Alkalmazási rétegbeli szűrés az ISA Server 2004 segítségével
Tanulmány
A legfrissebb információk a https://www.microsoft.com/isaserver/ weblapon érhetők el.
Tartalom
Áttekintés
Az alkalmazási rétegbeli szűrés működése
A rendelkezésre álló szűrők
Az ISA Server 2000 kiadásával megjelent szűrők
DNS behatolásészlelő szűrő
FTP elérési szűrő
H.323 protokollszűrő
POP behatolásészlelő szűrő
RPC-szűrő
SMTP-szűrő és Message Screener
SOCKS V4 szűrő
A Feature Pack 1-el megjelent szűrők
Hivatkozásfordító szűrő
SecurID-szűrő
Az ISA Server 2004 új szűrői
HTTP-szűrő
MMS-szűrő
OWA űrlapon alapuló hitelesítés szűrő
PNM-szűrő
PPTP-szűrő
RADIUS hitelesítési szűrő
RTSP-szűrő
Webproxyszűrő
Az ISA Server 2004 webproxyjának kompatibilitása az ISA Server 2000-rel
A szűrők bővíthetősége
Összegzés
Az idők során a támadók egyre kifinomultabb módszereket dolgoztak ki a vállalati hálózatokba való behatolásokra. A behatolók idejük és energiájuk nagy részét arra fordítják, hogy a széles körben alkalmazott szolgáltatások, mint például az elektronikus levelezés és a webhelyek által igénybe vett kommunikációs módszerek gyengeségeinek kihasználására alkalmas eljárásokat dolgozzanak ki. A támadók általában a normálistól eltérő parancsokat vagy adatokat küldenek ezeknek a szolgáltatásoknak, így próbálják kihasználni az ismert és az ismeretlen gyengeségekből fakadó lehetőségeket. A hagyományos tűzfalak képtelenek felismerni az ilyen jellegű kommunikációt, ugyanis nem képesek értelmezni ezeket a parancsokat és adatokat.
A Microsoft Internet Security and Acceleration (ISA) Server 2004 rendelkezik olyan alkalmazási rétegbeli szűrőknek nevezett eljárásokkal, amelyeket az ilyen rosszindulatú kommunikációk felismerésére és megakadályozására terveztek. Az ISA Server 2000 megjelenése óta a biztonsági fenyegetések körének bővülése miatt a Microsoft úgy fejlesztette tovább az ISA Server 2004-et, hogy az képes legyen az interneten a napjainkban alkalmazott kommunikációs eljárások mélyebb értelmezésére.
Műszaki szempontból nézve ezek a szolgáltatások a hálózati kommunikációs eljárások alkalmazási rétegébe ágyazódnak be - vagyis a hálózati eljárások legfelső szintű rétegébe, ahol a webkiszolgálók, az elektronikus levelezést végző alkalmazások, a médiafolyamok és az egyéb hasonló szolgáltatások is üzemelnek. Ezen a szinten széles körű és fejlett védelmet nyújtva az ISA Server 2004 képes hozzájárulni a hálózat védelméhez, az ismert és az ismeretlen támadások ellen, most és a jövőben egyaránt.
Az alkalmazási réteg kezelésére is képes tűzfalak felismerik a normálistól eltérő parancsokat, és blokkolják őket, így a hiányosságok kihasználására irányuló próbálkozások soha nem érik el a célszámítógépet. Az alkalmazási rétegbeli szűrésre képes tűzfalak, mint például az ISA Server 2004, már a hálózat peremén képesek megállítani a veszélyes kódokat, mielőtt azok bármilyen kárt okozhatnának.
A támadások elleni védelem ugyanakkor nem korlátozódik az ilyen célzott támadásokra. Az alkalmazási rétegbeli szűrés a véletlenszerű, például a vírusok és a férgek által indított támadások megállítására is alkalmas.
A számos különböző támadás felismerésére és megállítására alkalmas, beépítet szűrők mellett az ISA Server 2004 sokoldalú és rugalmas felületeket biztosít saját szűrők létrehozásához is. Az ISA Server 2004 emellett könnyen bővíthető, tehát a belső programozók vagy a külső gyártók tovább bővíthetik szolgáltatásait, ideértve a szűrési képességeit is.
Ha szervezetének hálózatát teljes értékű védelemmel akarja ellátni, akkor nem elég a külső fenyegetéseket elhárítania, a belső biztonsági problémákra is gondolnia kell. Az ISA Server 2004 alkalmas a belülről érkező fenyegetések elhárítására is, kivédve a munkatársak által sokszor szándék nélkül végrehajtott, veszélyes műveletek hatását. Az ISA Server 2004 szűrőinek megfelelő konfigurálásával például meggátolhatja a munkatársait az esetlegesen veszélyes tartalmak az internetről való letöltésében, vagy éppen megakadályozhatja, hogy a kiemelt védelmet igénylő ügyféladatbázist e-mailben kiküldjék a hálózatról.
