Microsoft ISA server 2006
Transkript
Microsoft ISA server 2006 Příručka pro zavedení serveru do školního prostředí Obsah Microsoft ISA server 2006 ................................................................................................... 1 Úvod...................................................................................................................................... 5 Microsoft ISA server 2006 .................................................................................................. 6 ISA server jako Firewall .................................................................................................. 7 ISA server a bezpečný přístup k internetu ...................................................................... 7 ISA server a zveřejnění interních služeb ........................................................................ 8 ISA server jako brána VPN ............................................................................................. 9 Historie ISA serveru ..........................................................................................................10 Microsoft Proxy Server ..................................................................................................10 Microsoft ISA server 2000 .............................................................................................10 Microsoft ISA server 2004 .............................................................................................11 Microsoft ISA server 2006 .............................................................................................12 Základní koncepce práce ISA serveru...............................................................................12 Síťová pravidla – Network Rules ...................................................................................13 Pravidla firewallu ...........................................................................................................15 Umístění ISA serveru v síti ............................................................................................16 Instalace ISA serveru ...........................................................................................................19 Příprava instalace .............................................................................................................19 Infrastruktura sítě ..........................................................................................................19 Příprava ISA serveru.........................................................................................................22 Hardwarové a softwarové požadavky ISA serveru 2006 ................................................22 Před instalací ................................................................................................................23 Instalační proces ...........................................................................................................27 Kontrola po instalaci ......................................................................................................31 Výchozí stav po instalaci ISA serveru ............................................................................32 Konzola pro správu ISA serveru ...........................................................................................34 Klienti ISA serveru ................................................................................................................38 Firewall klient ....................................................................................................................38 SecureNAT klient ..............................................................................................................39 Web-Proxy klient...............................................................................................................39 Microsft ISA Server 2006 – příručka pro školy Page 2 Kombinace více klientů .....................................................................................................40 Konfigurace klientů ...........................................................................................................40 SecureNAT klient ..........................................................................................................40 Web-Proxy klient ...........................................................................................................42 Firewall klientská aplikace (Firewall klient) ....................................................................50 Konfigurace firewallu ............................................................................................................58 Počáteční konfigurace šablonou .......................................................................................58 Pravidla firewallu ...............................................................................................................61 Objekty pro tvorbu pravidel ............................................................................................63 Přístupová pravidla – Access rules ................................................................................67 Systémová politika ............................................................................................................73 Aplikační filtry....................................................................................................................74 HTTP aplikační filtr ........................................................................................................76 FTP aplikační filtr...........................................................................................................79 Publikování interních serverů na internet ..........................................................................80 Zveřejnění newebových služeb .....................................................................................80 Publikace webového serveru .........................................................................................82 Publikace poštovního serveru........................................................................................85 VPN klientský přístup ........................................................................................................88 Nastavení VPN serveru .................................................................................................88 Připojení klienta .............................................................................................................90 Cache ...............................................................................................................................91 Aktivace cache ..............................................................................................................92 Pravidla cache ...............................................................................................................92 Content download jobs ..................................................................................................94 Správa a monitorování ISA ...................................................................................................96 Administrativní role ...........................................................................................................96 Monitorování .....................................................................................................................97 Výstrahy (Alerts) ............................................................................................................98 Spojení (Sessions) ........................................................................................................99 Služby (Services) ........................................................................................................100 Reporty (Reports) ........................................................................................................100 Verifikátory konektivity (Connectivity verifiers) .............................................................103 Logování (Logging) .....................................................................................................103 Microsft ISA Server 2006 – příručka pro školy Page 3 Internet Blocking Tool (InetBlocker) ................................................................................104 Instalace aplikace ........................................................................................................105 Nastavení ISA serveru.................................................................................................107 InetBlockerAdmin ........................................................................................................108 InetBlocker ..................................................................................................................111 Shrnutí ........................................................................................................................112 Dodatky ..............................................................................................................................113 Odkazy ...........................................................................................................................113 FAQ ................................................................................................................................113 Microsft ISA Server 2006 – příručka pro školy Page 4 Úvod V dnešní době, kdy je téměř každá počítačová síť připojena k internetu, je jedním z nejdůležitějších úkolů pro správce sítě zajistit bezpečné připojení k internetu. Na tuto bezpečnost se lze dívat ze dvou stran. Jedním úhlem pohledu je zabezpečit síť tak, aby neznámí útočníci z internetu nebyli schopni proniknout do vnitřní sítě a napáchat škody, zničit data či zcizit citlivé interní informace. Druhým úhlem pohledu je třeba zajistit, aby uživatelé vnitřní sítě měli zajištěn rychlý a stabilní přístup k internetovým službám, které potřebují a maximálně jim omezit možnost zneužívat internetového připojení k činnostem, jenž nesouvisení s jejich prací, nebo dokonce nejsou v mezích zákona. Počítače nebo jiná zařízení, která slouží k tomuto účelu, se nazývají Firewall. Tyto firewally lze rozdělit do dvou základních kategorií. První kategorií jsou hardwarové firewally. Jsou to specializovaná zařízení, vybavená většinou systémem výrobce. Jsou zapojeny z jedné strany k přípojce internetu a z druhé strany k vnitřní počítačové síti. Veškerá komunikace s internetem tedy prochází přes toto zařízení. Firewall tak může kontrolovat komunikaci a v případě podezření na útok, nebo porušení definovaných pravidel provozu komunikaci zastavit. Konfigurace hardwarových firewallů bývá složitá a náročná na vědomosti a zkušenosti správce. Druhou kategorií jsou firewally softwarové. Prakticky jde o počítače, vybavené více síťovími adaptéry (kartami). Jsou umístěny ve stejném místě, jako hardwarové firewally. Jedním adaptérem jsou připojeny k vnitřní síti a druhým adaptérem k internetové přípojce (k síti poskytovatele internetu). Na počítači musí být nainstalován nějaký operační systém a spuštěna služba, která umožní komunikaci mezi internetem a vnitřní sítí. Dále tam může být nainstalován software, který umožňuje komunikaci sledovat, zaznamenávat, vyhodnocovat a případně filtrovat nežádoucí komunikaci. Jedním ze softwarových firewallů je Microsoft ISA server, aktuálně ve verzi 2006. Grafické uživatelské rozhraní Vám usnadní správu firewallu. Předdefinované šablony typického nastavení lze použít k prvotnímu nastavení a řada průvodců umožní snadno nastavit některé služby a pravidla. Obrovskou výhodou ISA serveru je jeho podpora pro sítě založené na serverových systémech Microsoft Windows. Integrovaná podpora služby Active Directory umožňuje nastavovat komunikaci na základě existujících uživatelských účtů nebo objektů uložených v Active Directory. Vestavěná podpora pro služby VPN umožňuje bezpečné připojení do vnitřní sítě ze vzdáleného počítače v internetu. Tato příručka je určená zejména správcům sítí základních a středních škol, kteří nemají zkušenosti se správou firewallu. Umožní jim pochopit základní principy funkce firewallu a nainstalovat, nastavit a spravovat Microsoft ISA server. Zvýší tak bezpečnost školní sítě, sníží možnosti zneužívání internetu studenty a sníží finanční náklady na toto zabezpečení. Microsft ISA Server 2006 – příručka pro školy Page 5 Microsoft ISA server 2006 Microsoft ISA server 2006 je software, který slouží k vytvoření bezpečné internetové brány z počítače s operačním systémem Microsoft Windows Server 2003. V první řadě ISA server chrání vnitřní síť před nežádoucí komunikací nebo před cílenými útoky a řídí přístup uživatelů z vnitřní sítě k internetu. Různým skupinám uživatelů lze tedy povolit nebo zakázat využití různých internetových služeb (web, pošta) na internetu, nebo některých vybraných internetových serverech. Druhou funkcí ISA serveru je zpřístupnění, neboli zveřejnění některých služeb vnitřní sítě uživatelům na internetu. Pokud tedy má škola nebo jiná organizace vlastní webový server nebo poštovní server, ISA umí tyto služby zveřejnit na internet tak, aby si každý mohl prohlížet webovou prezentaci školy, uživatelé z vnitřní sítě (studenti a učitelé) mohli přijímat emailové zprávy z internetu, nebo přistupovat ke svým emailovým schránkám z domova. Třetí možností jak využít ISA server je služba WebCache (mezipaměti). ISA server může být konfigurován tak, aby přístupy na internetové stránky z vnitřní sítě po jistou dobu uchoval ve své paměti. Pokud během zmíněné doby dojde k přístupu na stejnou webovou stránku, třeba i z jiného počítače, ISA server může uživateli poslat webovou stránku, kterou má dočasně uloženou v paměti. Šetří tak kapacitu internetové linky a uživateli zpříjemní práci rychlejší prácí s internetem. Poslední důležitou částí ISA serveru je jeho integrovaná VPN brána. Ta umožňuje snadné nastavení pro bezpečná vzdálená připojení k vnitřní síti. Tato mohou být ověřovaná na základě uživatelských účtů nebo skupin v Active Directory a bývají šifrovaná. Takže vzdálený uživatel může mít například přístup k serveru, na kterém má uloženy dokumenty pro výuku atd. VPN brána také umožňuje transparentní propojení více sítí (poboček, škol), ale to je již nad rámec této příručky a běžné školní sítě. Vnitřní síť ISA server Internet Obrázek 1: Umístění ISA serveru Microsoft ISA server 2006 je dostupný ve dvou edicích. Standard edice slouží těm, kdo chtějí zabezpečit svoji síť typicky jedním firewallem. Pro velké organizace je určena Enterprise edice, kde je možno centrálně spravovat více skupin (polí) firewallů, kde každé pole je umístěno v jiném místě sítě (složité, vysoce zabezpečené síťové infrastruktury) a v každém poli může pracovat více firewallů se shodnou funkcionalitou (rozkládání síťové zátěže na více strojů). Tato příručka je zaměřena čistě na ISA Server edice Standard, která je pro malé sítě dostačující. Microsft ISA Server 2006 – příručka pro školy Page 6 ISA server jako Firewall Firewall je zařízení, které je umístěno mezi několika segmenty sítě jako komunikační brána. V této příručce budeme uvažovat dvě sítě, jako je to na obrázku 1. Firewall je nastaven pomocí pravidel filtrace komunikace tak, aby umožňoval pouze povolenou komunikaci mezi dvěma segmenty sítě. ISA server 2006 funguje jako firewall. Po instalaci je ve výchozím stavu takovém, který nepovoluje žádnou komunikaci mezi sítěmi. Pokud by byl umístěn podle obrázku 1, znamenalo by to, že nikdo z vnitřní sítě by neměl přístup k internetu a nikdo z internetu by neměl přístup do vnitřní sítě. Komunikace, která bude pouze v rámci interní sítě, nebude nijak narušena. ISA server pracuje jako firewall s paketovým, stavovým a aplikačním filtrováním. Paketové filtrování (Packet filtering) pracuje s informacemi v hlavičce komunikačních paketů. Při příchodu paketu na síťové rozhraní ISA server paket otevře a vyhledá v něm IP adresu a číslo portu odesilatele a příjemce. Tyto informace porovná s definovanými pravidly. Pokud existuje pravidlo, které komunikaci umožní, ISA server paket odešle pomocí síťového rozhraní směrem k cílovému počítači. Pokud neexistuje pravidlo, které by komunikaci umožnilo, ISA server paket zahodí (zlikviduje). Stavové filtrování (Stateful filtering) je důkladnější proces kontroly síťové komunikace. U stavového filtrování ISA server kontroluje správný postup komunikace při navazování nového spojení pomocí protokolu TCP. TCP protokol má několik stavů (navazování spojení, komunikace, ukončení spojení). Různé typy TCP paketů mohou být součástí komunikace v různých fázích (stavech) spojení. Správné navazování a ukončování spojení tedy ISA server kontroluje a v případě nesprávné komunikace (možný pokus o útok) daný paket zahodí. Aplikační filtrování (Application-Layer filtering) kontroluje a filtruje komunikaci na základě aplikačních protokolů. Paketovým ani stavovým filtrováním nelze zabránit útokům na aplikační úrovni. Aplikační filtr z přijatého paketu kontroluje datovou část paketu, což je některý aplikační protokol (např. HTTP, POP3, SMTP). Záměrnou nekorektní zprávou HTTP lze například napadnout a omezit funkčnost webového serveru. HTTP aplikační filtr lze například použít k vyhledávání a blokaci webové komunikace, která obsahuje definovaná klíčová slova nebo přenáší soubory se zakázanými příponami. ISA server a bezpečný přístup k internetu ISA server 2006 lze použít k zabezpečení komunikace mezi počítači uživatelů vnitřní sítě a internetem. K tomu je třeba, aby veškerá komunikace z klientů, která směřuje do internetu, procházela přes ISA server. ISA server pak pracuje jako zprostředkovatel (proxy server) mezi interním klientem a internetovým serverem. Pokud budou klienti posílat všechny své internetové požadavky ISA serveru, ISA server bude tyto požadavky posílat do internetu a přijímat odpovědi, které bude zpět přeposílat klientovy na vnitřní síť. Nemusí tedy být přímé spojení mezi klientem z vnitřní sítě a serverem na internetu. Informace o síťové konfiguraci klienta, nebo vnitřní sítě tedy není z internetu Microsft ISA Server 2006 – příručka pro školy Page 7 viditelná. Dále pak ISA server může požadavky a odpovědi filtrovat a blokovat na základě uživatelského jména, IP adresy klienta, aplikačního protokolu, obsahu nebo časového plánu. Na základě pravidel definovaných administrátorem ISA serveru tedy lze jednotlivým uživatelům nebo skupinám zpřístupnit vybrané služby (web, pošta) na vybraných internetových serverech. ISA server 2006 může také pracovat jako Caching server. Cache je dočasné úložiště pro často používané objekty a URL získané zejména z webových serverů. Cache může zvyšovat výkonnost tak, že klientům na webové požadavky vrací informace uložené v cache namísto kontaktování webového serveru v internetu. Například když klient požaduje data z nějakého webového serveru, pošle požadavek ISA serveru. Když ISA server pro daný požadavek nemá ve své cache platnou stránku, kontaktuje internetový webový server. Odpověď přepošle klientovy, který o ni žádal a uloží si ji do své cache (do operační paměti nebo na pevný disk). Další požadavky na stejnou stránku pak bude ISA server vybavovat přímo ze své cache, dokud stránka v cache nezestárne. Zkrátí se tak doba pro zobrazení webové stránky uživateli a ušetří se komunikace do internetu. ISA server a zveřejnění interních služeb Často je nutné umožnit neznámým nebo známým uživatelům internetu přístup k zdrojům na vnitřní síti. Nejběžnějším případem je přístup na webovou prezentaci organizace, která je na www serveru vnitřní sítě. Dalším příkladem může být emailový server organizace, který musí být přístupný z internetu alespoň z důvodu příjmu emailových zpráv z cizích domén. K tomuto účelu slouží speciální pravidla firewallu. Jedním typem pravidla pro publikování je pravidlo publikování webového serveru. ISA server pak na svém internetovém rozhraní očekává požadavky HTTP protokolu od klientů v internetu. Tyto požadavky, pokud jsou pravidlem povolené, přeposílá internímu webovému serveru. Odpověď od webového serveru pak ISA vrátí žadateli v internetu. ISA server pomocí pravidla publikování webového serveru tak zpřístupní internetovým uživatelům pouze konkrétní webový server v interní síti a nic víc. Tato pravidla mohou být také použita ke skrytí interní struktury webových serverů, kdy více webových