Na straży SBS

Konfiguracja serwera połączonego z Internetem wymaga wiele uwagi. Jeden mały błąd może spowodować poważne problemy. Oprogramowanie wchodzące w skład pakietu SBS 2003 Premium to seria aplikacji działających nie tylko w środowisku sieci lokalnych. Na szczęście zawiera produkty skutecznie zabezpieczające system przed intruzami.

Konfiguracja serwera połączonego z Internetem wymaga wiele uwagi. Jeden mały błąd może spowodować poważne problemy. Oprogramowanie wchodzące w skład pakietu SBS 2003 Premium to seria aplikacji działających nie tylko w środowisku sieci lokalnych. Na szczęście zawiera produkty skutecznie zabezpieczające system przed intruzami.

Pakiet SBS 2003 to grupa serwerów świadcząca usługi dla wewnętrznych i zewnętrznych klientów. Zainstalowanie na jednym komputerze usługi Active Directory, serwera pracy grupowej, baz danych, usług internetowych, DHCP, DNS i np. FTP musi budzić obawy o bezpieczeństwo całego systemu. SBS oferuje usługi lub aplikacje pozwalające na łatwe zabezpieczanie przed nieautoryzowanym dostępem i zarządzanie serwerem. Jeśli firma zdecydowała się na zakup pakietu SBS 2003 Standard, komunikacją zarządza zapora usługi RRAS (Routing i dostęp zdalny). Pakiet SBS 2003 Premium zawiera oddzielną aplikację Internet Security and Acceleration Server 2000 do kompleksowego konfigurowania dostępu do Internetu oraz dostępu z sieci zewnętrznej do zasobów firmy.

Komponenty komunikacji TCP/IP

Głównym protokołem komunikacyjnym wykorzystywanym do łączności z serwerem SBS 2003 jest TCP/IP, natomiast platformą systemową - Windows Server 2003. Kreatory pakietu sięgają do ustawień systemu i konfigurują wymagane komponenty sieciowe. Zanim przejdziemy do opisu sposobu zabezpieczania serwera, niezbędne jest przypomnienie kilku podstawowych pojęć związanych z komunikacją.

Rys. 1. Właściwości wewnętrznego interfejsu sieciowego.

Rys. 1. Właściwości wewnętrznego interfejsu sieciowego.

Wymiana danych z innymi komputerami wymaga prawidłowo skonfigurowanego interfejsu sieciowego. Do zarządzania interfejsami służy folder Połączenia sieciowe z Panelu sterowania. Tam określamy parametry kart sieciowych, a także w miarę potrzeb dodajemy zdefiniowane połączenia i zarządzamy nimi. Warto pamiętać, że podczas konfiguracji serwera SBS najczęściej mamy do czynienia z dwoma interfejsami sieciowymi: wewnętrznym i zewnętrznym. Wewnętrzny służy do komunikacji z klientami sieci lokalnej, a zewnętrzny do wysyłania i odbierania pakietów z Internetu.

Każdy z interfejsów sieciowych serwera musi mieć przypisany jednoznaczny identyfikator w postaci adresu IP. W czasie instalacji Small Business Server 2003 wskazujemy interfejs wykorzystywany do komunikacji z lokalną siecią komputerową. Może to być np. 192.168.0.1, należący do grupy tzw. adresów prywatnych, które są specjalnie przeznaczone do adresowania sieci lokalnych. Podczas ewentualnej zmiany adresu zalecane jest wybranie identyfikatora z zakresu 10.x.x.x, 172.16.x.x-172.31.x.x lub 192.168.x.x. Przypisanie adresu wykraczającego poza wskazane grupy może spowodować konflikty z adresami używanymi w Internecie. Parametry IP drugiego interfejsu zależą od sposobu realizacji połączenia i topologii sieci. Z reguły usługodawca internetowy odpowiada za przekazanie informacji o ustawieniach adresu IP, maski podsieci oraz adresu domyślnej bramy. Adres zewnętrzny nosi nazwę publicznego adresu IP.

Numer portu TCP

Numer portu TCP

Podczas wymiany danych użytkownicy sieci lokalnej i Internetu korzystają z odpowiednich aplikacji. Chcąc na przykład odebrać wiadomości pocztowe, uruchamiamy klienta poczty, podczas przeglądania witryn korzystamy z Internet Explorera lub innej przeglądarki WWW . Oprogramowanie klienta łączy się z usługą sieciową uruchomioną na serwerze. Pakiety odebrane przez serwer zawierają takie informacje, jak źródłowy adres IP, docelowy adres IP, oznaczenie protokołu warstwy transportowej TCP/IP oraz numery portów źródłowego i docelowego. Protokoły warstwy transportowej to TCP oraz UDP. Określają one metodę dostarczania danych. Zanim dojdzie do wymiany informacji przez TCP, komputery muszą zestawić sesję. Do komunikacji opartej na UDP zestawienie sesji nie jest konieczne, ponieważ UDP nie wymaga potwierdzenia odebrania danych przez stację docelową. Komputer, w którym uruchamiamy usługę sieciową, np. serwer FTP, otwiera port pełniący funkcję identyfikatora aplikacji działającej na serwerze. Każdy z portów ma przypisany indywidualny numer z zakresu od 0 do 65535. Są dwa typy portów: TCP i UDP, np. serwer FTP standardowo wykorzystuje porty TCP o numerach 20 i 21.

