Thursday, October 18th, 2018

Редактирование Системной Политики ISA Server 2004 (Часть 2)

Published on Февраль 12, 2009 by   ·   Комментариев нет

В этой второй части статьи я охватил установки по умолчанию Системной политики ISA 2004 и то, как ими можно манипулировать для разрешения ISA по-разному взаимодействовать с другими сетевыми ресурсами. Редактор Системной политики ISA — это один путь конфигурирования ISA безопасным способом, но, также, и проведения таких изменений, которые могут сделать ISA незащищенным. Вот почему специалисты по безопасности обязаны понимать изменения в инструментах системной политики.

Читайте Editing the ISA Server 2004 System Policy (Part 1).

Конфигурирование Правил Системной Политики

После установки ISA 2004 настоятельно рекомендуется провести пересмотр правил Системной политики. Следует убедиться, что специалист по безопасности понимает применяемые правила и что необходимые вам правила отображены на политику безопасности брандмауэра. Политика безопасности брандмауэра — это документ высокого уровня, который формирует часть документа по политики безопасности IT-специалиста, который настраивает отображения для приемлемого использования политики, которую сотрудники получают и подписывают при вступлении в организацию, что, в некоторых случаях, является формальной частью условий трудового договора. Все правила Системной политики, которые не используются или которые не отображены на политику безопасности, должны быть найдены и запрещены. Причина этого в том, что если брандмауэрное правило не требуется, то оно должно быть однозначно запрещено. Этот тип поведения способствует хорошей практике безопасности. По аналогии, если бы вы имели множество выключателей, управляющих множеством лампочек. Включите только те лампочки, которые требуются IT-специалистам, чтобы они могли видеть. А остальные лампочки оставьте выключенными.

Редактор системный политики протокол dhcp

Рисунок 1.1: Редактор системной политики имеет много опций, которые могут быть настроены внутри консоли. Одна специальная политика, которая является полезной, показана вверху — для DHCP серверов, которые могут обслуживать запросы. Внутри этой опции вы можете настроить ISA сервер для использования надежных серверов DHCP. Это самое лучшее, как наиболее ограничивающая опция: указать компьютер вместо целого сетевого диапазона.

Примечание Управления конфигурацией:
После выполнения основных задач администрирования рекомендуется выполнить пересмотр системной политики, что, практически, должно бы являться частью управления конфигурацией IT-специалистами по документации на ISA 2004.

Правила Системной политики должны бы также применяться только для требуемых сетевых объектов. Не должно быть правил в брандмауэре, которые применялись бы к группе, называемой Все. Когда системная политика применяется к сети Local Host (локального host’а), то она отображаются напрямую на соединение с сервисом Microsoft Firewall, а не с ISA Server Host (исключение: группа Удаленного Управления конфигурацией).

Общая ошибка, когда запрещается группа конфигурации системной политики; это не может обязательно предотвратить использование отдельного протокола. Это потому, что один и тот же протокол может быть определен в другом правиле, которое разрешено другой группой конфигурации. Запретите все правила независимо и убедитесь, что их нет внутри других групп конфигурации.

Советы по Системной политике

  1. Настоятельно рекомендуется пересмотреть системную политику после установки ISA 2004.
  2. IT-специалисты должны бы рассмотреть ограничения по назначению групп конфигурации системной политики так, чтобы они применялись только к определенным компьютерам на применяемой сети.
  3. После установки, ISA имеет базовые сетевые возможности. ISA Server может получить доступ к серверам разрешения имен и сервисам синхронизации времени во внутренней сети. Хотя эти базовые сервисы разрешены, вы можете захотеть запретить их, если вы почувствуете, что они могут быть рискованными.
  4. Возможно, что требуются сетевые сервисы, расположенные в другой сети; IT-специалисты должны бы изменить источники применяемых групп конфигурации для применения на определенной сети. Знайте, что некорректное изменение этой части системной политики может создать повышенный риск для сети.
  5. Системная политика должна бы быть сконфигурирована так, чтобы только отдельные компьютеры во внутренней сети могли бы быть доступны. Альтернативно, IT-специалисты могут добавить дополнительные сети или множества сетей, если сервисы находятся где-то еще. Не позволяйте больше доступа, чем это требуется.
  6. В системной политики убедитесь, что указаны сервера авторизации. IT-специалист способен создать особые множества сетей, которые определяют Directory servers (сервера каталогов) (для авторизации Windows) или сервера RADIUS, расположенные во внутренней сети. Разрешение всей внутренней сети не является проблемой, но определение особого сетевого множества является более запрещающим, особенно, если оно сжимает IP-адреса только до одного-двух компьютеров. Весь смысл этого в том, что если злоумышленник хочет обмануть ваши сервера каталогов, он должен будет получить физический доступ к компьютеру, для того, чтобы его выключить и т.д.
  7. Удаленное управление разрешено по умолчанию; ISA Server может управляться с помощью запущенной удаленной встроенной Microsoft Management Console (MMC) или, используя Terminal Services (Терминальные Сервисы).