Az alkalmazási rétegbeli szűrés az alkalmazottak által a hálózaton végrehajtott műveletek szélesebb körű korlátozására is alkalmas. A meghatározott letöltések korlátozása és az elektronikus levelezés miatti fenyegetéseknek való kitétel mérséklése mellett az ISA Server 2004 olyan szűrőket is tartalmaz, amelyekkel gátolni lehet a hálózatokon jellegzetesen előforduló, nem kívánt kommunikációs folyamatokat. Alkalmazási rétegbeli szűrést használva például meg lehet akadályozni az egyenrangú fájlcsere-szolgáltatások működését, mint a Kazaa és a Grokster. Ezek a szolgáltatások nemcsak komoly hálózati erőforrásokat kötnek le, de a szervezetre nézve jogi aggályokat is felvethetnek. Az ISA Server 2004 fejlett szűrési szolgáltatásai képesek az ilyen és egyéb jellegű, nem kívánt hálózati kommunikációk megakadályozására.
Ebben a részben áttekintjük az ISA Server 2004-be épített, védelmi jellegű szűrők széles választékát. Elsőként az ISA Server 2000-rel terjesztett szűrőket ismertetjük, majd rátérünk az ISA Server Feature Pack 1 csomaggal (az ISA Server 2000 ingyenes szolgáltatásbővítő csomagjával) megjelentekre. Végül rátérünk az ISA Server 2004 rendszerrel megjelent újabb szűrőkre. Az ISA Server 2000-ben vagy a Feature Pack 1-ben található szűrők mindegyike alapesetben is megtalálható az ISA Server 2004-ben is.
Az ISA Server 2000 hét beépített szűrőt tartalmazott. Ezek egy részéből az ISA Server Feature Pack 1 vagy az ISA Server 2004 újabb változatot tartalmaz; az ilyen fejlesztéseket lejjebb, az egyes szűrők tárgyalásakor külön megemlítjük.
A behatolásészlelő szűrők az ISA Serveren keresztülhaladó minden forgalmat elemeznek, és jogosulatlan hozzáférés kísérletére utaló viselkedést keresnek. Az, hogy az ISA Server egyik alapvető összetevője egy alapszintű behatolásészlelő szoftver, rendkívül fontos fegyvertény. Mivel az egymástól elkülönített hálózatok között (például a vállalat saját hálózata és az internet között) folyó minden forgalom áthalad az ISA Server tűzfalán, a tűzfal ideális pont a megfigyelésre. Az ISA Server tűzfala nemcsak a rosszindulatú forgalom felismerésére, elkülönítésére és lezárására képes, mielőtt az elérné a saját hálózatot, de az ISA Server tűzfalát alkalmazva erre a célra nincs szükség további célrendszerek megvásárlására és fenntartására. (A behatolási próbálkozások felismeréséről és megakadályozásáról lásd még a POP behatolásészlelő szűrőről szóló alábbi részt.)
A DNS behatolásészlelő szűrő a kifejezetten a számítógépek által egymás a hálózaton való megkeresésére alkalmazott tartománynév-kezelő rendszerrel (Domain Name System, DNS) kapcsolatos rosszindulatú kommunikációt keresi. A DNS szolgáltatások az általuk játszott fontos szerep miatt minden hálózatban legalább valamilyen alapvető szinten jelen vannak, ezért népszerű célpontot jelentenek a támadók számára. Az ISA Server DNS behatolásészlelő szűrőjét úgy tervezték, hogy még az előtt képes legyen lezárni a DNS alapú támadásokat, hogy azok bármilyen kárt okozhatnának a hálózatban.
A File Transfer Protocol (FTP, fájlátviteli protokoll) biztonságának a tűzfalon való garantálása rendkívül bonyolult folyamat lehet. Az ISA Server 2004 FTP elérési szűrője képes az összes FTP-kapcsolat biztonságos kezelésére, és kifejezetten a bonyolultság miatt jelentkező felügyeleti terhek enyhítésére tervezték. Az ISA Server közreműködésével az ügyfélszámítógépeknek az FTP-kiszolgálókhoz való biztonságos hozzáférése és a vállalat FTP-kiszolgálóinak támadások elleni védelme egyaránt biztosítható. Mivel az ISA Server minden bejövő kérést még az FTP-kiszolgálók előtt megszűr, maximális védelmet nyújt nekik.
Belső és külső FTP-kiszolgálók. Az egyes szervezetek rendszergazdái jellemzően semmilyen felügyeletet nem gyakorolhatnak az interneten üzemelő, távoli FTP-kiszolgálók felett. Az ISA Server ugyanakkor alkalmas az FTP alapú hozzáférések korlátozására, függetlenül attól, hogy az egyes kiszolgálók a szervezeten belül vagy kívül találhatók. Mivel az ISA Server a fájlokat kérő felhasználó és az FTP-kiszolgáló között helyezkedik el - függetlenül attól, hogy a kiszolgáló a saját hálózaton vagy a hálózaton kívül található -, a belső és a külső FTP-hozzáféréseket azonos hatékonysággal képes korlátozni vagy meggátolni.
Többféle elérési szint. Az FTP elérési szűrő segítségével több elérési szint is megadható, így lehetőség nyílik a következőkre:
Az FTP-kiszolgálók elérésének teljes tiltása
Csak olvasási hozzáférés biztosítása az FTP-n keresztül elérhető adatokhoz
Teljes, írási-olvasási hozzáférés biztosítása az FTP-n keresztül elérhető adatokhoz
Az ISA Serverben megadott elérési szint független a magán az FTP-kiszolgálón megadott elérési korlátoktól (amelyek akár teljesen meg is tilthatják a hozzáférést).