serverů nebo více webových prezentací se může internetovým uživatelům jevit jako jediná prezentace na jediném serveru. Publikační pravidla webového serveru jsou také schopny zveřejnit více prezentací od více serverů na jedinou externí IP adresu s použitím standardního portu 80 webového serveru. Samozřejmostí je také použití HTTP aplikačního filtru ke sledování komunikace na aplikační úrovni, nebo zajištění komunikace mezi klientem v internetu a ISA serverem, mezi ISA serverem a interním webovým serverem nebo mezi oběma pomocí šifrovaného spojení protokolem HTTPS. Při zveřejnění například interního webového serveru s informačním systémem organizace, který má být přístupný pouze interním uživatelům, lze ISA server nastavit tak, aby vyžadoval při přístupu autentizaci uživatele – zadání uživatelského jména a hesla. Identita takového uživatele je pak často ověřována pomocí služby Active Directory a ISA server může přihlášení delegovat na cílový server s informačním systémem, aniž by se uživatel musel opětovně přihlásit k cílovému webovému serveru. Microsft ISA Server 2006 – příručka pro školy Page 8 ISA server nabízí i řadu průvodců k publikování běžně používaných služeb. Například průvodce publikováním přístupu k poštovnímu serveru umí jednoduše zpřístupnit webové rozhraní poštovního serveru Microsoft Exchange – OWA (Outlook Web Access) – tak, že vytvoří konkrétní pravidlo publikování webového serveru (OWA) tak, aby umožnilo práci s Exchange serverem z internetu. Další průvodci umožní jednoduše vytvořit pravidla firewallu tak, aby poštovní server mohl přijímat emailové zprávy odeslané z internetu nebo umožnil majitelům poštovních schránek přístup z domova pomocí poštovních klientů a protokolů jako IMAP nebo POP3. Pro publikování ostatních služeb, které nejsou na bázi webového serveru, slouží pravidla publikování serveru, která jsou oproti komplexním pravidlům publikace webových služeb jednodušší. Neumožňují autentizaci, nebo zveřejnění více serverů na stejném portu. Pro příklad zveřejnění protokolu vzdálené plochy RDP interního serveru pro vzdálenou správu se na internetovém rozhraní ISA serveru zpřístupní port 3389, který používá služba vzdálené plochy. Když se klient z internetu připojí klientem vzdálené plochy k ISA serveru, je komunikace přeposílána na zveřejněný server z vnitřní sítě. Pokud by bylo potřeba pomocí stejného protokolu RDP zveřejnit další server nebo počítač, musel by být na ISA serveru zveřejněn na nestandardním portu. Tato pravidla publikace serveru také nepodporují autentizaci a řízení přístupu na základě uživatelského jména. Autentizaci může provádět až aplikační protokol. V případě RDP by autentizace probíhala až zadáním jména a hesla do přihlašovací obrazovky po připojení klientem vzdálené plochy, tedy až po povolení komunikace ISA serverem a navázáním spojení s cílovou službou. ISA server jako brána VPN Publikování vnitřních zdrojů sítě na internet někdy nemusí být dostatečné. Některé organizace chtějí, aby ověření uživatelé měli přístup z internetu ke všem síťovým zdrojům. VPN je bezpečné síťové spojení mezi klientem na internetu a interní sítí. K tomuto spojení je využita veřejná síť internetu. Zabezpečení je realizováno autentizací uživatele VPN serveru a šifrováním komunikace přenášené přes veřejnou síť internetu. I když by byl komunikační paket VPN spojení na cestě zachycen a analyzován, jeho obsah zůstane pro útočníka nečitelný. Toto spojení je typu klient-server. Druhou možností VPN brány je spojení více sítí jako třeba dvou poboček organizace. Toto spojení může být navazováno při požadavku na komunikaci z jedné pobočky do druhé, nebo může být aktivní trvale. Opět spojení dvou sítí přes VPN tunel je s ohledem na bezpečnost šifrované a autentizované. Typ tohoto spojení je server-server. ISA server umožňuje použít obě varianty VPN spojení. Jak připojení vzdáleného klienta, tak spojení více sítí - poboček organizace. Pravidla, která pak umožňují komunikaci mezi vzdálenými klienty VPN a vnitřní sítí nejsou tak restriktivní oproti pravidlům komunikace s internetem, případně neomezují komunikaci VPN klienta na internetu s vnitřní sítí vůbec. Microsft ISA Server 2006 – příručka pro školy Page 9 Historie ISA serveru Microsoft Proxy Server Na počátku linie produktů ISA serveru stál Microsoft Proxy Server, který byl uveden na trh koncem roku 1996. Jednalo se o server, který umožňoval přístup k internetu klientům na vnitřní síti. Fungoval i jako cache server a pomocí Winsock proxy umožnil přístup k internetu i jiným aplikacím než webovému prohlížeči. V roce 1999 byl na trh uveden vylepšený Microsoft Proxy Server 2.0. Podporoval již spolupráci více serverů v poli. Požadavky klientů z vnitřní sítě na internet tedy mohly být rozdělovány na jednotlivé servery v poli. Zlepšila se tak dostupnost internetu. Pokud některý server přestal pracovat, ostatní byli schopni dále vyřizovat požadavky. Vylepšení se dostalo také samotné Cache, kdy každý server v poli měl uložené jiné webové stránky a objekty. Cache tedy byla distribuovaná na všech serverech v poli a dohromady tvořila jednu logickou cache. Možnosti cache ještě byly rozšířeny z protokolu HTTP i na protokol FTP a zavedla se podpora pro reverzní cachování – cachování požadavků klientů z internetu na webové servery vnitřní sítě. Microsoft ISA server 2000 S vydáním další verze produktu došlo též ke změně jména. ISA server 2000 obsahoval nespočet nových a vylepšených funkcí, které sahaly daleko za definici obyčejného proxy serveru. ISA 2000 (Internet Security and Acceleration) byl kromě proxy a cache serveru obohacen o kvalitní firewallové řešení. Kromě víceúrovňového filtrování na síťové, transportní a aplikační vrstvě ISO/OSI modelu (paketový, stavový a aplikační filtr) přišel ISA server 2000 s dalšími možnostmi. Mezi ty významnější patří: Integrace s AD – ISA server umí spolupracovat s databází Active Directory a administrátor může definovat pravidla firewallu na základě uživatelů a skupin spravovaných v Active Directory. Integrace s VPN – ISA server může sloužit jako server pro vzdálené VPN klienty, nebo jako VPN brána do jiné vzdálené sítě (pobočky). Detekce útoků – Tato funkce sleduje pokusy o komunikaci a informuje o možných pokusech útoku. Například zaznamenáním výstrahy o skenování portů ISA serveru z internetu. Podpora pro secureNAT klienty – umožní využití služeb ISA serveru počítačům, které nemají instalovanou aplikaci firewall klienta. Například pro počítače s jiným operačním systémem než Microsoft. Monitorování a Reporting – ISA server umožňuje sledování výkonnosti a generování grafických zpráv (reportů) o využití ISA serveru. Email screening – sledování a filtrování komunikace mezi internetem a emailovým serverem v interní síti. Od tohoto sledování se ale postupem času upouštělo a ISA server 2006 již tuto funkci nepodporuje. Microsft ISA Server 2006 – příručka pro školy Page 10 Microsoft ISA server 2004 ISA server 2004 přinesl nové uživatelské rozhraní, které je přehlednější. Významná vylepšení oproti ISA serveru 2000 jsou: Podpora více sítí – správce ISA serveru může definovat více sítí, které představují počítače ve více interních sítích. Mezi těmito sítěmi pak nastaví pravidla povolené komunikace. Route a NAT vztah mezi sítěmi – překlad síťových adres (NAT) při komunikaci mezi dvěma sítěmi umožňuje komunikaci iniciovanou z jedné sítě do druhé sítě. Zároveň dochází ke skrytí identity zdrojové sítě ISA serverem. Routování mezi sítěmi používá standardní předávání paketů (jako na routeru). Umožňuje iniciovat komunikaci z obou sítí a je transparentní – nelze skrýt identitu některé sítě. Oproti ISA serveru 2000 je komunikace prováděná routováním plně kontrolována a filtrována ISA serverem. Síť VPN klientů – klienti připojení k ISA serveru přes VPN kanál nejsou přímou součástí interní sítě, ale ve speciální síti VPN klientů. Při komunikaci s interní sítí se tak jedná o mezisíťovou komunikaci, kterou ISA server plně kontroluje a filtruje. Různým uživatelům připojeným přes VPN klienta tak lze povolit komunikaci k vybraným zdrojům interní sítě. VPN karanténa – slouží k ochraně interní sítě před nebezpečnými VPN klienty. Klientem může být jakýkoliv počítač. Proto je možné připojené klienty nejprve umístit do karantény a zkontrolovat. Kontrola může zahrnovat zjištění instalovaného antivirového softwaru, jeho verzi, kontrolu osobní brány firewall (součást Windows XP SP2, nebo od jiných výrobců) nebo čehokoliv jiného. Klienti, kteří neprojdou VPN karanténou, pak nemusejí mít plný přístup k interní síti. HTTP aplikační filtrování na základě pravidel – nastavení HTTP filtru není jen na globální úrovni ISA serveru, ale lze je konfigurovat i pro jednotlivá pravidla. Tím tedy lze používat jiný HTTP filtr například pro různé uživatele, nebo různé cílové webové servery. Blokace spustitelných souborů HTTP filtrem – HTTP filtr lze nastavit tak, aby blokoval přenos spustitelných souborů přenášených HTTP protokolem nezávisle na jejich příponě. Verifikace konektivity – ISA server může ověřovat běh některých počítačů, případně činnost služeb jako Active Directory, DNS, webový server. V případě problému může kontaktovat administrátora například emailovou zprávou. Publikování reportů – automaticky generované reporty o funkci ISA serveru lze ukládat do sdílené složky na některém serveru. Logování do MSDE databáze – je jako výchozí formát logovacího souboru. Logované informace pak lze jednoduše pomocí databázového dotazu sestaveného v konzole ISA serveru zobrazit. Administrativní role – ISA server 2004 umožňuje vybraným uživatelům přidělit některou roli správce ISA serveru. Uživatelé tak mohou například získat přístup ke sledování funkce ISA serveru, aniž by měli přístup ke změně jeho konfigurace. Form-Based autentizace pro OWA – je bezpečným způsobem, jak získávat citlivé přihlašovací údaje uživatelů z Active Directory a použít je k přihlášení na webové rozhraní poštovního serveru Exchange s prostředí veřejného internetu. Microsft ISA Server 2006 – příručka pro školy Page 11 Import a export nastavení – Jakékoliv části nastavení ISA serveru, nebo kompletní nastavení lze uložit nebo načíst ze souboru XML. Lze tak zálohovat konfiguraci, nebo ji přenést na jiný server. Microsoft ISA server 2006 ISA server 2006 je v tuto chvíli nejnovějším reprezentantem produktové řady Microsoft ISA serverů. Některé nové funkce nebo vylepšení oproti předchozí verzi ISA serveru 2004 jsou: Web-Farm rozdělování zátěže – ISA server 2006 umí zveřejnit farmu webových serverů (serverů se stejným obsahem). Požadavky klientů z internetu pak rovnoměrně rozděluje na jednotlivé interní webové servery. Form-Based autentizace pro webové servery – použití bezpečné autentizace Form-Based již není vázáno jen na službu OWA (Outlook Web Exchange), ale lze ji použít pro autentizaci přístupu k libovolnému webovému serveru. Dále byl tento typ autentizace rozšířen o možnost změny hesla uživatele a ISA server byl rozšířen o více možností delegace autentizace. Vylepšení průvodci publikace – umožní publikovat novější typy služeb, jako například Exchange 2007 nebo Share Point services. Single Sign-on – umožní přístup k různým webovým serverům, které vyžadují autentizaci tak, aby se uživatel nemusel autentizovat každému serveru. Vylepšená detekce zahlcení – umožní lepší ochranu ISA serveru před pokusem o jeho zahlcení velkým počtem falešných spojení. LDAP autentizace – umožňuje ISA serveru ověřovat uživatelské účty v Active Directory i v případě, že ISA server není členem domény. Základní koncepce práce ISA serveru ISA server rozděluje všechny počítače do několika sítí. Vnitřní síť definuje administrátor jako rozsah IP adres použitích ke konfiguraci počítačů vnitřní sítě. Často tedy bude vnitřní sít používat některý z rozsahů IP protokolu určeného k lokálnímu použití: Třída Počáteční adresa Koncová adresa Výchozí maska sítě Zkrácený zápis výchozí masky A 10.0.0.0 10.255.255.255 255.0.0.0 IP_adresa/8 B 172.16.0.0 172.31.255.255 255.255.0.0 IP_adresa/16 C 192.168.0.0 192.168.255.255 255.255.255.0 IP_adresa/24 Tabulka 1: Privátní rozsahy IP adres Microsft ISA Server 2006 – příručka pro školy Page 12 Interní síť 192.168.0.0/24 192.168.0.1 83.112.221.3 Externí síť (internet) ISA server Síť localhost VPN klienti 192.168.1.0/24 VPN karanténa 192.168.1.0/24 Obrázek 2: výchozí sítě ISA serveru ISA server obsahuje několik předdefinovaných sítí. Jejich význam je shrnut v tabulce 2. Lokální síť Lokální síť reprezentuje samotný ISA server. Localhost Interní síť Internal network Externí síť External network VPN klienti VPN clients network VPN karanténa VPN quarantined clients Interní síť zahrnuje počítače s adresami definovanými administrátorem během instalace ISA serveru. Je to důvěryhodná síť, kterou ISA server chrání před útoky z internetu. ISA server je zároveň k této síti připojen jedním síťovým rozhraním, které má definovanou IP adresu z rozsahu této privátní sítě. Externí síť není definována žádným rozsahem IP adres, ale zahrnuje vše, co není nijak definováno. ISA server bývá jedním rozhraním připojen k externí síti (internetu, síti poskytovatele internetu). IP adresa externího rozhraní ISA serveru bývá nastavena podle dohody s poskytovatelem internetu. Síť VPN klientů zahrnuje všechny počítače, které se připojily pomocí VPN spojení k ISA serveru. Rozsah IP adres sítě VPN klientů se nesmí krýt s rozsahem adres interní sítě, nebo jiné sítě vytvořené administrátorem. Síť VPN karantény zahrnuje VPN klienty, kteří neprošli karanténní kontrolou, pokud je kontrola vyžadována. Tabulka 2: Výchozí sítě ISA serveru Síťová pravidla – Network Rules Komunikace v rámci jedné sítě, například v rámci interní sítě, probíhá autonomně, bez vědomí ISA serveru. Ke komunikaci mezi dvěma sítěmi je již nutné komunikovat přes ISA Microsft ISA Server 2006 – příručka pro školy Page 13 server. Aby ISA server povolil komunikaci z některé sítě do jiné sítě, musí existovat pravidlo, jak má komunikace probíhat. Příkladem takové komunikace může být komunikace z interní sítě do externí sítě (přístup k webovému serveru na internetu), nebo komunikace z interní sítě do sítě localhost (např. vzdálená správa ISA serveru z administrátorovy pracovní stanice). Síťové pravidlo NAT Prvním typem síťového pravidla může být síťové pravidlo NAT. Je to pravidlo jednosměrné, což znamená, že komunikace může být iniciována pouze z jedné sítě do druhé. ISA server provádí překlad adres (network address translation) čímž skrývá identitu sítě, odkud byla komunikace iniciovaná. Na obrázku 3 je postup takové komunikace znázorněn pro případ pravidla NAT z interní sítě do externí sítě. Počítače z interní sítě tedy odešle požadavek například na webový server v internetu. Protože jako brána do internetu funguje ISA server, počítač tento požadavek pošle ISA serveru. ISA server v paketu provede překlad síťové adresy, což znamená, že změní pole odesilatele v IP paketu na svoji IP adresu externího adaptéru, která je dostupná z internetu a požadavek pošle do internetu směrem k webovému serveru. Webový server obdrží žádost o nějaké informace, sestaví odpověď a odešle ji zpět odesilateli. Adresátem odpovědi je ISA server, protože webový server obdržel požadavek od ISA serveru. Po příchodu odpovědi na ISA server, služba firewallu musí vyhledat záznam o tom, kdo byl původním iniciátorem této komunikace. V případě na obrázku to byl počítač s názvem Pc1, kterému ISA server doručí odpověď. Webový prohlížeč pak na počítači Pc1 zobrazí obdrženou stránku. zdroj 192.168.0.100:8823 cíl www.msn.com:80 požadavek Interní síť 192.168.0.0/24 1 192.168.0.1 Pc1 192.168.0.100 zdroj www.msn.com:80 cíl 192.168.0.100:8823 2 zdroj 83.112.221.3:5569 cíl www.msn.com:80 83.112.221.3 4 Externí síť (internet) www.msn.com ISA server Síť localhost odpověď požadavek 3 zdroj www.msn.com:80 cíl 83.112.221.3:5569 odpověď Obrázek 3: komunikace NAT Tento typ pravidel se nejčastěji využívá mezi interní sítí a internetem. Jednak proto, že chrání identitu vnitřní sítě a jednak proto, že technologie překladu síťových adres (NAT) dokáže zpřístupnit internet klientům s privátními IP adresami, používanými v rámci interní sítě organizace. Privátní IP adresy nejsou na internetu použitelné, protože by žádný server nedokázal doručit odpověď na neveřejnou IP adresu počítače Pc1 z interní sítě. Microsft ISA Server 2006 – příručka pro školy Page 14 Síťové pravidlo Route Druhým typem síťového pravidla je pravidlo Route. Jde o pravidlo, které umožní komunikaci mezi sítěmi, která může být iniciovaná z obou sítí. Nedochází k překladu adres a pole odesilatele paketu se přes celou cestu k cíli nemění. Komunikace, která je znázorněná na obrázku 4 vyžaduje, aby odesilatel Pc1 z interní sítě měl veřejnou IP adresu, která je v celém internetu unikátní. Organizace však většinou dostatečně velký blok IP adres na konfiguraci celé interní sítě nemají, protože je jich celosvětově nedostatek. Tento problém vyústil v masivní použití překladu adres NAT a vytvoření nové generace protokolu IP verze 6. zdroj 82.100.5.100:3325 cíl www.msn.com:80 požadavek 1 82.100.5.1 Interní síť 82.100.5.0/24 Pc1 82.100.5.100 zdroj www.msn.com:80 cíl 82.100.5.100:3325 2 zdroj 82.100.5.100:3325 cíl www.msn.com:80 83.112.221.3 4 Externí síť (internet) www.msn.com ISA server Síť localhost odpověď požadavek 3 zdroj www.msn.com:80 cíl 82.100.5.100:3325 odpověď Obrázek 4: komunikace Route Typickým příkladem pro pravidlo Route tedy nebývá směrování komunikace mezi interní sítí a internetem. Pravidlo Route se nejčastěji používá při nastavování komunikace mezi různými segmenty počítačové sítě organizace. Jako příklad může sloužit komunikace pomocí pravidla Route mezi interní sítí a sítí VPN klientů. Tyto sítě mají mezi sebou většinou pravidlo typu Route. Při použití v rámci organizace lze používat routování i na sítích, které nejsou veřejné – nejsou konfigurovány veřejnými IP adresami. Síťová pravidla nejsou vše Samotná existence síťových pravidel mezi dvěma sítěmi ještě neznamená, že počítače spolu mohou začít komunikovat. Existence síťového pravidla je jednou, nikoliv jedinou podmínkou komunikace. Síťové pravidlo stanovuje, jaký přístup se při komunikaci použije. Zda routování, nebo překlad adres. Při použití překladu adres lze komunikaci zahájit jen jedním směrem a ISA server musí udržovat informace o tom, na který počítač vracet odpovědi. K povolení komunikace je třeba ještě definovat přístupová pravidla firewallu (Access rules). Pravidla firewallu K povolení komunikace mezi počítači v různých sítích slouží pravidla firewallu. Pokud ISA server obdrží na některém rozhraní paket, otevře jej a zjistí z něj informace o odesilateli, příjemci, použitém protokolu atd. Tyto informace pak porovnává postupně s pravidly firewallu Microsft ISA Server 2006 – příručka pro školy Page 15 tak, jak jsou pravidla uspořádána. První pravidlo, které vyhovuje dané komunikaci, se použije k povolení nebo zamezení komunikace. Jedno každé pravidlo firewallu může vypadat následovně: 1. Akce – povolit nebo zakázat komunikaci 2. Protokol – komunikace pomocí zvoleného aplikačního protokolu (HTTP, DNS, POP3, RDP) 3. Odesilatel – síť, IP adresa nebo jiná položka schopná identifikovat odesilatele 4. Příjemce – síť, IP adresa nebo jiná položka identifikující příjemce zprávy 5. Časový plán – určuje, zda je pravidlo v daný časový okamžik použitelné nebo ne 6. Uživatel – uživatel nebo skupina uživatelů, pro které pravidlo platí Pokud se tedy najde pravidlo, které odpovídá komunikaci podle bodů 2 až 6 předešlého výčtu, použije se akce v bodě 1, která komunikaci povolí nebo zakáže. Pokud se žádné takové pravidlo nenalezne, komunikace je automaticky zakázána. Umístění ISA serveru v síti Existuje více možností, jak začlenit ISA server do sítě organizace. Tyto možnosti se pak liší možnou úrovní ochrany vnitřní sítě, složitostí konfigurace, nároky na zkušenosti administrátora a finanční náročnosti na zavedení a údržbu. Pro jednoduché školní sítě, postačuje řešení s jedním firewallem na rozhraní vnitřní sítě a internetu. Toto řešení je obecně nazýváno jako Edge Firewall (firewall na hraně). Stejný název je použit i pro šablonu nastavení v administrační konzole ISA serveru. Edge firewall tedy stojí jako jediný firewall v síti organizace na hraně mezi interní sítí a internetem. Pokud již síť organizace má připojení k internetu, většinou je na tomto místě nějaký směrovač (router), který je schopen například pomocí překladu síťových adres zajistit