×
Внимание, мошенник-работодатель (10 авг 2017)

Вниманию программистов Санкт-Петербурга, на SuperJob-е вновь активизировался Семен Григорьевич Шумейко..

Вопрос Microsoft ISA server

Больше
7 года 6 мес. назад - 6 года 11 мес. назад #1 от Aleksej
Aleksej создал эту тему: Microsoft ISA server
Microsoft Internet Security and Acceleration Server
(обычно сокращается до Microsoft ISA Server) — прокси-сервер для защиты сети от атак извне, а также контроля интернет-трафика.

Пришел на смену прокси-серверу Proxy 2.0 от Microsoft. Позволяет организовать защиту локальной сети от вмешательств из сети Интернет и безопасно публиковать различные виды серверов, дает возможность распределять доступ пользователей локальной сети к ресурсам Интернет. Оснащен средствами для анализа посещаемых ресурсов, учета трафика, а также защиты против атак из сети Интернет. Имеет различные виды аутентификации и авторизации, в том числе поддерживает аутентификацию Active Directory. Поддерживает как рабочие группы, так и домены Windows NT. Помимо всего имеет множество плагинов для отслеживания исходящего и входящего трафика. На Windows 2008 уже не устанавливается. На замену ISA Server пришёл Forefront.

Что такое сервер ISA Server 2006?
ISA Server 2006 – это много продуктов в одном. В одном программном пакете вы получаете:
Брандмауэр сетевого уровня (network layer firewall)
Безопасный шлюз проверки на прикладном уровне (application layer inspection security gateway)
Прямой (Forward) и обратный (reverse) Web прокси (proxy) и кэш-сервер (caching server)
Сервер удаленного доступа к VPN
Шлюз Site to site VPN

Брандмауэр сетевого уровня
ISA Server 2006, также как и брандмауэры из серии Check Point NG и Cisco PIX/ASA, это брандмауэр, который выполняет проверку пакетов (stateful packet inspection firewall). Такой брандмауэр имеет возможность просматривать информацию IP (Internet Protocol) и проверять, что злоумышленники не смогут воспользоваться уязвимостью в безопасности на сетевом уровне (network layer). ISA 2006 способен обнаруживать и защищать от атак на сетевом уровне таким образом, что злоумышленники из интернета или даже из вашей собственной организации не смогут отключить или перехватить контроль над брандмауэром ISA 2006 firewall.

Брандмауэры с проверкой пакетов появились в 1990. Однако с тех пор, последствия атак на сетевом уровне значительно возросла. В то время, как злоумышленники конца 20-го века были заинтересованы в отключении брандмауэра и уничтожения Web сайтов для поднятия собственного эго, то современные хакеры больше заинтересованы в получении и уничтожении корпоративной информации для собственной выгоды. Современные сетевые взломщики не заинтересованы в атаках на брандмауэр или уничтожении Web сервера, они более заинтересованы в том, чтобы пройти под радаром и украсть, изменить или уничтожить данные.

Шлюз проверки безопасности на прикладном уровне (Application Layer Inspection Security Gateway)
Брандмауэры, выполняющие проверку пакетов, не могут определить, на что конкретно направлена атака – против Web сервера, почтового сервера (mail server), FTP сервера или против еще какого-нибудь сетевого приложения. Все что могут брандмауэра такого типа – это защитить вашу сеть от простых сетевых атак. По этой причине необходимо также, чтобы брандмауэр проводил проверку на прикладном уровне (application layer inspection firewall) или необходим безопасный шлюз (security gateway).

После выхода сервера ISA Server 2000 в декабре 2000, он быстро стал лидером в области брандмауэров, выполняющих проверку на прикладном уровне. До выхода сервера ISA Server 2000 золотым стандартом (Gold Standard) для брандмауэров был Cisco PIX. PIX был простым брандмауэром с проверкой пакетов и не мог защитить сеть от сложных атак на прикладном уровне, с помощью которых современные хакеры пытались украсть, изменить или уничтожить корпоративные данные.

ISA 2006 продолжает традиции ISA Server и остается лидером среди брандмауэров с проверкой на прикладном уровне (application layer inspection firewall) и безопасным шлюзом (security gateway). В действительности, ISA Server называют шлюзом безопасности (secure gateway), а не брандмауэром, т.к. изначально брандмауэром называли устройство, которое выполняло только проверку пакетов. Брандмауэр ISA 2006 объединяет в себе как проверку пакетов (stateful packet inspection), так и проверку прикладного уровня (application layer inspection) и представляет собой мощное решение сетевого шлюза безопасности (network security gateway).