Az ISA Server 2004 rendszerben megjelent fejlesztések. A hálózati szolgáltatások, köztük az FTP is, meghatározott címek (portok) igénybevételével üzemelnek. A legtöbb esetben a rendszergazdák a szabványos, közismert portokon keresztül teszik elérhetőkké FTP szolgáltatásaikat. Egyes esetekben azonban érdemes másik, nem szabványos portot választani. Az ISA Server 2004 egyik újdonsága, hogy képes a nem szabványos címek használatával kezdeményezett FTP-kapcsolatok szűrésére is, így a vállalat egy nem szabványos port használatával "elrejtheti" saját FTP szolgáltatását, miközben az ügyfélrendszerek továbbra is elérhetik azokat.
A H.323 adatcsere-eljárást bizonyos hang/kép/szöveg alapú kommunikációs alkalmazások használják az ilyen jellegű kapcsolatok által igényelt összetett, több összeköttetés kezelésére is képes protokollok vezérlésére. Ilyen alkalmazás például a Microsoft NetMeeting konferenciaprogram, amely csevegésre, ábrák megosztására, hang- és videoátvitel révén interaktív kapcsolattartásra, hangos és képi bemutatók meghallgatására és megtekintésére biztosít lehetőséget a felhasználóknak.
A H.323 protokollszűrő szelektíven képes korlátozni vagy engedélyezni a H.323 protokoll használatára épülő kommunikációt. Alkalmas például a következők engedélyezésére és meggátlására:
Bejövő csatlakozási kísérletek
Kimenő csatlakozási kísérletek
Hang
Videó
Alkalmazásmegosztás
Az ügyfelek túlnyomó része a POP (Post Office Protocol, postahivatal protokoll) protokollt alkalmazza az e-maileknek a levelezőkiszolgálóról történő letöltésére. Az ISA Server 2000 POP behatolásészlelő szűrőjét arra tervezték, hogy a közvetlenül a POP levelezőkiszolgálóknak címzett kérések figyelésével biztosítsa a kiszolgálók védelmét. (A behatolásészlelés fogalmának áttekintését lásd a fenti, DNS behatolásészlelő szűrő című részben.)
A POP behatolásészlelő szűrő kifejezetten az úgynevezett puffertúlcsordulásos, kritikus támadásokat figyeli. A támadók gyakran puffertúlcsordulást előidézve próbálják megzavarni a rendszer normális működését, és azt elérhetetlenné tenni, illetve sok esetben így próbálnak rendszergazdai szintű hozzáférést szerezni. Ha a POP behatolásészlelő szűrő puffertúlcsordulásos támadást észlel, akkor elszigeteli és lezárja a támadást, megelőzve a puffertúlcsordulás tényleges bekövetkeztét.
Sok vállalati hálózati alkalmazás, például a levelezőkiszolgálók RPC (Remote Procedure Call, távoli eljáráshívás) alapú eljárásokat használ az adatcserére. A Microsoft Exchange Server és a Microsoft Outlook üzenetkezelő és csoportmunka ügyfél között például jellemzően ilyen protokollon keresztül történik a kapcsolattartás.
Az ISA Server 2000 alapszolgáltatásai. Az ISA Server 2000 RPC-szűrőjének használatakor a rendszergazdáknak dönteniük kellett, hogy a tűzfalon keresztül minden RPC alapú kommunikációt engedélyeznek, vagy semmilyet. Bár az RPC alapú kommunikáció szabályozásának lehetősége előnyös volt, az RPC teljes engedélyezése abban az esetben, amikor tényleges használata szűk körre korlátozódott, biztonsági kockázatot jelentett a hálózat szempontjából. Az ilyen megoldások különféle RPC alapú támadások véghezvitelét tették lehetővé, utat nyitva a szervezetek saját hálózatán futó, létfontosságú üzleti alkalmazásokban talált biztonsági hiányosságok kihasználása felé.
Az ISA Server Feature Pack 1 csomaggal megjelent fejlesztések. Az ISA Server Feature Pack 1 megjelenésével kibővült a felügyeleti felület, amivel lehetővé vált az RPC alapú szolgáltatások kifinomultabb ellenőrzése. Bizonyos típusú RPC-forgalmak, mint például az Exchange Server által bonyolított forgalom miatt többé nincs szükség az összes RPC alapú kommunikáció engedélyezésére. Emellett a frissítés révén az ISA Server képessé vált az Exchange Serverrel létesített Outlook-kapcsolatok titkosítására.
Az e-mailek továbbításának elsődleges eszköze az SMTP. Napjainkban a vállalatokat elárasztó levélszemét jelentős többletterhelést okoz az internetkapcsolatok és a levelezőkiszolgálók számára, ezért az SMTP szűrése alapvető követelménnyé vált. Az ISA Server SMTP-szűrője képes erre, a tűzfalon SMTP felett keresztülhaladó e-mailekben mélyre ható tartalmi vizsgálatot végez.