připojení k internetu pro počítače vnitřní sítě. Náhradou tohoto směrovače ISA serverem 2006 také umožníte přístup k internetu a navíc máte možnost lepší a bezpečnější konfigurace. AD www Vzdálení uživatelé Interní síť ISA server Internet Obrázek 5: Edge firewall (firewall na hraně) Na obrázku 5 je znázorněno umístění firewallu na hraně. Pro toto uspořádání je třeba, aby ISA server měl alespoň dva síťové adaptéry. ISA server pracuje jako směrovač a firewall. Tímto uspořádáním se budeme v této příručce zabývat. Microsft ISA Server 2006 – příručka pro školy Page 16 Příkladem komplexnějšího řešení ochrany je na obrázku 6, kde ISA server má tři síťové adaptéry. Jeden pro připojení k internetu, druhý pro připojení k interní síti a třetí k připojení do sítě demilitarizované zóny, kam se umisťují zejména servery, které musejí být přístupné z internetu. Toto řešení pak má definována pravidla tak, aby internetoví uživatelé směli komunikovat se servery v demilitarizované zóně a neměli žádný přístup k serverům nebo počítačům ve vnitřní sít. Demilitarizovaná zóna (DMZ) www Internet ISA server Interní síť AD Obrázek 6: 3-leg firewall Dalším možným řešením demilitarizované zóny je na obrázku 7. Jako Back-end firewall se použije ISA server a pro Front-end firewall se může použít ISA server nebo nějaký hardwarový firewall. Demilitarizovaná zóna je opět částečně přístupná z internetu a interní síť je chráněna dvěma firewally. AD Demilitarizovaná zóna (DMZ) Interní síť Back-end ISA Front-end fw (ISA/hw) Internet www Obrázek 7: Back-end a Front-end firewall Zařazení ISA serveru k doméně ISA server může pracovat jako členský server domény Active Directory, nebo jako samostatný server v pracovní skupině. Klienti ISA serveru Závěrem této kapitoly se ještě zmíníme, jakými způsoby je možné nastavit klienty v interní síti, aby k přístupu na internet používali ISA server. Microsft ISA Server 2006 – příručka pro školy Page 17 Web-Proxy klient – počítač, jehož prohlížeč internetu (např. Internet Explorer) je nastaven tak, aby používal proxy server. Tento proxy server je nastaven na adresu ISA serveru. SecureNAT klient – tento klient má nastavenu IP konfiguraci tak, že jeho výchozí brána je ISA server. Veškeré komunikace mimo lokální síť jsou pak posílány ISA serveru. Firewall klient – je počítač, na němž běží speciální klientská aplikace. Tato aplikace zajišťuje bezpečnou komunikaci s ISA serverem. Každý typ klienta má své výhody a nevýhody. Zároveň také je možné, aby na jednom počítači fungovalo více typů klientů současně. Tato konfigurace, stejně jako jejich výhody a nevýhody, bude popsána v některé další kapitole věnované klientům ISA serveru. Microsft ISA Server 2006 – příručka pro školy Page 18 Instalace ISA serveru Příprava instalace Před samotnou instalací ISA serveru je třeba provést několik kroků pro porozumění stávající síťové architektury, naplánování nového řešení s ISA serverem a ujasnit si, jak budou internetové služby dostupné uživatelům interní sítě. Nejedná se jen o stanovení pravidel komunikace pro různé skupiny uživatelů, ale zejména o nastavení infrastruktury tak, aby uživatelé měli povolené služby dostupné. Je třeba, aby počítače v interní síti měli korektní konfiguraci TCP/IP rozhraní a měli přístup k překladu DNS jmen na IP adresy. 1. Zmapování stávající sítě – je prvním krokem, který Vám umožní pochopit stávající architekturu sítě a poskytne nezbytné informace. Je třeba mít přehled, jaké IP adresy se používají v interní síti a informace o významných serverech v interní síti. Podívejte se, jak jsou pracovní stanice konfigurovány (DHCP server) a jakým způsobem probíhá překlad DNS jmen na IP adresy (DNS server). 2. Nutné změny v síti – pro instalaci ISA serveru a jeho zprovoznění bude zřejmě nutné provést některé změny. Například bude třeba všechny počítače interní sítě překonfigurovat tak, aby pro komunikaci s internetem využívaly ISA server. Dále může být potřeba zajistit počítačům z interní sítě přístup k překladu jmen na IP adresy a zajistit, aby uživatelé z internetu měli pomocí DNS jména organizace přístup k zveřejněným serverům na interní síti. 3. Přístup k internetu – sestavte rámcová pravidla, podle kterých později vytvoříte přístupová pravidla firewallu. Tyto pravidla by měly zahrnovat, které skupiny uživatelů z vnitřní sítě budou mít přístup k internetu a jaké služby a na jakých serverech budou moci používat. 4. Konfigurace klientů – podle již shromážděných údajů bude třeba učinit rozhodnutí, jaký typ přístupu klientů k ISA serveru použijete. Každý typ klienta má své klady a zápory a nejsou navzájem zaměnitelné. Proto je třeba rozumět jednotlivým typům klientů a vědět, kdy je lze použít. Infrastruktura sítě Pro správnou funkci celé sítě, je nutné, aby některé další síťové služby podporovali ISA server. Následující služby by měli být správně konfigurovány: DNS DHCP Active Directory Microsft ISA Server 2006 – příručka pro školy Page 19 DNS služba Pro připojení klientů k internetovým zdrojům je nezbytné, aby klienti měli možnost získat IP adresu z doménového jména, které zadá uživatel například do prohlížeče internetu. Pokud se rozhodnete zveřejnit některé své služby interní sítě na internet, musejí mít zase uživatelé na internetu možnost získat korektní IP adresu, pomocí které se mohou připojit k některému zveřejněnému serveru. Použití interního DNS serveru Mnoho organizací má již vlastní DNS server v interní síti, který může být zkonfigurován tak, aby mohl překládat i internetová doménová jména. Pokud má organizace instalovanou službu Active Directory, pak na doménovém řadiči služba DNS většinou běží. Tato služba má na starosti překlad jmen pro zónu domény. Spravuje-li tedy doménový řadič například doménu skola.cz, pak na doménovém řadiči běží DNS server, který má na starosti překlad jmen pro zónu skola.cz. Tento DNS server lze zkonfigurovat tak, aby kromě jmen vlastní domény mohl překládat i ostatní jména v internetu. Nastaví se tedy na interním DNS serveru přeposílání požadavků na překlad internetových jmen na jiný DNS server, typicky DNS server poskytovatele internetu. Překlad jmen pro interní doménu zůstane zachován na stávajícím serveru. Ke konfiguraci DNS serveru pro přeposílání požadavků (forwarding) postupujte následovně: 1. Na řadiči domény, nebo jiném serveru, kde běží služba DNS spusťte konzolu DNS z Nástrojů pro správu. 2. Pravým tlačítkem klikněte na název serveru v levé části konzole a zvolte Vlastnosti. 3. Vyberte panel Servery pro předávání, do pole pro IP adresu vepište IP adresu DNS serveru a klikněte na tlačítko Přidat. IP adresu DNS serveru zjistíte od svého poskytovatele internetu. Microsft ISA Server 2006 – příručka pro školy Page 20 Obrázek 8: Nastavení DNS forwardingu 4. Klikněte na tlačítko OK a zavřete konzolu DNS serveru. Použití externího DNS serveru Druhou možností pro překlad doménových jmen je přímé použití DNS serveru na internetu. Například pokud organizace nemá vlastní DNS server. Při použití Web-Proxy klienta nebo Firewall klienta může ISA server fungovat jako DNS proxy server. To znamená, že ISA server může mít nastaveno v IP konfiguraci na externím adaptéru, aby používal DNS server poskytovatele internetu pro překlad internetových DNS jmen. ISA server tedy bude schopen překladu jmen Web-Proxy a Firewall klienti mohou nechat překlad jmen na starosti ISA serveru. Při použití SecureNAT klientů není možné využít podpory DNS proxy na ISA serveru, proto SecureNAT klienti musejí mít nastaven DNS server v IP konfiguraci na adresu DNS serveru v internetu (DNS serveru poskytovatele internetu). V obou případech použití DNS – nastavení přeposílání z interního DNS serveru, nebo využití externího DNS serveru interními klienty je nutné nastavit přístupové pravidlo firewallu, které umožní DNS komunikaci z interní sítě na DNS server poskytovatele internetu. Toto pravidlo je i součástí šablony nastavení, kterou lze použít pro prvotní konfiguraci ISA serveru. Pokud se spokojíme jen se službami DNS proxy ISA serveru (možné jen při použití WebProxy nebo Firewall klienta) pak přístupové pravidlo pro DNS komunikaci není potřeba vytvořit, protože o DNS překlad internetových jmen se stará jen ISA server, který má ve výchozím stavu přístup k jakémukoliv DNS serveru. Microsft ISA Server 2006 – příručka pro školy Page 21 Active Directory Pokud chcete omezovat přístup k internetu z interní sítě na základě uživatelských jmen nebo skupin uživatelů, nebo chcete omezit přístup ke zveřejněným serverům jen pro autentizované uživatele, pak je vhodné využít integrace ISA serveru s doménou Active Directory. Pokud je tedy ISA server členem domény, může bez jakékoliv další konfigurace ověřovat doménové uživatele. ISA server však také nabízí možnosti jak autentizovat doménové uživatele v případě, že ISA server není členem domény. K tomuto účelu lze použít ověřování protokolem LDAP (Lightweight Directory Access Protocol) nebo RADIUS standard (Remote Authentication Dial-In User Service), který je implementován ve službě IAS (Internet Authentication service) serveru Windows 2003: Pokud budete chtít používat služeb Active Directory pro ISA server, musí být na interním adaptéru ISA serveru nastavena IP konfigurace DNS severu na DNS server se zónou interní domény (typicky na IP adresu doménového řadiče). DHCP služba DHCP služba není nezbytná pro zavedení ISA serveru, ale je doporučena pro zjednodušení síťové konfigurace klientů interní sítě. Výhodou použití DHCP serveru je snadná konfigurace klientů, která se děje automaticky. Snadno tedy nastavíte klienty tak, aby mohli pracovat s ISA serverem nebo internetem. Při změně IP adresy internetového DNS serveru, nebo změně adresy výchozí brány se jednoduše změní nastavení DHCP serveru a nejpozději po restartu klientských počítačů dojde ke změně jejich IP konfigurace tak, aby vyhovovala novým požadavkům. DHCP server lze také využít pro konfiguraci klientů připojených přes VPN kanál z internetu. Pokud na ISA serveru povolíte připojení VPN klientů, tak ISA server požádá DHCP server o blok IP adres, které pak přiděluje VPN klientům. Příprava ISA serveru Hardwarové a softwarové požadavky ISA serveru 2006 Doporučení pro server, na který bude instalován ISA server 2006, jsou v následující tabulce. Operační systém Windows server 2003 SP1 a vyšší je podporována pouze 32bitová verze operačního systému Procesor 733MHz Pentium III nebo rychlejší Paměť 512MB nebo více Pevný disk 150MB volného prostoru NTFS souborový systém další místo pro logy a cache Další zařízení Jeden síťový adaptér podporovaný operačním systémem pro připojení k interní síti, další síťové adaptéry pro připojení k dalším Microsft ISA Server 2006 – příručka pro školy Page 22 sítím (internet, případně více interních sítí) CD-ROM nebo DVD-ROM jednotka VGA nebo lepší obrazovka Klávesnice, myš Tabulka 3: předpoklady instalace Před instalací Pro instalaci ISA serveru budete potřebovat počítač s operačním systémem Windows server 2003. Počítač by měl odpovídat tabulce 3. Před instalací je vhodné plně aktualizovat operační systém dostupnými záplatami a Service Packy. 1. Aktualizace operačního systému serveru – před instalací ISA serveru aktualizujte systém, pokud máte možnost. 2. Nastavení síťového rozhraní pro interní síť – síťové rozhraní interní sítě musí být konfigurováno IP adresou a maskou interní sítě. Pokud bude ISA server členem domény, zkonfigurujte i položku DNS serveru interního rozhraní na adresu DNS serveru interní sítě (řadiče domény). Pokud používáte na interní síti DHCP server, ujistěte se, že IP adresa zvolené pro interní rozhraní ISA serveru bude vyňata z přidělovaných IP adres DHCP serverem. Nesmí se stát, aby DHCP server přiděloval IP adresu ISA serveru jinému počítači. a. Otevřete Síťová připojení z Ovládacích panelů. b. Vyberte adaptér, který bude použit pro interní síť. Pro lepší přehlednost můžete změnit název připojení, například na Interní síť, nebo LAN. c. Otevřete vlastnosti připojení, vyberte položku Protokol sítě internet (TCP/IP) a klikněte na tlačítko Vlastnosti. Zadejte IP adresu a masku sítě pro interní adaptér. Pole Výchozí brána nechte prázdné. Pokud budete chtít komunikovat s řadičem domény, zadejte do pole Upřednostňovaný server DNS IP adresu řadiče domény (DNS serveru). Obrázek 9: Nastavení interního rozhraní ISA serveru d. Uložte nastavení a zavřete Ovládací panely. 3. Připojení k doméně – pokud budete chtít připojit ISA server k doméně, můžete tak učinit nyní. Jedinou podmínkou je správná konfigurace interního adaptéru podle bodu 2 a dostupnost doménového řadiče přes interní síť. Microsft ISA Server 2006 – příručka pro školy Page 23 4. Nastavení síťového rozhraní pro externí síť – konfiguraci síťového rozhraní připojeného k internetu je třeba věnovat zvláštní pozornost. Z hlediska bezpečnosti je vhodné jej konfigurovat manuálně a nevyužívat možného DHCP serveru poskytovatele internetu. Dále je doporučeno omezit veškeré síťové služby na tomto adaptéru pouze na protokol TCP/IP, vypnout podporu NetBIOSu a zakázat DNS registraci. a. Otevřete Síťová připojení z Ovládacích panelů. b. Vyberte adaptér, který bude použit pro externí síť. Pro lepší přehlednost můžete změnit název připojení, například na Internet. c. Otevřete vlastnosti připojení. Odkřížkujte všechny služby a protokoly, které nemusejí být na externím adaptéru spuštěny. Zejména pak Klient sítě Microsoft a Sdílení souborů a tiskáren v sítích Microsoft. Protokol sítě internet (TCP/IP) nechte zvolen. Obrázek 10: omezení služeb na externím adaptéru Microsft ISA Server 2006 – příručka pro školy Page 24 d. vyberte položku Protokol sítě internet (TCP/IP) a klikněte na tlačítko Vlastnosti. Zadejte IP adresu, masku sítě a výchozí bránu pro externí adaptér. Dále můžete nastavit adresy DNS serverů. Tyto informace získáte od svého poskytovatele internetu. Pokud se rozhodnete nechat položky konfigurovat automaticky z DHCP serveru vašeho poskytovatele internetu, musíte po instalaci ISA serveru změnit Systémovou politiku. Obrázek 11: příklad IP konfigurace externího adaptéru e. Dále ve vlastnostech protokolu TCP/IP klikněte na tlačítko Upřesnit. f. V panelu DNS odstraňte možnost Zaregistrovat adresy DNS tohoto připojení v systému DNS. Microsft ISA Server 2006 – příručka pro školy Page 25 Obrázek 12: vypnutí DNS registrace na externím adaptéru ISA serveru g. V panelu WINS zakažte možnost Povolit hledání v souboru LMHOSTS a vyberte volbu Zakázat rozhraní NetBIOS nad protokolem TCP/IP. Microsft ISA Server 2006 – příručka pro školy Page 26 Obrázek 13: vypnutí služby NetBIOS na externím adaptéru ISA serveru h. Uložte provedená nastavení a zavřete Ovládací panely. Pokud se přesto rozhodnete o automatickou konfiguraci pomocí DHCP klienta, po instalaci ISA serveru bude tato konfigurace blokovaná. Budete muset změnit Systémovou politiku ISA serveru. Obrázek 14: přejmenování síťových připojení ISA serveru Instalační proces Po konfiguraci síťových adaptérů a zabezpečení adaptéru externí sítě můžete přistoupit k instalaci samotného ISA serveru 2006. Postupujte podle následujícího postupu: 1. Přihlaste se k serveru, na který budete instalovat ISA server 2006 administrátorským uživatelským účtem. 2. Vložte instalační médium ISA serveru. Po načtení instalačního CD a spuštění automatické nabídky zvolte možnost Install ISA server 2006. Microsft ISA Server 2006 – příručka pro školy Page 27 Obrázek 15: Instalační CD ISA serveru 2006 Pokud nedojde k automatickému spuštění CD, nebo budete instalovat ISA server například ze síťového disku, spusťte soubor fpc\setup.exe z kořenové složky instalačních souborů ISA serveru. 3. Na uvítací obrazovce stiskněte tlačítko Next. Dále potvrďte licenční ujednání a stiskněte tlačítko Next. 4. Na další obrazovce vyplňte vaše jméno a název organizace. Do pole pro licenční klíč vložte platný licenční klíč produktu Microsoft ISA server 2006. Pokračujte tlačítkem Next. 5. Zvolte typickou instalaci a pokračujte tlačítkem Next. Tato možnost nainstaluje všechny komponenty ISA serveru 2006. 6. Na další obrazovce musíte definovat rozsah IP adres pro interní síť. Stiskněte tlačítko Add, otevře se okno Addresses. V okně Addresses můžete zadat rozsah IP adres interní sítě. Microsft ISA Server 2006 – příručka pro školy Page 28 Obrázek 16: definice IP adres interní sítě 7. Pomocí tlačítka Add Adapter můžete vložit celý rozsah IP adres, který je odvozen z IP konfigurace interního adaptéru ISA serveru. Pomocí Add Private můžete vložit známé privátní rozsahy IP adres nebo pomocí Add Range můžete zvolit vlastní rozsah IP adres. Obrázek 17: Add adapter, Add private, Add range Zvolený rozsah IP adres musí obsahovat IP adresu interního adaptéru ISA serveru. Po dokončení editace pokračujte tlačítkem Next. Změnu nastavení rozsahů IP adres interní sítě můžete provést i po instalaci ISA serveru. Microsft ISA Server 2006 – příručka pro školy Page 29 8. Na další obrazovce máte možnost povolit nešifrované spojení s klienty typu firewall klientské aplikace. Pokud je tento klient instalován na starším operačním systému (Windows NT4.0, Windows 98SE, Windows Me) není možné komunikaci mezi klientem a ISA serverem šifrovat. Pokud tedy budete chtít firewall klienta použít na těchto systémech, musíte povolit nešifrovaná spojení. Jinak nechte položku ve výchozím stavu – zakázaná nešifrovaná komunikace. 9. Na další obrazovce dostanete informaci o tom, které služby operačního systému bude třeba zastavit a zakázat a které služby bude během instalace restartovat. Obrázek 18: služby dotčené instalací ISA serveru 2006 10. Stiskněte tlačítko Next a na další obrazovce Install. Bude zahájena instalace ISA serveru. Během několika málo minut bude instalace dokončena a automaticky se spustí služby ISA serveru. Restart serveru po instalaci není nutný. Obrázek 19: instalace Instalace administrační konzole na pracovní stanici Ke správě ISA serveru není nutné mít fyzický přístup k samotnému serveru. Lze na administrátorovu pracovní stanici nainstalovat pouze administrační konzole, která se po spuštění může přijit k libovolnému ISA serveru. ISA server zpravidla nebývá dostupný na běžně přístupném místě, proto je vhodné jeho správu provádět vzdáleně z pohodlí administrátorovi kanceláře. 1. Vložte instalační CD ISA serveru 2006 do pracovní stanice administrátora. 2. Spusťte instalačního průvodce a postupujte podle něj. 3. Na obrazovce volby instalace můžete zvolit typickou instalaci, pokud instalujete na pracovní stanici (Windows XP, Windows 2000 Professional). Pokud budete chtít Microsft ISA Server 2006 – příručka pro školy Page 30 instalovat jen konzolu pro správu na jiný Windows server 2003, zvolte vlastní instalaci (Custom) a z dostupných komponent vyberte položku ISA server management. Obrázek 20: instalace jen konzole ISA serveru 4. Pokračujte dál dole pokynů. 