Microsoft ISA Server 2004

2. 2. 2005

Sdílet

Všestranný firewall pro firemní nasazení

Po zhruba čtyřech letech „služebního“ nasazení konečně na sklonku letošního jara
představila společnost Microsoft novou verzi produktu Internet Security and
Acceleration Server.

Pro administrátory či návrháře sítí, kteří měli možnost sledovat vývojové verze
MS ISA 2004, se jednalo o dlouho očekávaný okamžik uvolnění definitivní verze.
Pokud patříte mezi ty, kteří pozvolný vývoj nesledovali, čeká vás zřejmě řada
překvapení. Nutno dodat, že veskrze pozitivních. Cílem následujících odstavců je
představit vám v hrubých rysech nejen hlavní vlastnosti produktu, ale především
změnu filozofie, jež s nimi souvisí.

Hlavní koncepce
Pokud jste prozatím ovládací konzolu ISA 2004 neviděli, pak je potřeba
předestřít hlavní skutečnost: aktuální provedení aplikace se zásadně liší od
verze 2000, neboť produkt byl přepracován důkladně. Nejedná se v žádném případě
o změny kosmetické či „vylepšovací“, ale o skutečně hlubokou rekonstrukci, jež
bezesporu vycházela mimo jiné z odezvy uživatelů, kteří technologii používali a
naráželi na její limity.
MS ISA 2004 zůstává vícevrstvým firewallem a proxy serverem, určeným pro
nasazení v malých i rozsáhlých síťových infrastrukturách. Postoupíme-li však
více do hloubky, podobnost s předchozí verzi se začne vytrácet a teprve při
podrobnějším ohledání zjistíme, jak zásadní změny se odehrály uvnitř. V první
řadě byla zásadně proměněna filozofie pojmenovávání a rozlišování připojených
sítí, u čehož se dále podrobně pozastavíme. Nyní zkrátka řekněme, že zmizely
limity pro rozlišování lokálních a veřejných (rozuměj nebezpečných) segmentů a
opravdu bez zábran můžeme realizovat širokou škálu scénářů s demilitarizovanými
zónami. Změna koncepce v této oblasti s sebou přináší i vyřešení jednoho
citelného problému, kterým bylo korektní definování průchodu komunikujících
služeb z počítače na počítač, kde samotný ISA 2000 běžel.
Dalším významným krokem bylo projasnění a zjednodušení konfigurace pravidel pro
blokování či propouštění komunikace, doprovázené přepracováním ovládacího
rozhraní do mnohem přehlednější a intuitivnější podoby. Z důvodů, o nichž lze
jen spekulovat, se tak administrace přiblížila i konkurenčním produktům a může
vám vzdáleně připomínat např. rozhraní firewallů CheckPoint. Zásadně pak tvůrci
zapracovali na aplikačním firewallu, přesněji na možnostech pro filtrování
komunikace na aplikační vrstvě. Ruku v ruce s posílenou obranou tato vylepšení
významně usnadní definování průchodu žádoucí komunikace, jejíž definice je
komplikovanější.
Zajímavé novinky přicházejí i v oblasti správy jako takové. Z hlediska zálohy,
migrací a implementací je důležitým vylepšením možnost uložit část konfigurace
či celé nastavení do XML souboru, který lze opět načíst buď na jiném serveru,
nebo udržovat jako zálohu pro systém běžící. Z hlediska správy je pak
nekompromisní novinkou výchozí volba technologie SQL Serveru k protokolování
událostí, takže lze při instalaci vybrat buď plnou verzi SQL Server 2000, nebo
odlehčenou variantu MSDE v odpovídající verzi.
Nastíněné změny jsou samozřejmě pouze letmým výběrem, v následujících odstavcích
se na hlavní témata podíváme podrobněji.

