ISA Server 2006/Security
Přepis online diskuse ze dne 2. srpna 2006
Dobrý den, rád bych vás přivítal na dnešním chatu. Tématem je ISA Server 2006/Security. Odpovídají Ladislav Šolc a Martin Pavlis, specialisté na bezpečnost a Microsoft ISA Server.
Hned na začátek si dovoluji upozornit na to, že včera (02.08.2006) byla uvolněna finální verze ISA Server 2006 a to jak ve verzi Standard, tak ve verzi Enterprise. Více informací naleznete zde:
http://blogs.technet.com/technetczsk/archive/2006/08/01/444263.aspx
Dotaz: Co je vlastně v ISA Server 2006 všechno nového oproti předchozí verzi?
Novinek je vicero, neda se to takto jednoduse shrnout do par vet. Nicmene... administratorske prostredi (konzole) zustalo velmi podobne, takze ti z vas, kteri maji sve zkusenosti s ISA 2004, se budou velice rychle orientovat - to povazuji za velkou vyhodu. Podle me jsou nejvetsi novinky tyto: moznost se vuci ISA Serveru 2006 autentizovat pomoci klientskeho certifikatu s tím, ze ISA Server 2006 umi tuto autentizaci predat dal - napr. Exchange serveru. Druhou velmi prijemnou novinkou je publikace vice Web serveru, tzv. Web Farm - nekolik web serveru ve vnitrni siti a ISA pred nimi funguje nejen jako firewall, ale take jako misto, ktere rozklada zatez na jednotlive web servery a zajistuje tak jejich optimalni zatizeni, plus neustalou dostupnost!
Dotaz: Lze stáhnout testovací verzi ISA Serveru 2006 a referenční příručku? A kde?
Ano. Sledujte tyto odkazy:
Internet Security and Acceleration (ISA) Server 2006 Enterprise Edition (180 Day Trial Version)
http://www.microsoft.com/downloads/details.aspx?FamilyId=84504CAD-893B-4212-9AB2-999AD1D8FE68&displaylang=en
Internet Security and Acceleration (ISA) Server 2006 Standard Edition (180 Day Trial Version)
http://www.microsoft.com/downloads/details.aspx?FamilyId=6331154B-A923-45DD-8520-48B63B6BE97B&dis"playlang=en
ISA Server 2006 Frequently Asked Questions
http://www.microsoft.com/isaserver/2006/prodinfo/faq.mspx
ISA Server 2006 System Requirements
http://www.microsoft.com/isaserver/2006/system-requirements.mspx
ISA Server 2006: Secure Application Publishing
http://www.microsoft.com/isaserver/2006/sap.mspx
ISA Server 2006: Branch Office Gateway
http://www.microsoft.com/isaserver/2006/bog.mspx
ISA Server 2006: Web Access Protection
http://www.microsoft.com/isaserver/2006/wap.mspx
ISA Server 2006 Evaluation Guide and Walkthroughs
http://www.microsoft.com/isaserver/2006/prodinfo/
Dotaz: Podľa mojich skúseností ISA Server nepodporuje statické routy, dá sa to nejako obísť? Konkrétne, ak je v sieti ďalšia GW do iného subnetu, ISA Server VPN klientov nepreroutuje...
ISA podporuje statické routy. Jejich správa se řeší z příkazového řádku pomocí příkazu ROUTE. Jako u jiných sítí je však nutné zachovat nutné podmínky. Tzn. umístit IP, které se vyskytují ve staticky routované síti do sítě Internal. Eventuelně vytvořit jiný objekt sítě. Např. POBOČKA1 a následně v ISA Serveru nakonfigurovat správný vztah mezi sítí VPN Clients a novou sítí POBOČKA1 na typ – ROUTE.
Vřele vám doporučuji si produkt ISA 2006 vyzkoušet ve virtuálních labech, které jsou k dispozici zcela zdarma. Témata jsou (Introduction to ISA 2006; Secure Messaging and Collaboration; Secure Application Publishing with ISA Server 2006; Branch Office Gateway and Web Access Protection with ISA Server 2006). Více informací zde:
http://www.microsoft.com/technet/traincert/virtuallab/isa.mspx
Dotaz: Presne takto som to nakonfiguroval, skúsil som obe možnosti, ale nefungovalo to, proste ISA odignorovala static route do internal network... ak ste si istý, že ISA podporuje static route, tak som niekde musel urobiť chybu, ale skôr som si myslel, že ISA musí byť umiestnená v strede všetkého t.j. riešením by bolo pridať ďalšiu network card na ISA Server.