Zabezpieczanie serwera

Jeśli serwer SBS 2003 będzie pośrednikiem w komunikacji między siecią zewnętrzną a wewnętrzną lub będzie świadczył usługi dla klientów internetowych, należy zadbać o skuteczną ochronę zasobów systemu. Zabezpieczanie dostępu do serwera opiera się na filtrowaniu pakietów. Dzięki temu administrator SBS 2003 może określić, kto, kiedy i na jakich warunkach dostanie pozwolenie na komunikację z serwerem.

Rys. 2. Wybór sposobu realizacji połączenia z Internetem.

Rys. 2. Wybór sposobu realizacji połączenia z Internetem.

Pakiety są filtrowane na podstawie utworzonych przez administratora reguł komunikacyjnych. Właściwości reguł zawierają informację o typie pakietów odrzucanych lub przyjmowanych przez serwer. Informacje odbierane przez system są analizowane pod kątem takich danych, jak źródłowy lub docelowy adres IP, numer portu, kierunek komunikacji itp.

Zabezpieczenia serwera SBS 2003 mogą być konfigurowane na dwa sposoby. Prostszym rozwiązaniem jest firewall umieszczony w usłudze Rou-ting and Remote Access, zabezpieczenie podobne do oferowanej w systemie Windows XP zapory połączenia internetowego. Tak jak w XP, możemy określać, z których usług uruchomionych na serwerze będą mogli korzystać użytkownicy Internetu. Dostępna jest także karta ICMP pozwalająca na konfigurację przetwarzania pakietów ICMP. Zaletą zapory usługi RRAS jest możliwość tworzenia szczegółowych zasad filtrowania wychodzących i przychodzących pakietów. Szybką konfigurację firewalla wykonujemy przy użyciu kreatora połączenia internetowego. Ustawienia zaawansowane nanosimy, korzystając z menedżera usługi RRAS (opcja Routing i dostęp zdalny) umieszczonego w Narzędziach administracyjnych.

Rys. 3. Okno powitalne kreatora połączeń internetowych i konfiguracji poczty elektronicznej.

Rys. 3. Okno powitalne kreatora połączeń internetowych i konfiguracji poczty elektronicznej.

Drugim i zdecydowanie zalecanym sposobem zabezpieczenia serwera pakietu SBS 2003 jest instalacja ISA 2000. Internet Security and Acceleration Server to szereg usług, łączących możliwości zapory internetowej oraz buforowania pobieranych witryn. Wbudowany w serwer firewall zawiera złożone mechanizmy ochrony dostępu do zasobów firmy oraz kontroli pakietów wysyłanych z sieci lokalnej. Zaporą zarządza się intuicyjnie i szybko, a możliwość określania dostępu do poszczególnych witryn, plików czy protokołów zwiększa elastyczność administrowania. Co więcej, dostęp może być kontrolowany na poziomie indywidualnych użytkowników lub ich grup. Zastosowanie serwera ISA nie ogranicza się do zapory internetowej. Dodatkowe usługi to buforowanie witryn, raportowanie oraz alarmowanie w przypadku wykrycia potencjalnego zagrożenia. Niestety, serwer ISA jest dostępny wyłącznie w wersji Premium pakietu SBS 2003.

Kreator konfigurowania poczty e-mail i połączenia internetowego

Pakiet SBS 2003 jest przeznaczony do niewielkich firm. Użytkownicy sieci najczęściej mają nieduże doświadczenie w konfigurowaniu zabezpieczeń i zapór internetowych. Aby ułatwić im zadanie oraz zmniejszyć ryzyko pomyłki parametry firewalla są określane za pomocą prostego kreatora, natomiast zaawansowane właściwości można modyfikować za pomocą odpowiednich narzędzi administracyjnych. Kreator jest wywoływany kliknięciem odnośnika Połącz z Internetem w folderze Internet i poczta E-mail modułu Zarządzanie serwerem.

Rys. 4. Parametry podawane podczas konfiguracji połączenia z Internetem.

Rys. 4. Parametry podawane podczas konfiguracji połączenia z Internetem.

Pracę z kreatorem rozpoczyna wyświetlenie okna powitalnego. Po kliknięciu Dalej przechodzimy do określenia typu połączenia z Internetem. Oferowane są dwie możliwości: dostęp wdzwaniany oraz szerokopasmowy. Połączenie wdzwaniane wybieramy, jeśli łączymy się za pomocą modemu analogowego lub ISDN. Jeśli korzystamy z łącza stałego (np. SDI, Neostrada), należy zaznaczyć opcję Szerokopasmowe. Po kliknięciu Dalej określamy sposób połączenia z Internetem (rys. 2).

Do wyboru są trzy opcje: połączenie z wykorzystaniem lokalnego routera, połączenie wymagające podania nazwy użytkownika i hasła oraz bezpośrednie, z wykorzystaniem takich urządzeń, jak modem DSL lub kablowy. Aby ułatwić określenie opcji odpowiedniej do konfiguracji sieci, kreator zawiera grupę diagramów ilustrujących różne modele połączeń. Wyświetlamy je, klikając Wyświetl diagram sieci. Na podstawie wskazanego sposobu połączenia, kreator wyświetla kolejne okna. Jeśli wybierzemy Lokalne urządzenie routera z adresem IP, zostaniemy poproszeni o podanie takich parametrów, jak adres IP routera oraz preferowany i alternatywny adres serwera DNS usługodawcy internetowego. Gdy wskażemy opcję Bezpośrednie połączenie szerokopasmowe, musimy określić właściwości adresowania połączenia z Internetem. Na przykład do połączenia przez modem kablowy podajemy adres IP, maskę podsieci oraz adres domyślnej bramy, uzyskany od dostawcy usług internetowych.


Zobacz również