Két sokoldalú figyelési szolgáltatás. Az ISA Server két sokoldalú szolgáltatással segít a levelezőkiszolgálók ellen irányuló támadások megállításában. Elsőként az SMTP-szűrő tartalomvizsgálatot végez az SMTP-parancsokon, és biztosítja azok a levelezőkiszolgálóra vonatkozó ártalmatlanságát. A második védelmi vonalat a Message Screener összetevő adja, mely a bejövő és a kimenő e-mailek alábbi jellemzőit értékelve képes meggátolni a levélszemét továbbítását:
Hová tart (célállomás)
Honnan érkezett (forrás)
A tárgysorban vagy az üzenet törzsében tartalmazza-e a rendszergazda által megadott kulcsszavak vagy karakterláncok valamelyikét
Az esetleges mellékletek neve, fájltípusa és mérete
Ha a fenti jellemzők alapján az ISA Server SMTP-szűrője levélszemétnek ítél egy e-mailt, akkor a beállítástól függően az ISA Server azonnal törli a levelet, feldolgozásra továbbítja az e-mail biztonsági rendszergazdának, vagy egy külön mappába helyezi. A Message Screener azoknak az e-maileknek a blokkolására is konfigurálható, amelyek mellékletként ismert vírust vagy rosszindulatú szoftvert tartalmaznak.
Az ISA Server 2004 csomagban megjelent fejlesztések. Az ISA Server 2004 továbbfejlesztett SMTP-szűrési és -figyelési képességekkel növeli a levelezőkiszolgálók védelmét. Például az Outlook Web Access kiszolgálók biztonságba helyezését egyszerű, varázsló alapú konfigurációs eljárással teszi lehetővé. A szervezet levelezőkiszolgálóinak és egyéb kiszolgálóinak védelmét további sokoldalú varázslók egyszerűsítik.
Az ISA Server 2004 tervezésekor kiemelt figyelmet kapott a Microsoft Exchange Server védelmének növelése. Az Exchange Server 2003 és az Outlook 2003 egyik új szolgáltatása, hogy az ügyfelek HTTP feletti RPC alkalmazásával az interneten keresztül közvetlenül, VPN használata nélkül is tudnak csatlakozni a levelezőkiszolgálóhoz. Erre korábban nem volt lehetőség, mert az RPC használatához másodlagos portokat is meg kell nyitni, és a hagyományos tűzfalak jellemzően megakadályozzák az Outlookot ezeknek a portoknak a használatában, mert nem tudják értelmezni az alkalmazási protokollt. Az ISA Server ugyanakkor nem csupán az egyes csomagokat, hanem magát az RPC-forgalmat vizsgálja, és hibás kulcsszavak után kutakodva ellenőrzi a szintaxist. Ezzel a módszerrel megoldható az RPC-forgalom biztonságossá tétele, és lehetővé válik, hogy kizárólag az Outlook ügyfél által egyeztetett és igényelt forgalmat engedélyezzük. Az ISA Server a másodlagos portok dinamikus kinyitására és bezárására is képes, vagyis ezeket csak akkor nyitja meg, amikor valóban szükség van rájuk, és amint az igény megszűnik, azonnal le is zárja őket. Az új megoldás révén az ISA Server képes az RPC titkosításának kötelezővé tételére, újabb védelmi szintet emelve ezzel az adatlopások és a hamisítások ellen.
A SOCKS egy olyan protokoll, melynek segítségével a SOCKS kiszolgáló egyik oldalán található állomások közvetlen IP alapú hozzáférés nélkül érhetik el a kiszolgáló másik oldalán lévő állomásokat. A SOCKS hálózati kommunikációs eljárás szinte minden ügyfélplatformot támogat, ideértve a Microsoft Windows , a Unix/Linux és a Macintosh alapú ügyfeleket, sőt a nem szabványos készülékeket is. Leggyakrabban nem Windows alapú gépeken, vegyes számítástechnikai környezetben alkalmazzák.
A SOCKS hálózati kommunikációs módszer használatakor, ha az ügyfélnek csatlakoznia kell egy alkalmazáskiszolgálóhoz, akkor egy SOCKS proxykiszolgálóval lép kapcsolatba. A proxykiszolgáló ez után az ügyfél nevében csatlakozik az alkalmazáskiszolgálóhoz, és közvetíti az adatokat az ügyfél és az alkalmazáskiszolgáló között. Az alkalmazáskiszolgáló számára a proxykiszolgáló az ügyfél.
Az ISA Server 2004 a SOCKS 4-es változata szerinti kommunikációt támogatja. Ha az ügyfélalkalmazások támogatják a SOCKS alapú kommunikációt, akkor az ISA Server a SOCKS kommunikáció engedélyezésére és letiltására is konfigurálható. Engedélyezéskor a szűrő dinamikusan kezeli a kapcsolatokat, és zökkenőmentes kommunikációt biztosít ehhez a rendkívül bonyolult protokollhoz.
Megjegyzés: Ha a hálózat kizárólag Microsoft operációs rendszereket futtató számítógépeket tartalmaz, akkor biztonsági okokból érdemes letiltani ezt a szűrőt, ugyanis ilyen környezetben a SOCKS protokollra nincs szükség.
Az alábbi két szűrő először az ISA Server Feature Pack 1 csomagban jelent meg.
