Do trzech razy sztuka

ISA Server 2004 to trzecie podejście Microsoftu do rynku systemów do zabezpieczania firmowych sieci. Czy tym razem się uda?

ISA Server 2004 to trzecie podejście Microsoftu do rynku systemów do zabezpieczania firmowych sieci. Czy tym razem się uda?

Microsoft od wielu lat ma w ofercie oprogramowanie służące do zabezpieczenia styku sieci firmowych z Internetem. Pierwszym produktem aspirującym do tej roli był Proxy Server, jednak nie da się ukryć, że w tym temacie okazał się on porażką. Miał znaczne ograniczenia, wymagał instalacji klientów na stacjach roboczych, a uruchomienie strefy DMZ graniczyło z cudem, brakowało przejrzystej konfiguracji reguł itp.

Czekając na przełom

Przełomem miał być wydany w 2000 r. Microsoft Server. Wszyscy z zapartym tchem czekali na ukazanie się pełnej wersji, lecz po jej premierze okazało się, iż ciągną się za nią te same wstydliwe błędy, które trapiły Proxy Server. Ta swoista "wsteczna kompatybilność" okazała się już na starcie gwoździem do trumny produktu, który zapowiadał się całkiem nieźle. Wiele niedogodności zrodziło się z braku doświadczenia Microsoftu na tym specyficznym rynku. Dlatego też, gdy tylko ukazała się najnowsza wersja (jeszcze w fazie Beta 2), Microsoft ISA Server 2004, postanowiłem sprawdzić, czy nowe wcielenie zapory spełni pokładane w nim oczekiwania.

Już na pierwszy rzut oka na nową konsolę administratora widać, że Microsoft postanowił skorzystać z uznanych standardów w dziedzinie oprogramowania dla zapór sieciowych, czyli rozwiązań firmy Check Point. Interfejs filtru pakietowego, którym dysponuje administrator zapory, jest łudząco podobny do konsoli zarządzającej zapory Check Point Firewall-1. Ładny i funkcjonalny interfejs to jednak nie powód do zachwytu.

Stare przyzwyczajenia

Przed uruchomieniem ISA Server 2004 w sieci szczególną uwagę należy zwrócić na System Policy Rules. Są to reguły filtrowania, które domyślnie nie wyświetlają się w oknie konfiguratora, a dotyczą ruchu zarówno wychodzącego z serwera ISA, jak i skierowanego do niego. Są one tworzone domyślnie, dlatego osoba dogłębnie analizująca konfigurację może je zwyczajnie przeoczyć. W założeniu reguły te mają pomóc początkującym administratorom w szybszej konfiguracji zapory. Wypada jednak się zastanowić, czy osoby bez doświadczenia w ogóle powinny się tym zajmować.

Niestety, Microsoft postąpił tak jak dotychczas. Firma założyła, że poziom zabezpieczeń nie musi być domyślnie ustawiony jako wysoki. Zwiększenie poziomu zabezpieczeń wymaga podjęcia specjalnych działań przez administratora, tymczasem powinno być odwrotnie - cały ruch powinien być domyślnie zablokowany, a administrator powinien jedynie świadomie wskazać parametry ruchu autoryzowanego. To znacznie prostsze niż przeszukiwanie gąszczu opcji w poszukiwaniu tych właściwych.

Łatwe do naprawienia utrudnienie wynikające z niedostępności jakiejś usługi jest nieporównanie mniej brzemienne w skutki niż zagrożenie wiążące się z uruchomieniem zbyt wielu usług, czyli tym samym liczby otwartych portów. Każda udostępniona usługa stwarza pewne zagrożenie systemu, lecz gdy ponadto pozostaje ona poza kontrolą, zagrożenie to drastycznie wzrasta.

Przykładami reguł "wbudowanych", które przed uruchomieniem należy zweryfikować, są:

  • Zezwolenie na ruch z sieci wewnętrznych do serwera ISA przez protokół RDP.

  • Zezwolenie na ruch z sieci wewnętrznych do serwera ISA przez protokół NetBIOS.

  • Zezwolenie na ruch zarówno wychodzący, jak i przychodzący do serwera ISA, a dotyczący komunikacji DHCP (na wszystkich interfejsach).

Nowa elastyczność

Poza tymi niedociągnięciami możliwości, jakie oferuje ISA Server 2004 w wersji Beta, wydają się dowodzić, że Microsoft zrozumiał błędy popełnione w ISA Server 2000. Najnowsze wydanie ISA Server może być z powodzeniem stosowane jako zapora na styku sieci lokalnej z Internetem. Oprócz nowych cech w ISA Server znajdziemy także funkcje znane z poprzedniej odsłony, czyli m.in. ograniczanie dostępu do niepożądanych treści w Internecie czy usługi buforowania (web cache).

ISA Server 2004 pozwala na tworzenie wielu sieci wewnętrznych, podczas gdy w poprzedniej wersji była możliwa konfiguracja tylko jednej sieci wewnętrznej, jednej zewnętrznej i jednej strefy DMZ. Możemy też dokładnie określić, jakie połączenia i w którym kierunku mogą być między nimi nawiązywane. Takie podejście do struktury zabezpieczającej pozwala wydzielić strefy zdemilitaryzowane, a także sieci o różnych poziomach bezpieczeństwa. Dzięki wspomnianemu sposobowi konfiguracji filtrów pakietowych ISA Server 2004 zasłużenie staje w jednym szeregu z poważnymi graczami na rynku zapór sieciowych.