Vztahy mezi připojenými sítěmi
Jedním z citelných omezení technologie ISA 2000 byla koncepce rozlišování a
propojování jednotlivých síťových segmentů, mezi nimiž se následně provádělo
zabezpečení komunikace. Starší koncept byl postaven na existenci tzv. tabulky
LAT (local address table), jež zahrnovala síťové rozsahy segmentů, považovaných
za lokální, rozuměj bezvýhradně bezpečné. Problémem však bylo, že všechny
ostatní sítě byly považovány za „venkovní“, tedy nebezpečné, a to bez rozdílu.
Tato filozofie s sebou nesla značné obtíže: nebylo možné diferencovat mezi
několika interními a externími sítěmi, takže třeba návrh oddělené
demilitarizované zóny nebyl vůbec jednoduchý a znamenal vždy „černobílé“ řešení.
Navíc zde byl nezanedbatelný aspekt v podobě automatického spouštění služby
překladu adres (NAT) mezi sítěmi „z různého břehu“, což opět značně komplikovalo
či přímo vylučovalo ze hry některé složitější scénáře komunikace, třeba mezi
interními sítěmi s různou mírou zabezpečení.
Právě těmto těžkostem je nyní konec, a to díky zcela novému přístupu k
definování síťových segmentů. Tabulka LAT zmizela a „dvoubarevný“ přístup při
dělení sítí také. V ISA 2004 může administrátor nezávisle definovat síťové
rozsahy podle svého uvážení a následně pak nezávisle řídí komunikaci mezi všemi
segmenty navzájem. Zcela ve shodě s vašim návrhem je možné mezi vybranými
segmenty definovat buď překlad adres, nebo prosté směrování, ovšem beze ztráty
možností pro další zabezpečení. Zmizely tedy poněkud násilné vazby, jež bránily
variabilitě v návrhu struktury sítí.
Tímto krokem pochopitelně zásadní proměna nekončí. Hlavní výhoda spočívá
následně v tom, že každému síťovému segmentu je možné přiřadit odpovídající
bezpečnostní politiku, jež řídí příslušné síťové toky mezi jednotlivými
segmenty. Právě tato koncepce je výrazným rozdílem oproti implementaci ve verzi
2000.
Další příjemnou novinkou je možnost definovat „kolekce“ z nadefinovaných
síťových segmentů, což značně usnadňuje tvorbu pravidel a zlepšuje logiku
ovládání. Nic vám tedy nebrání navrhnout více interních, navzájem oddělených
segmentů, jež však budou sdílet např. stejný způsob komunikace pomocí jednoho z
protokolů s externím síťovým rozhraním. Přiřazení pravidla je navíc velmi snadné
a intuitivní.
Velkou pomůckou pro administraci jsou síťové segmenty, definované na firewallu
jako výchozí. Pokud máte v živé paměti snahu korektně na ISA 2000 publikovat
službu, běžící na stejném počítači jako firewall, pak vězte, že nově je k
dispozici jednoznačný síťový segment „localhost“, který lze (či je potřeba)
přiřadit do příslušných pravidel, neboť v ostatních případech se počítač s ISA
2004 chová jako neviditelný a nedosažitelný. Dalším vylepšením je výchozí síť,
zahrnující klientské počítače připojené pomocí služby RRAS ve formě virtuální
privátní sítě. Právě všichni takto připojení uživatelé jsou sdruženi v jeden
segment, jemuž lze snadno přiřadit pravidla. A aby toho nebylo málo, ISA 2004
navíc spolupracuje s technologií „karantény“ na Windows 2003 Serveru, takže
příchozí VPN uživatele lze rozlišit a zařadit jako prověřené a „ostatní VPN“.
Právě absence politik pro klienty VPN byla citelným nedostatkem dřívější verze,
neboť nebylo možné oddělit takto přistupující uživatele od ostatních,
pracujících na ryze lokální síti a tedy typicky v úplně jiném bezpečnostním
režimu.
Zmíněné změny a mechanizmy dovolují realizovat při bezpečném propojování sítí
opravdu velmi rozmanité scénáře a návrháři již nejsou limitování technologií,
jež v dřívější verzi řadu nastavení nedovolila změnit.
Další síťové novinky
V předchozím odstavci jsme se pozastavili nad hlavními změnami ohledně koncepce
návrhu chráněných sítí, zde si povíme o některých dalších novinkách, jež
představují zajímavá vylepšení. V dřívější verzi byla do jisté míry omezena
možnost sestavování tunelovaného propojení mezi vzdálenými sítěmi, typicky
pobočkami či partnerskými firmami. Problém nebyl ani tak mezi dvěma ISA Severy,
tedy v případě čistě „microsoftí“ implementace, ale při snaze navazovat spojení
s technologiemi jiných dodavatelů. V nové verzi tedy naleznete tzv. IPSec Tunel
Mode, což je varianta ideální právě k propojení „site-to-site“ (tedy ne mezi
koncovým uživatelem a větší sítí) i při využití technologií jiných výrobců,
případně linuxové platformy.
Dalším významným rozšířením je možnost univerzálního využití služby RADIUS pro
ověřování přístupu klientů. Běžně používaná technologie byla dříve dostupná
pouze prostřednictvím součinnosti s paralelně spuštěnou a řízenou službou RRAS,
jež vyřizovala požadavky klientů VPN. ISA 2004 nabízí zcela odlišný přístup,
neboť služba RADIUS se stala jeho organickou součástí jako univerzální ověřovací
mechanismus. Lze tedy definovat nejen ověřování klientů virtuálních privátních
sítí, ale také pomocí téže služby řídit přístup na zveřejněné interní servery či
naopak ověřovat klienta vnitřní sítě při snaze o komunikaci směrem ven.
Důsledkem je nezanedbatelná skutečnost: ISA 2004 nemusí být kvůli ověření
uživatelů členským počítačem v doméně, což nadále zvyšuje možnosti důkladného
zabezpečení.
Na první pohled nenápadnou, ovšem velmi významnou novinkou je rozšíření možností
při definování pravidel na bázi určitých protokolů. Oproti verzi 2000, kde bylo
možno pouze vybírat varianty TCP či UDP, je nyní k dispozici „o úroveň níže“
jakákoliv definice protokolu IP. Možná to vypadá na první pohled dosti nejasně,
ale třeba z hlediska práce s virtuálními privátními sítěmi a jejich průchodem
jde o zásadní funkcionalitu.
Právě oblast VPN se dočkala zásadní rekonstrukce a vylepšení. Mezi
nejdůležitější novinky jistě patří publikování VPN serverů přes firewall, a to
jak v případě protokolu PPTP, tak pomocí relativně nové technologie NAT-T,
dovolující propustit protokol L2TP/IPSec. Již samotný fakt, že klienti VPN jsou
odděleni jako samostatná síť, nabízí řadu nových konfiguračních možností, míru
zabezpečení navíc posilují funkce karantény či inspekce celého provozu v případě
sestavení tunelu mezi pobočkami.