A szervezet belső hálózatán a webes tartalmak elérésére használt címek a hálózaton kívülről nem feltétlenül érhetők el. Például a külső felhasználóknak szabványos URL-ekként formázott címeket kell használniuk (például https://www.tartomany.com), míg a belső nevek NetBIOS nevek is lehetnek (például https://kiszolgalo/). A címformátumok eltérése a szervezetek elsődleges webkiszolgálói számára általában nem jelent problémát, ugyanis az ezeken a webkiszolgálókon található tartalmat úgy tervezik, hogy külső és belső eléréshez egyaránt megcímezhető legyen. Nem biztos azonban, hogy minden webes tartalom az elsődleges webkiszolgálókra kerül.
Lehetséges, hogy a szervezet más webkiszolgálókat is használ, például belső, intranetes webkiszolgálókat, melyek további tartalmat tesznek elérhetővé a szervezeten kívüli ügyfelek számára. Mivel ezeket a kiszolgálókat elsősorban a belső munkatársak általi elérésre tervezik, gyakran olyan címzési sémát alkalmaznak, amely a belső hálózattól eltérő helyekről rendkívül megnehezíti, esetleg teljesen ellehetetleníti a hozzáférést. Ilyenkor, ha egy külső felhasználó rákattint egy ilyen hivatkozásra, egy a kért tartalom elérhetetlenségét jelző oldalt kap válaszként. A tartalom valójában elérhető, de a hivatkozásban szereplő cím a szervezet hálózatán kívül érvénytelen volt.
Az elérhetőség csak az egyik probléma. A belső kiszolgálónevek felfedése a külső felhasználók előtt (akik a hivatkozásokból kiolvashatják ezeket a neveket) akár biztonsági kockázatot is jelenthet.
Bár megoldható lenne, hogy az összes címet a szervezeten belülről és kívülről egyaránt elérhető címre változtassuk, ez drága és időrabló folyamat lenne. Akár azt is eredményezhetné, hogy ugyanabból a tartalomból két példányt is fenn kellene tartani: egyet a belső munkatársak számára (például https://vallalat_webkiszolgalo3/) és egyet a magánhálózaton kívüli alkalmazottak számára (például https://www.vallalat.com/).
Az ISA Server 2004 ennél egyszerűbb megoldást kínál. Ha az ISA Server végzi a nyilvános internet és a belső hálózatok közötti forgalom ellenőrzését, akkor a hivatkozásfordító szűrővel mód nyílik a belső címek (https://vallalat_webkiszolgalo3/) kívülről is használható címekre fordítására (https://www.vallalat.com/).
A hivatkozásfordító szűrő a weboldalak tartalmában széles körű hivatkozáskeresést tud végezni, és tetszőleges típusú dokumentumhoz - hanghoz, mozgóképhez, képekhez stb. - képes lecserélni a hivatkozásokat. A kért weboldalakban szereplő belső címek a tartalom a kérést intéző ügyfél felé történő átadása előtt kívülről is feloldható címekre való cseréjének lehetőségével a belső kiszolgálónevek a külső felhasználók számára történő elérhetővé tétele nélkül is megoldódnak a címfeloldással kapcsolatos problémák.
Az ISA Server 2004 SecurID-szűrője révén ezt a két tényezőre épülő hitelesítési eljárást is lehet alkalmazni az Outlook Web Access kiszolgálók és az egyéb webkiszolgálók védelmére. Segítségével jelentősen növelhető a bejelentkezések biztonsága.
Az ISA Server 2004 nyolc új szűrőt tartalmaz, ezek komoly előrelépést jelentenek a kulcsfontosságú hálózati szolgáltatások és kommunikációs protokollok védelme terén. A szűrők egy része az ISA Server 2004 rendszerrel megjelent új szolgáltatások, mint például a RADIUS alapú hitelesítés védelmét biztosítja.
A HTTP a web alapú tartalmak alapvető adattovábbító eszköze. A ISA Server 2004 HTTP-szűrőjével átfogóan, minden fontosabb szempont figyelembe vételével lehet elemezni a HTTP-kommunikációt. A szűrővel a belső és a külső webkiszolgálókhoz intézett kéréseket egyaránt meg lehet vizsgálni, és meg lehet akadályozni a meghatározott fájlnevekre, fájltípusokra, illetve a megadott szavakat vagy karakterláncokat tartalmazó weboldalakra vonatkozó kérések továbbítását. A HTTP-szűrő a weboldalakra adott dinamikus válaszok (például a vállalat érzékeny adatainak kiadására is alkalmas online űrlapok) blokkolására is alkalmas.
A HTTP-szűrővel mélyre ható vizsgálat alá lehet vetni a webes tartalmat, és az alábbiak alapján pontosan meg lehet adni, hogy milyen információkat (úgynevezett aláírásokat) kell keresnie és blokkolnia a tűzfalnak:
A keresett webhely
A felhasználó kérésének bármely részében szereplő információk
A webkiszolgáló válaszának bármely részében szereplő információk
Tegyük fel például, hogy a cél az összes a hacker szót tartalmazó weboldal elérhetetlenné tétele. Ekkor létre kell hozni egy ezt a szót felismerő és blokkoló aláírást, biztosítva, hogy a szabály által érintett felhasználók soha ne kapják meg az ezt a kifejezést tartalmazó weboldalakat. A rugalmasságot növeli, hogy ezeket a szabályokat egyes felhasználókra és felhasználócsoportokra is lehet alkalmazni, tehát a tartalom elérhetőségének korlátozása az összes felhasználó helyett csak bizonyos felhasználókra nézve is lehetséges.