Na minus architektom Microsoftu należy zaliczyć także to, że odeszli od jednolitości konsoli zarządzającej. Interfejs Microsoft ISA Server 2000 opierał się na Microsoft Management Console, dzięki czemu administrator mógł za pomocą jednego programu zarządzać wieloma usługami serwerowymi (DHCP, DNS, Group Policy itp.). W wersji 2004 Microsoft postanowił stworzyć oddzielny interfejs kontrolujący konfigurację. Najprawdopodobniej stworzenie tak rozbudowanej przystawki MMC okazało się niemożliwe, jednak niezależnie od powodów takie utrudnienie pracy administratorom nie zasługuje na pochwałę.

Inteligentne filtry

Nowością w ISA Server 2004 jest duża liczba filtrów aplikacyjnych. Są to programy służące do wykonywania pewnych operacji na określonych protokołach, przed przekazaniem ich do głównego silnika przetwarzającego reguły zapory. Filtry te mogą służyć m.in. do uwierzytelnienia klienta lub analizy za pomocą programu antywirusowego. Przykładem ich zastosowania jest filtr SMTP, który może rozpoznawać przychodzącą pocztę wg takich kryteriów, jak nazwa i domena nadawcy oraz nazwa adresata.

Innym ciekawym rozwiązaniem jest Message Screener, aczkolwiek nie jest on instalowany domyślnie. Komponent ten jest dostarczany wraz z serwerem ISA, a pozwala na dodatkowe filtrowanie poczty przychodzącej na podstawie:

  • adresu nadawcy, którym może być pełna nazwa nadawcy ([email protected]); może być też filtrowany cały ruch przychodzący z określonej domeny;

  • załączników; pod uwagę są brane takie parametry, jak nazwa, rozmiar lub - co chyba najważniejsze ze względu na niedawne ataki wirusów - rozszerzenie;

  • słów kluczowych występujących w tytule listu lub w nagłówku.
Funkcjonalne podobieństwo ISA Server 2004 do uznanych zapór sieciowych dotyczy również możliwości tworzenia własnych filtrów aplikacyjnych dopasowanych do specyfiki danej sieci.

Narzędzia i interfejsy API służące do tworzenia takich filtrów będą dostępne w ramach ISA Server 2004 SDK.

W dobrym kierunku

Podsumowując, kierunek, w którym podąża Microsoft, rozwijając ISA Server, wydaje się słuszny. Wersja 2004 ma już zaawansowane funkcje znane z "dużych" zapór sieciowych. Dokładną analizę jego możliwości będziemy mogli przeprowadzić dopiero w połowie roku, kiedy to na rynku pojawi się ostateczny, dopracowany produkt. Część błędów wykrytych w wersji Beta 2 serwera ISA prawdopodobnie nie pojawi się w wersji finalnej. Należy jednak zastosować starą regułę znaną każdej osobie zajmującej się bezpieczeństwem: "Ufamy Bogu, wszystko inne sprawdzamy". W przypadku ISA Server 2004 maksyma ta odnosi się zwłaszcza do reguł System Policy Rules i uruchomionych domyślnie filtrów aplikacyjnych. Jak zawsze, przed wprowadzeniem jakiegokolwiek oprogramowania czy sprzętu jako zabezpieczenia, należy poznać go od podszewki, a nie sugerować się szybkością konfiguracji czy sprawnym działaniem kreatorów.

W Internecie:

http://www.microsoft.com/isaserver

http://www.isaserver.org

http://www.msisafaq.de

Potrzebny adres? Proszę bardzo!

Dociekliwi administratorzy zdążyli już wykryć jedno z nieprzewidzianych zachowań ISA Server 2004, które, trzeba przyznać, psuje nieco ogólnie pozytywne wrażenie. Po instalacji serwera DNS lub innych usług udostępnionych bezpośrednio na serwerze ISA wszystko działa poprawnie. Jeśli na tym samym komputerze chcemy jednak uruchomić serwer DHCP, okaże się, że serwer DHCP równie chętnie będzie przyjmował i obsługiwał zapytania DHCP request przesyłane zarówno z sieci LAN, jak i dowolnej sieci - także zewnętrznej! Taką niedoróbkę można usprawiedliwić testowym przeznaczeniem opisywanej wersji - przeoczenie takiej wady w wydaniu ostatecznym byłoby niedopuszczalne. Z ostateczną oceną ISA Server wypada więc wstrzymać się do momentu, gdy ukaże się wersja ostateczna. Można się spodziewać, że część funkcji dostępnych w wersji Beta 2 w ostatecznej wersji będzie działać nieco inaczej lub w ogóle się nie pojawi.

Filtry aplikacyjne ISA Server 2004 Beta 2

  • FTP access

  • H.323

  • Intrusion detection

  • MMS

  • PNM

  • RPC

  • RTSP

  • SMTP

  • SOCKS V4

  • Web Proxy

Adam Zachara jest inżynierem w firmie SecuRing w Krakowie.


TOP 200