Microsoft Proxy Server 2.0M kod nas je bio dobro prihvaćen, ali je u sledećoj verziji promenio ime u Microsoft Internet Security and Acceleration Server (ISA, www.microsoft.com/isaserver). Novo ime mnoge je zbunilo, ali u Microsoft-u su morali da naglase da je program postao mnogo više od proxy-ja. ISA je softver koji za sigurnosnu zaštitu Internet veze nudi podesivi firewall i filter na različitim slojevima komunikacije. Poseduje i značajne mehanizme za zaštitu od napada, izveštaje o korišćenju Interneta i još štošta. Sve to možete dobiti po pristupačnoj ceni, a male firme će obradovati činjenica da je ISA uključen u jeftini Small Business Server paket. ISA-u morate instalirati na sistemu iz Windows server porodice a postoje verzija Standard i za velike sisteme Enterprise.
Keširanje
Kada klijenti nezavisno pristupaju nekom fajlu na Internetu, protok nije optimizovan. Stoga je korisna uloga posrednika (poput ISA servera) koji kešira podatke sa Interneta u RAM i na disk. Naša ocena je da je keširanje HTTP i FTP saobraćaja efikasno implementirano. Keširanje je nezavisan segment programa koji čak radi u zasebnom NT servisu. ISA Server možete instalirati u keš modu, u slučaju da vam je to jedina potrebna funkcija (npr. unutar sopstvene mreže).
Za administratore je važno pitanje koliko dugo neki objekat treba držati u kešu, pri čemu možete (a ne morate) uzeti u obzir i vreme „života“ koje je podesio autor Web stranice. Možete optimizovati i lokacije. Dobar primer je sajt sa dnevnim vestima. Recimo da većina zaposlenih ima naviku da kad dođe na posao uz kaficu „prelista“ sajt dnevnih novina. Možete definisati da se ta stranica prebaci u keš svakog dana deset minuta pre početka radnog vremena i da tu ostane neko vreme. Tako će novine već čekati u lokalnoj mreži pa ste i ubrzali otvaranje sajta korisnicima i uštedeli protok. ISA-u možete upotrebiti i za keširanje svog sajta prema Internet korisnicima. U stanju je i da pravi SSL konekcije prema klijentima i Web serveru prilikom ovog posredovanja. U slučaju preke potrebe, možete naći i nezavisne alate za „preturanje“ po keš bazi ISA-e.
ISA Server odlikuje izuzetna skalabilnost, odnosno prilagodljivost velikim i malim sistemima. Više instaliranih ISA servera mogu da sarađuju, čime se dobija distribuirani keš. Ovakav keš može se koristi za balansiranje velikog saobraćaja, i za otpornost sistema: u slučaju da neki od servera ispadne iz pogona, sistem će nastaviti da radi.
Zid protiv vatre
| (kliknite za veću sliku) |
Statefull firewall je danas obavezan prilikom priključivanja na Internet. To je princip koji radi na nivou paketa i cilj je da ka unutrašnjosti prođu samo paketi koji su vezani za neki zahtev koji je bio upućen u svet. Rekosmo da ovaj firewall može da se koristi na različitim slojevima komunikacije, a ono što niste navikli da vidite kod firewall-a su tzv. aplikacioni filteri. To su pravila na najvišem sloju komunikacije, koja mogu da se zasnivaju na sadržaju niza paketa. Na raspolaganju vam je na primer H.323 filter za ovaj protokol za prenos multimedijalnih sadržaja u realnom vremenu.
Microsoft NetMeeting koristi ovaj protokol, pa se podešavanjem aplikacionog filtera između LAN-a i Interneta sa jednom javnom IP adresom može obezbediti prenos multimedije kao da je svaki računar na Internetu. Firewall je prirodno rešenje za aplikacije koje se ponašaju samo kao klijenti u TCP/IP saobraćaju, dok serverskim TCP/IP aplikacijama predstavlja prepreku. Međutim, vrlo su česte aplikacije tipično klijentskog tipa koje zahtevaju i serverski saobraćaj, pa običan firewall predstavlja branu za njihovo korišćenje. Stoga je ISA server veoma koristan na aplikativnom nivou.
Primer je FTP aplikacija koja pravi dve konekcije, klijentsku i serversku. Dobro rešenje za prolazak FTP klijenata kroz ISA server je instalacija FTP aplikacionog filtera – ISA server će dinamički otvarati potreban port prema spoljnim konekcijama, prevoditi adrese prema unutrašnjim klijentima koji će biti „iza zida“. Ovaj filter čak nudi i mogućnost da fino podešavate prava: određenim korisnicima, recimo, možete dozvoliti samo čitanje fajlova.
Aplikacioni filter SMTP saobraćaja je dodatna mera zaštite za e-mail server, nezavisno od toga koji softver koristite za upravljanje elektronskom poštom. Filter štiti od buffer overrun napada. Možete koristiti Message Screener za napredno filtriranje SMTP saobraćaja po tipu attachment-a. DNS filter brani od nekoliko overflow DNS napada i transfera zona putem DNS klijenata. ISA prepoznaje Ping-Of-Death, IP spoofing, WinNuke, Land, UDP bomb, skeniranje portova... reč security iz naziva ima smisla!