5. Po instalaci máte konzolu dostupnou z nabídky Start, Programy, Microsoft ISA server. Pro připojení konzole ke vzdálenému ISA serveru je třeba ISA server nastavit tak, aby akceptoval vzdálená připojení z administrátorovy pracovní stanice. Postup této konfigurace bude uveden v kapitole o Konzole ISA serveru. Kontrola po instalaci Po dokončení instalace ISA serveru byste se měli ujistit, že instalace byla úspěšně provedena a jsou instalovány všechny potřebné komponenty. Kontrolu můžete provést na více místech: 1. V konzole Služby z Nástrojů pro správu ověřte přítomnost následujících služeb, které by měly běžet a spouštět se automaticky. Microsoft firewall Microsoft ISA Server Control Microsoft ISA Server Job Scheduler Microsoft ISA Server Storage 2. V konzoly Služby z Nástrojů pro správu ověřte přítomnost a správnou konfiguraci služeb MSDE (Microsoft Data Engine), které slouží pro logování funkce ISA serveru MSSQL$MSFW – stav - spuštěna, typ spuštění - automaticky MSSQLServerADHelper - stav - nespuštěna, typ spuštění – manuální Microsft ISA Server 2006 – příručka pro školy Page 31 Obrázek 21: Služby ISA serveru 2006 3. Záznamy (logy) o průběhu instalace – jsou umístěny do adresáře %windir%\temp (C:\windows\temp). ISAFWSV _NNN.log – podrobné záznamy o instalaci služby firewallu ISAMSDE_NNN.log – podrobné záznamy o instalaci MSDE služeb ISAFWUI_NNN.log – záznamy instalátoru ISAWRAP_NNN.log – krátké shrnutí průběhu instalace všech komponent 4. V Prohlížeči událostí z Nástrojů pro správu máte k dispozici v záznamech aplikací informace o spuštění služeb firewallu, případně chybách, které spuštění znemožňují. Výchozí stav po instalaci ISA serveru Jakmile je nainstalován ISA server 2006 na zvolený server, jsou služby firewallu automaticky spuštěny. Konfigurace ISA serveru je v definovaném výchozím stavu. Dostupné sítě – Networks Jméno popis External Externí sít – internet Internal Interní síť – definována rozsahem IP adres během instalace ISA serveru Localhost Reprezentuje samotný ISA server Quarantined VPN clients Síť pro VPN klienty, kteří nesplňují podmínky karantény (pokud je karanténa zapnuta) VPN clients Síť pro VPN klienty Síťová pravidla – Network rules Zdrojové umístění Cílové umístění Internal Quarantined VPN clients Síťové pravidlo NAT External (platí pro přístup směrem do Externí sítě) Internal Route All networks Route VPN clients Quarantined VPN clients VPN clients Localhost Microsft ISA Server 2006 – příručka pro školy Page 32 Pravidla firewallu o System policy – pravidla, která umožňují komunikaci ISA serveru s okolními sítěmi o Firewall policy – jediné pravidlo zakazující veškerou komunikaci mezi dvěma sítěma. Toto pravidlo nejde nijak editovat či odstranit. Pouze přidáváním dalších pravidel můžete umožnit průchod komunikace přes ISA server. Cache – cachování vypnuto VPN přístup – VPN přístup vypnut Web-Proxy klienti – povoleno použití Web-proxy klientů na interní síti Firewall klienti – povoleno použití Firewall klientů na interní síti SecureNAT klienti – není třeba zvláštní podpory ze strany ISA serveru, jejich funkce je zajištěna vždy. Po instalaci a spuštění ISA serveru je tedy veškerá komunikace, která by procházela přes ISA server blokovaná. Není možné žádným způsobem komunikovat z počítače v jedné síti s počítačem v jiné síti. Systémová politika ISA serveru však umožňuje běžnou komunikaci ISA serveru s okolními počítači, jako například používání DNS serveru, komunikace s Active Directory. Systémová politika bude popsána podrobně později. Microsft ISA Server 2006 – příručka pro školy Page 33 Konzola pro správu ISA serveru Konzola pro správu ISA serveru je součástí typické instalace ISA serveru 2006. Pokud jste při instalaci ISA serveru tuto součást neodebrali, máte jí k dispozici v nabídce Start mezi programy pod názvem ISA Server Management. Obrázek 22: spuštění konzole ISA serveru Pokut tuto konzolu spustíte, automaticky se připojí ke službě ISA serveru, běžící na lokálním počítači – serveru. Konzole je rozdělena do třech částí. V levém panelu je navigační strom, kterým se můžete rychle přepínat mezi různými částmi konfigurace. Aktuální nastavení zvolené položky navigačního stromu je pak zobrazena v největší (prostřední) části konzole. Odtam se provádí změna konfigurace ISA serveru. V pravé části je ještě sloupeček, který obsahuje odkazy na často používané funkce v aktuálním umístění konzole a odkazy k nápovědě. Obrázek 23: konzola ISA serveru 2006 Microsft ISA Server 2006 – příručka pro školy Page 34 Pokud spustíte konzolu ISA serveru z pracovní stanice, máte možnost připojení ke zvolenému vzdálenému ISA serveru. 1. V konzole klikněte pravým tlačítkem myši na Microsoft Internet Security and Acceleration 2006, a zvolte možnost Connect to. 2. Zadejte název ISA serveru, nebo jej vyhledejte tlačítkem Browse. Pro připojení k ISA serveru lze použít váš účet, kterým jste přihlášeni k pracovní stanici, nebo vybrat jiný účet. 3. Tlačítkem OK připojíte konzolu ke vzdálenému ISA serveru. Obrázek 24: připojení ke vzdálenému ISA serveru z pracovní stanice Před vzdáleným připojením k ISA serveru je nejprve nutné povolit vzdálený přistup k ISA serveru z administrátorovy pracovní stanice. Pokud se bude správce přihlašovat jiným (neadministrátorským) účtem, je také třeba přidělit danému účtu příslušnou administrativní roli ke správě ISA serveru. Jakékoliv změny konfigurace ISA serveru se nedějí hned, jakmile je administrátor učiní. Změny konfigurace se kumulují v paměti konzole. Lze tedy změnit konfiguraci více položek a změny aplikovat najednou. Pro aplikaci provedených změn klikněte v konzole na tlačítko Apply (obrázek 25) vedle velké ikony žlutého vykřičníku. Pokud provedené změny nechcete aplikovat (uložit na ISA server), klikněte tlačítko Discard. Microsft ISA Server 2006 – příručka pro školy Page 35 Obrázek 25: Potvrzení nebo zahození změn konfigurace Povolení vzdálené správy Aby mohl být ISA server spravován vzdáleně, obsahuje systémová politika firewallu ve výchozím stavu několik pravidel, která jsou definována pro vzdálenou správu ISA serveru ze skupiny Remote Management Computers. Do této skupiny lze přidat jakýkoliv počítač, který budete chtít použít ke vzdálené správě. Přihlaste se k ISA serveru administrátorským účtem. Spusťte administrační konzolu ISA serveru Ze stromové nabídky v levé části konzole zvolte Firewall policy. V pravé části konzole zvolte Toolbox, Network objects a Computer Sets. Dvojklikem otevřete skupiny Remote Management Computers. Tlačítkem Add a následně volbou Computer otevřete okno pro definici počítače. Zadejte název počítače, například administrátorova pracovní stanice a zadejte IP adresu zvolené pracovní stanice. 8. Zavřete editaci skupiny Remote Management Computers a aplikujte nastavení na ISA server. 9. Nyní můžete ze zvoleného počítače vzdáleně spravovat ISA server. Pro přihlášení k ISA serveru přes konzolu použijte účet administrátora (obrázek 24). 1. 2. 3. 4. 5. 6. 7. Microsft ISA Server 2006 – příručka pro školy Page 36 Obrázek 26: povolení vzdálené správy z počítače 10.0.7.3 Microsft ISA Server 2006 – příručka pro školy Page 37 Klienti ISA serveru Pro komunikaci mezi počítači z interní sítě a ISA serverem je nutné počítače na interní síti nastavit jako klienty ISA serveru. Tito klienti pak budou při pokusech o komunikaci mimo interní síť (např. do internetu) komunikovat přes ISA server. Existují tři typy klientů. Každý typ má své specifické vlastnosti. Proto je třeba se správně rozhodnout, který typ klienta použít. Firewall klient Počítače s Firewall klientem používají Firewall klientskou aplikaci pro komunikaci s ISA serverem. Tato aplikace musí být nainstalována a spuštěna pro přístup do internetu (nebo jiné sítě). Aplikace Firewall klienta mění chování při přístupu k síti na klientském počítači. Jakmile se nějaká aplikace (webový prohlížeč, emailový klient, messenger) pokusí o přístup k síti, aplikace Firewall klienta přístup k síti přeruší a zkontroluje cíl komunikace. Pokud Firewall aplikace zjistí, že cílem komunikace je některý počítač na lokální síti, komunikaci nechá proběhnout. Pokud Firewall aplikace ale zjistí, že komunikace směřuje na internet, tuto komunikaci přesměruje na ISA server. ISA server přijme požadavek na komunikaci a autentizuje uživatele (autentizace je transparentní – použije se uživatelský účet přihlášeného uživatele). Dále ISA server zkontroluje, zda je daný typ komunikace povolen – zda existuje přístupové pravidlo pro tuto komunikaci. Pokud je tato komunikace povolena, ISA server vyřídí požadavek na cílovém serveru a pošle klientovi odpověď. Firewall klient poskytuje nejvyšší úroveň zabezpečení a funkcionality ze všech možných klientů ISA serveru. Výhody Firewall klienta: Řízení přístupu k internetu a logování komunikace na základě uživatelských účtů a skupin Automatická, transparentní autentizace klienta vůči ISA serveru Firewall klient může konfigurovat proxy nastavení Internet Exploreru Firewall klient podporuje všechny síťové aplikace. Není třeba konfigurovat výchozí bránu na klientovi a klient nemusí mít přístup k překladu internetových jmen na IP adresy. Komunikace, která není určena pro lokální síť je předávána ISA serveru a překlad DNS jmen většinou provádí ISA server. Nevýhody Firewall klienta: Firewall klient je aplikace, kterou je třeba nainstalovat na počítače. Pro větší počet počítačů může být ruční instalace na všechny počítače časově náročná. Jelikož je Microsft ISA Server 2006 – příručka pro školy Page 38 klient ve formě instalačního balíčku MSI, lze jej nechat nainstalovat automaticky na doménové pracovní stanice pomocí doménových zásad skupin. Aplikace Firewall klienta je dostupná pouze pro operační systémy Microsoft. SecureNAT klient Počítače, které nemají nainstalovanou aplikaci Firewall klienta mohou pracovat jako SecureNAT klienti. Tito klienti, aby mohli komunikovat s internetem, musejí mít nastavenu výchozí bránu TCP/IP protokolu tak, aby jejich komunikace byla směrována do internetu. Typicky (v jednoduchých sítích) bude výchozí brána nastavena na interní IP adresu ISA serveru. Dále je třeba, aby klienti měli přístup k překladu internetových DNS jmen. Výhody SecureNAT klienta: Podpora většiny aplikací (protokolů). Pro běžné protokoly, které mají problémy s překladem síťových adres (např. FTP), má ISA server vestavěny aplikační filtry, které tyto problémy potlačí. Podpora jakéhokoliv operačního systému, který umí pracovat s protokoly TIC/IP. Snadná konfigurace klientů z DHCP serveru Nevýhody SecureNAT klienta: SecureNAT klient nepodporuje autentizaci. ISA server tedy není schopen logovat komunikaci na základě uživatele nebo skupiny. Stejně tak pokud budou přístupová pravidla firewallu vyžadovat autentizaci, SecureNAT klient nebude mít možnost přístupu. Klientský počítač musí mít konfigurován DNS server, který bude provádět překlad internetových jmen na IP adresy. Web-Proxy klient Web-Proxy klient je počítač, na kterém je použit prohlížeč internetu kompatibilní s HTTP1.1 a tento prohlížeč je nastaven tak, aby používal proxy server. Všechny běžně používané prohlížeče internetu toto umožňují, takže jakýkoliv počítač může pracovat jako Web-Proxy klient (včetně počítačů, které jsou konfigurovány Firewall klientem nebo SecureNAT klientem). Pokud se z internetového prohlížeče pokusíte o přístup na internet, je tento požadavek poslán proxy serveru – ISA serveru. Existuje-li na ISA serveru pravidlo pro danou komunikaci, ISA server vyřídí požadavek na internetovém serveru a vrátí Web-Proxy klientovi odpověď. Web-Proxy klient je také na žádost ISA serveru se schopen autentizovat. Autentizace může být opět transparentní – použije se účet přihlášeného uživatele, pokud je počítač členem domény Active Directory. Pokud počítač není členem domény, nebo se jedná o počítač s ne-Microsoft operačním systémem, lze použít tzv. Basic autentizace, která je vestavěná v protokolu HTTP. Konfigurace webových prohlížečů tak, aby pracovaly s ISA serverem je možná hromadně, bez nutnosti konfigurovat jednotlivé prohlížeče. Použití Firewall aplikace na počítači ve Microsft ISA Server 2006 – příručka pro školy Page 39 výchozím nastavení zkonfiguruje webový prohlížeč Internet Explorer tak, aby používal ISA server pro proxy službu. Výhody Web-Proxy klienta: Podpora od všech moderních internetových prohlížečů, nezávisle na použitém operačním systému Podpora autentizace – možno vytvářet pravidla komunikace na základě uživatelů a skupin Nevýhodou Web-proxy klienta je podpora pouze webových protokolů. Počítač, který je konfigurován jako Web-proxy klient může využívat pouze protokoly HTTP, HTTPS a FTP. Kombinace více klientů Jedena pracovní stanice interní sítě může pracovat současně jako více typů klienta ISA serveru. Stanice může být konfigurována jako Web-proxy klient, Firewall klient i SecureNAT klient současně. Je to tedy stanice, která má kompletní TCP/IP konfiguraci včetně výchozí brány a DNS serveru pro překlad internetových jmen, nainstalovanou aplikaci Firewall klienta a zkonfigurovaný webový prohlížeč pro použití proxy serveru. Při jakékoliv komunikaci z internetového prohlížeče se počítač chová jako Web-Proxy klient. Při použití jiného protokolu, například při připojení ke vzdálené ploše, zareaguje Firewall aplikace, která tuto komunikaci vyřídí přes ISA server. Firewall aplikace však může mít konfigurovány některé výjimky, kdy nemá pracovat. Například pro aplikaci Outlook je standardně Firewall aplikace nastavena tak, že nebude komunikaci z aplikace Outlook nijak ovlivňovat. Aplikace Outlook tedy použije DNS překlad dostupný na počítači a bude komunikovat prostřednictvím výchozí brány protokolu TCP/IP – SecureNAT klientem. Pokud zkonfigurujete například některý počítač s operačním systémem Linux jako WebProxy a SecureNAT klienta, webovou komunikaci (HTTP, HTTPS a FTP) budete moci filtrovat (povolovat) na základě jmen uživatelů. Jakákoliv jiná komunikace bude možná pomocí SecureNAT klienta, nebuje ji však možné řídit na základě uživatelů a skupin. Konfigurace klientů SecureNAT klient SecureNAT klient je nejjednodušším typem klienta, protože k jeho konfiguraci postačuje správné nastavení protokolu TCP/IP na klientském počítači. Hlavním cílem konfigurace je zajistit, aby klient mohl posílat požadavky do internetu a měl přístup k DNS překladům internetových jmen. Nastavení výchozí brány Pro jednoduché sítě nastavte výchozí bránu TCP/IP protokolu pracovních stanic interní sítě na IP adresu interního adaptéru ISA serveru. Pokud používáte ke konfiguraci klientů DHCP server, upravte nastavení DHCP serveru. Nastavení překladu jmen Pokud máte v interní síti řadič domény, máte i DNS server. Nastavte tento DNS server tak, aby mohl překládat i internetová jména pro klienty interní Microsft ISA Server 2006 – příručka pro školy Page 40 sítě. Návod na nastavení DNS serveru je v kapitole Instalace ISA serveru. Kromě nastavení DNS serveru je ještě nutné povolit pravidlem firewallu komunikaci mezi interním DNS serverem a DNS servery na internetu. Toto pravidlo může být součástí některé šablony nastavení, kterou lze ISA server prvotně zkonfigurovat, nebo můžete postupovat podle tohoto návodu: 1. Spusťte konzolu ISA serveru. Pokud pracujete vzdáleně, připojte konzolu k ISA serveru. 2. V levé části konzole klepněte pravým tlačítkem na Firewall policy a zvolte Nový objekt a Access Rule (přístupové pravidlo). Spustí se průvodce vytvořením pravidla. 3. Zadejte jméno pro pravidlo, například „DNS komunikace“. 4. Na obrazovce Rule action zvolte Allow – pravidlo pro povolení komunikace. 5. Na obrazovce Protocols vyberte z rozbalovací nabídky platnost tohoto pravidla pouze pro zvolené protokoly – Selected protocols. Tlačítkem Add otevřete nabídku dostupných protokolů. Vyhledejte protokol DNS a přidejte jej. Pokračujte na další obrazovku průvodce. Obrázek 27: pravidlo pro protokol DNS 6. Na obrazovce Access Rule sources vložte umístění, odkud bude DNS komunikace iniciovaná. Tlačítkem Add otevřete seznam dostupných umístění. Můžete zvolit síť Internal. Microsft ISA Server 2006 – příručka pro školy Page 41 Obrázek 28: definice zdroje komunikace na interní síť 7. Na obrazovce Access Rule Destination zvolte cíl DNS komunikace, kterou chcete povolit. Stejným způsobem jako v bodě 6 přidejte síť External. 8. Další obrazovku - User Sets – nechte beze změn. Pravidlo bude platit pro všechny uživatele. 9. Dokončete průvodce a aplikujte nastavení na ISA server. Tímto postupem jste vytvořili pravidlo, které umožní komunikovat počítačům z interní sítě pomocí DNS protokolu s DNS servery na externí síti. Web-Proxy klient Web-proxy klientem je počítač, jehož internetový prohlížeč je nastaven tak, aby používal jako proxy server ISA server. Není třeba zvláštní konfigurace TCP/IP protokolu (postačuje IP adresa a maska sítě) nebo instalovat aplikaci Firewall klienta. Nicméně je třeba nastavit webový prohlížeč. Tato konfigurace může být provedena ručně na všech počítačích, nebo ji lze automatizovat. Prvním krokem v konfiguraci Web-Proxy klientů je nutné se ujistit, že Web-Proxy služba je na ISA serveru dostupná. Po instalaci je ve výchozím stavu tato služba na ISA serveru zapnuta. Ověření služby Web-Proxy na ISA serveru 1. Spusťte konzolu ISA serveru a v levé části vyhledejte položku Networks. Ve střední části konzole vyberte panel Networks a otevřete vlastnosti sítě Internal. Microsft ISA Server 2006 – příručka pro školy Page 42 Obrázek 29: vlastnosti interní sítě 2. V okně vlastností interní sítě vyberte panel Web Proxy. 3. Přesvědčte se, že je zatržena volba Enable Web Proxy client connections for this network a je povolena komunikace protokolem HTTP. Ve výchozím nastavení očekává ISA server na interním adaptéru spojení od Web-Proxy klientů na portu 8080. Obrázek 30: Web-Proxy služba Microsft ISA Server 2006 – příručka pro školy Page 43 Manuální konfigurace klientů Nastavte Web-Proxy klienty na všech počítačích ručně. Každá aplikace, která umí používat proxy server (webový prohlížeč, FTP klient atd.) má své samostatné nastavení. Pro konfiguraci Web-Proxy klienta v Internet Exploreru postupujte následovně: 1. Otevřete Ovládací panely a spusťte Možnosti internetu. 2. Vyberte panel Připojení a klikněte na tlačítko Nastavení místní sítě. 3. Zvolte možnost Použít pro síť LAN proxy server a zadejte jeho adresu a port služby. Můžete použít DNS jméno ISA serveru. Zvolte port 8080, na kterém služba proxy ve výchozím nastavení běží. Obrázek 31: ruční konfigurace Web-Proxy klienta 4. Pokud ještě zvolíte Nepoužívat server proxy pro adresy vnitřní sítě, budou požadavky na interní webové servery směrovány přímo na daný server bez komunikace přes ISA server. 5. Tlačítkem Upřesnit můžete nastavit další položky. Například pro každý typ komunikačního protokolu jinou adresu a port proxy serveru, nebo výjimky adres, pro které se proxy server nebude používat. Microsft ISA Server 2006 – příručka pro školy Page 44 Obrázek 32: výjimky proxy klienta Automatická konfigurace Web-Proxy klientů Pokud je klient nastaven na automatickou konfiguraci, pak je při každém spuštění Internet Exploreru stažen aktuální konfigurační skript, který prohlížeč nastaví podle potřeby. Nastavení použití automatické konfigurace umožní, aby při změně konfigurace ISA serveru nebylo třeba měnit ručně konfiguraci na všech počítačích. 1. Otevřete Ovládací panely a Možnosti internetu. V panelu Připojení klikněte na tlačítko Nastavení místní sítě. 2. Zvolte možnost Používat skript pro automatickou konfiguraci a do pole Adresa vepište umístění konfiguračního skriptu. Doménové jméno ISA serveru nahraďte podle vlastní potřeby, nebo použijte IP adresu ISA serveru. http://isa1.skola.local:8080/Array.dll?Get.Routing.Script http://10.0.0.10:8080/Array.dll?Get.Routing.Script 3. Uložte nastavení a restartujte Internet Explorer. Nastavení podle následujícího obrázku se skládá ze tří samostatných částí. V první fázi se prohlížeč pokusí vyhledat dostupný ISA server, který je nastaven tak, aby byl detekovatelný. Pokud toto selže, pokusí se prohlížeč stáhnout konfigurační skript z pevně zvoleného ISA serveru. Ve třetí fázi, pokud obě předchozí selhaly, se prohlížeč nastaví tak, jak je uvedeno v rámečku Server proxy. Microsft ISA Server 2006 – příručka pro školy Page 45 Obrázek 33: Automatická konfigurace Jelikož nastavení konfigurace prohlížeče internetu je většinou závislé na uživatelském účtu, bylo by třeba, aby si každý uživatel nastavil proxy konfiguraci prohlížeče alespoň na automatické zjišťování konfigurace, aby se prohlížeč zkonfiguroval z ISA serveru a pracoval jako Web-Proxy klient. Pokud jsou počítače a uživatelé členy domény Active Directory, může pomocí zásad skupin (Group policy) administrátor centrálně nastavit všem uživatelům proxy konfiguraci prohlížeče Internet Explorer. Druhou možností je nechat všem klientům nastavit Web-Proxy klienta pomocí aplikace Firewall-klienta. Konfigurační skript pro automatické nastavení Pokud budete používat konfigurační skript namísto ručního nastavení, můžete v konzole ISA serveru obsah tohoto skriptu ovlivnit. 1. Spusťte konzolu ISA serveru. V levé části vyberte Networks a v prostřední části konzole panel Networks. Otevřete vlastnosti sítě Internal. 2. Přejděte k panelu Web Browser. a. Nastavením Bypass proxy for Web servers in this network povolíte klientům kontaktovat web servery na lokální síti přímo, bez spolupráce s ISA serverem. b. Nastavením Directly access computers specified in the Domains tab se týká Firewall klientů. Touto možností povolíte Firewall klientům přímé spojení k doménám, které jsou vyjmenovány v panelu Domains, namísto komunikace přes proxy server. c. Nastavením Directly access computers specified in the Address tab povolíte přímé spojení s počítači, jejichž IP adresy jsou definovány v panelu Addresses, namísto spojení přes proxy server. d. Nastavením Directly access theese servers or domains můžete přidat další názvy serverů nebo domén, pro které bude Web-Proxy klient komunikovat přímo, bez proxy serveru. e. Využitím volby Direct Access můžete umožnit Web-Proxy klientům přímé spojení se servery, pokud proxy server (ISA server) bude nedostupný. 