Прямой (Forward) и обратный (Reverse) Web прокси (Proxy) и кэш-сервер (Caching Server)
Сервер Web прокси (proxy) – это машина, которая принимает Web соединения от Web браузеров и других Web приложений и передает эти соединения результирующему Web серверу, в адрес которого пользователь отправлял свой запрос. Сервер Web прокси (proxy) может принимать соединения от пользователей в вашей корпоративной сети (corporate network) и передавать их на Internet Web сервер или он может принимать входящие соединения к Web серверам и службам в вашей корпоративной сети и передавать их на сервера компании.

Когда брандмауэр ISA Server 2006 firewall работает, как сервер Web прокси (proxy), то знает обо всех соединениях, проходящих через него. Это позволяет службам Web прокси брандмауэра ISA firewall обеспечить значительный уровень безопасности для Web соединений и защитить вашу сеть от вирусов, червей, попыток взлома, включая идентификацию и авторизацию пользователей перед тем, как разрешить им пройти через брандмауэр ISA firewall, Web proxy и кэш-сервер (caching server).

Когда службы Web proxy брандмауэра ISA firewall перехватывают Web соединения, они могут выполнять различные проверки для защиты вашей сети. Некоторые из них включают:
Предварительную аутентификацию (Pre-authenticating) пользователя на брандмауэре ISA firewall, Web proxy и кэш-сервере (caching server) для отправки входящих соединений к корпоративным Web серверам и почтовым серверам (mail server). Когда предварительная аутентификация выполняется на брандмауэре ISA firewall, это позволяет избежать появления анонимных пользователей (anonymous users), выходящих в интернет из вашей сети. Т.к. у злоумышленников нет доступа к правильными учетным записям и паролям пользователей, то они не смогут атаковать ваши Web сервера
Прозрачную аутентификацию (Transparently authentication) пользователей в корпоративной сети перед тем, как разрешать им выходить в интернет. Это позволяет ISA Server записывать имена пользователей для всех соединений, которые были сделаны через брандмауэр ISA firewall, и в результате чего вся эта информацию попадет в журнал событий и отчеты
Выполнение глубокой проверки на прикладном уровне (application layer inspection) всех Web соединений, проходящих через брандмауэр ISA firewall с помощью фильтра безопасности ISA HTTP Security Filter. Этот фильтр для проверки прикладного уровня (application layer inspection filter) позволяет брандмауэру ISA firewall очищать Web сессии и удалять из нее подозрительные и потенциально опасные HTTP команды и данные, которые могут повредить вашей сети
Контроль Web сайтов, которые разрешено посещать пользователям, времени суток, когда пользователи могут подключаться, а также контроль типов информации, которые пользователи могут загружать из Web. Например, вы можете использовать возможности Web прокси брандмауэра ISA firewall для блокирования доступа к выполняемым файлам (executable file), медиа файлам и документам, например Microsoft Word
Кэширование информации, запрашиваемой пользователями для ускорения работы с интернет и экономии трафика. Когда пользователь из корпоративной сети запрашивает Web страницу, ISA 2006 помещает эту Web страницу в Web кэш (cache). Брандмауэр ISA firewall хранит эту информацию, и когда другой пользователь совершает запрос к той же самой странице, эта Web страница достается из Web кэша (cache) и передается пользователю. В результате мы экономим время и трафик, а у пользователя появляется возможность более быстрого доступа к информации.

Сервер удаленного доступа к VPN (Remote Access VPN Server)
Все большему числу сотрудников необходим доступ к информации, которая хранится в корпоративной сети, когда они находятся вне офиса в дороге. Сотрудникам необходим доступ к документам Word, файлам PowerPoint, базам данных и многому другому в то время, когда они находятся в дороге, или во время работы на дому. Еще более важный аспект бизнеса – это возможность предоставления сторонним рабочим (off-site worker) доступа к корпоративной информации в случае особой необходимости, когда сотрудники не могут покинуть свои дома. Одни из наиболее безопасных способ, с помощью которого сотрудники могут получить доступ к этой информации – это использовать VPN сервер удаленного доступа (remote access VPN server).

