Претендент на роль корпоративного межсетевого экрана от Microsoft

В современные операционные системы Microsoft встроен ряд технологий, которые могут выполнять функции межсетевого экрана. К ним относятся политики протокола IP Security (IPSec), сервер Routing and Remote Access Server (RRAS) и Internet Connection Firewall (ICF). Политики IPSec и сервер RRAS представляют собой примитивные пакетные фильтры, в то время как ICF позволяет осуществлять фильтрацию в контексте соединения (stateful) для протоколов TCP, UDP и ICMP. Кроме перечисленных компонентов, являющихся стандартной функцией в определенной операционной системе, в семействе продуктов Microsoft присутствует специализированный сервер, призванный выполнять функции межсетевого экрана, — это Internet Security and Acceleration (ISA) Server.

В настоящее время используется третья версия данного продукта (ISA 2000), но скоро состоится выпуск ISA Server 2004. Данная статья посвящена обзору новых возможностей и изменений, коснувшихся функций ISA 2000. Вся приведенная информация относится к доступной на момент написания статьи версии ISA Server 2004 beta 2 (http://go.microsoft.com/fwlink/?LinkId=21242).

Новые возможности

Первое, что бросается в глаза при установке сервера, — отсутствие диалогового окна для выбора типа установки (Firewall, Cache Only, Integrated). Это связано с тем, что в ISA 2004 отсутствует служба Web Proxy как таковая. Новая архитектура межсетевого экрана предполагает обработку всего трафика в режиме stateful. Однако функция сервера — посредника уровня приложений — в ISA 2004 все же реализована. Это достигается путем перенаправления трафика протоколов WEB к специальным фильтрам уровня приложений. Кроме того, изменения коснулись следующих функциональных возможностей:

  • поддержки нескольких сетей (Multinetworking);
  • политики безопасности и правил фильтрации трафика (Security and Firewall);
  • виртуальных частных сетей (Virtual Private Networking, VPN);
  • системы управления;
  • механизмов кэширования трафика.

Multinetworking

Основное отличие ISA 2004 от ISA 2000 заключается в принципиально ином подходе к описанию сетевой инфраструктуры. В ISA 2000 основой для построения правил прохождения трафика является таблица локальных адресов (Local Address Table, LAT). Таблица LAT разделяла интерфейсы ISA по зонам безопасности (security domain). Поскольку LAT была одна на весь сервер, таких зон было всего две — локальная сеть и внешняя сеть. В качестве дополнительной выделялась зона безопасности, в которую включался сам межсетевой экран.

Таким образом, пакеты, следовавшие из одной зоны безопасности в другую (из LAT во внешнюю сеть и обратно), проходили через модуль трансляции адресов (Network Address Translation, NAT) и подвергались проверке на соответствие политике безопасности, определенной в динамических правилах фильтрации (Protocol Rules и Site And Content Rules). Пакеты, относившиеся к соединениям самого межсетевого экрана, также обрабатывались модулем трансляции адресов и проходили проверку на соответствие статическим правилам фильтрации трафика (Packet Filters). Пакеты, проходившие между интерфейсами, включенными в LAT, не подвергались проверке на соответствие политике безопасности и маршрутизировались средствами операционной системы.

Такой подход накладывал ряд ограничений. Во-первых, довольно сложно было использовать ISA в качестве внутреннего межсетевого экрана предприятия, поскольку в подобных конфигурациях зачастую не требуется трансляция адресов. Во-вторых, возникали проблемы при построении демилитаризованной зоны (DMZ) с использованием ISA.

Если сеть DMZ не включалась в LAT, то автоматически начинала работать трансляция адресов между внутренней сетью и DMZ, что приводило к проблемам с различными приложениями. Например, ISA Server 2000 не поддерживала размещение клиентов Active Directory в DMZ (http://support.microsoft.com/?kbid=329807). Если интерфейс DMZ включался в LAT, то трафик DMZ-LAT межсетевым экраном не обрабатывался. Конечно, можно было воспользоваться другими механизмами фильтрации трафика, например RRAS, но подобный подход усложняет управление и снижает уровень защищенности системы. В третьих — служба ISA не защищала свой внутренний интерфейс.