3. Aplikujte nastavení na ISA server. Microsft ISA Server 2006 – příručka pro školy Page 46 Obrázek 34: nastavení pro automatickou konfiguraci Pokud máte instalovánu aplikaci Firewall klienta, lze tuto aplikaci použít k automatickému nastavení klientů Web-Proxy. Aplikace Firewall klienta uživateli může nastavit Internet Explorer pro použití služeb proxy serveru. 1. Spusťte konzolu ISA serveru, vyhledejte nastavení sítí a otevřete vlastnosti sítě Internal. 2. Přejděte k panelu Firewall Client. V tomto panelu, v sekci Web browser configuration on the firewall client computer můžete zvolit, jak má Firewall aplikace nastavit WebProxy klienta. Podle následujícího obrázku jej nastaví všemi třemi možnostmi: a. Web-Proxy klient bude hledat ISA server, který je konfigurován jako detekovatelný. b. Pokud bod a selže, pokusí se Web-Proxy klient stáhnout konfigurační skript ze serveru ISA1. c. Pokud selže i bod b, bude prohlížeč používat proxy server ISA1. 3. Aplikujte nastavení na ISA server. Microsft ISA Server 2006 – příručka pro školy Page 47 Obrázek 35: konfigurace Web-Proxy klienta Firewall klientem Spuštění podpory pro automatickou detekci ISA serveru K automatické konfiguraci Web-Proxy klienta, můžete nastavit síťové prostředí tak, aby WebProxy klient dokázal sám nalézt ISA server. Toto automatické vyhledávání je použitelné i pro Firewall klienta, který se ve výchozím nastavení pokouší vyhledat zveřejněný ISA server. Tomuto vyhledávání se v dokumentaci (nápovědě) nazývá Automatic Discovery. Web-Proxy klient vyhledává ISA server pomocí protokolu WPAD – Web Proxy Automatic Discovery. Aplikace Firewall klienta používá protokol WSPAD – Winsock Proxy AutoDetect. Ke spuštění automatického vyhledávání je nutné vložit do zóny DNS serveru záznam typu alias s hodnotou WPAD, který bude nasměrován na DNS jméno ISA serveru. Klienti, kteří jsou například v doméně s názvem skola.local vyhledávají při automatické detekci server se jménem WPAD.skola.local. Toto jméno by mělo směřovat k IP adrese ISA serveru. Konfigurace ISA serveru Na ISA serveru je třeba zapnout podporu pro automatickou detekci. 1. Spusťte konzolu ISA serveru, vyhledejte síť Internal a otevřete její vlastnosti. 2. Přejděte k panelu Auto Discovery. Zvolte možnost Publish automatic discovery information for this network a nechte číslo portu na hodnotě 80. 3. Aplikujte nastavení na ISA server. Microsft ISA Server 2006 – příručka pro školy Page 48 Obrázek 36: podpora AutoDiscovery Vložení WPAD záznamu do DNS 1. Přihlaste se k řadiči domény. Z Nástrojů pro správu spusťte konzolu DNS: 2. Rozbalte položku s názvem serveru (DC1), Zóny dopředného vyhledávání a položku s názvem vaší domény (skola.local). 3. Klikněte pravým tlačítkem na název domény (skola.local) a zvolte Nový alias (CNAME). Obrázek 37: Vložení záznamu do DNS Microsft ISA Server 2006 – příručka pro školy Page 49 4. Do pole Název aliasu vepište WPAD. Do pole Úplný název cílového hostitele vepište plné DNS jméno ISA serveru. Obrázek 38: Vložení záznamu pro WPAD 5. Klepněte na tlačítko OK a zavřete konzolu DNS serveru. Nyní již mohou Web-Proxy klienti a Firewall klientské aplikace vyhledávat ISA server automaticky. Namísto automatického vyhledávání s podporou DNS serveru lze tuto funkci zajistit i s podporou DHCP serveru. Klienti se tedy při automatické detekci mohou na identitu ISA serveru dotazovat služby DNS, nebo tuto možnost mohou mít zkonfigurovánu DHCP serverem. Pro více informací o automatické detekci s DHCP serverem použijte nápovědu ISA serveru. Firewall klientská aplikace (Firewall klient) Firewall klient poskytuje ze všech tří klientů nejvyšší úroveň funkcionality a zabezpečení. Podporuje autentizaci pro filtrování komunikace a umí pracovat se všemi typy komunikačních protokolů. Jedinou nevýhodou je nutnost tuto aplikaci nainstalovat. Klientská aplikace firewallu je k dispozici na instalačním CD ISA serveru v adresáři Client, nebo aktuální aplikaci stáhnout z webu Microsoftu. Ruční instalace aplikace Ruční instalaci lze provést na klientské počítače pomocí instalačního průvodce, nebo použít částečně automatizovaného postupu například spuštěním instalace ze sdílené síťové složky s použitím konfiguračních parametrů. Postup instalace: Microsft ISA Server 2006 – příručka pro školy Page 50 1. Přihlaste se k pracovní stanici interní sítě pomocí účtu administrátora. 2. Spusťte soubor Client\setup.exe, který se nachází v instalační sadě ISA serveru (na CD ISA serveru, nebo ve vámi vytvořené sdílené síťové složce s instalační sadou). 3. Na uvítací obrazovce instalace klepněte na tlačítko Next. Potvrďte licenční ujednání a na další obrazovce můžete ovlivnit, do jakého umístění bude aplikace instalována. Výchozí cesta bývá C:\Program Files\Microsoft Firewall Client 2004. 4. Na další obrazovce nastavte, jaký ISA server bude aplikace používat. Máte dvě možnosti. a. Nastavit jméno nebo IP adresu ISA serveru ručně b. Nastavit automatickou detekci ISA serveru. Tato detekce vyžaduje spuštěnou podporu pro detekci na ISA serveru a příslušný záznam v DNS serveru. Tato nastavení jsou popsána v předchozí části o konfiguraci Web-Proxy klienta. Obrázek 39: nastavení obsluhujícího ISA serveru 5. Dokončete průvodce a tlačítkem Install zahajte instalaci. 6. Aplikace se po instalaci spustí a pokusí připojit k ISA serveru. Spuštěná aplikace umístí svou ikonku do systémové lišty vedle hodin. 7. Klepnutím pravým tlačítkem myši na ikonu klienta v systémové liště můžete otevřít konfiguraci klienta. 8. V panelu General můžete ikonu klienta odebrat ze systémové lišty. Na panelu Settings můžete nastavit adresu ISA serveru ručně, nebo zvolit automatickou detekci. Tlačítkem Detect Now provedete detekci. Tlačítkem Test Server můžete otestovat funkci ručně zadaného ISA serveru. Tlačítkem Apply Default Settings Now uložíte toto nastavení do výchozího profilu pro nové uživatele na tomto počítači. Uložení informací do profilu pro nové uživatele může provést pouze administrátor. 9. Na panelu Web Settings můžete povolit nebo zakázat konfiguraci webového prohlížeče pomocí Firewall klienta. Microsft ISA Server 2006 – příručka pro školy Page 51 Obrázek 40: konfigurace Firewall klienta Instalace bez průvodce: Instalaci můžete též spustit z příkazové řádky a nastavit počáteční konfiguraci klienta. Path\Setup.exe /v"[SERVER_NAME_OR_IP=ISA_Server_Name] [ENABLE_AUTO_DETECT={1|0}] [REFRESH_WEB_PROXY={1|0}] /qn" SERVER_NAME_OR_IP jméno nebo IP adresa ISA serveru pro připojení ENABLE_AUTO_DETECT hodnota 1 povolí automatickou detekci ISA serveru REFRESH_WEB_PROXY hodnota 1 umožní Firewall aplikaci zkonfigurovat webový prohlížeč na Web-Proxy klienta. Hromadná instalace Firewall klientů zásadami skupin (Group Policy) Pro Instalaci Firewall klientů na více počítačů lze použít zásady skupin k automatické instalaci ze síťové složky. Z instalačního CD ISA serveru z adresáře Client nejprve zkopírujte soubor ms_fwc.msi do nějaké síťové složky. Následující postup ukáže, jak sdělit počítačům, aby si tuto aplikaci ze síťové složky nainstalovali. K jejímu provedení je vhodné mít na doménovém řadiči (nebo administrátorské pracovní stanici) nainstalovanou konzolu Group Policy Management Console, která je zdarma dostupná z webu Microsoftu jako instalační balíček gpmc.msi. 1. Umístěte soubor ms_fwc.msi do sdílené síťové složky. 2. Přihlaste se k doménovému řadiči a spusťte konzolu Group Policy z Nástrojů pro správu. Případně tuto konzolu spusťte z pracovní stanice a připojte ji k doménovému řadiči. Microsft ISA Server 2006 – příručka pro školy Page 52 3. Rozbalte stromovou strukturu domény až k organizační jednotce, která zahrnuje počítače, na něž chcete aplikaci nainstalovat. Klepněte na tuto organizační jednotku pravým tlačítkem myši a zvolte Create and Link GPU Here. Obrázek 41: Vytvořit politiku 4. Vhodně pojmenujte nově tvořenou politiku, například Instalace FW aplikace. 5. Klepněte na politiku pravým tlačítkem myši a zvolte Edit. Obrázek 42: editace politiky Ve stromové struktuře editoru politiky otevřete Konfigurace počítače, Nastavení softwaru a na položce Instalace softwaru vyberte možnost Nový objekt a Balíček. Otevře se dialog pro vyhledání instalačního balíčku MSI. Vyhledejte jej pomocí síťového přístupu – doména, server, sdílená složka. 7. Zvolte metodu zavedení Přiřazené a potvrďte tlačítkem OK. 6. Microsft ISA Server 2006 – příručka pro školy Page 53 Obrázek 43: vložení balíčku MSI Obrázek 44: automatická instalace klienta během startu počítače Všem počítačům pod organizační jednotkou Active Directory, na níž je definována tato politika instalace, budou nejpozději do druhého restartu instalována Firewall aplikace. Výchozí nastavení Firewall aplikace je automaticky detekovat ISA server. Bude-li tedy na síti (v ISA serveru a DNS) zapnuta podpora pro automatickou detekci nastavení, pak budou automaticky instalováni klienti schopni komunikovat přímo s ISA serverem, bez nutnosti dalšího nastavení. Konfigurace Firewall klienta z ISA serveru Konfiguraci Firewall klientů lze nastavit v konzole ISA serveru. Tato konfigurace zahrnuje způsob, jak Firewall klient bude nastavovat Web-Proxy klienta a jaká doménová jména bude Firewall klient považovat za počítače na lokální síti. Další možností konfigurace je definování různých výjimek práce Firewall klienta, jako například pro které aplikace se namísto Firewall klienta použije SecureNAT klient, nebo ovlivnění čísel portů, kterými bude pro danou aplikaci komunikovat Firewall klient s ISA serverem a ISA server s cílovým serverem na internetu. Ověření podpory pro Firewall klienta a konfigurace lokální domény: 1. Spusťte konzolu pro správu ISA serveru. 2. V navigačním stromu vyhledejte položku Networks. V prostřední části okna vyperte panel Networks a otevřete vlastnosti sítě Internal. 3. Ve vlastnostech interní sítě zvolte panel Firewall Client. V tomto panelu musí být zvolena možnost Enable Firewall client support for this network, aby na této síti bylo Microsft ISA Server 2006 – příručka pro školy Page 54 možno použít Firewall klienty. Tato volba je ve výchozím stavu na interní síti povolena. Ve spodní části panelu lze ovlivnit, jak Firewall klient nastaví uživateli prohlížeč internetu. Toto nastavení bylo popsáno v části o konfiguraci Web-Proxy klienta. Obrázek 45: Panel Firewall Client vlastností sítě 4. V panelu Domains zadejte název použitý pro interní doménu. Firewall klient pak při komunikaci s počítači jejichž IP adresa nebo doménové jméno vyhovuje nastavení na panelech Addresses a Domains nebude komunikovat přes ISA server, ale použije přímé spojení s lokálním počítačem (serverem). Obrázek 46: nastavení lokální domény 5. Aplikujte nastavení na ISA server. Microsft ISA Server 2006 – příručka pro školy Page 55 Pokročilá nastavení Firewall klienta Chování Firewall klienta lze nastavit tak, aby se různě choval k různým aplikacím. Pro některé aplikace použití Firewall klienta zakázat, pro některé aplikace nepřekládat DNS jména na ISA serveru ale přímo klientem nebo pro některé aplikace používat předdefinované komunikační porty. Tuto konfiguraci lze provést z konzole ISA serveru a jednotliví klienti si ji při spuštění, nebo po uplynutí určité doby, obnoví. 1. Otevřete konzolu ISA serveru. Ve stromové nabídce zvolte Configuration a General. V prostředním panelu klikněte na Define firewall settings. 2. V okně nastavení Firewall klienta můžete na panelu Connection povolit nešifrovaná spojení mezi Firewall klientem a ISA serverem. Nešifrovaná spojení povolte jen pokud bude třeba, aby Firewall klient fungoval na starším operačním systému (Windows 98, Me, NT4.0). 3. Na Panelu Application settings lze nastavit, jak se bude Firewall klient chovat k jednotlivým aplikacím. Obrázek 47: nastavení aplikací pro Firewall klienta Na obrázku je výchozí nastavení pro práce s aplikacemi pro Firewall klienta. Například pro aplikaci Outlook nebo exchng32 je zakázáno používat Firewall klienta – použije se SecureNAT klient pro komunikaci s internetem, pokud je nastavena výchozí brána TCP/IP protokolu. Pro aplikaci realplay je například definováno, jaké komunikační porty se mají použít pro protokol TCP a UDP. Kromě globálního nastavení Firewall klientů na ISA serveru může mít každý klient v konfiguračních souborech uživatelova profilu, nebo v souborech profilu All users tuto konfiguraci ještě doplněnu nebo pozměněnu. Tato nastavení však není třeba obvykle měnit, Microsft ISA Server 2006 – příručka pro školy Page 56 proto je zde ani nebudeme podrobně rozebírat. Více informací lze nalézt v dokumentaci, nebo na http://www.microsoft.com/technet/isa/2006/clients.mspx. Microsft ISA Server 2006 – příručka pro školy Page 57 Konfigurace firewallu Konfigurace firewallu ISA serveru se skládá z několika částí. Hlavním těžištěm jsou pravidla firewallu, která umožňují komunikaci mezi počítači v různých sítích pomocí zvolených protokolů. Dalšími prvky ochrany pak jsou detekce známých typů útoků a ochrana před zahlcením serveru velkým počtem útočných spojení. Počáteční konfigurace šablonou Po instalaci ISA serveru je veškerá komunikace, která by měla procházet přes ISA server blokovaná. K povolení komunikace mezi počítači dvou různých sítí jsou nutné dvě podmínky. 1. Mezi sítěmi musí existovat síťové pravidlo – Network rule. Základní kostra síťových pravidel je automaticky vytvořena po instalaci ISA serveru. 2. Musí existovat pravidlo firewallu, které daný typ komunikace umožní. Po instalaci ISA serveru existuje pouze jediné pravidlo, které veškerou komunikaci zakazuje. ISA server nabízí několik šablon, které v sobě nesou typická nastavení síťových pravidel a pravidel firewallu pro daný typ řešení ochrany sítě. Pro jednoduché sítě s jedním ISA serverem lze použít šablonu Edge firewall. Tato šablona je automaticky po instalaci ISA serveru aplikována, nicméně se použije jen k nastavení pravidel sítě. Firewall pravidla, která umožní základní přístup k internetu se z této šablony neaplikují. Pokud tedy chcete nastavit první pravidla firewallu tak, aby fungoval základní přístup k internetu přes protokol HTTP, můžete zkusit touto šablonou nastavit ISA server a použít její předdefinovaná pravidla firewallu. Pro počáteční nastavení šablonou postupujte následovně: 1. Přihlaste se k ISA serveru a spusťte konzolu pro správu ISA serveru. V navigačním stromě v levé části konzole vyberte Configuration a Networks. Dostanete se k panelu, kde můžete konfigurovat sítě firewallu a pravidla mezi nimi. V pravé části konzole vyberte záložku Templates – šablony. Microsft ISA Server 2006 – příručka pro školy Page 58 Obrázek 48: šablony nastavení 2. Klikněte na šablonu Edge Firewall. Spustí se průvodce nastavením. Na úvodní obrazovce průvodce stiskněte tlačítko Další. Následuje obrazovka, kde můžete exportovat současné nastavené ISA serveru. Aplikací šablony ztratíte současné nastavení, proto věnujte možnosti exportu pozornost. 3. V další části průvodce aplikací šablony máte možnost změnit rozsah IP adres, kterými bude definovaná interní síť. Tato obrazovka má stejnou funkcionalitu jako obdobná obrazovka průvodce instalací ISA serveru. Obrázek 49: nastavení interní sítě 4. Tlačítkem Další pokračujte na další obrazovku průvodce aplikací šablony. Následuje obrazovka Select a Firewall Policy. Zde můžete zvolit, jaká pravidla firewallu (Firewall policy) budou touto šablonou definovány. Máte na výběr z řady možností. Microsft ISA Server 2006 – příručka pro školy Page 59 Obrázek 50: pravidla firewallu v šabloně a. Block all – blokovat veškerou komunikaci. Tato možnost je použita po instalaci ISA serveru. b. Block internet access, allow access to ISP network services – tato možnost povolí přístup k síťovým službám poskytovatele internetu (ISP), konkrétně umožní klientům interní sítě a VPN klientům přístup k externímu DNS serveru. c. Allow limited Web access – tato možnost nastaví pravidla firewallu tak, že umožní klientům interní sítě a VPN klientům přístup k internetu pomocí HTTP, HTTPS a FTP protokolu a klientům VPN sítě umožní veškerou komunikaci s interní sítí. d. Allow limited Web access and access to ISP network services – tato možnost rozšiřuje bod c tohoto seznamu o přístup z interní sítě k externímu DNS serveru. e. Allow unrestricted access – tato možnost dovolí neomezenou komunikaci z interní sítě do internetu pomocí jakéhokoliv protokolu. Zároveň umožní neomezenou komunikaci ze sítě VPN klientů do interní sítě a na internet. 5. Vyberte předdefinovaný typ komunikace, který chcete nastavit a dokončete průvodce. Poté aplikujte nastavení na ISA server. 6. Zkontrolujte vytvořená pravidla firewallu v konzole ISA serveru. V navigačním stromu konzole zvolte Firewall policy. Na obrázku jsou vidět pravidla, která obsahuje šablona Edge firewall pro limitovaný přístup k webu a přístup ke službám poskytovatele internetu. Pravidlo 1 povoluje HTTP, HTTPS a FTP komunikace všem uživatelům z interní a VPN sítě do internetu, pravidlo 2 povoluje přístup k DNS serveru na internetu a pravidlo 3 povoluje veškerou komunikaci mezi VPN klienty a interní sítí. Microsft ISA Server 2006 – příručka pro školy Page 60 Obrázek 51: síťová pravidla a politika firewallu pro šablonu Edge firewall a Allow limited Web access and access to ISP network services Pravidla firewallu Pravidla firewallu stanovují, který typ komunikace bude firewallem umožněn. Pravidlo se skládá z několika položek, které jsou znázorněny na následujícím obrázku. Ke každé položce je doplněno, jak je možné jí nastavit. Akce Komunikace Zdroj Cíl Další podmínky Povolit Všechna odchozí Vybrané protokoly Všechna odchozí, kromě vybraných protokolů Síť Podsíť IP adresa Uživatel Aktuální čas Blokovat Síť Podsíť IP adresa Rozsah IP adres Rozsah IP adres Skupina sítí Skupina sítí Skupina počítačů Skupina počítačů DNS jména URL adresy Obrázek 52: pravidlo firewallu Při pokusu o komunikaci ISA server postupuje následovně: Microsft ISA Server 2006 – příručka pro školy Page 61 1. Z přijatého požadavku na komunikaci ISA server zjistí zdrojový počítač, cílový počítač (server) a způsob komunikace – použitý protokol. U zdrojového a cílového počítače zkoumá, v jaké síti tyto počítače jsou. Pokut mezi těmito sítěmi existuje síťové pravidlo (Network rule) pokračuje ISA server vyhodnocováním pravidel firewallu (Firewall policy). V opačném případě požadavek na komunikaci ignoruje. 2. ISA server vyhodnocuje postupně pravidla firewallu od začátku a hledá pravidlo, které lze pro tuto komunikaci použít. Pravidlo se musí shodovat s požadavkem komunikace v těchto položkách: a. Komunikační protokol (např. DNS, HTTP, FTP) b. Zdroj komunikace (např. sít, IP adresa ...) c. Cíl komunikace (např. sít, IP adresa ...) d. Další podmínky jako uživatelská skupina, časový plán 3. Pokud lze aktuálně vyhodnocované pravidlo pro požadovanou komunikaci použít (podle bodu 2) ISA server toto pravidlo použije k akci zadané v aktuálním pravidlu a ukončí vyhodnocování. Danou komunikaci tedy buď povolí, nebo zablokuje. Pokud aktuálně vyhodnocované pravidlo neodpovídá typu komunikace, ISA server přejde k dalšímu pravidlu v pořadí a podle bodu 2 jej vyhodnotí. Toto opakuje ISA server tak dlouho, dokud nenalezne aplikovatelné pravidlo, kterým komunikaci povolí nebo zakáže. 4. Pokud ISA server aplikovatelné pravidlo nenalezne, vyhodnocování skončí na posledním pravidle (Default rule), které nelze změnit nebo odstranit. Toto pravidlo platí pro veškerou komunikaci a tuto komunikaci zakáže. ISA server tedy používá přístupu „co není povoleno, je zakázáno“. Autentizace přístupu Pokud ISA server při vyhodnocování pravidel zjistí, že aktuálně vyhodnocované pravidlo je definováno pro vybrané uživatele (to znamená, že pravidlo není pro All Users), pak ISA server vyžaduje na klientovi, aby se autentizoval – přihlásil. Toto přihlášení v případě Firewall klienta proběhne transparentně účtem aktuálního uživatele. V případě Web-Proxy klienta toto přehlášení též ve výchozím nastavení proběhne transparentně pomocí integrované autentizace Windows. Pokud by počítač Web-Proxy klienta nebyl členem domény Active Directory, lze použít i jiný způsob ověření – na základě Basic autentizace vestavěné do protokolu HTTP. Po ověření identity uživatele se rozhodne, zda aktuálně vyhodnocované pravidlo je pro uživatele platné. Pokud ano, provede se akce definovaná pravidlem a další vyhodnocování končí. Pokud ne, pokračuje se vyhodnocováním dalších pravidel ISA serveru. Zde nastává problém při použití čistého SecureNAT klienta. Jak již bylo zmíněno, identitu uživatele SecureNAT klienta není možné zjistit. Najde-li tedy ISA server při vyhodnocování pravidel takové pravidlo, které vyhovuje pro danou komunikaci a vyžaduje ověření uživatele, SecureNAT klient se není chopen autentizovat. Proto ISA server skončí s dalším vyhodnocováním pravidel a zablokuje SecureNAT klientovi přístup k požadovanému cíli. Microsft ISA Server 2006 – příručka pro školy Page 62 Objekty pro tvorbu pravidel ISA server pro tvorbu pravidel používá různé objekty, které reprezentují komunikační protokol, počítače, uživatele atd. Výchozí sada těchto objektů je po instalaci ISA serveru k dispozici. Jsou to zejména definice všech běžně používaných protokolů, uživatelské skupiny reprezentující všechny uživatele nebo všechny přihlášené uživatele, typy obsahu pro HTTP komunikaci, časové plány pro pracovní hodiny a víkend a síťové objekty pro definici zdrojového a cílového počítače. Administrátor ISA serveru pak může dále definovat vlastní objekty pro svou potřebu vytváření pravidel. Často se vytvářejí vlastní objekty uživatelů a síťových umístění. Tyto objekty lze většinou vytvářet nebo editovat současně s pravidlem firewallu, nebo jsou přístupné z tzv. Toolboxu. Prohlídka toolboxu 1. Otevřete konzolu ISA serveru a v navigačním stromě vyberte Firewall policy. 