    Редактор системный политики протокол dhcp

    Рисунок 1.2: Здесь показан экран удаленного управления компьютеров, где могут быть добавлены определенные компьютеры, которые будут администрировать ISA server удаленно. По умолчанию создается это пустое множество компьютеров. Пока IT-специалисты не сделали этого, удаленное управление не доступно с любого компьютера.

  8. Ограничьте любые диагностические протоколы, если они не имеют двойственного назначения. По умолчанию ICMP разрешен для всех сетей. Это разрешает NetBIOS связь по умолчанию для компьютеров во внутренней сети.
  9. Рекомендуется, чтобы IT-специалисты использовали Secure Sockets Layer (SSL) (Уровень Защищенных Сокетов) для шифрования соединения между клиентом и ISA Server. Этот тип решения защищает соединение так, что оно не поддается анализу. Вне зависимости от того, передается ли оно по проводам или по беспроводной сети.
  10. По определению, системная политика ISA 2004 всегда использует принцип разрешения наименьших привилегий. Не заблокируйте сами себя. Для избежания этой ситуации всегда делайте резервную копию вашего сервера ISA. Я рекомендую использовать продукты типа Virtual PC (Виртуальный Компьютер) или Virtual Server (Виртуальный Сервер) для тестирования ваших будущих конфигураций ISA. Эти прекрасные инструменты позволяют вам тестировать предполагаемую конфигурацию до ее применения на реальном компьютере ISA.

Не просматривайте Интернет с вашего компьютера ISA. При тестировании доступа в интернет бывает удобно быстро проверить с вашего ISA компьютера, но важно не использовать ISA 2004 для просмотра, так как вы заразите ваш ISA сервер вирусами и шпионами, скаченными с web-сайтов интернета, которые вы можете посетить. Лучше использовать клиента для просмотра. Не устанавливайте другие программы, которые не связываются с ISA, так как это вносит трещины в безопасность и может обойти системную политику через незнакомый «черный» вход в системе. Всегда самое лучшее — это не позволять чему-либо быть установленным на вашем сервере ISA, так как это может вызвать неоправданный риск.

Хорошая идея — вести протокол всего того, что вы делате на сервере ISA. Цена за производительность мала, и вы можете, по крайней мере, иметь некоторого рода виртуальный «бумажный» след в некоторых случаях попыток проникновения.

Трафик DCOM блокируется, даже если разрешен трафик RPC. Если IT-специалисты хотят разрешить трафик DCOM, запретите удаленное управление правилом системной политики. Вместо этого, создайте правило, которое применяется к трафику RPC. Настройте трафик RPC для этого правила так, чтобы этот Enforce RPC (Принудительный RPC) был запрещен.

По умолчанию, эти правила применимы к встроенному Remote Management Computers (Удаленное Управление Компьютерами) множества компьютеров. Когда IT-специалисты устанавливают ISA Server, создается пустое множество компьютеров. Это пустое множество компьютеров может быть использовано с компьютерами, которые будут удаленно управлять ISA Server.

Опция установки брандмауэрного клиента полезна, так как вы можете ограничить компьютеры. Вы хотите разрешить установить брандмауэрные клиенты, чтобы эта политика ограничила доступ к разделенным ресурсам. Вы можете также добавить исключения к политике доступа. Рекомендуется тщательно оберегать эту возможность.

Примечание: Если компьютер ISA находится в небезопасном месте и если не ограничен физический доступ к этому компьютеру, то вы можете получить серьезные проблемы, если злоумышленник зайдет в компьютер, даже если ваша Системная политика сконфигурирована корректно.

В системной политике контроль возможности подключения запрещен по умолчанию. Это свойство обходит политику ISA, чтобы контролировать корректно. Когда вы создаете верификатор возможности HTTP подключения, ISA 2004 проверяет возможность подключения посылкой HTTP GET запроса к заданному компьютеру. Правило системной политики, названное «Allow HTTP/HTTPS from firewall to all networks» (Разрешить HTTP/HTTPS из брандмауэра во все сети), для верификаторов возможности HTTP подключений конфигурируется должным образом, для разрешения этих запросов. Это может быть использовано для определения того, доступны ли определенные сайты в целях контроля.

Есть много возможностей вне системной политики, которые изменяют конфигурацию этой политики, вот почему для предотвращения стрессов вам необходимо иметь системную политику документированной и сравнивать ее всякий раз при изменении, для удостоверения в том, что политика соответствует строгим ограничениям.

Заключение

Во второй части этой серии я провел IT-специалистов через системную Политику и детали и настройки по умолчанию, связанные с системной политикой. Протоколы, подобные ICMP, и протоколы для мониторинга, подобные NetBIOS, используются для большинства диагностических целей; однако, если этими протоколами не управлять корректно, то злоумышленник может использовать их против сети, так как эти протоколы открывают информацию об отображении и других подробностях ресурсов. В этой статье я также провел вас через советы и запреты редактирования системной политики ISA 2004.

www.isaserver.org



Смотрите также:

Tags:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]