Castym problemem byva asymetricky routing. Tzn. klienti z jedne nebo druhe site, maji sanci komunikovat vice cestami. Neni tak zaruceno, ze se stejnou cestou komunikace vraci. Potom dochazi k priznaku TCP NOT SYN a firewall komunikaci zastavi. Prakticky mam vyzkouseno a overeno, ze ISA Server pouziva staticke routy (v radu desitek zaznamu).
Dotaz: Aký je rozdiel medzi edíciami Standard a Enterprise?
Jednoduše řečeno, verze Enterprise se hodí tam, kde potřebujete buď vysokou dostupnost služeb nebo centrální správu většího množství FW, PROXY, VPN a podobně. Verze Enterprise podporuje síťový Load Balancing (NLB Cluster) a centrální správů pomocí tzv. uzlů (nódů). Je možné z jednoho místa vynutit jednotnou politiku přístupu v celé společnosti, na všech proxy serverech. Je možné definovat politiky pro jednotlivé pobočky (nezávisle na tom, zda-li je v jednom uzlu jeden nebo více firewallů). Verze Enterprise podporuje také větší množství rolí pro různou úroveň správy firewallů (Plný přístup, Monitoring, Úroveň podniková nebo Úroveň lokální). Verze Enterprise nemá omezení na 4CPU v jednom serveru. Od verze 2006 se ISA Server Enterprise distribuuje také jako HW Appliance.
Dotaz: Aké sú skúsenosti s upgradom ISA 2004 na ISA 2006?
Upgrade na ISA Server 2006 z predchozi verze je velmi snadny. Staci export stavajici konfigurace ISA Server 2004 do XML a nasledny import do ISA 2006. Vice info naleznete zde:
Upgrading ISA Server 2004 to ISA Server 2006
Dotaz: Ďalšia vec, s ktorou má ISA problém, je teaming na dvoch kartách Broadcom. Po pripojení a pokuse routovať do siete internal skončí Windows blue screenom... pomôže len rozbitie teamingu a disable jednej karty.
V tomto pripade bych spise videl problem v ovladaci sitove karty a v operacnim systemu. Prakticky nemohu argumentovat. Zkusil jste jine ovladace? Mate sanci vyzkouset jineho dodavatele karet? Eventuelne doporucim obratit se do diskuze na http://www.isaserver.org pro prakticke zkusenosti s NIC teamingem.
Dotaz: Akým spôsobom môžem v ISA 2004 povoliť SIP protokol (VoIP) pre klientov za ISA firewallom? Má už ISA 2006 v sebe defaultne definovaný SIP protokol?
Bohuzel je v ISA 2006 stejna situace jako ve verzi 2004. Neni zde zadna podpora (napr. Aplicacni filtr) pro SIP.
Dotaz: Lze jednoduše vypnout firewall verze ISA Serveru 2000, 2004, 2006. Jde mi o test činnosti, jako by ISA Server vůbec neběžel, či nebyl nainstalovaný (vypnutí veškerých rolí, filtrů apod.)
Nejde to jen zastavením služeb. ISA Server i při zastavené službě Microsoft Firewall, nebo MS ISA Server Control běží v tvz. Fail Safe mode. K tomu, aby došlo k požadované výjimce, je možné použít nástroj FWENGMON. Najdete ho zde:
Firewall Kernel Mode Tool for ISA Server 2004
Dotaz: Zkusím to jednoduše, a tak se omlouvám za strohý jazyk: internet <> PIX <> ISA za ISA Serverem je Demilitarizovaná zóna (dále jen DMZ) a privat. ISA má dvě veřejné IP. V DMZ je mail server, který má mx záznam na adresu 2. Primární adresa na ISA Serveru je adresa 1, veškerá odchozí komunikace jde z adresy1.
Jestli tomu rozumim, chcete, aby veskera odchozi komunikace mail serveru smerovala pres adresu 2 a ne pres defaultni 1. Je to tak? Bohuzel, toto se neda zadnym zpusobem zaridit. ISA umi pracovat s mnoha IP adresami na svych sitovych rozhranich, ale pouze smerem dovnitr, nebo v pripade routingu. V pripade NAT, je potom komunikace vzdy z default IP adresy daneho adapteru. Bohuzel...
Dotaz: Jak zařídit, aby odchozí komunikace ze SMTP v Demilitarizované zóně (DMZ) šla z adresy 2.