A HTTP szűrésével a webkiszolgálók is védhetők, hiszen mód nyílik a rosszindulatú, a normálistól eltérő webes kérések és válaszok továbbításának megtiltására, így a hackerek még az előtt megállíthatók, hogy kommunikálhatnának a webkiszolgálóval. Például a behatolók tevékenységüket sok esetben a megtámadni kívánt webhelyre feltöltött vagy az azon eleve megtalálható eszközökre alapozzák. A HTTP alkalmazási rétegbeli szűrésével a támadók megakadályozhatók az ilyen eszközök futtatására irányuló parancsok kiadásában.
A Microsoft Media Server (MMS) protokoll a Microsoft termékek által elsődlegesen használt médiafolyam-technológia. Az MMS egy kifinomult protokoll, és az ISA Server 2004 egy MMS-szűrővel járul hozzá a vele végzett munka leegyszerűsítéséhez. Az MMS-szűrő a bejövő és a kimenő MMS-kapcsolatok ellenőrzésére egyaránt képes: egyformán alkalmas a külső médiafolyam-tartalmak elérésére, például Windows Media Playert használó belső ügyfelek és az MMS médiafolyam-kiszolgálók védelmére, utóbbiakat így biztonságosan el lehet helyezni a szervezet belső hálózatán is.
Az Outlook Web Access (OWA) egy web alapú ügyfél az e-mailek, a naptáradatok és a Microsoft Outlook egyéb szolgáltatásainak eléréséhez. Az általa kezelt adatok érzékenysége miatt fontos a támadások elleni védelme. Az OWA űrlapon alapuló hitelesítés (forms-based authentication, FBA) szűrő révén az ISA Server 2004 képessé válik a szervezet OWA helyével folytatott kommunikáció teljes értékű figyelésére.
Az Exchange Server 2003 által támogatott űrlapon alapuló hitelesítés biztonsági szempontból számos előnnyel rendelkezik. Például a meghatározott ideig inaktívan maradó kapcsolatokat lejárttá nyilvánítja, és a felhasználókat ismételt hitelesítésre utasítja. Emellett megelőzi a felhasználók hitelesítő adatainak gyorsítótárazását és a felhasználók helytelen kijelentkezései miatti biztonsági rések kialakulását, valamint a biztonság fokozása érdekében megköveteli a felhasználóktól az SSL használatát.
Az OWA FBA szűrővel az ISA Server 2004 képessé válik az OWA kiszolgálóra bejelentkezni próbáló felhasználók hitelesítési kéréseinek fogadására. A felhasználók nem létesíthetnek közvetlen kapcsolatot az OWA kiszolgálóval, ehelyett az ISA Server közvetítőként szolgál, megakadályozva a hitelesítési támadásokat és a jogosulatlan kapcsolódási kísérleteket az OWA kiszolgáló elérésében.
A Progressive Networks Metafile (PNM) szűrő a RealNetworks termékeivel küldött vagy fogadott médiafolyamokhoz nyújt védelmet. A médiafolyam-technológiák piacán népszerű gyártó terméke többek között a RealOne Player és a RealPlayer alkalmazáskészlet.
Az ISA Server 2004 segítségével a bejövő és a kimenő PNM-kapcsolatok egyaránt ellenőrizhetők. A belső, RealNetwork ügyfélalkalmazásokkal külső, médiafolyam alapú tartalmakat elérő felhasználók és a saját RealNetwork médiafolyam-kiszolgálók számára egyaránt védelmet nyújt.
A point-to-point tunneling protocol (PPTP, pont-pont bújtatásos protokoll) egy virtuális magánhálózati (virtual private network, VPN) technológia két számítógép között végzett adatcsere védelmére. A PPTP az egyik legszélesebb körben használt VPN-technológia, és a jelenlegi Windows operációs rendszerek mindegyike tartalmaz PPTP ügyfélprogramot. A PPTP meglehetősen bonyolult, kifinomult titkosítást és egyéb biztonsági eszközöket alkalmaz. Az ISA Server 2004 PPTP-szűrője jelentősen leegyszerűsíti az ilyen típusú kommunikáció kezelésének folyamatát.
Az ISA Server 2004 lehetővé teszi a PPTP-kiszolgálónak az ISA Server alapú tűzfal mögé, a belső hálózatra történő helyezését, majd a PPTP-szűrővel a bejövő és a kimenő PPTP-kommunikáció egyaránt biztonságossá tehető. A PPTP-szűrő közreműködésével az ISA Server 2004 belső oldalán található számítógépek biztonságos PPTP-kapcsolatokat létesíthetnek a külső oldalon található számítógépekkel. Ha az ISA Server 2004 tűzfal belső oldala a magánhálózathoz, külső oldala pedig az internethez kapcsolódik, akkor a PPTP-szűrővel védeni lehet a belső ügyfelek és az interneten található PPTP-kiszolgálók közötti VPN-kapcsolatokat.
A PPTP-szűrővel az ISA Server 2004 tűzfal külső oldaláról a belső hálózaton található PPTP-kiszolgálók felé kezdeményezett PPTP-kapcsolatokat is védeni lehet, vagyis garantálható a felhasználók számára az interneten keresztül elérhetővé tett PPTP-kiszolgálók biztonsága. A kiemelt védelem fontosságát nem szabad lebecsülni, ugyanis sokszor a VPN-kiszolgálók a támadók elsődleges célpontjai.
