ISA w praktyce

Korzystanie z kreatorów do konfiguracji systemu na pewno ułatwia pracę i przyspiesza wykonywanie zadań administracyjnych. Taka metoda dobrze sprawdza się w typowych czynnościach. Zaawansowana konfiguracja wymaga jednak nieco większego zaangażowania użytkownika.

Korzystanie z kreatorów do konfiguracji systemu na pewno ułatwia pracę i przyspiesza wykonywanie zadań administracyjnych. Taka metoda dobrze sprawdza się w typowych czynnościach. Zaawansowana konfiguracja wymaga jednak nieco większego zaangażowania użytkownika.

Dokładne poznanie narzędzia oraz mechanizmów, według których działa, jest szczególnie istotne wtedy, gdy od prawidłowego posługiwania się nim zależy bezpieczeństwo systemu. Tak właśnie jest w przypadku Internet Security and Acceleration Server 2000.

Z poprzednich artykułów znamy już możliwości serwera ISA i potrafimy go zainstalować. Wiemy, że łączy funkcję zapory internetowej w przypadku dostępu klientów zewnętrznych do zasobów sieci lokalnej oraz zapory kontrolującej dostęp użytkowników lokalnych do zasobów w Internecie, a także serwera buforującego - również działającego w obydwu kierunkach. Jako serwer proxy ISA zmniejsza ruch internetowy, przechowując kopie już raz ściągniętych stron, a jednocześnie zmniejsza obciążenie wewnętrznych serwerów WWW, dostarczając klientom zewnętrznym kopie stron już raz wygenerowanych na komputerach w sieci lokalnej.

Poznaliśmy też zasady definiowania reguł, według których serwer ISA kontroluje dostęp oraz sposoby współpracy klientów sieci lokalnej z serwerem. Do wstępnej konfiguracji wykorzystywaliśmy Kreator konfigurowania poczty e-mail i połączenia internetowego, który wprowadzał podstawowe ustawienia do serwera ISA. Obecnie przyjrzymy się domyślnym ustawieniom serwera obowiązującym bezpośrednio po instalacji, zobaczymy, jakie zmiany wprowadza wspomniany kreator i na jakim poziomie zabezpieczeń znajduje się serwer po zakończeniu wstępnego procesu konfiguracyjnego. Dysponując tą wiedzą, będziemy mogli zacząć świadomie tworzyć własne dodatkowe reguły, które współpracując z pozostałymi ustawieniami, pozwolą nam zawsze uzyskiwać oczekiwane i prawidłowe rezultaty. Wprowadzanie dodatkowych reguł prześledzimy na przykładach praktycznych, pokazujących, w jaki sposób osiągnąć wymagane działanie zapory internetowej w określonych okolicznościach.

ISA po instalacji

Rys. 1. Zamiast ściągać strony z Internetu, przeglądarka przesyła wszystkie żądania do serwera proxy. Nie dotyczy to adresów lokalnych, które są dostępne bezpośrednio.

Rys. 1. Zamiast ściągać strony z Internetu, przeglądarka przesyła wszystkie żądania do serwera proxy. Nie dotyczy to adresów lokalnych, które są dostępne bezpośrednio.

W trakcie instalacji serwera ISA, witryny WWW są zatrzymywane w Menedżerze internetowych usług informacyjnych (IIS) i konfigurowane tak, aby były powiązane z wewnętrznymi interfejsami sieciowymi. Zostaną ponownie uaktywnione po uruchomieniu Kreatora konfigurowania poczty e-mail i połączenia internetowego. Zmiany w konfiguracji kart sieciowych są konieczne dlatego, że to serwer ISA ma w pierwszej kolejności odbierać wszystkie zgłoszenia i dopiero na podstawie zdefiniowanych reguł decydować, czy należy je przekazać dalej.

Komputery klientów, które zostały dołączone do domeny serwera SBS, otrzymały zestaw domyślnych ustawień konfiguracyjnych. Jednym z nich jest wpis w przeglądarce, który określa serwer buforujący wykorzystywany przy dostępie do Internetu. W programie Internet Explorer wybieramy Narzędzie | Opcje internetowe i wybieramy kartę Połączenia. Klikamy Ustawienia sieci LAN i w grupie Serwer proxy widzimy wpisany adres serwera ISA (np. VOYAGER) i numer portu, na który mają być kierowane zgłoszenia (8080). Zaznaczona jest też druga opcja Nie używaj serwera proxy dla adresów lokalnych. Gdybyśmy uruchomili w Menedżerze IIS np. wewnętrzną witrynę firmową, to po wpisaniu w przeglądarce adresu http: //companyweb/ zobaczylibyśmy stronę główną wewnętrznego portalu SharePoint. Witryna byłaby dostępna tylko dlatego, że zgłoszenie zostało wysłane bezpośrednio do witryny WWW z pominięciem serwera ISA, ponieważ adres http: //companyweb/ jest adresem lokalnym. Gdybyśmy natomiast wyłączyli opcję Nie używaj serwera proxy dla adresów lokalnych, to wszystkie zgłoszenia przechodziłyby przez serwer ISA, a więc byłyby kierowane na port 8080. Jednocześnie byłyby to zgłoszenia sformułowane dla serwera proxy, a nie dla serwera WWW, który w związku z tym nie potrafiłby na nie odpowiedzieć. Wobec braku jakichkolwiek reguł zezwalających na dostęp do witryny, zamiast oczekiwanej strony otrzymalibyśmy komunikat serwera ISA HTTP 502 Proxy Error - The ISA Ser-ver denies the specified Uniform Resource Locator (URL). (12202) Internet Security and Acceleration Server.

