Případové studie

Efektivní nasazení Microsoft ISA Server 2004 v heterogenním prostředí společnosti RUBENA a.s.

Datum poslední aktualizace: 23. února 2006
Zabezpečení sítě společnosti RUBENA a.s. implementací Microsoft Internet Security and Acceleration (ISA) Server 2004 v roli proxy, firewall a VPN serveru.

Bezpečné spojení Microsoft ISA Server 2004 se vzdáleným CISCO firewallem dceřiné společnosti RUBENA Slovakia a.s.
*
**
logo Rubena
Studie ke stažení
Ke staženíEfektivní nasazení Microsoft ISA Server 2004 v heterogenním prostředí společnosti RUBENA a.s.
318 KB
Soubor PDF
Aktualizace: 23. února 2006
Stáhněte si prohlížeč Office souborů

Přehled řešení

Profil zákazníka

Země: Česká republika
Slovenská republika
Odvětví: Gumárenský průmysl

Významný dodavatel technické pryže v rámci holdingu České gumárenské společnosti, a.s.

RUBENA a.s.
Akademika Bedrny
500 02 Hradec Králové
Tel: 495 753 111
http://www.rubena.cz


Profil partnera:
AG COM, a.s. poskytuje komplexní služby v oblasti počítačových sítí a systémového managementu. Dodává řešení správy IT na bázi IBM Tivoli software a Microsoft Windows Server System. Disponuje certifikáty renomovaných výrobců.

AG COM, a.s.
Nám. Míru 22
503 03 Smiřice
Tel: 495 421 313
E-mail: dohnalkova@agcom.cz
http://www.agcom.cz

Výchozí situace

Málo zabezpečený přístup do Internetu, izolovaná vzdálená dceřiná společnost RUBENA Slovakia a.s.

Řešení

Zabezpečení sítě společnosti RUBENA a.s. implementací Microsoft ISA Server 2004 v roli proxy, firewall a VPN serveru. Bezpečné spojení Microsoft ISA Server 2004 se vzdáleným CISCO firewallem společnosti RUBENA Slovakia a.s.

Výhody

Pokročilá ochrana sítě před útoky z Internetu

Přístup do Internetu i ze vzdálených lokalit přes jediný chráněný centrálně spravovaný bod

Bezpečný přístup vzdálených uživatelů k vnitřní síti

Zjednodušená centralizovaná správa

Software a služby

Microsoft Windows Server 2003 Standard Edition

Microsoft Internet Security and Acceleration Server 2004 Standard Edition

GFi DownloadSecurity for ISA Server 6

GFi MailSecurity for SMTP 8.1

GFi Mail Essentials 10.1

**

Situace

Společnost RUBENA a.s. je významným vývojovým dodavatelem technické pryže, zejména pro automobilový průmysl. Je divizí České gumárenské společnosti, a.s. – největšího nezávislého holdingu zabývajícího se gumárenskou výrobou v České republice. RUBENA má hlavní závody v Hradci Králové a v Náchodě, provozovny ve Zlíně a Velkém Poříčí a několik zahraničních zastoupení, z nichž se tato studie týká dceřiné společnosti RUBENA Slovakia a.s.

Lokality na území České republiky jsou propojeny pomocí WAN technologie. Přístup do Internetu byl řešen centrálně v lokalitě Hradec Králové kombinací firewallu CISCO PIX 506 a proxy serveru Microsoft ISA 2000 Server na Microsoft Windows 2000 Server. Z celkového počtu 540 Windows stanic převážná část využívala proxy server a část vyžadující specifickou komunikaci do Internetu přistupovala přímo přes firewall CISCO. Ten zároveň plnil funkci VPN serveru, ověřování klientů bylo zajištěno službami Microsoft Windows 2000 Server - IAS (Internet Authentication Service) a Active Directory. V této situaci společnost trápilo časté napadení klientských stanic viry, trojskými koni, spyware a dalším škodlivým kódem staženým z Internetu. Nově také vznikla potřeba zajistit VPN spojení mezi RUBENA Slovakia a.s. a celou podnikovou sítí.