Toto se snazim resit jiz od verze 2000. Komunikuji s vyvojovym tymem. Verze 2006 zatim nepodporuje N-N NAT. Zda se, ze blyska na lepsi casy (ISA 2007/2008)
Dotaz: Inak trochu ma mätie definícia ponímania inbound a outbound v ISA 2004/2006. na povolenie all in/out stačí povoliť all outbound. trochu rozdiel oproti ponímaniu linuxu a iptables... outgoing - incoming
Rozdíl je tam, kde je vztah ROUTE nebo NAT. V případě routovaných sítí se používají jen Access rules pro řízení přístupu a tam je vždy definice protokolu out. Vždy definujete jako odchozí z jedné sítě do druhé. V případě překladu se používá protokol definovaný jako IN (Označený také přídavkem server, POP3 Server,...), protože prakticky končí na ISA Serveru a následně dochází k překladu (Port forwarding, nebo reverse proxy). Máte pravdu, že to může být nezvyklé v porovnání s IP Chains. Ale jsou i další FW, které to používají přesně takto. Je to spíše o zvyku.
Dotaz: Pokud na ISA Serveru zapnu pravidlo omezené na uživatele z domény, pravidlo funguje na všechny bez rozdílu. Pokud zadám uživatele jako výjimku, nefunguje vůbec.
Tak to nevim. Ja pouzivam FW pravidla s autentizaci na jednotlive skupiny a uzivatele a jsem spokojen. Asi bude dost zalezet na typu klientske autentizace a pouziteho pravidla... takhle Vam ale bohuzel vice nereknu... na techto strankach vysel pekny clanek o tom, jak presne pravidla a autentizace v ISA 2004 pracuji. Snad vam to pomuze:
http://blogs.technet.com/isablog/default.aspx
Dotaz: Kdy přesně bude ISA 2006 uvedena na trh?
Byla uvedena vcera (02.08.2006). Muzete si jiz nyni stahnout trial verze ze stranek http://www.microsoft.com/isaserver.
Dotaz: Ak mám nejaké pravidlo v ISA serveri, napr. povolený http protokol do internetu pre používateľov za ISOU. Mám aj iné pravidlo, napr. povolené SSH. Potreboval by som monitorovať, koľko dát "pretečie" jedným pravidlom a koľko dát tým iným pravidlom.
Veskere informace o komunikaci, ktera prosla ISA Serverem, mate v lozich (typicky MSDE). Otazka tedy zni jenom, jak tuto informaci z logu dostat. Doporucuji se podivat na clanky na http://www.isaserver.org, kde se tomu nekolikrat venovali. V zasade pujde o polozeni dotazu do SQL, ziskani potrebnych dat a tyto nejakym zpusobem interpretovat (doporucuji Microsoft LogParser free utitity) napr. do grafu.
Dotaz: Ideálne by bolo, aby som to mohol čítať SNMP protokolom, aby to bolo integrovateľné s naším súčasným monitoringom. Je možné pomocou SNMP čítať nejaké iné parametre ISA? Napr. bloknuté pakety, počet nadviazaných spojení a podobne.
Ideálním nástrojem pro monitoring ISA Serveru je Microsoft Operations Manager (MOM), který má specializovaný management pack pro všechny události, které ISA generuje. Pokud jde o SNMP, nenašel jsem nikde, že by ISA Server nějak rozšiřoval MIB.... Další možností je WMI. Integrace MOM a SNMP monitoringu možná je, ale je to již více práce. Pokud by Vám stačilo monitorovat jen performance counters, které ISA přidává, tak to by neměl být problém přes SNMP a operační systém serveru.
Dotaz: Ad monitoring: ďakujem za odpoveď. A ak sa mám vrátiť ešte konkrétne k tomu SNMP & ISA, je tam nejaká spolupráca, viem cez SNMP čítať niektoré z jeho charakteristík alebo táto komunikácia nie je podporovaná?
Obecne je prioritou v monitorovani Microsoft infrastruktury MOM a WMI. Ve verzi do 10 serveru jen za 500USD :) Vzhledem k mnozstvi informaci, ktere maji mgmt packy, je to skutecne nedostizne reseni.
Jeste k SNMP. Nasel jsem toto:http://www.snmp-informant.com/
Dotaz: Pořadí pravidel, existuje nějaké doporučení, kam umístit jaká pravidla? Zakazující, povolující, publikační?