MEGJEGYZÉS: A VPN-ek biztonságát az ISA Server 2004 egy másik módszerrel, a helyek közötti, "tiszta" IPSec bújtatásra épülő VPN-kapcsolatok támogatásával is növeli. (Ilyenre példa az ISA Servert használó fiókiroda és a helyek közötti VPN-kapcsolatokat IPSec bújtatással megvalósító Cisco tűzfalat használó központi iroda közötti összeköttetés.) Az ISA Server 2004 széles körű együttműködési lehetőségeket biztosít az egyéb gyártók tűzfalaival és VPN termékeivel, ennek köszönhetően számos különböző VPN-környezetben alkalmazható.
A RADIUS hitelesítési szűrő révén kibővül a rendelkezésre álló hitelesítési eljárások köre. Az ISA Server 2004 önálló, a tartománytól független rendszerként is beüzemelhető, miközben a hozzáférések engedélyezéséhez vagy megtiltásához továbbra is képes a tartományi felhasználói fiókokat alkalmazni. Ezzel a megoldással jelentős mértékben javítható a biztonság, ha az ISA Server a szervezet hálózatának peremén található.
A RADIUS hitelesítési szűrővel az ISA Server 2004 a nem Windows alapú felhasználóhitelesítési eljárások támogatására is képessé válik. A RADIUS technológia használatával az ISA Server 2004 tűzfal a Windows és a nem Windows alapú ügyfelek hitelesítésére egyaránt képes, akár UNIX vagy egyéb, a Windowstól eltérő rendszer felhasználói fiókjai alapján is. Ezen képességének köszönhetően az ISA Server 2004 olyan vegyes környezetben is használható, ahol a felhasználók egy része Windows alapú hitelesítéssel, egy része viszont egyéb módszerrel jelentkezik be. A RADIUS hitelesítési szűrő használatakor minden felhasználó a megszokott nevével és jelszavával jelentkezhet be, függetlenül attól, hogy rendelkezik-e Windows alapú felhasználói fiókkal.
A Real-time streaming protocol (valós idejű adatfolyam protokoll, RTSP) népszerű médiafolyam-formátum. Több gyártó is használja, többet közt is az Apple Computer, Inc. QuickTime technológiájában is megtalálható. Az RTSP-szűrővel a bejövő és a kimenő RTSP-kapcsolatokat lehet engedélyezni vagy tiltani. Az RSTP-szűrő a belső, valamilyen RTSP-képes ügyfélprogrammal külső tartalmat elérő felhasználók és a szervezet belső hálózatán található RTSP médiafolyam-kiszolgálók számára egyaránt védelmet nyújt.
A webproxyszűrővel, a webproxy gyorsítótárának kihasználásával az ISA Server 2004-hez kapcsolódó ügyfelek mindegyikén növelhető az internetelérés sebessége. Ha egy webproxy-, tűzfal- vagy SecureNAT-ügyfél az ISA Server 2004 tűzfalán keresztül éri el az internet webes erőforrásait, akkor a webproxyszűrő a 80-as TCP portra kimenő minden kommunikációt elfog, és összehasonlítja a kéréseket a gyorsítótárazott webes tartalommal. Ha a tartalom megtalálható a gyorsítótárban, a tűzfal a webproxy gyorsítótárából adja át a kért adatokat; ha nem, akkor a tűzfal lekéri a tartalmat az internetes webkiszolgálóról, majd egyrészt elhelyezi a proxy gyorsítótárában, másrészt átadja az ISA Server 2004 ügyfelének. A webproxyszűrő beállításai módosíthatók, vagyis a meghatározott hozzáférési szabályokhoz kifinomult módon lehet kikapcsolni.
Mivel az ISA Server 2004 jelentős szerkezeti változtatásokon esett át, webproxy-kiszolgálóként vagy tűzfalként való használatának megkülönböztetése többé nem bír jelentőséggel: az ISA Server 2004 webproxyként és tűzfalként is telepíthető, illetve mindkét feladatot is képes ellátni. A termék webproxy összetevője immár az ISA Server 2004 magjának képezi részét, vagyis telepítéskor nem kell külön kiválasztani.
A változás keretein belül a webproxyszűrő átvette az ISA Server 2000 webproxy szolgáltatásának bizonyos fontos feladatait: ez a szolgáltatás most egy szűrő, ami közvetlenül csatlakozik a tűzfal szolgáltatáshoz. A szoros integrációnak köszönhetően a tűzfalügyfeleket többé nem kell egyben webproxyügyfelekként is konfigurálni, ha hitelesített webkapcsolatok létrehozására van szükség. Ehelyett a tűzfalszolgáltatás átlátszó módon átveszi a hitelesítő adatokat a tűzfalügyfél-számítógépektől, és a kapcsolatok a webproxyszűrőnek történő átadásakor is rendelkezésre bocsátja őket. Ennek eredményeként észrevétlenül üzemelő, biztonságos és hitelesített kapcsolatok jönnek létre a webes tartalommal, miközben az ügyféloldalon semmilyen további konfigurálásra nincs szükség.