2. V pravé části konzole vyberte panel Toolbox. 3. Prohlédněte si předdefinované objekty. Dvojklikem myši na zvolený objekt si můžete prohlédnout jeho definici. Všechny uživatelsky definované objekty a některé předdefinované objekty můžete tímto způsobem měnit. Obrázek 53: Toolbox a definice skupiny sítí All Protected Networks Users Objekty uživatelů v Toolboxu (Users) slouží k definici uživatelů, pro něž bude dané přístupové pravidlo platit. Předdefinovanými uživateli jsou: Microsft ISA Server 2006 – příručka pro školy Page 63 All Authenticated Users – všichni autentizovaní (přihlášení) uživatelé All Users – všichni uživatelé včetně anonymních uživatelů System and Network service – speciální uživatelská skupina, která zahrnuje uživatelské účty, pod nimiž běží operační systém a síťové služby Vytvoření nového objektu Users: 1. V Toolboxu vyberte položku Users a klikněte na tlačítko New. 2. Na první obrazovce zadejte jméno pro tuto skupinu (např. skupina ucitelu). Klepněte na tlačítko další. 3. Na další obrazovce přidejte do tvořeného objektu uživatele nebo skupiny uživatelů. Pro vložení uživatelů z domény Active Directory klikněte na tlačítko Add a zvolte možnost Windows Users and Groups. Otevře se okno pro vyhledávání objektů v Active Directory. Tlačítkem Umístění vyberte doménu, ze které budou uživatelé nebo skupiny hledány. Do textového pole zadejte název uživatele nebo skupiny a tlačítkem Kontrola názvů můžete ověřit správnost vložených údajů. Tlačítkem OK přidáte zvolené uživatele nebo skupiny do tvořeného objektu Users ISA serveru. Obrázek 54: vložení skupiny z domény 4. Do tvořeného objektu Users můžete vložit více uživatelských účtů nebo skupin. Po skončení editace dokončete průvodce a aplikujte nastavení na ISA server. Schedules Objekty Schedules v Toolboxu slouží k definici časového plánu. Těmito časovými plány pak lze omezit platnost pravidla firewallu na určité dny nebo části dnů. Microsft ISA Server 2006 – příručka pro školy Page 64 Předdefinované časové plány jsou Weekends – víkendy Work hours – pracovní doba Předdefinované plány lze upravit podle vlastní potřeby, nebo vytvořit nové. Obrázek 55 ukazuje, jak se definuje časový plán. Pracovní pole obsahuje tabulku se sedmi řádky a dvaceti-čtyřmi sloupci. Modrá pole pak vyznačují časové úseky, pro které je tento plán aktivní. Editace časového plánu Work Hours: 1. V Toolboxu vyberte položku Schedules. 2. Vyberte plán Work Hours a klikněte na tlačítko Edit. 3. Na záložce General můžete upravit jméno a popisek plánu. Na záložce Settings můžete upravit tento plán. Myší vyberte v tabulce nějakou část a ovládacími prvky pod tabulkou vyberte možnost Active nebo Inactive. Obrázek 55: plán Work hours Network Objects Síťové objekty Toolboxu jsou určeny pro definici zdroje a síle komunikace. Tyto objekty jsou rozděleny do několika skupin: Networks – zahrnují sítě definované na ISA serveru. Kromě výchozích sítí mohou obsahovat uživatelsky definované sítě. Network sets – skupiny sítí slouží ke zjednodušení práce se sítěmi (podobně jako skupiny uživatelů pro uživatelské účty). Předdefinované sítě jsou All Networks, což Microsft ISA Server 2006 – příručka pro školy Page 65 jsou všechny sítě ISA serveru a All Protected Networks což jsou všechny sítě ISA serveru kromě sítě External. Computers – představuje objekty pro definici jednotlivých počítačů. Počítač je definován IP adresou. Address Ranges – je definice síťového objektu na základě rozsahu IP adres pomocí počáteční IP adresy a koncové IP adresy. Subnets – objekty pro definici na základě podsítě. Computer sets – jsou objekty, které definují skupinu více počítačů na základě jejich IP adresy. ISA server obsahuje významnou skupinu počítačů Remote Management Computers, která definuje IP adresy počítačů s možností vzdáleného monitorování a správy ISA serveru. URL sets – definují síťová místa na základě URL adres (např. http://www.microsoft.com/*). Domain Name sets – jsou objekty definované pomocí doménových jmen DNS. Obsahují předdefinované objekty pro komunikaci se servery Microsoftu za účelem aktualizací a oznamování chyb systému. Web Listeners – jsou objekty, které slouží ke zveřejňování webových služeb interní sítě do internetu. Server Farms – slouží k definici serverové farmy na interní síti. Farma webových serverů je skupina počítačů, na kterých běží shodná webová prezentace a slouží k rozkladu komunikační zátěže mezi tyto servery. Většinu těchto objektů lze přizpůsobit k vlastní potřebě, nebo nadefinovat vlastní objekty. Například pro zpřístupnění jen vybraných serverů studentům lze vytvořit skupinu doménových jmen nebo URL, která potom bude použita při tvorbě přístupového pravidla firewallu jako cíl komunikace. Na obrázku je ukázána skupina doménových jmen System Policy Allowed Sites, která definuje, s jakými servery v internetu může komunikovat sám ISA server protokolem HTTP. Z webového prohlížeče na ISA serveru se tedy ve výchozím nastavení nedostanete jinam, než na servery firmy Microsoft. Obrázek 56: příklad definovaného objektu Domain Name Sets Microsft ISA Server 2006 – příručka pro školy Page 66 Protocols Objekty protokolů v Toolboxu slouží k identifikaci komunikačního protokolu. Všechny běžně používané protokoly jsou předdefinovány, proto je většinou nebude třeba doplňovat. Protokoly jsou definovány na základě identifikačních údajů typických pro danou komunikaci. Například HTTP protokol je definován jako spojení TCP protokolem na cílový port 80, což je standardní port, ne kterém běží webové servery. Poštovní protokol POP3 je definován jako spojení TCP protokolem na cílový port 110. Důležité však je, že některé protokoly jsou definovány dvojím způsobem. Například protokol POP3 a protokol POP3 server. Protokoly bez přívlastku server typicky slouží k tvorbě přístupových pravidel klientů interní sítě na server pomocí daného protokolu. Protokoly s přívlastkem server slouží ke zveřejnění interních síťových služeb na internet. Protokoly jsou v Toolboxu rozděleny do různých kategorií, podle typu jejich použití. Na obrázku je ukázána definic protokolu DNS. Jde o odchozí komunikaci TCP protokolem na port 53, nebo o odeslání a příjem UDP paketu na port 53. Obrázek 57: kategorie protokolů v Toolboxu a definice protokolu DNS Přístupová pravidla – Access rules Přístupová pravidla firewallu (Access Rules) slouží zejména pro povolení komunikace z interní sítě do internetu. Pro vytvoření pravidla k HTTP komunikaci z interní sítě do externí sítě postupujte následovně: 1. Otevřete konzolu ISA serveru a v navigačním stromě vyberte Firewall Policy. Microsft ISA Server 2006 – příručka pro školy Page 67 2. Pravým tlačítkem myši na Firewall Policy položce stromu vyberte Nový Objekt a Access Rule. Nebo v pravé části konzole vyberte panel Tasks a klikněte na položku Create Access Rule. 3. Na první obrazovce vepište jméno pravidla, např. Přístup k webu a pokračujte tlačítkem Další. 4. Na další obrazovce zvolte akci pravidla. Akce Deny zablokuje komunikaci definovanou tímto pravidlem, akce Allow povolí komunikaci tímto pravidlem. Zvolte akci Allow a přejděte na další obrazovku průvodce. 5. Na další obrazovce vyberte komunikační protokoly tohoto pravidla. Tlačítkem Add otevřete seznam protokolů. Nalezněte protokoly HTTP a HTTPS a přidejte je. V rozbalovacím menu This rule applies to se přesvědčte, že je zvolena možnost Selected protocols. Toto pravidlo tedy bude platné pro zvolené protokoly. Obrázek 58: přístupové pravidlo – protokoly 6. Na další obrazovce průvodce přidejte síťový objekt, identifikující zdroj komunikace. Tlačítkem Add přidejte síť Internal. Pokračujte průvodcem k další obrazovce, kde zvolte cíl komunikace. Přidejte síť External. Microsft ISA Server 2006 – příručka pro školy Page 68 Obrázek 59: přístupové pravidlo - zdroj a cíl komunikace 7. Na další obrazovce průvodce můžete definovat, pro jakou skupinu uživatelů bude pravidlo platné. Nechte předdefinovanou hodnotu All Users a dokončete průvodce. 8. Aplikujte nastavení na ISA server. 9. Pravým tlačítkem myši na vytvořeném pravidle vyberte možnost Properties – vlastnosti. Prohlédněte si vlastnosti pravidla a možnosti jeho úpravy. Obrázek 60: přístupové pravidlo 10. Ve vlastnostech pravidla je řada panelů. Na panelu General můžete změnit název pravidla a jeho popis. V panelu Action můžete změnit akci pravidla na povolení nebo blokování komunikace. V panelu Protocols můžete měnit komunikační protokoly pro toto pravidlo. Na panelech From a To můžete měnit zdroj a cíl komunikace. Všimněte si, že jsou dostupná dvě pole. V jednom poli nastavujete zdroj nebo cíl komunikace a ve druhém poli můžete nastavit nějakou výjimku. Například pravidlo může platit pro veškerou komunikaci ze sítě Internal, kromě některé skupiny počítačů. Obdobně na panelu Users můžete nastavit uživatele, pro které toto pravidlo platí, včetně definování výjimek. V Panelu Schedule můžete nastavit nebo vytvořit časový plán platnosti tohoto pravidla a v panelu Content Types můžete zamezit přenosu určitých tymů obsahu pomocí HTTP protokolu (například obrázky, hudbu, videa atd.). Microsft ISA Server 2006 – příručka pro školy Page 69 Obrázek 61: vlastnosti (editace) pravidla Ikonou v konzole můžete zvolené pravidlo dočasně deaktivovat – vyřadit z procesu vyhodnocování při pokusu o komunikaci. Ikonou zase deaktivované pravidlo aktivujete. Při deaktivaci a aktivaci je vždy nutné tuto změnu na ISA serveru aplikovat. Vyhodnocování pravidel probíhá v pořadí, v jakém jsou uvedeny (pole Order v okně Firewall Policy). Pomocí ikon a můžete měnit pořadí pravidel (zvyšovat nebo snižovat prioritu pravidel). Tyto operace s pravidly lze také vykonat přes kontextovou nabídku (pravé tlačítko myši) jednotlivých pravidel, nebo v panelu Tasks v pravé části konzole. Omezení přístupu k webu Na základě předchozího postupu vzniklo pravidlo, které umožní všem uživatelům komunikaci HTTP a HTTPS protokolem s externí síti. Nyní budeme uvažovat případ, že například studentům budeme chtít povolit komunikaci s vybranými servery. 1. V Toolboxu vytvořte uživatelskou skupinu Studenti a vložte do ní skupinu reprezentující všechny studenty z Active Directory. 2. V Toolboxu vytvořte síťový objekt URL sets se jménem Povolené URL studentu a vložte do něj URL adresy zdrojů, které budou mít studenti dostupné. Microsft ISA Server 2006 – příručka pro školy Page 70 Obrázek 62: nový objekt URL set 3. Podle postupu vytvoření přístupového pravidla vytvořte nové přístupové pravidlo, které bude blokovat komunikaci HTTP a HTTPS z interní sítě do externí sítě pro uživatelskou skupinu studenti. 4. Po dokončení průvodce otevřete vlastnosti pravidla a na panelu To definujte výjimku z cíle komunikace. Jako cíl komunikace je zvolena síť External. Do spodní tabulky přidejte jako výjimku síťový objekt Povolené URL studentu. Microsft ISA Server 2006 – příručka pro školy Page 71 Obrázek 63: vlastnosti přístupového pravidla - výjimka z cíle komunikace 5. Zavřete vlastnosti pravidla a posuňte toto pravidlo na pozici před pravidlo povolující HTTP komunikaci všem. 6. Aplikujte nastavení na ISA server. Po provedení těchto dvou postupů bude konfigurace pravidel firewallu vypadat podle následujícího obrázku. Obrázek 64: příklad konfigurace přístupu k webu Tato konfigurace pravidel bude blokovat webový přístup studentům, kromě povolených URL. Pro studenty, kteří chtějí přistupovat k zakázanému obsahu, se použije první pravidlo, které jim tuto komunikaci zakáže. Pokud student bude chtít přistupovat k povolenému cíli (povolene URL studentu), první pravidlo pro tuto komunikaci nelze použít, protože neodpovídá cílem komunikace. ISA server tedy přejde ke druhému pravidlu. Toto pravidlo z hlediska zdroje, cíle a protokolu odpovídá, ISA server tedy povolí studentovi přístup k webu. Druhé pravidlo bude sice povolovat přístup k webu studentům, avšak tento přístup bude jen na povolené cíle (povolené URL), protože nepovolené přístupy jsou odfiltrovány prvním pravidlem. Microsft ISA Server 2006 – příručka pro školy Page 72 Pokud bude k webu přistupovat jiný uživatel, který není studentem, tak pro něj první pravidlo nelze použít. Nesplňuje podmínku, že je ve skupině studenti. ISA server tedy přejde ke druhému pravidlu, které povolí přístup k webu. Systémová politika Systémová politika ISA serveru je speciální sada přístupových pravidel firewallu (Access rules). Tato pravidla mají vyšší prioritu než pravidla definovaná administrátorem a platí vždy jen pro komunikaci mezi sítí Localhost a některou jinou sítí. Jsou to tedy pravidla, která umožňují síťovou komunikaci samotnému ISA serveru. Tato pravidla jsou po instalaci ISA serveru automaticky definována do výchozího stavu. Obrázek 65: systémová politika Jméno Popis Výchozí hodnota DHCP Určuje, ze kterých zdrojů je možné přijímat konfiguraci DHCP protokolem. Internal DNS Umožňuje komunikaci ISA serveru s DNS servery v různých sítích All Networks Active Directory Umožňuje komunikaci s řadičem domény Internal Microsoft Management Console (MMC) Umožňuje vzdálenou správu ISA serveru pomocí MMC konzole (včetně konzole pro správu ISA serveru) Remote Management Computers Terminal Servet Umožňuje připojení k ISA serveru pomocí vzdálené plochy Remote Management Microsft ISA Server 2006 – příručka pro školy Page 73 Computers ICMP (ping) Umožňuje odesílat odpovědi na ICPM Echo Request (pokus o pingnutí ISA serveru) z počítačů Remote Management Computers ICMP Použití příkazu ping z ISA serveru All Networks Windows Networking Umožní ISA serveru použít protokol NetBIOS Internal SMTP Umožní ISA serveru pomocí protokolu SMTP odeslat informace nebo varování Internal Scheduled Download Job Umožní ISA serveru stahovat naplánované webové stránky do Cache Vypnuto Allowed Sites Umožní ISA serveru přístup na webové servery HTTP protokolem System Policy Allowed Sites Tabulka 4: některé vlastnosti systémové politiky V tabulce není uveden kompletní obsah systémové politiky, ale jen některé její podstatné části. Každou komponentu politiky (přístupové pravidlo) lze povolit nebo zakázat a předefinovat zdroj nebo cíl komunikace. Pokud potřebujete například konfigurovat externí adaptér ISA serveru DHCP serverem poskytovatele internetu, přidejte v systémové politice DHCP k síti Internal ještě síť External nebo síťový objekt Computer, který bude reprezentovat IP adresou DHCP serveru poskytovatele internetu. Dále si všimněte, že diagnostické a administrační části politiky jsou zpřístupněné pro skupinu Remote Management Computers. Tato skupina počítačů (IP adres) určuje počítače, ze kterých lze vzdáleně spravovat ISA server pomocí konzole nebo vzdálené plochy, a nebo počítače, ze kterých lze ISA server pingnout (ověřit jeho běh). Počítače, ze kterých budete chtít ISA server vzdáleně spravovat, přidejte do Remote Management Computers. Tuto skupinu počítačů můžete editovat například v Toolboxu konzole ISA serveru. Aplikační filtry Přístupová pravidla firewallu jsme dosud uvažovali jako pravidla, která definují paketové a stavové filtrování. Pravidla pracovala na síťové a transportní vrstvě ISO/OSI modelu. ISA server však obsahuje podporu i pro filtrování na nejvyšší úrovni – aplikační vrstvě. Paketové a stavové filtrování umožnilo vytvoření spojení mezi klientem a serverem na různých počítačích. Toto spojení je pak využito k přenosu dat aplikačním protokolem. Aplikační filtry tedy již kontrolují komunikaci vytvořeným kanálem a mohou zabraňovat útokům na konkrétní aplikace (služby) klientů nebo serverů. ISA server obsahuje několik vestavěných aplikačních filtrů. Primárním účelem některých filtrů je umožnění komunikace daným protokolem přes nestandardní prostření firewallu, protože daný protokol nebyl navržen tak, aby dokázal přes firewall pracovat. Příkladem takových filtrů může být FTP access filter nebo PPTP filter. Další kategorií filtrů jsou takové, které slouží Microsft ISA Server 2006 – příručka pro školy Page 74 primárně k znemožnění útoku pomocí daného protokolu. Příkladem těchto filtrů může být DNS filter, SMTP filter nebo HTTP filtry. Obrázek 66: aplikační filtry ISA serveru Aplikační filtry jsou dostupné z konzole ISA serveru. V navigačním stromu konzole vyberte Configuration a následně Add-ins (doplňky). Z hlediska konfigurace je zajímavý v podstatě jen SMTP filtr. Jeho editací lze upravit seznam použitelných příkazů protokolu SMTP. Tyto aplikační filtry jsou většinou konfigurovány pro objekty serverových protokolů v Toolboxu k ochraně interních serverů zveřejněných na internet nebo k protokolům, které vyžadují zvláštní přístup práce při provozu přes firewall. Microsft ISA Server 2006 – příručka pro školy Page 75 Obrázek 67: DNS server protokol s aplikačním filtrem HTTP aplikační filtr Aplikační filtr protokolu HTTP poskytuje široké možnosti k ochraně interních webových serverů nebo filtrování nežádoucí dokumentů. Konfigurace vlastního HTTP filtru je k dispozici ve vlastnostech přístupového pravidla, které povoluje komunikaci protokolem HTTP nebo z kontextové nabídky tohoto pravidla. Obrázek 68: konfigurace HTTP filtru HTTP aplikační filtr může: Omezit maximální velikost hlavičky a dat HTTP protokolu Omezit maximální povolenou délku URL Omezit přenos spustitelných souborů přes HTTP Omezit metody HTTP protokolu (např. GET, POST atd.) Microsft ISA Server 2006 – příručka pro školy Page 76 Omezit přenášené typy souborů na základě přípony Omezit přenos dokumentů, které mají v hlavičce nebo těle (datech) definované textové řetězce Konfigurace webového filtru HTTP probíhá na každém pravidle, které umožňuje HTTP komunikaci, odděleně. Pro nastavení HTTP filtru postupujte následovně: 1. V konzole ISA serveru zvolte Firewall Policy. Klepněte pravým tlačítkem na vybrané pravidlo a zvolte Configure HTTP. Dané pravidlo musí povolovat komunikaci HTTP protokolem. Obrázek 69: HTTP aplikační filtr 2. Na panelu General může v sekci Request Headers a Request Payload změnit maximální velikost hlavičky a těla HTTP požadavku. V sekci Executables můžete zakřížkováním zablokovat přenos spustitelných souborů přes protokol HTTP. V sekci URL protection lze omezit maximální délku URL adresy a volbami Verify normalization a Block high bit characters kontrolovat korektnost URL. 3. Na panelu Methods můžete zablokovat vybrané metody HTTP protokolu, nebo zablokovat všechny metody kromě vybraných. Typické metody GET a POST slouží k předávání parametrů z klienta na webový server. 4. Na panelu Extensions můžete zablokovat přenos souborů se zvolenými příponami, nebo povolit přenos pouze souborů s vyjmenovanými příponami. Microsft ISA Server 2006 – příručka pro školy Page 77 Obrázek 70: blokování přenosu komprimovaných souborů 5. Na panelu Headers lze blokovat různé hlavičky v HTTP dotazech nebo odpovědích. Programy, které používají ke komunikaci HTTP protokol, často vkládají určité hlavičky do HTTP protokolu. 