В ISA Server 2004 используется более привычная для администраторов межсетевых экранов концепция. Перед тем как описывать политику безопасности, администратор указывает текущую сетевую топологию, создавая объекты типа Network (см. экран 1). По умолчанию создаются объекты External (внешняя сеть), Internal (аналог LAT в ISA 2000), Local Host (сервер ISA), Quarantined VPN Clients (клиенты VPN, проходящие карантин) и VPN Clients (все клиенты VPN). Администратор может расширить этот список, указав другие сети. В приведенном примере дополнительно определена сеть DMZ и сеть удаленного филиала, подключенного через VPN.

Экран 1. Описание сетевой топологии

Следующим этапом является определение механизма обработки пакетов, проходящих из одной сети в другую (см. экран 2). Здесь администратор указывает, что следует делать при передаче пакетов между сетями — транслировать адреса, маршрутизировать или вообще не передавать пакеты между этими сетями. Подобный подход позволяет достаточно гибко настраивать сервер и решать описанные ранее проблемы.

Экран 2. Закладка Network Rules

Политика безопасности

Довольно сильные изменения претерпела политика фильтрации трафика. В ISA Server 2004 любой трафик, проходящий с одного интерфейса на другой (или из одной сети в другую), обрабатывается модулем фильтрации трафика, поддерживающим фильтрацию в контексте соединения. Если сразу после установки сервера открыть в оснастке управления Firewall Policy, то в ней будет указано только одно правило — полный запрет прохождения всех пакетов из всех сетей. Казалось бы, в этом случае компьютер должен представлять «вещь в себе» и не поддерживать сетевое взаимодействие. Однако вы не будете испытывать никаких затруднений при выполнении обычных административных задач, таких как удаленное управление ISA при помощи сервера терминалов или взаимодействие с Active Directory. Это связано с тем, что по умолчанию на ISA активирована так называемая системная политика (System Policy), разрешающая взаимодействие с внутренней сетью по наиболее часто используемым протоколам (см. экран 3). Для того чтобы просмотреть системную политику, необходимо в меню View указать Show System Policy или выбрать пункт Edit System Policy.

Экран 3. Настройка системной политики

По умолчанию доверенной является вся внутренняя сеть, однако рекомендуется изменить политику по умолчанию, указав в правилах именно те серверы, на которых установлены используемые службы. Не следует забывать, что отключение некоторых правил может сказаться на работе сервера. Например, если IP-адрес сервера ISA конфигурируется вручную и системное правило для сервера DHCP отключается, то использование DHCP для настройки клиентов VPN автоматически становится невозможным.

При создании правила фильтрации указывается, на какие протоколы, сети и группы пользователей распространяется данное правило, а также время его действия (см. экран 4). Для описания протокола необходимо указать его тип (IP, ICMP, TCP, UDP), дополнительные параметры и направление соединения. Диалоговое окно описания протоколов очень похоже на подобное окно в Packet Filters из ISA 2000. Появилась возможность указывать диапазон разрешенных портов — источников соединения.

Экран 4. Политика фильтрации трафика

В качестве источника или получателя для правила могут быть использованы следующие элементы политик (см. экран 5):

Экран 5. Элементы политик
  • сети и группы сетей;
  • компьютеры и группы компьютеров;
  • диапазоны адресов;
  • подсети;
  • домены DNS;
  • наборы URL.

Если правило включает в себя протокол, обрабатываемый фильтром уровня приложений, то появляется возможность его детальной настройки. К подобным протоколам относятся RPC, HTTP и SMTP.

Фильтр уровня приложений для протокола HTTP, реализованный в ISA 2004, имеет гораздо больше возможностей, чем подобный компонент в ISA 2000. Появилась возможность ограничивать максимальный размер запроса или ответа, проводить нормализацию запроса, указывать разрешенные типы файлов и методы http-запросов. Таким образом набор функций, реализуемых URLScan для ISA 2000, теперь присутствует в самом межсетевом экране. Кроме того, появилась возможность изменять и фильтровать заголовки HTTP-запроса и ответа, например заголовок Server, что очень удобно при публикации серверов (см. экран 6).

