умолчанию. Внешняя сеть по умолчанию – это все адреса, не вошедшие ни в одну другую ISA-сеть.

Мы создадим правила сети, которые создают и определяют взаимоотношения маршрутов между следующими ISA-сетями:

  • Внутренняя сеть по умолчанию и внешняя сеть по умолчанию  = NAT (преобразование сетевых адресов)
  • Внутренняя сеть по умолчанию и DMZ с анонимным доступом = NAT
  • Внутренняя сеть по умолчанию и DMZ с авторизованным доступом = маршрут
  • DMZ с авторизованным доступом и внешняя сеть по умолчанию  = NAT
  • DMZ с анонимным доступом и внешняя сеть по умолчанию  = NAT

Мы не создаём правило для каждого из этих отношений, потому что можем объединить их в одно правило сети для доступа в Интернет. Детали рассмотрим далее в этой статье.

Заметьте, что мы будем использовать взаимоотношения маршрутов между внутренней сетью по умолчанию и DMZ с авторизованным доступом. Причина заключается в том, что нам нужно поддерживать внутридоменные соединения между авторизованным сегментом DMZ и внутренней сетью по умолчанию. Kerberos не работает через устройство NAT, поэтому мы должны установить взаимоотношения маршрутов между исходной и целевой сетью.

Сетевые правила isa

Рисунок 8

В следующих секциях мы выполним следующие действия:

  • Создадим ISA-сеть — сегмент DMZ с анонимным доступом
  • Создадим ISA-сеть — сегмент DMZ с авторизованным доступом
  • Установим сегменты DMZ с авторизованным и анонимным доступом как сети-источники в сетевом правиле доступа в Интернет
  • Создадим сетевое правило, устанавливающее взаимоотношения маршрутов между внутренней сетью по умолчанию и сегментом DMZ с авторизованным доступом
  • Создадим сетевое правило, устанавливающее NAT-взаимоотношения между внутренней сетью по умолчанию и сегментом DMZ с анонимным доступом

Создание ISA-сети – сегмента DMZ с анонимным доступом

Чтобы создать правила доступа и сетевые правила, контролирующие доступ и взаимоотношения между сетями, нужно сперва создать сами ISA-сети. Выполните следующие действия для создания DMZ с анонимным доступом:

  • В консоли ISA-брандмауэра, разверните имя сервера, а затем узел Configuration. Нажмите на узел Networks.
  • В узле Networks нажмите закладку Networks на панели деталей. Выберите закладку Tasks на панели задач и нажмите ссылку Create a New Network Rule.
  • На странице Welcome to the New Network Wizard введите имя для новой ISA-сети в поле Network name. В этом примере назовем сеть Authenticated DMZ. Нажмите Next.
  • На странице Network Type выберите опцию Perimeter Network и нажмите Next.

    Exchange сервер анонимный smtp

    Рисунок 9

  • На странице Network Addresses нажмите кнопку Add. В диалоговом окне IP Address Range Properties введите начальный и конечный адреса сегмента DMZ с авторизованным доступом. В нашем примере начальный адрес 10.0.1.0, а конечный — 10.0.1.255. Введите эти значения и нажмите OK.

    Отличие perimeter network от dmz

    Рисунок 10

  • На странице Network Addresses нажмите Next.
  • На странице Completing the New Network Wizard нажмите Finish.

Создание ISA-сети – сегмента DMZ с авторизованным доступом

Выполните следующие действия для создания DMZ с авторизованным доступом:

  • В консоли ISA-брандмауэра, разверните имя сервера, а затем узел Configuration. Нажмите на узел Networks.
  • В узле Networks нажмите закладку Networks на панели деталей. Выберите закладку Tasks на панели задач и нажмите ссылку Create a New Network Rule.
  • На странице Welcome to the New Network Wizard введите имя для новой ISA-сети в поле Network name. В этом примере назовем сеть Anonymous DMZ. Нажмите Next.
  • На странице Network Type выберите опцию Perimeter Network и нажмите Next.

    Exchange isa интернет

    Рисунок 11

  • На странице Network Addresses нажмите кнопку Add. В диалоговом окне IP Address Range Properties введите начальный и конечный адреса сегмента DMZ с авторизованным доступом. В этом примере начальный адрес 172.16.0.0, а конечный 172.16.0.255. Введите эти значения и нажмите OK.

    Как правильно организовать dmz?

    Рисунок 12

  • На странице Network Addresses нажмите Next.
  • На странице Completing the New Network Wizard нажмите Finish.

Установка сегментов DMZ с авторизованным и анонимным доступом как сети-источники в сетевом правиле доступа в Интернет

Как упоминалось ранее в статье, нам нужно установить NAT-взаимоотношение между всеми сетями, защищёнными ISA-брандмауэрами, и Интернетом. Можно создать эти правила по отдельности, но лучше просто создать новые ISA-сети (авторизованный DMZ и анонимный DMZ) как сети-источники для существующего сетевого правила Internet Access, которое уже определяет NAT-взаимоотношения для внутренних по умолчанию и ISA-сетей VPN-клиентов.