Сервер VPN (virtual private networking – виртуальная частная сеть) позволяет внешним пользователям подключаться к корпоративной сети с ноутбука или рабочей станции из любого места в мире. После того, как пользователь создает безопасное VPN соединение, то компьютер это пользователя, также как и компьютер расположенный в офисе может иметь доступ к информации, хранящейся на любом сервере внутри корпоративной сети.

Одним из недостатков традиционных решений VPN серверов, предлагаемых поставщиками, является то, что после того, как пользователь подключается к VPN серверу, то у этого пользователя есть доступ к любому ресурсу в корпоративной сети (corporate network). Проблема здесь заключается в том, что компьютеры удаленных пользователей, которые используются для подключения к корпоративной сети, обычно являются неуправляемыми машинами, и поэтому возрастает опасность заражения вирусом или червем.

В сервере ISA Server 2006 эта дыра в безопасности в обычных аппаратных “hardware” VPN сервер закрыта с помощью трех мощных методов:
Мощный контроль доступа, основанный на пользователях/группах и использование принципа наименьших прав для удаленных соединений VPN
Проверка на прикладном уровне (Application layer inspection) для всех удаленных VPN соединений
Карантийный контроль ISA 2006 VPN Quarantine Control

Мощный контроль доступа, основанный на пользователях/группах и использование принципа наименьших прав для удаленных соединений VPN
ISA 2006 позволяет вам контролировать доступ к ресурсам, основываясь на учетной записи пользователя и его членстве в группе. Политика доступа (Access policy) усиливается таким образом, что в противоположность к обычным аппаратным “hardware” VPN серверам, у пользователей есть доступ только к определенным приложениям и не к чему больше. Пользователям VPN не разрешен свободный доступ ко всей корпоративной сети, а лишь к ресурсам, необходимым для их работы.

Проверка на прикладном уровне (Application Layer Inspection) для всех удаленных VPN соединений.
Выжившие после появления червя Blaster worm могут рассказать, что у них было фальшивое чувство безопасности, когда они настроили свои интернет брандмауэры для блокирования доступа к своей сети из интернет. Эти компании были по-прежнему инфицированы Blaster, но не из интернет, а от VPN пользователей. Эти компании использовали традиционные аппаратные VPN сервера для удаленного доступа, которые не могли проводить проверку прикладного уровня для VPN пользователей.

В противоположность традиционным VPN серверам удаленного доступа (remote access VPN server), ISA 2006 выполняет проверку пакетов (stateful packet) и проверку прикладного уровня (application layer inspection) для всего трафика, проходящего через VPN канал. Черви, наподобие Blaster, не могут инфицировать корпоративную сеть через VPN соединение, т.к. умный фильтр проверки на прикладном уровне (smart RPC application layer inspection filter) брандмауэра ISA firewall блокирует опасный трафик. Эта возможность проверки трафика на прикладном уровне позволяет брандмауэру ISA firewall защитить вас от зараженных компьютеров VPN клиентов точно также, как он защищает вас от опасности из интернет.

Карантийный контроль ISA Server 2006 VPN Quarantine Control
Для усиленной защиты удаленного доступа от VPN клиента, VPN сервер удаленного доступа (remote access VPN server) должен уметь изменять статус безопасности и общее состояние машины, которая подключается с помощью удаленного VPN канала. Это позволяет вам более тщательно проверять машины с минимальными требованиями к безопасности перед тем, как разрешить им доступ к корпоративной сети.

ISA Server 2006 решил эту проблему, реализовав карантийный контроль Remote Access VPN Quarantine (VPN-Q). Возможность VPN-Q позволяет вам настроить набор параметров, которым должны удовлетворять системы VPN клиента для того, чтобы получить доступ к ресурсам в корпоративной сети. Если система VPN клиента не удовлетворяет этим проверкам безопасности, то вы можете настроить инструмент VPN-Q для автоматического обновления и настройки VPN клиентов, для того чтобы они смогли пройти эту проверку. Если клиенты VPN не могут быть полностью обновлены, то соединение прерывается. Это позволяет защитить вашу компанию от зараженных компьютеров, которые могут атаковать или уничтожить информацию вашей компании.

Шлюз Site to Site VPN Gateway
Все мы надеемся, что наши компании вырастут до таких размеров, что появятся дочерние офисы (branch offices). Но с появлением дочерних офисов (branch office) увеличивается сложность и стоимость затрат, на подключение этих дочерних офисов к ресурсам главного офиса (main office).