Obchodní cíle

Mezi prioritní cíle celého projektu tedy především patřilo:

zlepšit zabezpečení VPN klientů a zajistit jednotnou a přehlednou správu řízení přístupu do Internetu s ohledem na co nejvyšší ochranu investic

připojit dceřinou společnost na Slovensku a umožnit jejím zaměstnancům bezpečný přístup k vnitropodnikovým aplikacím

využít stávající hardwarové prostředky - firewall CISCO PIX a server IBM xSeries 206 PIII 1,13GHZ, 640 MB RAM

Řešení

Základní potřeby zákazníka:

vyřešit zabezpečení uživatelských Windows stanic před útoky z Internetu, odstranit problémy s výskytem škodlivého programového kódu

bezpečně připojit síť dceřiné společnosti RUBENA Slovakia a.s.

zjednodušit a zpřehlednit správu přístupu

přesně vymezit VPN přístupy pracovníkům dohledu a správy třetích firem

Popis řešení

Na základě potřeb zákazníka bylo rozhodnuto použít pro chráněný přístup z vnitřní sítě do Internetu a vzdálených uživatelů do vnitřní sítě Microsoft ISA Server 2004 v roli proxy, aplikačního firewallu i VPN serveru.

Firewall CISCO byl přemístěn do dceřiné společnosti RUBENA Slovakia a.s. a nyní slouží ke komunikaci s centrálou. Na jeho místo v centrálním závodě v Hradci Králové byl nasazen server IBM xSeries 206 s nainstalovaným Microsoft Windows Server 2003 a Microsoft ISA Server 2004. Tento server byl rozšířen o třetí síťové rozhraní pro chráněnou hraniční (perimeter) síť, do které byl umístěn poštovní Windows SMTP relay server.

Bylo třeba navrhnout řešení umožňující bezpečně propojit síť slovenské společnosti se sítí celé divize. To se uskutečnilo nastavením komunikace mezi Microsoft ISA Server 2004 na straně centrály a CISCO firewallem na Slovensku pomocí zabezpečeného protokolu IPSec v tunelovém režimu. Microsoft ISA Server 2004 byl zkonfigurován tak, aby všichni uživatelé mohli přistupovat k Internetu pouze přes jediný chráněný centrálně spravovaný přístupový bod v Hradci Králové.

Dále byl na MIcrosoft ISA Server 2004 nainstalován VPN server a nakonfigurován VPN vzdálený přístup protokolem PPTP za pomoci Windows služeb RADIUS Server, IAS (Internet Authentication Service) a Active Directory. Ověřování přístupu bylo zajištěno protokolem EAP (Extensible Authentication Protocol) a uživatelskými certifikáty. Pro vydávání uživatelských certifikátů byla zvolena a implementována vlastní doménová certifikační autorita. VPN přístup pracovníků třetích firem je řízen přiřazením pevné IP adresy pro VPN spojení.

Řešení ochrany sítě na úrovni HTTP a FTP komunikace bylo provedeno nasazením produktu GFi Download Security na Microsoft ISA Server 2004. Tento produkt sdružuje antivirové prostředky od společností McAfee, Kaspersky, BitDefender a Norman. Navíc poskytuje univerzální ochranu před škodlivým programovým kódem z Internetu tak, že nejprve tento kód spustí v chráněném simulačním prostředí a během simulace zkoumá jeho chování na podezřelé techniky, jako je snaha o navázání internetového spojení, modifikace registru a systémových souborů. Zadržený obsah je umístěn do karantény a je možné jej aktivně moderovat zasíláním schvalovacích formulářů správci systémů.

Ochrana poštovní komunikace byla řešena implementací produktu GFi Mail Security a GFi Mail Essentials na SMTP relay server v chráněné síti.

Přínosy

zvýšená bezpečnost
- podstatné zlepšení ochrany sítě před možnými útoky z Internetu
- výrazné zlepšení antivirové kontroly a možností zadržení nebezpečného programového kódu

Příklad zachyceného obsahu

Antivirový prostředek12/200406/2005

Trojan scanner

428

880

Kaspersky engine

68

3

McAfee Engine

63

360

Norman Engine

99

137

konsolidované prostředí - jednotný chráněný přístup z vnitřní sítě do Internetu, přehledné a bezpečné řešení přístupu vzdálených uživatelů do vnitřní sítě společnosti

racionalizace a optimalizace systému řízení vzdálené dceřiné společnosti RUBENA Slovakia a.s. a zpřístupnění provozních aplikací divize jeho zaměstnancům

zjednodušená a přehledná komplexní centralizovaná správa zabezpečení sítě

možnost dalšího rozvoje díky otevřené architektuře použitých moderních technologií

Od doby, kdy byla tato zakázka realizována a sepsáním případové studie, byl u zákazníka proveden upgrade produktů GFi na nové verze, takže nyní jsou implementovány GFi Mail Security for Exchange/SMTP 9, GFi Mail Essentials for Exchange/SMTP 11 a místo GFi Download Security, který není dále podporován, byl implementován GFi Web Monitor for ISA Server 3.

NahoruNahoru