Pored „fabričkih“ mogućnosti ISA server se može proširivati, jer je Microsoft objavio Software Development Kit. Proširuje se tipično Web filterima, pa na tržištu možete naći filter XWall firme Forum Systems za zaštitu Web servisa od napada (DoS) i XML virusa. Dakle, ISA duboko da ulazi u komunikaciju, praveći od pojedinačnih paketa „veću sliku“. Na slici je dat primer HTTP polise sa Signature filterom koji prepoznaje string u HTTP hederu, što blokira zloupotrebu baga opisanog u MS04-013. IP paket filter su pravila na nižem nivou, za uslove se koriste informacije poput izvorišne i odredišne adrese paketa.
Korisno je napraviti dopadljiv grafički izveštaj za određeni vremenski period. Tako ćete videti koji su korisnici najveći „potrošači“ Interneta, koji sajtovi su popularni i koliko ste protoka uštedeli. Napredni korisnici će biti zadovoljni dobrim logging i alerting mehanizmima.
Klijenti
Postoji više načina da usmerite radne stanice na ISA server. Prva je da ga koristite kao svaki Web proxy server za surfovanje: u Web browser-u odredite adresu i port proxy servera. U tom slučaju će radne stranice biti uskraćene za Internet aplikacije i protokole koji ne podržavaju ovakav Web proxy način, a one aplikacije koje podržavaju proxy često moraju biti ručno podešene. Drugi način je da koristite ISA kao NAT (Network Address Translation) server. ISA server će biti raskrsnica, prevoditi javne IP adrese u privatne (i obrnuto), omogućavajući nesmetan saobraćaj većini TCP/IP protokola.
Najčešće je dovoljno na klijentu podesiti adresu ISA servera za default gateway. Time će svi paketi koji nisu namenjeni lokalnoj mreži biti prosleđeni ISA serveru koji će prevesti privatnu adresu u javnu i poslati zahtev na Internet. Svaki računar koji koristi TCP/IP može se ovako podesiti. Nažalost, ISA server i dalje nema informaciju o tome koji korisnik je poslao zahtev, već samo koji računar. To je razlog što postoji treći tip klijenata.
Firewall Client je aplikacija koja se instalira na radnim stanicama. Aplikacija postoji za sve verzije Windows-a i predstavlja čvrstu vezu računara sa ISA serverom. Korisnici ne moraju ni znati da je ova aplikacija instalirana – sve izgleda kao da su povezani direktno na Internet, osim što systray-u imaju dodatnu informaciju o dostupnosti ISA servera; ako ISA server nije dostupan, aplikacija će se isključiti što olakšava korišćenje laptop-a na poslu i kod kuće. Kada imate ovakve klijente, pravila za pristup Internetu putem TCP i UDP protokola možete vezati za pojedinačne korisnike. Statističke izveštaje o upotrebi Interneta moći ćete da pravite i po korisnicima.
Klijent je odlično integrisan u Windows – sve proradi kao od šale, klijent i server uvek znaju koji korisnik je ulogovan i koristi Internet... ISA klijentske aplikacije možete instalirati i centralizovano koristeći grupne polise. Administratorska konzola je standardna MMC konzola, čime je omogućena administracija na daljinu. Windows Performance Monitor biće obogaćen dodatnim brojačima (counter) za praćenje performansi ISA servera. Na osnovu brojača aktivnih konekcija na firewall-u i broja zahteva po sekundi na ISA kešing delu, administrator dobija precizan pregled iskorišćenosti hardverskih i softverskih resursa tokom rada servera. VPN server već postoji u Windows-u, ali kako je to još jedna tačka mreže dostupna spolja i mora proći kroz ISA „bedem“, podešavanje VPN servera možete vršiti iz ISA konzole, oslanjajući se na atraktivnog čarobnjaka. To je samo nagoveštaj o trudu uloženom u razvoj korisničkog interfejsa.
Često pitanje u vezi sa ISA serverom je da li je moguće pojedinim korisnicima ograničiti protok (bez QoS-a). Nažalost, nikome ne možete odrediti maksimalan KB/s, a širina linka će se uvek do kraja koristiti. Ipak, možete dodeliti prioritete kojima nekome dajete relativnu prednost.
Znanje je moć
Microsoft platforme su omiljena meta napada u brojnim diskusijama o sigurnosti. Ne želeći da stanemo na nečiju stranu, naglasićemo da je ključ za rešavanje velikog broja problema znanje, tj. obuka osoba odgovornih za vašu računarsku mrežu. Želeći to da naglasi, Microsoft je dodao nove sertifikate za profesionalce u svoj MCP (www.microsoft.com/mcp) program. Sertifikati za inženjere sistema i administratore od prošle godine mogu imati i specijalizaciju pod imenom Security. CompTIA Security+ ispit, takođe se uvažava.
Još jedan put do ove specijalizacije je polaganje ispita iz ServerISA proizvoda, u okviru kog ne treba da savladate samo podešavanje softvera. Treba da poznajete ulogu ISA servera u praktičnim situacijama i procenjujete kako što sigurnije da dizajnirate mrežu. Na primer, dodavanjem druge mrežne kartice na ISA server dobijate tzv. Three-Homed Firewall konfiguraciju koja je pogodnija kada želite da odvojite Internet servere od ostatka lokalne mreže...
Korisne adrese:
Microsoft Software
Beograd http://www.microsoft.co.yu
|