6. Na panelu Signatures lze blokovat HTTP komunikaci, která obsahuje v hlavičkách nebo těle určité textové řetězce. Některé textové řetězce a informace sem vkládají různé aplikace, které komunikují přes protokol HTTP. Tyto řetězce lze hledat mezi hlavičkami nebo v těle HTTP požadavků i odpovědí a v URL požadavku. Informace o tom, jak blokovat konkrétní aplikaci, je třeba zjistit analýzou komunikace dané aplikace. Tuto analýzu lze provést pomocí nástrojů pro monitorování komunikace, nebo lze najít typické signatury pro dané běžné aplikace na internetu http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx. Pokud se hledá signatura v těle požadavku nebo v těle odpovědi (Request body, Response body), je nutné brát v úvahu, jak daleko od začátku dokumentu se bude tato signatura hledat – pole Byte Range. Microsft ISA Server 2006 – příručka pro školy Page 78 Obrázek 71: blokování aplikace přenášející data HTTP protokolem 7. Po editaci HTTP filtru aplikujte nastavení na ISA server. FTP aplikační filtr Na protokolu FTP v Toolboxu, který slouží pro pravidla, která povolují komunikaci zejména klientům vnitřní sítě s FTP servery na internetu, je definován FTP aplikační filtr. U pravidel, která obsahují komunikaci FTP protokolem lze definovat, zda komunikace se serverem bude pouze pro čtení nebo i pro zápis. Výchozí stav je, že FTP komunikace umožňuje pouze číst. Microsft ISA Server 2006 – příručka pro školy Page 79 Obrázek 72: FTP filtr Publikování interních serverů na internet Pro zveřejnění interních serverů uživatelům externí sítě slouží speciální pravidla firewallu – tzv. publikační pravidla. Tyto publikační pravidla lze rozdělit na dvě kategorie: Pravidla pro zveřejnění webových služeb – Web site publishing rules – pro zveřejnění webových serverů, včetně webového rozhraní Exchange serveru a SharePiont Services. Tyto pravidla jsou velice komplexní, umožňují autentizaci příchozích požadavků a lze na ně aplikovat HTTP aplikační filtr. Pravidla pro zveřejnění ostatních služeb – Non-Web server protocol publishing rules – jde o pravidla, která zveřejňují ostatní (newebové) služby jako SMTP, POP3, IMAP, FTP server nebo terminálový server (vzdálenou plochu). Tyto pravidla nepodporují autentizaci. Autentizaci lze provést případně až aplikačním protokolem po vytvoření spojení. Kromě možnosti vytvoření těchto dvou typů pravidel konzola ISA serveru nabízí průvodce, který umožní zveřejnit například poštovní služby. Tento průvodce pak vygeneruje několik pravidel různých typů pro různé přístupy k poště. Zveřejnění newebových služeb Servery, které neslouží jako webové servery, lze zveřejnit pomocí Non-Web server protocol publishing pravidel. Typickým příkladem takového protokolu může být protokol FTP. Toto pravidlo, podle zvoleného protokolu, zpřístupní na externím rozhraní komunikační port pro danou komunikaci. Pro případ protokolu FTP to bude TCP port 21. Jakoukoliv příchozí komunikaci, která přijde na externí adaptér ISA serveru na daný port, bude ISA server přeposílat na interní server definovaný IP adresou. Zveřejnění FTP serveru 1. V konzole ISA serveru vyberte Firewall Policy. Microsft ISA Server 2006 – příručka pro školy Page 80 2. V pravé části konzole v panelu Tasks vyberte možnost Publish Non-Web server protocol, spustí se průvodce. 3. Na první obrazovce vepište jméno pravidla, například zverejneni FTP. 4. Na další obrazovce vepište IP adresu interního FTP serveru. 5. Na další obrazovce vyberte z nabídky protokolů protokol FTP server. Tlačítkem Ports můžete předefinovat některé výchozí vlastnosti FTP. ISA server bude na portu 21 čekat příchozí spojení a bude je přeposílat FTP serveru opět na port 21. V případě, že by ISA server měl čekat na příchozí spojení na jiném portu, nebo je přeposílat na jiný port FTP serveru, lze toto zde předefinovat. Obrázek 73: zveřejnění FTP serveru 6. Na další stránce průvodce vyberte, pro které sítě bude FTP server zveřejněn. Pro zveřejnění internetovým uživatelům zvolte sít External. 7. Dokončete průvodce. Zkontrolujte nastavení FTP aplikačního filtru na tomto pravidle, zda je nastaven tak, jak je třeba (konfigurační položka Read-Only). 8. Aplikujte nastavení na ISA server. Po vytvoření pravidla lze v jeho vlastnostech doplnit některé další položky. Například přesně dodefinovat zdroj komunikace nebo časový plán pro toto pravidlo. Dále je třeba zajistit korektní překlad DNS jmen pro internetové uživatele. Pokud budete například chtít, aby FTP server byl přístupný pod jménem ftp.domena.cz, je třeba do DNS služby, která překládá Microsft ISA Server 2006 – příručka pro školy Page 81 názvy dané domény klientům na internetu, vložit záznam s příslušným jménem a nastavit jeho IP adresu na IP adresu externího adaptéru ISA serveru. Obrázek 74: publikační pravidlo pro FTP server Shodným způsobem by bylo možno zveřejnit například terminálový server – vzdálenou plochu – protokolem RDP server. Pro zveřejnění dalšího FTP serveru by však bylo nutné jej zveřejnit na nestandardní port, protože port 21 externího adaptéru ISA serveru je již použit pro první FTP server. Publikace webového serveru Pro zveřejnění webových serverů a služeb slouží pravidla Web Site publishing. Tato pravidla používají tzv. Web Listener, což je síťový objekt, který čeká na příchozí HTTP požadavky. Na základě požadované URL je schopen předávat požadavky na různé interní webové servery (web, Exchange), požadovat autentizaci uživatele nebo provádět filtrování aplikačním HTTP filtrem. Web Listener se spustí na zvoleném adaptéru ISA serveru (typicky na síti External) na obvyklém portu 80 webového serveru a bude čekat na příchozí požadavky od webových klientů. Vytvoření Web Listeneru 1. Spusťte konzolu ISA serveru a přejděte k Firewall Policy. Vyberte panel Toolbox. 2. V Toolboxu vyberte Network Objects a Web Listeners. Tlačítkem New spusťte průvodce. 3. Zadejte název pro Web Listener. 4. Na další obrazovce vyberte Do not require SSL secured connections a pokračujte dál. SSL spojení by vyžadovala instalaci SSL certifikátů, což přesahuje rozsah této publikace. Microsft ISA Server 2006 – příručka pro školy Page 82 Obrázek 75: typ spojení mezi ISA serverem a klientem v internetu 5. Na další obrazovce zvolte, pro které sítě bude Web Listener pracovat. Nechte zvolenu síť External. 6. Na další obrazovce vyberte typ autentizace, kterou v případě potřeby bude Web Listener provádět. Zvolte HTML form autentizaci a jako poskytovatele autentizace nechte Active Directory. Obrázek 76: nastavení autentizace Web Listeneru 7. Na další obrazovce odkřížkujte možnost SSO autentizace a dokončete průvodce. 8. Aplikujte nastavení na ISA server. Vytvoření pravidla 1. V konzole ISA serveru vyberte Firewall Policy. V pravém panelu Tasks zvolte Publish Web Sites. 2. Zadejte jméno pravidla a na další obrazovce průvodce zadejte akci pravidla, která povolí nebo zakáže komunikaci. 3. Na další obrazovce zvolte Publish a single Web site or load balancer a pokračujte. 4. Na další obrazovce zvolte Use non-secured connection to the published Web server. 5. Na další obrazovce zadejte interní jméno serveru, případně jeho interní IP adresu. Microsft ISA Server 2006 – příručka pro školy Page 83 Obrázek 77: interní jméno web serveru 6. Další obrazovku s volitelnou položkou Path nechte beze změn. 7. Na obrazovce Public Name Details zadejte externí (internetové) jméno webového serveru a položku Accept requests for nechte na hodnotě This domain name. Obrázek 78: externí jméno web serveru 8. Na další obrazovce zvolte vytvořený Web Listener. 9. Na obrazovce User Sets odstraňte skupinu All Authenticated users a vložte skupinu All users. Webový server bude přístupný i anonymním uživatelům. Microsft ISA Server 2006 – příručka pro školy Page 84 Obrázek 79: uživatelé zveřejněného webového serveru 10. Aplikujte nastavení na ISA server. Interní webový server (www.skola.local) bude dostupný z internetu pod jménem www.domena.cz. Je tedy nutné, aby internetový DNS server pro doménu školy přeložil internetové jméno webového serveru na IP adresu externího adaptéru ISA serveru. Publikace poštovního serveru Outlook Web Access - OWA Zveřejněním webového rozhraní poštovního serveru Exchange na internet umožníte uživatelům z internetu přístup ke schránkám na interním serveru Exchange pomocí webového prohlížeče. Ke zveřejnění webového rozhraní pro práci s poštou postupujte podle následujícího návodu: 1. V konzole ISA serveru vyberte Firewall Policy. V pravém panelu Tasks zvolte Publish Exchange Web Client Access. 2. Vepište jméno pro pravidlo. 3. Na další obrazovce nechte zatrženu možnost Outlook Web Access a z nabídky vyberte verzi publikovaného Exchange serveru. 4. Na další obrazovce průvodce zvolte Publish a single Web site or load balancer. 5. Na další obrazovce nechte volbu Publish non-secured connections. 6. Na další obrazovce zadejte interní jméno poštovního serveru, případně jeho IP adresu. Microsft ISA Server 2006 – příručka pro školy Page 85 Obrázek 80: jméno serveru 7. Na další obrazovce průvodce nechte volbu This domain name a zadejte internetový název poštovního serveru. Internetový název (např. mail.domena.cz) bude muset být přeložitelný na IP adresu externího adaptéru ISA serveru. Obrázek 81: externí jméno zveřejněného serveru 8. Na další obrazovce vyberte síťový objekt Web Listener, který bude použit pro příchozí spojení. Pokud žádný Web Listener neexistuje, vytvořte jej podobně, jako v postupu zveřejnění webového serveru. Pro zveřejnění OWA je vhodné použít web listener s autentizaci HTML form authentication. 9. Na další obrazovce vyberte NTLM authentication a dokončete průvodce. 10. Aplikujte nastavení na ISA server. Vznikne webové publikační pravidlo, které je předdefinováno pro publikaci webového rozhraní poštovního serveru Exchange. Toto webové rozhraní bude dostupné z internetu uživatelům pod jménem definovaným veřejným jménem (mail.domena.cz). Pokud uživatelé z internetu zadají do prohlížeče mail.domena.cz/Exchange, zobrazí se přihlašovací formulář ISA serveru. ISA server ověří identitu uživatele, přihlásí jej k Exchange serveru a poskytne mu webové rozhraní práce s poštou. Microsft ISA Server 2006 – příručka pro školy Page 86 Obrázek 82: přihlašovací formulář Form-Based autentizace SMTP server Aby poštovní server na interní síti mohl přijímat poštu z internetu, je třeba zveřejnit SMTP server. Pro doručování pošty mezi poštovním serverem odesilatele a poštovním serverem příjemce se používá protokol SMTP. Pro zveřejnění SMTP serveru postupujte následovně: 1. V konzole ISA serveru vyberte Firewall Policy. V pravém panelu Tasks zvolte Publish Mail Servers. 2. Vepište jméno pro pravidlo. 3. Na další obrazovce zvolte Server to Server communication. Obrázek 83: publikace SMTP serveru pro příjem emailů 4. Na další obrazovce zatrhněte protokol SMTP. 5. Na další obrazovce zadejte interní IP adresu poštovního serveru a pokračujte v průvodci. 6. Vyberte síť, které chcete SMTP server zveřejnit. Zvolte síť External. 7. Dokončete průvodce a aplikujte nastavení na ISA server. Vytvořené pravidlo bude vypadat jako na obrázku níže. Microsft ISA Server 2006 – příručka pro školy Page 87 Internetový DNS server, který má na starosti překlad internetových jmen vaší domény, je třeba nastavit tak, aby DNS záznam emailového serveru byl nasměrován na externí adaptér ISA serveru. Odesilatelé pošty uživatelům interního poštovního serveru potom budou odesílat poštu ISA serveru, který bude tuto SMTP komunikaci směrovat na zveřejněný Exchange (SMTP) server. VPN klientský přístup VPN klienti se používají k bezpečnému připojení k síťovým zdrojům interní sítě přes nechráněný veřejný internet. Spojení je realizováno šifrovaným kanálem, takže není snadné je monitorovat nebo falšovat. Klienti, kteří se připojí k interní síti pomocí VPN připojení, jsou automaticky zařazeni do sítě VPN clients. Pomocí přístupových pravidel firewallu můžete definovat, jaká komunikace bude VPN klientům umožněna. Ve výchozím nastavení je VPN klientům umožněna veškerá komunikace s interní sítí pomocí síťového pravidla routování. Nastavení VPN serveru Pro zprovoznění VPN brány na ISA serveru postupujte podle tohoto návodu: 1. V konzole ISA serveru v navigačním stromě vyberte Virtual Private Networks (VPN). V prostřední části konzole se zobrazí seznam pěti kroků k zprovoznění VPN serveru. Obrázek 84 konfigurace VPN serveru Microsft ISA Server 2006 – příručka pro školy Page 88 2. V první části klikněte na odkaz Configure Address Assignment Method v prvním bodě. Otevře se okno s možnostmi, jak budou VPN klientům konfigurován protokol TCP/IP. Pokud máte na interní síti DHCP server, vyberte možnost Dynamic Host Configuration Protocol (DHCP) a vyberte síť Internal, na níž se bude DHCP server kontaktovat. Pokud na interní síti není konfigurován DHCP server, lze zvolit možnost Static address Pool a tlačítkem Add přidat rozsah IP adres, který bude použit pro konfiguraci VNP klientů. Tento rozsah se nesmí krýt s rozsahem definovaných sítí, zejména se sítí Internal. Pokud k tomu dojde, ve vlastnostech sítě Internal zmenšete její IP rozsah a nevyužitý prostor přidělte do statického rozsahu pro VPN server. Obrázek 85: přidělování IP adres VPN klientům 3. Pokračujte prvním bodem. Klikněte na odkaz Enable VPN Client Access. Zatrhněte volbu Enable VPN client access a zvolte maximální počet VPN klientů. Pokud používáte ke konfiguraci klientů interní DHCP server, VPN server si z DHCP serveru alokuje IP adresy. Obrázek 86: spuštění VPN serveru Microsft ISA Server 2006 – příručka pro školy Page 89 4. Aplikujte nastavení na ISA server a pokračujte druhým krokem – definicí uživatelů, kterým je povoleno se přes VPN připojit k interní sítí. Klikněte na odkaz Specify Windows Users. Tlačítkem Add přidejte skupiny uživatelů z domény Active Directory. Jako Umístění zvolte vaši doménu a vepište název skupiny. Tlačítkem Kontrola názvu můžete zkontrolovat správnost napsané skupiny. Tlačítkem OK skupinu přidáte k povoleným skupinám pro VPN připojení. Zavřete dialog definice skupin. Obrázek 87: povolení uživatelé VPN 5. Ve třetím kroku se pomocí odkazu Verify VPN properties přesvědčte, že je zvolen PPTP protokol a odkazem Remote Access Configuration, zda budou VPN spojení přijímána ze sítě External. 6. Ve čtvrtém a pátém kroku zkontrolujte, zda mezi sítí VPN Clients a sítí Internal (případně dalšími sítěmi) existují síťová pravidla a přístupová pravidla firewallu. 7. Aplikujte veškeré nastavení na ISA server. Připojení klienta Klientské počítače na internetu bude třeba zkonfigurovat tak, aby se připojovali k VPN serveru jako klienti. Pro počítače s operačním systémem Windows XP postupujte následovně: 1. Přihlaste se k počítači. Z nabídky Start vyberte Ovládací panely a zvolte panel Síťová připojení. 2. Spusťte Průvodce vytvořením připojení. Tlačítkem Další přejděte k obrazovce Typ připojení. 3. Zvolte Připojit k firemní síti a na další obrazovce Připojení k virtuální privátní síti. 4. Zadejte název pro toto připojení, např. Připojení VPN do školy. 5. Na další obrazovce zadejte IP adresu nebo název cílového VPN serveru. Tato adresa, nebo DNS jméno musí směřovat na IP adresu externího adaptéru ISA serveru. 6. Dokončete průvodce. Microsft ISA Server 2006 – příručka pro školy Page 90 7. Z nabídky Start vyberte Připojit a klikněte na vytvořené připojení. 8. Zadejte jméno a heslo pro účet, který má právo připojit se pomocí VPN k interní síti a připojte se. V konzole ISA serveru, v panelu Tasks pro Virtual Private Networks je možnost Monitor VPN clients, která otevře monitorování spojení a odfiltruje vše, kromě VPN klientů. Lze tam tedy sledovat, kdo je aktuálně připojen přes VPN připojení k interní síti. Obrázek 88: VPN klient Obrázek 89: aktuálně připojení VPN klienti Cache Cache ISA serveru slouží k dočasnému uložení požadavků HTTP a FTP protokolu. Při komunikaci, kterou je možné cachovat, si ISA server uloží obdržené odpovědi. Při dalším průstupu k danému objektu ISA server může vracet odpovědi ze své cache, aniž by musel znovu komunikovat s cílovým serverem. Ve výchozím stavu po instalaci ISA serveru je cache vypnutá. Zapnutí cachování se provede jednoduše vyhrazením zvoleného množství diskového prostoru na některém lokálním disku se souborovým systémem NTFS. Microsft ISA Server 2006 – příručka pro školy Page 91 Aktivace cache 1. Otevřete konzolu ISA serveru a v navigačním stromě vyberte položku Configuration a následně položku Cache. 2. V pravé části konzole na panelu Tasks, klikněte na položku Define cache drives. 3. Vyberte některý z dostupných pevných disků. Do pole Maximum cache size vepište velikost diskového prostoru v MB, který chcete na zvoleném disku rezervovat. Obrázek 90: povolení cache 4. Potvrďte tlačítkem Set. 5. Aplikujte nastavení na ISA server. Ke spuštění cache je nutné restartovat službu firewallu. Na dotaz konzole tuto službu restartujte. Pravidla cache Podobně jako existují pravidla firewallu, existují pravidla cache. Tato pravidla obsahují definici požadovaného obsahu (URL adresu) a způsob, jakým bude s danými objekty URL adresy zacházeno. Vyhodnocování pravidel probíhá stejně jako u firewallu postupně od prvního. Hledá se pravidlo, které vyhovuje dané komunikaci. Ve výchozím stavu je definováno jedno pravidlo, které umožňuje cachovat komunikaci se servery Microsoft Update a poslední výchozí pravidlo, které cachuje veškerou komunikaci. Pravidla cache zobrazíte výběrem panelu Cache Rules v prostřední části konzole ISA serveru v konfiguraci Cache. Obrázek 91: výchozí pravidla cache Microsft ISA Server 2006 – příručka pro školy Page 92 Pravidlo cache definuje pro daný obsah (URL) několik položek: Jestli lze daný obsah uložit do cache – pro dané umístění lze zablokovat cachování, nebo je umožnit. Jak je vracen daný obsah klientovi o Pokud je obsah v cache platný, vrátit z cache, jinak vrátit ze serveru (a aktualizovat v cache) o Pokud je obsah v cache (i neplatný), vrátit z cache, jinak vrátit ze serveru (a aktualizovat v cache) o Pokud je obsah v cache (i neplatný), vrátit z cache, jinak ignorovat požadavek Definice vlastního pravidla cache: 1. 2. 3. 4. 5. V konzole ISA serveru vyberte Configuration a Cache. V kontextové nabídce položky Cache zvolte Nový Objekt a Cache Rule. Napište jméno pravidla a pokračujte na další obrazovku průvodce. Vyberte síťový objekt, reprezentující zdroje informací (servery). Na další obrazovce zvolte způsob vybavování požadavků z cache ISA serveru. První možnost vrací platné stránky z cache, druhá možnost vrací z cache, pokud tam existuje jakákoliv verze daného objektu. Při neúspěch se kontaktuje cílový server pro získání nového obsahu. Třetí možnost vrací požadavky výhradně z cache. Pokud požadované objekty v cache nejsou, klient je neobdrží. Obrázek 92: způsob práce s cache 6. Na další obrazovce je možné volbou Never, no content will be cached zamezit ukládání obsahu daného zdroje do cache ISA serveru. Druhá varianta – If source request headers indicate to cache – umožní ISA serveru uložit obsah do cache, pokud to není v hlavičkách HTTP protokolu výslovně zakázáno. Dalšími možnostmi je ukládat do cache i dynamický obsah (Dynamic content), offline obsah a obsah vyžadující autentizaci uživatele. Microsft ISA Server 2006 – příručka pro školy Page 93 Obrázek 93: ukládání do cache 7. Na další obrazovce je možné omezit maximální velikost cachovaných objektů. Následuje obrazovka s nastavením HTTP cachování. Platnost objektů v cache (TTL) je nastavena na 20% stáří daného objektu. Ne však méně než 15 minut a více než 1 den. Obrázek 94: HTTP cachování 8. Na další obrazovce je povoleno cachovat FTP objekty (soubory). Výchozí doba platnosti TTL je u FTP objektů nastavena na 1 den. 9. Dokončete průvodce a aplikujte nastavení na ISA server. Content download jobs Úlohy pro automatické stahování obsahu slouží k pravidelnému ukládání zvolené webové prezentace do cache. 1. V panelu Cache konzole ISA serveru vyberte Content Download Jobs. 2. V pravé části konzole na panelu Tasks klikněte na Schedule a Content Download Job. Zobrazí se varování, že bude třeba povolit Scheduled Download Job položku v systémové politice ISA serveru. Potvrďte změnu politiky a aplikujte nastavení na ISA server. Microsft ISA Server 2006 – příručka pro školy Page 94 3. 4. 5. 