Существует набор настроек для подключения дочернего офиса (branch office) к главному офису (main office), среди них:
Выделенный WAN канал, предоставляемый поставщиками telco
Управляемые VPN сети, предоставляемые поставщиками telco и ISP
Корпоративно управляемые VPN site to site VPN сети, уничтожаемые на VPN шлюзах (gateway) компании.

Ограниченная доступность, с помощью публикации корпоративных ресурсов
Выделенный (Dedicated) WAN канал и управляемые VPN – это прекрасное решение для компаний, для которых не важна цена вопроса. Эти настройки могут быть слишком дорогостоящими для организаций, которые заинтересованы в снижении финансовых затрат при организации взаимодействий такого типа.

VPN шлюз (gateway) позволяет вам подключить ваш главный офис (main office) ко всем вашим дочерним офисам (branch offices) с помощью недорогих интернет соединений, и сделать это достаточно безопасным способом. Каждый брандмауэр ISA firewall и шлюз безопасности (security gateway) в дочернем и главном офисе обеспечивает мощную проверку пакетов (stateful packet inspection) и проверку на прикладном уровне (application layer inspection) для информации, перемещающейся по site to site VPN каналам. Дополнительно, все соединения, выполненные пользователями из дочерних офисов (branch office) заносятся в журнал, чтобы таким образом у вас была полная история взаимодействия пользователей дочерних офисов с ресурсами главного офиса.



P.S. Хорош, но... несколько тяжеловесен и, пожалуй, чуть капризен. Приходилось видеть, как сотрудники it-отделов в качестве таблетки от всех проблем с ISA практикуют перманентный его reboot; впрочем, возможно, не всем дано. :)
Последнее редактирование: 6 года 11 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 8 мес. назад #2 от Vasilij
Vasilij ответил в теме Re: Microsoft ISA server
Хотелось бы заюзать анализатор логов для ISA Server. Что можете порекомендовать? спасибо за ответ.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 8 мес. назад - 6 года 8 мес. назад #3 от Aleksej
Aleksej ответил в теме Re: Microsoft ISA server
Internet Access Monitor для MS ISA Server - программа, основной задачей которой является учет и контроль Интернет трафика. По статистике, наиболее типичным способом выхода в Интернет для современных организаций является использование специальных программ-шлюзов (proxy servers), позволяющих разделить единственное Интернет-подключение между всеми сотрудниками офиса. Одной из таких программ является Microsoft ISA Server. Анализируя лог файлы, создаваемые данной программой, Internet Access Monitor позволяет быстро осуществлять контроль эффективности использования корпоративного доступа в Интернет. Вы легко сможете определить, кто из сотрудников наиболее активно загружает Интернет канал, когда и что именно они скачивают, сколько времени проводят в Интернете, а также какой объем трафика они при этом генерируют. Этот анализатор лог файлов работает со всеми версиями MS ISA Server.

WrSpy - анализатор логов прокси- и почтовых серверов
Принцип действия программы таков: она импортирует логи вашего прокси- или почтового сервера в свою базу, потом анализирует их и выдает отчет в html или xls формате. Список возможностей с офсайта:
    1.Предоставление результатов анализа по большому количеству параметров.
    2.Автоматический выбор информации из непрерывных или нарезаных файлов логов.
    3.Возможность организации управления доступом пользователей.
    4.Оценка времени, проведенного пользователем/станцией в Интернете.
    5.Рассылка отчетов пользователям по почте.
    6.Легко модернизируется под пожелания заказчика. Это даже всемерно приветствуется.
    7.Бесплатный. И всегда будет им.
Поддерживаются почтовые логи:
    WinRoute
    Mdaemon
    Kerio Mail Server
    CommuniGate Pro
    Postfix
    Weasel
    WinProxy CZ
    POPCon
    Courier Mail Server
Прокси:
BSB
UserGate
Squid NT
WinGate
MS ISA 2000
MS ISA 2004
ExtraSystems Proxy Server
WinProxy CZ
WinProxy
KWF
Kerio Network Monitor
Tmeter[/ul]
Последнее редактирование: 6 года 8 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 8 мес. назад #4 от Vasilij
Vasilij ответил в теме Re: Microsoft ISA server
Поставил WrSpy; не могу разобраться.... :( оно точно должно работать?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
6 года 8 мес. назад - 6 года 8 мес. назад #5 от Aleksej
Aleksej ответил в теме Re: Microsoft ISA server
Переходим в эту тему.
Последнее редактирование: 6 года 8 мес. назад от Aleksej.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.