Экран 6. Правила обработки заголовков HTTP

Очень мощной возможностью является поддержка фильтрации содержимого HTTP-запроса и ответа (см. экран 7). Использование этой функции позволяет администратору защищаться от атак по протоколу HTTP в том случае, если производитель программного обеспечения своевременно не выпустил соответствующее обновление. На экране 7 приведена сигнатура, защищающая от подмены URL в Internet Explorer (http://secunia.com/advisories/10395, MS04-004). Информация об этой уязвимости была опубликована в сети за два месяца до выхода исправления. В файле справки правила обработки сигнатур не описаны, поэтому неизвестно, поддерживаются ли в них регулярные выражения.

Экран 7. Правила обработки данных HTTP

Набор функций Message Screener практически не изменился. К сожалению, по крайней мере в бета-версии возможность использования «черных списков» (RBL) для блокировки невостребованной почты в нем не поддерживается.

Также в ISA Server 2004 добавлена возможность аутентификации пользователей при помощи служб RADIUS, SecurID и появился программный интерфейс для подключения собственных модулей аутентификации.

Виртуальные частные сети

В ISA Server 2004 расширена поддержка VPN. Как и в предыдущей версии, для поддержки некоторых функций VPN используется RRAS, однако теперь VPN полностью конфигурируется из консоли ISA. Появилась поддержка Preshared Key для VPN типа шлюз-шлюз с использованием L2TP-IPSec.

Полезной возможностью является поддержка отдельной зоны безопасности VPN Clients. Это динамически формируемая сеть, в которую попадают IP-адреса клиентов VPN. Администратор может использовать ее для ограничения взаимодействия клиентов VPN с компьютерами внутренней сети. Сервер ISA позволяет применять обычные правила фильтрации для трафика клиентов VPN, поскольку он является конечной точкой туннеля и анализирует уже расшифрованный трафик.

Появилась поддержка функции карантина для клиентов VPN. Идея карантина заключается в том, что клиент VPN получает доступ во внутреннюю сеть только после проверки его настроек на соответствие политике безопасности. Подробнее об этой функции рассказано в статье Ален Джонса «Подозрительных — на карантин», опубликованной в Windows & .NET Magazine/RE № 7 за 2003 г.

К сожалению, функции VPN в тестируемой версии работали с большими ограничениями и довольно нестабильно, однако настраивать клиентский доступ и заниматься поиском неисправностей стало значительно легче.

Система управления

Некоторые изменения коснулись процесса управления. Кроме пользовательского интерфейса, изменился подход к разграничению административного доступа. Теперь для этого используется мастер делегирования полномочий, дающий возможность присвоить группам пользователей одну из трех фиксированных ролей (ISA Server Basic Monitoring, ISA Server Extended Monitoring и ISA Server Full Administrator).

Весьма полезной функцией является возможность импорта/экспорта настроек сервера в файл формата XML. Это позволяет быстро переносить настройки с одного сервера на другой, легко импортировать «черные списки» адресов, делая ненужными различные утилиты, подобные опубликованным на сервере http://www.isatools.org.

Экран 8. Системный журнал сервера ISA

В интерфейсе управления появилась возможность создавать запросы к журналам аудита сервера (см. экран 8). В процессе настройки может очень пригодиться функция отслеживания состояния журналов в режиме реального времени: администратор сразу видит, какое правило было использовано для обработки соединения.

Механизм кэширования

Основным достоинством нового механизма кэширования является возможность его индивидуальной настройки, в зависимости от сервера или DNS-имени домена. То есть можно указывать различные правила кэширования для разных сайтов. Например, с помощью ISA Server 2004 довольно просто решить проблему загрузки сервером SUS ненужных обновлений, о чем было рассказано в статье «И снова о Software Update Services», опубликованной в Windows & .NET Magazine/RE № 8 за 2003 г. Для этого необходимо создать отдельную политику кэширования ответов от серверов windowsupdate.microsoft.com, которая допускает кэширование больших объектов и присваивает загруженным объектам высокое значение параметра TTL.

Коротко резюмируя представленное выше беглое описание, можно сказать, что богатые функциональные возможности и тесная интеграция с другими продуктами Microsoft позволяют считать ISA Server 2004 одним из лучших претендентов на место межсетевого экрана для защиты корпоративных сетей на основе Windows.


Сергей Гордейчик (gordey@infosec.ru) — преподаватель учебного центра «Информзащита». Автор курса «Повышение защищенности систем на основе Microsoft Windows Server 2003». Имеет сертификаты MCSE и MCT