Для добавления сегментов DMZ с авторизованным и анонимным доступом в сетевое правило доступа в Интернет:

  • В консоли ISA-брандмауэра в узле Networks, нажмите на закладку NetworkRules.
  • В этой закладке дважды нажмите на сетевое правило Internet Access.
  • В диалоговом окне Internet Access Properties нажмите закладку Source Networks.
  • В закладке Source Networks нажмите кнопку Add.
  • В диалоговом окне Add Network Entities нажмите на ярлык Networks, а затем дважды на ссылки Anonymous DMZ и Authenticated DMZ. Нажмите Close.

    Угадать пароль

    Рисунок 13

  • Нажмите OK в диалоговом окне Internet Access Properties

    Внешний доступ exchange

    Рисунок 14

Создание сетевого правила, устанавливающего взаимоотношения маршрутов между внутренней сетью по умолчанию и сегментом DMZ с авторизованным доступом

Нам потребуется создать взаимоотношение маршрутов между внутренней сетью по умолчанию и авторизованным DMZ-сегментом ISA-сети. Причина в том, что внешний Exchange сервер находится в авторизованном DMZ и внутридоменные соединения проходят между внешним Exchange сервером и контроллером домена через внутреннюю сеть по умолчанию. Внутридоменные соединения работают некорректно при использовании NAT.

Выполните следующие действия, чтобы создать настройки сетевого правила взаимоотношений маршрутов между внутренней сетью по умолчанию и авторизованным DMZ ISA-сети:

  • В консоли ISA-брандмауэра разверните имя сервера, а затем узел Configuration. Нажмите на узел Networks.
  • В узле Networks нажмите закладку Network Rules.
  • Здесь выберите закладку Tasks на панели задач и нажмите ссылку Create a New Network Rule.
  • На странице Welcome to the New Network Rule Wizard в текстовом окне Network rule name введите имя для правила. В этом примере назовём его Internal — Authenticated DMZ. Нажмите Next.
  • Нажмите Add на страничке Network Traffic Sources.
  • В диалоговом окне Add Network Entities нажмите на ярлык Networks, а затем дважды на ссылке Authenticated DMZ. Затем нажмите Close.
  • На страничке Network Traffic Sources нажмите Next.
  • На страничке Network Traffic Destinations нажмите Add.
  • В диалоговом окне Add Network Entities нажмите на ярлык Networks, затем дважды на ссылке Internal. Нажмите Close.
  • На страничке Network Traffic Destinations нажмите Next.
  • На страничке Network Relationship выберите опцию Route и нажмите Next.

    Outlook 2003 mapi

    Рисунок 15

  • На страничке Completing the New Network Rule Wizard нажмите Finish.

Создание сетевого правила, устанавливающего NAT-взаимоотношения между внутренней сетью по умолчанию и сегментом DMZ с анонимным доступом

Сетевое правило требуется для соединения внутренней сети по умолчанию с анонимным DMZ-сегментом ISA-сети. Так как внутридоменные соединения между внутренней сетью по умолчанию и анонимным DMZ-сегментом ISA-сети не понадобятся, мы воспользуемся взаимоотношением NAT и позднее с помощью Правила Публикации Сервера разрешим SMTP-серверу из анонимного DMZ-сегмента соединяться с внутренним ISA-брандмауэром.

Выполните следующие действия, чтобы создать настройки сетевого правила NAT-взаимоотношений маршрутов между внутренней сетью по умолчанию и анонимным DMZ ISA-сети:

  • В консоли ISA-брандмауэра разверните имя сервера, а затем узел Configuration. Нажмите на узел Networks.
  • В узле Networks нажмите закладку Network Rules.
  • Здесь выберите закладку Tasks на панели задач и нажмите ссылку Create a New Network Rule.
  • На странице Welcome to the New Network Rule Wizard в текстовом окне Network rule name введите имя для правила. В этом примере назовём его Internal — Anonymous DMZ. Нажмите Next.
  • Нажмите Add на страничке Network Traffic Sources.
  • В диалоговом окне Add Network Entities нажмите на ярлык Networks, а затем дважды на ссылке Internal. Затем нажмите Close.
  • На страничке Network Traffic Sources нажмите Next.
  • На страничке Network Traffic Destinations нажмите Add.
  • В диалоговом окне Add Network Entities нажмите на ярлык Networks, затем дважды на ссылке Anonymous DMZ. Нажмите Close.
  • На страничке Network Traffic Destinations нажмите Next.
  • На страничке Network Relationship выберите опцию NAT и нажмите Next.

    Анонимность ldap Windows server 2003

    Рисунок 16

  • Нажмите  Finish на странице Completing the New Network Rule Wizard.

Резюме

В этой статье, второй из нашей серии о конфигурировании Multihomed ISA-брандмауэров для создания множественных периметров мы прошли цели разработки на примере сети, созданной в этих сериях. Цели разработки были изображены графически и включают в себя правила ISA-брандмауэра и взаимоотношения маршрутов между различными ISA-сетями. В следующей статье мы продолжим настройку созданием Правил публикации и доступа для поддержки внутренних и внешних соединений Exchange сервера через ISA-брандмауэр.

www.isaserver.org


Смотрите также:

Tags: , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]