Rys. 2. Zalecana konfiguracja serwera ISA. Filtrowanie ruchu i przekazywanie pakietów włączone.

Rys. 2. Zalecana konfiguracja serwera ISA. Filtrowanie ruchu i przekazywanie pakietów włączone.

W obecnej konfiguracji, tj. tuż po instalacji, serwer ISA nie ma zdefiniowanych żadnych reguł, a więc zapora nie przepuszcza żadnego ruchu. Pomijając to, że w związku z instalacją ISA do czasu skonfigurowania zapory wyłączona została również zewnętrzna karta sieciowa, dostęp do Internetu z komputerów klientów jest niemożliwy na podstawie samych ustawień serwera.

Zanim uruchomimy kreatora

Przyjrzyjmy się konfiguracji serwera ISA przed wprowadzeniem ustawień za pomocą narzędzi pakietu SBS, a konkretnie Kreatora konfigurowania poczty e-mail i połączenia internetowego. Uruchamiamy narzędzie ISA Management (menu Start | Programy | Microsoft ISA Server | ISA Management). Wszystkie ustawienia znajdują się w folderach dostępnych po przejściu do Servers And Arrays i rozwinięciu pozycji z nazwą serwera, w naszym przypadku VOYAGER.

Reguły dostępu znajdują w folderze Access Policy. W Site and Content Rules jest tylko jedna reguła o nazwie Allow rule. W jej właściwościach dowiemy się, że reguła zezwala (Allowed na karcie Action) na przekazywanie ruchu do wszystkich adresów (All destinations na karcie Destinations), o każdej porze (Always na karcie Schedule) dla wszystkich zgłoszeń niezależnie od adresu nadawcy zgłoszenia (Any request na karcie Applies To). Na karcie HTTP Content wybrana jest ponadto opcja All content groups, żeby zaznaczyć, że reguła nie dotyczy konkretnego rodzaju danych przesyłanych za pomocą protokołu HTTP, lecz dowolnych transmisji.

Podstawowe filtry

Rys. 3. Podstawowy zestaw filtrów w serwerze ISA. Kreator połączenia internetowego pakietu SBS wprowadzi tu wiele dodatkowych filtrów.

Rys. 3. Podstawowy zestaw filtrów w serwerze ISA. Kreator połączenia internetowego pakietu SBS wprowadzi tu wiele dodatkowych filtrów.

Reguły w Site and Content Rules działają w połączeniu z Protocol Rules. Dopiero gdy odpowiednie reguły w obu tych miejscach zezwolą na przekazywanie ruchu i nie będą zdefiniowane filtry blokujące w IP Packet Filters, dostęp zostanie przyznany. Ponieważ w Protocol Rulet nie ma żadnej reguły, dostęp do jakichkolwiek zasobów internetowych nie jest możliwy.

W przypadku połączeń wychodzących brak reguł blokujących w IP Packet Filters zazwyczaj umożliwia przekazywanie pakietów do Internetu. W przypadku protokołu ICMP trzeba jednak wyraźnie na to zezwolić. Dlatego na liście IP Packet Filters jest już kilka gotowych reguł. Pierwszy aktywny DNS filter zezwala na komunikację z zewnętrznymi serwerami DNS, otwierając połączenia ze zdalnym portem 53, natomiast następne pięć dotyczy protokołu ICMP. Reguły te zezwalają na przesyłanie zapytań poleceniem ping (filtr ICMP outbound) i odbieranie odpowiedzi pozytywnej zdalnego systemu (ICMP ping response) oraz odbieranie odpowiedzi informujących o błędach lub sytuacjach wyjątkowych (ICMP timeout in, ICMP unreacheable in, ICMP source quench).

Dodawanie filtrów

Konfiguracja protokołu ICMP zezwala na wysyłanie zapytań za pomocą ping i umożliwia ich odbieranie. Jednak próba użycia polecenia ping do zlokalizowania naszego serwera z zewnątrz zakończy się niepowodzeniem, ponieważ brakuje reguły, która pozwoliłaby komputerowi odpowiadać na zapytania ICMP. Aby ją zdefiniować, w folderze IP Packet Filters klikamy skrót Create a Packet Filter albo jeśli ustawiony mamy widok zaawansowany (menu Widok, opcja Advanced), wybieramy Akcja | Nowy | Filter. Pojawia się okno New IP Packet Filter Wizard, w którym najpierw wpisujemy nazwę filtru, np. ICMP query in. Klikamy Dalej, zaznaczamy Allow packet transmission i ponownie Dalej. W oknie Filter Type zaznaczamy Predefined i z listy wybieramy ICMP ping query. W kolejnych oknach zatwierdzamy domyślne wybory Default IP addresses for each external interface on the ISA Server computer oraz All remote computers. Po kliknięciu Zakończ utworzona zostanie nowa reguła i serwer zacznie odpowiadać na zapytania programu ping.


Zobacz również