6. Klikněte znovu na položku Schedule a Content Download Job v panelu Tasks. Zadejte název úlohy. Zvolte, jak často se daný obsah bude stahovat a na další obrazovce toto upřesněte. Na další obrazovce zadejte URL, která se bude stahovat do cache. Můžete dále upřesnit, zda sledovat odkazy na jiné URL jména a do jaké hloubky odkazů prezentaci stahovat. Obrázek 95: automatické stahování obsahu 7. Na další obrazovce průvodce je možné upřesnit, jaký obsah ukládat do cache a s jakou dobou platnosti. Obrázek 96: automatické stahování obsahu 8. Dokončete průvodce a aplikujte nastavení na ISA server. Úloha stahování obsahu bude spuštěna podle plánu, nebo lze její okamžité spuštění vynutit z kontextové nabídky. Microsft ISA Server 2006 – příručka pro školy Page 95 Správa a monitorování ISA Administrativní role Pro přidělení oprávnění administrace a monitorování ISA serveru slouží administrativní role ISA serveru. Pro ISA server 2006 Standard edice existují tři role uživatelů: ISA server Full Administrator – uživatel s plným oprávněním k ISA serveru. ISA server Auditor – uživatel s oprávněním k prohlížení konfigurace firewallu a nastavení/sledování monitorovacích úloh ISA server Monitoring Auditor – uživatel, který má oprávnění jen ke sledování monitorovacích úkolů. Výchozí nastavení administrativních rolí na ISA serveru jsou na následujícím obrázku. Obrázek 97: výchozí role pro ISA server Lokální účet administrátora ISA serveru a skupina BUILTIN\Administrators, která reprezentuje i doménové administrátory, mají plný přístup k ISA serveru – roli ISA server Full Administrator. Přidělení administrativní role uživateli 1. Otevřete konzolu ISA serveru a v levé části navigačního stromu vyberte Configuration a General. 2. Ve středním panelu klikněte myší na volbu Assign Administrative Role. 3. Tlačítkem Add přidejte uživatele nebo skupinu, které chcete přiřadit administrativní roli. Tlačítkem Browse vyberte některý účet uživatele nebo skupiny z domény Active Directory. Ve spodní části okna zvolte administrativní roli pro zvoleného uživatele nebo skupinu. Microsft ISA Server 2006 – příručka pro školy Page 96 Obrázek 98: definice administrativní role 4. Aplikujte nastavení na ISA server. Uživatel s definovanou rolí ISA serveru se může k ISA serveru přihlásit a z konzole ISA serveru provádět povolené akce – monitorování, nastavení monitorování, konfigurace firewallu. Nebo může využít své pracovní stanice, která je ve skupině Remote Management Computers, a spravovat ISA server z konzole vzdáleně. Monitorování Monitorování ISA serveru hraje podstatnou roli při sledování komunikace, ověření správné funkcionality přístupových a publikačních pravidel firewallu nebo při řešení problémů, kdy někteří klienti nemají očekávaný přístup k internetu. Monitorování ISA serveru je možné provádět z administrační konzole ISA Serveru v části Monitoring. Komplexní pohled na dostupné části monitorování ISA serveru nabízí tzv. Dashboard. Tento panel, dostupný z Monitoring části konzole ISA serveru shrnuje aktuální stav ISA serveru a výrazným způsobem informuje správce o potencionálních problémech. Panel Dashboard obsahuje informace o verifikátorech konektivity, službách ISA serveru, aktuálním počtu klientů nebo upozornění (Alerty) na různé události. Microsft ISA Server 2006 – příručka pro školy Page 97 Obrázek 99: Dashboard (palubní deska) ISA serveru Výstrahy (Alerts) Alerty jsou konfigurační položky, které stanovují, jak se má ISA server chovat pokud nastane jistá situace. ISA server obsahuje po instalaci bohatou sadu alertů, které lze upravit nebo doplnit o nové. Význam alertu je rozdělen do tří kategorií – Informace, Výstraha a Chyba. Každý alert obsahuje informaci o tom, jaká událost jej vyvolá, případně kolik daných událostí v určitém časovém intervalu alert vyvolá. Vyvolaný alert pak provádí předdefinovanou akci kromě toho, že se zaznamená do konzole ISA severu. Touto akcí může být odeslání emailu, spuštění nějakého uživatelského programu (skriptu), zápis události do systémového logu (Event log) nebo dokonce může zastavit služby ISA serveru. Vyvolané alerty jsou viditelné z panelu Dashboard nebo z panelu Alerts v konzole ISA serveru. Obrázek 100: Potvrdit nebo resetovat alert Microsft ISA Server 2006 – příručka pro školy Page 98 Zaznamenané alerty lze z kontextové nabídky daného alertu potvrdit nebo resetovat. Potvrzením (Acknowledge) alertu řeknete, že jste jej vzali na vědomí a daný (potvrzený) alert nebude zobrazen v panelu Dashboard. Resetem alertu daný alert odstraníte z obou panelů – Dashboard i Alerts. Obrázek 101: některé alerty ISA serveru Spojení (Sessions) Na panelu Sessions lze sledovat spojení klientů s ISA serverem. Obrázek 102: aktuální spojení s ISA serverem Vzhledem k faktu, že ISA server zaznamenává komunikaci do databázového souboru, lze efektivně v tomto logu vyhledávat. Pro vlastní pohled na komunikaci klikněte na odkaz Edit Filter a nastavte filtr, který zobrazí požadované informace. Vlastní filtr, na obrázku níže, po spuštění tlačítkem Start Query zobrazí na panelu Sessions konzole ISA serveru všechny spojení Web-Proxy klientů za posledních 24 hodin. Microsft ISA Server 2006 – příručka pro školy Page 99 Obrázek 103: vlastní filtr Služby (Services) Panel Services zahrnuje několik položek, kde každá položka reprezentuje jednu službu ISA serveru. Tyto služby lze odsud restartovat, nebo kontrolovat jejich funkci. Obrázek 104: panel služeb Reporty (Reports) Reportovací možnosti ISA serveru slouží k přehlednému, grafickému vyhodnocení práce ISA serveru a komunikace přes něj. Po každém dni a na konci každého měsíce ISA server vytvoří krátké vyhodnocení práce za konkrétní den nebo měsíc. Tyto údaje jsou pak využívány pro generování reportů. Tyto reporty jsou ve formě HTML dokumentu s obrázky a grafy. Report lze vygenerovat jednorázově, nebo jej generovat automaticky například každý týden. Tyto reporty je pak možné dále nechat automaticky uložit do sdílené složky na síti nebo na interní webový server. Report může obsahovat několik částí: Summary – základní přehled nejčastěji použitých protokolů, webových serverů, funkce cache nebo toku dat přes ISA server. Web usage – detailnější informace o přístupu klientů k webu Application usage – detailnější informace o aplikacích, které přistupují k internetu. Traffic and Utilization – detailnější informace o toku dat a vytížení ISA serveru Microsft ISA Server 2006 – příručka pro školy Page 100 Security – informace o zablokovaných spojeních nebo chybných autentizacích Obrázek 105: ukázka části reportu Vytvoření měsíčního plánu reportování 1. V konzole ISA serveru zvolte Monitoring a panel Reports. 2. V pravém panelu Tasks vyberte Create and Configure Report Job, otevře se okno s definovanými plány reportování. 3. Tlačítkem Add spusťte průvodce vytvořením reportu. 4. Zadejte název reportu, například Mesicni report. 5. Na další obrazovce vyberte, které údaje vás zajímají. Microsft ISA Server 2006 – příručka pro školy Page 101 Obrázek 106: obsah reportu 6. Na další obrazovce zvolte, jak často bude report generován. Obrázek 107: plán automatického generování reportu 7. Na další obrazovce můžete zveřejnit report do sdílené složky na některém serveru. Můžete též definovat uživatelský účet, kterým se provede přístup k této složce. Daný uživatelský účet musí mít oprávnění modifikace na souborovém systému a sdílené složky cílového umístění reportu. Obrázek 108: zveřejnění reportu 8. Na další obrazovce můžete odeslat informaci o novém reportu na zvolenou emailovou adresu. 9. Dokončete průvodce a aplikujte nastavení na ISA server. Obdobným způsobem lze vygenerovat jednorázový report. Pro toto generování použijte možnost Generate a New Report z panelu Tasks. Vygenerované reporty jsou dostupné na Microsft ISA Server 2006 – příručka pro školy Page 102 panelu Reports ISA serveru. Volbou Publish z kontextové nabídky reportu je možné tento report uložit do zvoleného umístění (např. do dokumentů nebo na plochu). Obrázek 109: vygenerované reporty V panelu Tasks je dále část Customize Reports. Ta obsahuje několik odkazů, kterými lze přizpůsobit jednotlivé části reportů. Verifikátory konektivity (Connectivity verifiers) Verifikátory spojení slouží k testování dostupnosti služeb a serverů. Verifikátory lze použít k ověřování běhu počítače pomocí ICMP protokolu (ping) nebo k ověření dostupnosti služby na daném počítači – navázáni TCP spojení se služnou. U webových serverů lze testovat server pomocí odeslání požadavku HTTP GET pro získání webového obsahu. Obrázek 110: verifikátory konektivity Logování (Logging) Obdobně jako v panelu Sessions, tak i v panelu logování lze získávat informace ze souboru logu ISA serveru. Informace dostupné v této části konzole se týkají přímo komunikace. Výchozí filtr, který je definován, ukazuje všechny aktivní spojení. U těchto spojení lze sledovat zdroj a cíl komunikace, použitý protokol, uživatelské jméno, nebo jaké pravidlo tuto komunikaci ovládá (blokuje nebo povoluje). Pokud je tedy nutné řešit problémy, že někteří uživatelé nemají přístup k povoleným síťovým zdrojům, lze odsud dohledat, jaké pravidlo tuto komunikaci blokuje. Microsft ISA Server 2006 – příručka pro školy Page 103 Obrázek 111: logování komunikace Výchozí filtr pro zobrazení logování je na obrázku výše. Odkazem Start Query lze tento filtr aplikovat a zobrazit tak aktuální spojení Firewall nebo Web-Proxy klientů. Logování v reálném čase (zobrazování aktuální komunikace) může být výkonově náročné a může degradovat výkonnost ISA serveru. Proto logování on-line používejte k ladění a odstraňování potíží, jinak nechte zobrazování aktuální komunikace z logu vypnuté. Obrázek 112: příklad dotazu z logu Internet Blocking Tool (InetBlocker) Aplikace Internet Blocking Tool byla vyvinuta pro snadné ovládání ISA serveru nezkušenými uživateli. Umožňuje rychle zablokovat nebo odblokovat připojení k internetu pro definované skupiny počítačů. Pověřené osoby (např. učitelé) pak mohou z prostředí jednoduché aplikace ovládat připojení učebny k internetu. Microsft ISA Server 2006 – příručka pro školy Page 104 Obrázek 113: aplikace Internet Blocking Tool Instalace aplikace Aplikace Internet Blocking Tool (IBT) je určena pro rychlé blokování nebo zpřístupnění internetu v průběhu výuky. Proto bude typicky nainstalována na pracovních stanicích, například na lektorských počítačích v učebnách. Tato aplikace využívá komponent dostupných v rámci administrační konzole ISA serveru, proto je nutné, aby na pracovních stanicích, kde bude aplikace používána, byla nainstalovaná konzola pro správu ISA serveru. Dále je nutné mít na pracovní stanici nainstalovanou komponentu .NET framework 2. Pokud .NET framework není nainstalován, lze jej dodatečně stáhnout z webu Microsoftu, nebo automaticky stáhnout a nainstalovat v rámci Automatických aktualizací (Windows Update). Postup instalace: 1. Přihlaste se k pracovní stanici administrátorským účtem 2. Zkontrolujte, zda je na pracovní stanici nainstalována konzole pro správu ISA serveru. Tato konzole bývá umístěná v nabídce Start, Programy, Microsoft ISA server. Jestliže tato konzole na stanici chybí, doinstalujte ji z instalačního média ISA serveru. 3. Pokud nemáte nainstalován .NET framework 2, nainstalujte jej. Instalátor aplikace Internet Blocking Tool testuje přítomnost této komponenty. Pokud není k dispozici, nasměruje Vás na web, odkud si ji můžete stáhnout. 4. Z adresáře s instalačními soubory aplikace spusťte program Setup.exe. 5. Na úvodní straně instalačního průvodce klikněte na tlačítko Next. 6. Na další obrazovce průvodce můžete vybrat cílovou složku instalace a zvolit, jestli aplikace bude nainstalována aktuálnímu uživateli, nebo všem uživatelům tohoto počítače. Nainstalujte tuto aplikaci pro všechny uživatele – všichni uživatelé budou mít v nabídce Start zástupce této aplikace. Microsft ISA Server 2006 – příručka pro školy Page 105 Obrázek 114: instalace IBT 7. Dokončete průvodce instalací. Po nainstalování aplikace vznikne v nabídce Start položka InetBlocker. V ní jsou k dispozici 2 verze aplikace. InetBlocker – umožňuje rychle zablokovat nebo odblokovat připojení k internetu definovaným skupinám počítačů InetBlockerAdmin – kromě funkcí jako předchozí aplikace navíc umožňuje nastavit IP adresu spravovaného ISA serveru a definovat skupiny počítačů, které tyto aplikace budou blokovat. Obrázek 115: Zástupci InetBlocker Microsft ISA Server 2006 – příručka pro školy Page 106 Nastavení ISA serveru Aby uživatelé aplikace Internet Blocking Tool měli možnost ovládat připojení k internetu pro skupiny počítačů, je třeba, aby pracovní stanice těchto uživatelů měly možnost vzdálené správy ISA serveru. IP adresy všech počítačů, ze kterých bude třeba ovládat ISA server, je nutné zařadit do skupiny Remote Management Computers v konzole ISA serveru. 1. Přihlaste se k ISA serveru a spusťte konzolu pro správu ISA serveru. 2. Z navigačního stromu vyberte Firewall Policy. V pravém panelu konzole zvolte Toolbox, Network Objects a dvojklikem na Remote Management Computers otevřete editaci této skupiny. 3. Tlačítkem Add přidejte počítače, ze kterých bude možné ISA server vzdáleně spravovat. Lze definovat IP adresu počítače, rozsah IP adres nebo podsíť. 4. Uložte změny skupiny Remote Management Computers a aplikujte nastavení na ISA server. Obrázek 116: editace Remote Management Computers Pokud budou moci blokovat přístup k internetu jiní uživatelé než administrátoři, například učitelé, je třeba těmto uživatelům nebo skupinám přidělit administrativní roli ISA serveru. Jelikož se jedná o změny konfigurace ISA serveru, musejí mít tito uživatelé roli ISA server Full Administrator. 1. 2. 3. 4. 5. Přihlaste se k ISA serveru a spusťte konzolu pro správu. V navigačním panelu vyberte Configuration a položku General. Ve středním panelu klikněte na odkaz Assign Administrative Roles. Tlačítkem Add můžete přidělit administrativní roli uživatelům. Vepište jméno uživatele nebo skupiny ve tvaru domena\jmeno nebo tlačítkem Browse tuto skupinu nebo uživatele vyhledejte v Active Directory. Microsft ISA Server 2006 – příručka pro školy Page 107 6. Zvolte administrativní roli ISA server Full Administrator. 7. Uložte nastavení a aplikujte změny na ISA server. Nyní mají vybraní uživatelé (učitelé) možnost z vybraných počítačů ovlivňovat nastavení ISA serveru. Obrázek 117: přidělení rolí InetBlockerAdmin Po instalaci nástroje Internet Blocking Tool spusťte pod administrátorským účtem z nabídky Start aplikaci InetBlockerAdmin a vložte do ní IP adresu ISA serveru. Přihlaste se k pracovní stanici účtem administrátora Z nabídky Start spusťte InetBlockerAdmin. Po spuštění aplikace klepněte na tlačítko Nastavení. V okně nastavení vepište interní IP adresu spravovaného ISA serveru. Déle můžete aplikaci nastavit tak, aby automaticky po startu zjistila aktuální nastavení ISA serveru, nebo aby se k ISA serveru přihlašovala jiným uživatelským jménem. 5. Pokud nastavíte aplikaci tak, aby se přihlašovala jiným uživatelským jménem, musí mít toto jméno možnost plné správy ISA serveru (role Full Administrator). Když toto nevyplníte, aplikace se bude k ISA serveru přihlašovat účtem aktuálně přihlášeného uživatele. 6. Tlačítkem OK potvrďte nastavení. 1. 2. 3. 4. Microsft ISA Server 2006 – příručka pro školy Page 108 Obrázek 118: nastavení IBT Jakmile nastavíte IP adresu ISA serveru, lze tlačítkem Načíst pravidla stáhnout z ISA serveru pravidla blokující internet pro dané počítače. Tato pravidla jsou zvláštní přístupová pravidla, která tato aplikace na ISA serveru vytváří. Při prvním použití tedy žádná pravidla této aplikace neexistují, a tudíž se nezobrazí. Vytvoření skupiny Aplikací InetBlockerAdmin je možné vytvářet skupiny počítačů, kterým bude řízen přístup k internetu touto aplikací. 1. Tlačítkem Přidat skupinu vytvořte skupinu a pojmenujte ji. Obrázek 119: vytvoření skupiny Microsft ISA Server 2006 – příručka pro školy Page 109 2. Poté v seznamu vyberte vytvořenou skupinu a klikněte na tlačítko Změnit skupinu. Otevře se editační okno, kde můžete do skupiny vkládat počítače. Obrázek 120: editace skupiny 3. Tlačítkem Přidat můžete do této skupiny přidat počítače. Můžete je definovat na základě IP adres nebo rozsahu IP adres. Položkou Počítače z domény zobrazíte seznam počítačů, které byly k doméně připojeny během posledních 14-ti dnů a můžete vybrat, které počítače do této skupiny přiřadit. 4. Tlačítkem OK ukončíte editaci skupiny. 5. Jakmile dokončíte vytváření a editaci skupin, můžete tlačítkem Uložit změny promítnout toto nastavení na ISA server. Obrázek 121: uložení nastavení Microsft ISA Server 2006 – příručka pro školy Page 110 Výsledkem práce této aplikace je vytvoření definovaných skupin v Toolboxu ISA serveru a vytvoření přístupového pravidla firewallu na prvním místě (nejvyšší priorita), které blokuje veškerou komunikaci na internet z definovaných skupin počítačů. Obrázek 122: přístupové pravidlo firewallu InetBlocker Druhá aplikace InetBlocker je zjednodušenou variantou InetBlockerAdmin. InetBlocker využívá definovaných skupin počítačů a nastavení. Neumožňuje změnu IP adresy spravovaného ISA serveru, ani vytváření a editaci skupin počítačů. InetBlocker může pouze blokovat nebo odblokovat přístup k internetu pro definované skupiny počítačů. Je to tedy aplikace, kterou budou používat neznalí uživatelé (učitelé), kteří tak několika kliknutími mohou ovlivnit přístup k internetu pro zvolenou skupinu počítačů (učebnu). Obrázek 123: zjednodušený InetBlocker¨ Po spuštění aplikace tlačítkem Načíst pravidla aplikace stáhne z ISA serveru aktuální nastavení pro definované skupiny. Uživatel pak může křížkem vedle jména skupiny zablokovat internet a tlačítkem Uložit nastavení toto nastavení aplikovat na ISA server. Tato aplikace se přihlašuje k ISA serveru jako aktuálně přihlášený uživatel systému, nebo účtem uživatele, který byl definován v nastavení InetBlockerAdmin. Pokud tento uživatel nebude mít dostatečná oprávnění ke komunikaci nebo správě ISA serveru, bude problém se stažením aktuální konfigurace nebo s uložením nové konfigurace na ISA server. Microsft ISA Server 2006 – příručka pro školy Page 111 Obrázek 124: uživatel nemá přidělenu správnou roli ISA serveru Stažení InetBlocker Aplikace je k dispozici zdarma ke stažení na webu http://www.codeplex.com/inetblocker , respektive na http://www.codeplex.com/inetblocker/Release/ProjectReleases.aspx Shrnutí Aplikace InetBlocker a InetBlockerAdmin nabízí zjednodušené rozhraní k rychlé konfiguraci ISA serveru. Pro jejich správnou funkci je třeba: Pracovní stanice s těmito nástroji musí mít také nainstalovanou konzolu pro správu ISA serveru. Pracovní stanice musejí být členy skupiny Remote Management Computers v Toolboxu konzole ISA serveru. Uživatelé, kteří budou aplikace používat, musejí mít přidělenu administrativní roli ISA serveru, nebo se tyto aplikace musejí spouštět s použitím uživatelského účtu, který má možnost ISA server konfigurovat. Microsft ISA Server 2006 – příručka pro školy Page 112 Dodatky Odkazy www.microsoft.com/isaserver domovská stránka Microsoft ISA serveru http://www.microsoft.com/technet/isa ISA server TechCenter http://www.microsoft.com/technet/isa/2006/Upgrade_Guide_SE.mspx příručka pro upgrade ISA serveru z předchozí verze http://www.microsoft.com/technet/isa/2006/clients.mspx podrobné informace o typech klientů ISA serveru http://www.microsoft.com/technet/isa/2004/plan/commonapplicationsignatures.mspx typická nastavení HTTP aplikačního filtru pro blokování známých služeb http://www.isaserver.org nezávislý server zaměřený na produkty ISA server FAQ Kde získat aplikaci pro jednoduché blokování internetu - Internet Blocking Tool? Lze jej zdarma stahnout z http://www.codeplex.com/inetblocker, nebo z portáu Moderní Správce - http://www.modernivyuka.cz/spravce Microsft ISA Server 2006 – příručka pro školy Page 113 Microsft ISA Server 2006 – příručka pro školy Page 114
Podobné dokumenty
Jak na bezdrátovou síť
počítači tak, aby vytvořil svou lokální síť LAN. Přidělí adresu z výrobcem nastaveného rozsahu 192.168.1.xxx a jako bránu k Internetu určí sám sebe tj.: 192.168.1.1. Tato nastavení IP adresy počíta...
VícePRAHA 10 – OUTSOURCING IT
příjem všech požadavků uživatelů služeb. Je centrálním komunikačním uzlem včetně procesního a technického rozhraní jak směrem k interním útvarům poskytovatele služby, tak směrem k uživateli i exter...
VíceUŽIVATELSKÁ PŘÍRUČKA
Automatické připojení/odpojení PPPoE (ADSL): Uživatelé si mohou zvolit automatické odpojení v době nečinnosti a spojení v době, kdy je potřebují, aby ušetřili náklady na přístup k Internetu. Podpor...
VíceUrychlení spuštění systému
Když jsem do počítače nainstaloval systém Windows Vista, všiml jsem si, že se spouští pomaleji než předchozí systém Windows XP. Nyní vím, že systém Windows Vista má vyšší systémové požadavky než ve...
VíceAdministrace a bezpečnost ArcGIS Serveru
a služeb přesouvá na servery. Protokol HTTP (Hypertext Transfer Protocol) se již dávno nepoužívá pouze k přenosu HTML (HyperText Markup Language) dokumentů, ale běží na něm většina aplikací na inte...
Více