Běžící služby
K nejedné zajímavé změně došlo i hlouběji v architektuře ISA Serveru 2004.
Jednou z těch zásadních je sloučení služby (service) firewallu a proxy serveru
do jednoho kompaktního celku. Dřívější oddělení služeb firewall a proxy na dvě
nezávisle běžící části s sebou neslo některé obtíže se stabilitou a výkonností.
Aktuální provedení ve verzi 2004 je prosto podobných zádrhelů, neboť firewall a
proxy služby jsou spojené. Obě funkce byly sloučeny do podoby integrovaného
firewallového stroje, jenž běží jako jediný service a stará se o příslušnou
funkcionalitu. Důsledkem je mimo jiné i zjednodušení některých autentizačních
procedur, jež bylo dříve nutno řešit předáváním službě Web Proxy.

Aplikační firewall
Kontrola a ochrana na úrovni aplikační vrstvy je jedno z hlavních témat, jemuž
se tvůrci věnovali důsledně. Výsledkem je mimo jiné zcela zásadní přepracování
funkcionality, označované jako „publishing“, jež zajišťuje důsledně chráněný
přístup uživatelů z internetu pouze na vymezené interní servery za přesně
definovaných podmínek.
Mezi novinkami najdeme třeba konfiguraci pro filtrování protokolu HTTP nezávisle
pro každé pravidlo zvlášť, což v praxi dovoluje sestavit mnohem flexibilnější
řešení, lze také rozlišovat a následně omezovat určité typy metod HTTP,
kontrolovat stahování souborů podle přípon či zablokovat spustitelné soubory
vůbec. Velmi žádoucí je aplikační filtr podporující protokol RPC, jenž
představuje na platformě Windows zásadní komunikaci. FTP služby lze omezit pouze
na čtení a opravdu zdařilá je také funkce HTTP Link Translator, jež zajišťuje
„překlad“ interních odkazů na veřejně platné varianty, jež jsou vraceny na
požadavky z veřejné sítě. Samozřejmostí je vylepšení aplikačních filtrů pro
komunikaci různých multimediálních aplikací.