Ano, existuje. Zde bohuzel neni cas ani prostor se celou otazkou zabyvat vice do hloubky... nicmene vse je skvele popsano zde: http://blogs.technet.com/isablog/default.aspx. Pripadne si muzete zajit do nektereho autorizovaneho skoliciho strediska na kurz 2824, kde se to podrobne probira. Sam jeden tento kurz hned pristi pondeli vedu.
Dotaz: Jak je na tom ISA Server se spoluprací s aktuálními MS servery? Mám na mysli například Exchange nebo portálové servery.
Spoluprace s ostatnimi Microsoft produkty byla v ISA Serveru vzdy skvela. Nicmene to, jak je to dotazene ve verzi 2006 vas ohromi. Skvela spoluprace s Exchange (i chystanym 2007), nove moznosti upravy Form-Based AuthN primo v ISA Serveru... kvalitni moznost publikace Sharepoint serveru (ta byla drive velmi obtizna), nove moznosti autentizaci... a tak bych mohl pokracovat dale... Uzavru to: jestlize mate Microsoft prostredi, je jiste nejlepsi volbou prave ISA Server.
Dotaz: Můžete ve stručnosti napsat hlavní rozdíly mezi ISA 2004 a 2006?
Je jich mnoho. Ale nove moznosti publikaci serveru (Sharepoint, Web farma), nove moznosti autentizaci, atd. - na prvni pohled to nevypada, ale je toho hodne... vice na http://www.microsoft.com/isaserver a nebo posledni dobou skvele clanky o ISA 2006 na http://www.isaserver.org.
Dotaz: Referer. Pokud přesměruji pravidlem uživatele na jinou stránku, rád bych na této stránce viděl: "Chtěl jsi holé baby, dojdi si pro výpověď." Ale ne, vážně, je možné to zjistit? Pro případné řešení problémů s přístupy na stránky by to bylo užitečné.
Při vytváření pravidla, které zakazuje konkrétní cíl a volbě na přesměrování, zadáváte vámi specifikované URL. Odkažte ho na intranet a tam už ho můžete vystrašit tak, jak je třeba. Je to na co se ptáte? Eventuelně se podívejte na nástroj Microsoft Indentity Integration Server, pomocí kterého mu můžete rovnou zakázat účet, vyřadit ze stavu zaměstnanců a vytisknout zápočtový list….
Dotaz: Ano to jo, ale chci vědět, kam lezl, třeba do banky (ČSOB), kde každá druhá stránka pracuje na jiných portech etc. Když chci rychle řešit problém, přesmeruju ho na stránku, která pošle email, zapíše do databáze etc.
Myslite nejakou stranku, na ktere by se jako promenna objevilo, ktere pravidlo uzivatele nepustilo, nebo pripadne kam ze to pristupoval? Tak to se priznam, ze netusim, jak udelat... podle me ISA udela jenom redirect, ale nic k tomu neprida... muzu se na to podivat podrobneji... kdyztak mi napiste na martin@pavlis.net a ja na to mrknu bliz...
Dotaz: K tomu přesměrování na stránku s výhružkou: Mám to takto nastaveno, ale bohužel se mi stává, že stránky, které nejsou vyjmenovány, se taky někdy přesměrují a musím je dát do výjimek. Pak je to OK. Je to chybka, nebo mám něco špatně?
To je zajimave... me toto nezlobi a nesetkal jsem se s tim. Ale nevim, co mate za verzi. Po SP2 na ISA 2004 vysel hotfix, ktery presne tyto problemy resil...
Dotaz: Existuje nějaký nástroj, který by mi “zkontroloval”, zda-li mám ISA Server správně nastaven?
Vrele vam doporucuji instalaci a pouzivani totoho super nastroje: Microsoft ISA Server Best Practices Analyzer Tool v3 (5.0.5720.100). Je to presne to, co hledate. Projde vam cely operacni system, ISA Server a navazujici sluzby a zkontroluje/doporuci zmeny, ktere byste v ISA Serveru mel udelat - vice info zde:
http://blogs.technet.com/technetczsk/archive/2006/07/26/443483.aspx
Další informace
Dalším zdrojem informací pro vás můžou být diskusní skupiny, jejichž popis najdete na stránce http://www.microsoft.com/cze/communities/skupiny/default.mspx.
Máte možnost se zúčastnit i dalších chatů (v anglickém jazyce):
Chaty pro IT Profesionály: http://www.microsoft.com/technet/community/chats/default.mspx
Chaty pro vývojáře: http://msdn.microsoft.com/chats/