Az ISA Server 2004 tűzfalak előnyei a meglévő ISA Server 2000 rendszerekkel rendelkező szervezetek számára is elérhetők, ha beépítik azokat hálózati biztonsági infrastruktúrájukba. Az ISA Server 2000 webproxy szolgáltatása teljes mértékben kompatibilis az ISA Server 2004 webproxyszűrőjével, vagyis az ISA Server 2000 tűzfalat webproxy-kiszolgálóként használó ügyfelek az ISA Server 2004 tűzfalát is alkalmazhatják erre a célra.
Tegyük fel például, hogy az Ön szervezete rendelkezik egy ISA Server 2000-et futtató géppel, mely a központi iroda 5000 ügyfele számára webproxy-kiszolgálóként üzemel. Szeretne ISA Server 2004 tűzfalakat telepíteni a fiókirodákba, majd ki szeretné használni az ISA Server webproxyláncolási szolgáltatását, amellyel a központi és a fiókirodákban egyaránt felgyorsulna az internetelérés. Mivel az ISA Server 2004 webproxyszűrője képes észrevétlenül együttműködni a központi irodában üzemelő ISA Server 2000 tűzfal webproxy szolgáltatásával, a fiókirodák webproxy gépeit úgy is tudja konfigurálni, hogy a központi irodában lévő webproxy-kiszolgálóval kommunikáljanak. Ezzel a megoldással a fiókirodák ki tudják használni az ISA Server 2004 tűzfalának továbbfejlesztett internetes biztonsági szolgáltatásait, és a központi iroda ISA Server 2000 webproxy-kiszolgálójához is könnyedén csatlakozni tudnak.
A biztonsági házirendek és a megvalósítások minden szervezetnél mások. Az ISA Server magas fokú bővíthetőséget biztosít, és átfogó szoftverfejlesztő készletet tartalmaz, amellyel igényeinek megfelelően szabhatja testre.
A fejlesztői készlettel tetszőleges kommunikáció elfogására, elemzésére és módosítására készíthet szűrőket. Szükség esetén webes szűrőket is összeállíthat, amelyek a HTTP- és az FTP-forgalomra vonatkozó, betekintést, elemzést, blokkolás, átirányítást vagy módosítást szolgáló szabályokat valósítanak meg. Ha az egyedi szűrők létrehozásához szervezete nem rendelkezik fejlesztői erőforrásokkal, akkor független gyártók termékeinek széles választéka áll rendelkezésére, amelyek egyrészt kiterjesztik az alap ISA Server termék képességeit, másrészt egyéb termékekkel integrálják.
Az ISA Server 2004 egy kifinomult, alkalmazási rétegbeli tűzfal, mely különböző alkalmazási szűrőket használ a tűzfalon áthaladó kommunikáció hetedik rétegbeli vizsgálatára. Az ISA Server 2000 túllép a hagyományos csomagszűrő tűzfalak korlátain, és mélyre ható, alkalmazási rétegbeli tartalomvizsgálatot végez. Ezzel az intelligens, alkalmazási rétegbeli szűréssel eredményesen lehet védekezni a 21. század támadásai ellen.
Ez egy előzetes dokumentum, amely jelentős mértékben módosulhat a benne ismertetett szoftver végleges kereskedelmi kibocsátását megelőzően.
A dokumentum információi a Microsoft Corporation által a tárgyalt témáról a kiadás napján vallott nézeteket tükrözik. Mivel a Microsoft kénytelen reagálni a piaci feltételek változásaira, a dokumentum nem értelmezhető a Microsoft kötelezettségvállalásaként, a Microsoft semmiféle információ pontosságát sem tudja garantálni a kiadás dátumát követően.
Ez a tanulmány tájékoztató jellegű. A MICROSOFT SEM KIFEJEZETT, SEM HALLGATÓLAGOS GARANCIÁT NEM VÁLLAL A DOKUMENTUM TARTALMÁVAL KAPCSOLATBAN.
Az összes vonatkozó szerzői jogi rendelkezés és törvény betartása a felhasználó felelőssége. Anélkül, hogy korlátoznánk a szerzői jog körébe tartozó jogokat, a jelen dokumentum semelyik része sem reprodukálható, tárolható vagy helyezhető el adatbázisokban, és nem továbbítható semmilyen formában vagy eljárással (elektronikusan, mechanikusan, fénymásolással, rögzítéssel vagy másféleképpen), semmilyen céllal. A fentiekhez a Microsoft Corporation kifejezett írásos engedélye szükséges.
A Microsoft rendelkezhet szabadalmakkal, bejegyzés alatt álló szabadalmakkal, védjegyekkel, szerzői jogokkal vagy más szellemi tulajdonjogokkal a dokumentum tárgykörére vonatkozóan. Hacsak a Microsoft valamelyik írásos licencszerződése másként nem rendelkezik, a jelen dokumentum rendelkezésre bocsátása nem jogosítja fel a felhasználót ezen szabadalmak, védjegyek, szerzői jogok vagy egyéb szellemi tulajdon használatára.
© 2004 Microsoft Corporation. Minden jog fenntartva.
A Microsoft, a NetMeeting, az Outlook és a Windows a Microsoft Corporation bejegyzett védjegye vagy védjegye az Egyesült Államokban és/vagy más országokban.
A dokumentumban szereplő egyes vállalatok és termékek neve tulajdonosuk kereskedelmi védjegye lehet.
|