Monitorování
K zajímavým inovacím přistoupili tvůrci rovněž v oblasti monitorování a
zaznamenávání událostí na ISA Serveru 2004. Jak již bylo zmíněno výše, nabízenou
součástí instalace je buď napojení ISA Serveru na databázi MS SQL, nebo
instalace samostatně běžícího, bezplatného databázového stroje MSDE, jenž svou
architekturou vychází ze svého většího „sourozence“. Důvodem je nejen potřeba
dostatečně robustního úložiště, ale také způsob práce s uloženými informacemi.
Produkt nabízí monitorování činnosti firewallu i služby web proxy v reálném čase
a samotná podstata úložiště – SQL databáze – dovoluje definovat rychlé
opakovatelné dotazy, jež přesněji odfiltrují potřebné informace. Příjemnou
novinkou je konzola pro automatické testování konektivity v určitých sítích, jež
pracuje na bázi definování vlastních pravidel a adres kontrolních serverů.

Instalace a zpětná kompatibilita
Přestože ISA Server 2004 je zcela novou technologií, na rozdíl od jiných řešení
Microsoftu je příjemná možnost práce se starší verzí operačního systému. Pro
instalaci tedy nutně nepotřebujete novější Windows 2003 Server, ale postačí vám
serverové varianty Windows 2000 s příslušnými záplatami (SP4 a jeden specifický
update „navrch“). Pochopitelně se tímto způsobem připravíte o část nové
funkcionality, jejíž základ je implementován jako nedílná část právě
prostřednictvím nejnovějších serverů. Z důležitých omezení je to např. nemožnost
plně využít režim karantény pro VPN klienty při ověřování pomocí služby RADIUS a
především často žádoucí nasazení propouštění bezpečné komunikace typu IPSec přes
firewall pomocí technologie NAT Traversal (NATT), jež byla nově zabudována právě
do Windows 2003 Server. Druhou uvedenou funkci nelze zprovoznit pomocí žádného
updatu či jiných změn.
Z hlediska nákladů na implementaci je důležitou skutečností podpora přímého
přechodu z verze ISA 2000, a to buď formou upgradu, nebo jinými migračními
postupy. V případě upgradu „in-place“ (tedy na stejném počítači, kde dosud běžel
ISA 2000) máte možnost automaticky přenést většinu nastavení do nové podoby a
značně tak zkrátit dobu zavádění. Samozřejmě je potřeba počítat s tím, že přenos
konfigurace nebude stoprocentní, neboť třeba komponenta pro řízení šířky pásma
byla z verze 2004 zcela odstraněna a další funkce, logování a vytváření reportů,
byla zásadně přepracována na spolupráci s SQL Serverem. Ostatní varianty v
podobě migrace pak zahrnují použití speciálního nástroje ISA Server Migration
Wizard, jehož úkolem je v podstatě „vysát“ původní konfiguraci a přenést ji do
nové verze. Samozřejmě i v tomto případě je třeba počítat s určitými „ztrátami“
při převodu, avšak to podstatné – síťová pravidla – bude k dispozici. Při
následné správě nové verze pak jistě administrátory potěší již výše zmíněná
novinka v podobě možnosti exportu kompletní konfigurace do podoby opakovaně
využitelného XML souboru.
Neméně důležitým faktem je využitelnost starších variant speciálních klientských
aplikací pro ISA Server 2000, resp. MS Proxy Server 3.0. Pokud z nějakých důvodů
vyžadujete ve vaší síti i nadále podporu starších klientských komponent, je
možné při instalaci ISA Serveru 2004 vynutit zpětnou kompatibilitu a nadále je
využívat. Hlavní vymoženost, o níž přijdete, je pak šifrování „služební“
komunikace mezi novým ISA a novými klientskými aplikacemi: veškeré požadavky na
firewall totiž mohou být nově chráněny šifrou tak, aby v lokální síti nebylo
možné odposlouchávat tento režijní provoz.
Z hlediska koncepce klientů však nedošlo k žádným zásadním změnám. ISA Server
2004 i nadále podporuje tři základní typy klientské konfigurace: „plnou“ verzi
Firewall Client, vyžadující instalaci do Windows, univerzální variantu SecureNAT
Client (definovanou pomocí výchozí brány) a webovou formu Web Proxy Client,
realizovanou prostřednictvím webového prohlížeče, v němž lze zadat adresu proxy
serveru (což dnes umí prakticky všechny).

Namísto závěru
Popsat, vysvětlit či jen vyjmenovat všechny zajímavé novinky samozřejmě není na
tomto místě možné. Pokusili jsme se vám předat alespoň část informací o
potenciálu, jenž se za novou verzí velmi zdařilého produktu ukrývá. Ke
konkrétním scénářům jeho nasazení a příkladům konfigurace se třeba dostaneme v
některém z příštích čísel.

Autor článku