Microsoft ISA Server 2004

Po zhruba čtyřech letech „služebního“ nasazení konečně na sklonku letošního jara

představila společnost Microsoft novou verzi produktu Internet Security and

Acceleration Server.



Pro administrátory či návrháře sítí, kteří měli možnost sledovat vývojové verze

MS ISA 2004, se jednalo o dlouho očekávaný okamžik uvolnění definitivní verze.

Pokud patříte mezi ty, kteří pozvolný vývoj nesledovali, čeká vás zřejmě řada

překvapení. Nutno dodat, že veskrze pozitivních. Cílem následujících odstavců je

představit vám v hrubých rysech nejen hlavní vlastnosti produktu, ale především

změnu filozofie, jež s nimi souvisí.



Hlavní koncepce

Pokud jste prozatím ovládací konzolu ISA 2004 neviděli, pak je potřeba

předestřít hlavní skutečnost: aktuální provedení aplikace se zásadně liší od

verze 2000, neboť produkt byl přepracován důkladně. Nejedná se v žádném případě

o změny kosmetické či „vylepšovací“, ale o skutečně hlubokou rekonstrukci, jež

bezesporu vycházela mimo jiné z odezvy uživatelů, kteří technologii používali a

naráželi na její limity.

MS ISA 2004 zůstává vícevrstvým firewallem a proxy serverem, určeným pro

nasazení v malých i rozsáhlých síťových infrastrukturách. Postoupíme-li však

více do hloubky, podobnost s předchozí verzi se začne vytrácet a teprve při

podrobnějším ohledání zjistíme, jak zásadní změny se odehrály uvnitř. V první

řadě byla zásadně proměněna filozofie pojmenovávání a rozlišování připojených

sítí, u čehož se dále podrobně pozastavíme. Nyní zkrátka řekněme, že zmizely

limity pro rozlišování lokálních a veřejných (rozuměj nebezpečných) segmentů a

opravdu bez zábran můžeme realizovat širokou škálu scénářů s demilitarizovanými

zónami. Změna koncepce v této oblasti s sebou přináší i vyřešení jednoho

citelného problému, kterým bylo korektní definování průchodu komunikujících

služeb z počítače na počítač, kde samotný ISA 2000 běžel.

Dalším významným krokem bylo projasnění a zjednodušení konfigurace pravidel pro

blokování či propouštění komunikace, doprovázené přepracováním ovládacího

rozhraní do mnohem přehlednější a intuitivnější podoby. Z důvodů, o nichž lze

jen spekulovat, se tak administrace přiblížila i konkurenčním produktům a může

vám vzdáleně připomínat např. rozhraní firewallů CheckPoint. Zásadně pak tvůrci

zapracovali na aplikačním firewallu, přesněji na možnostech pro filtrování

komunikace na aplikační vrstvě. Ruku v ruce s posílenou obranou tato vylepšení

významně usnadní definování průchodu žádoucí komunikace, jejíž definice je

komplikovanější.

Zajímavé novinky přicházejí i v oblasti správy jako takové. Z hlediska zálohy,

migrací a implementací je důležitým vylepšením možnost uložit část konfigurace

či celé nastavení do XML souboru, který lze opět načíst buď na jiném serveru,

nebo udržovat jako zálohu pro systém běžící. Z hlediska správy je pak

nekompromisní novinkou výchozí volba technologie SQL Serveru k protokolování

událostí, takže lze při instalaci vybrat buď plnou verzi SQL Server 2000, nebo

odlehčenou variantu MSDE v odpovídající verzi.

Nastíněné změny jsou samozřejmě pouze letmým výběrem, v následujících odstavcích

se na hlavní témata podíváme podrobněji.



Vztahy mezi připojenými sítěmi

Jedním z citelných omezení technologie ISA 2000 byla koncepce rozlišování a

propojování jednotlivých síťových segmentů, mezi nimiž se následně provádělo

zabezpečení komunikace. Starší koncept byl postaven na existenci tzv. tabulky

LAT (local address table), jež zahrnovala síťové rozsahy segmentů, považovaných

za lokální, rozuměj bezvýhradně bezpečné. Problémem však bylo, že všechny

ostatní sítě byly považovány za „venkovní“, tedy nebezpečné, a to bez rozdílu.

Tato filozofie s sebou nesla značné obtíže: nebylo možné diferencovat mezi

několika interními a externími sítěmi, takže třeba návrh oddělené

demilitarizované zóny nebyl vůbec jednoduchý a znamenal vždy „černobílé“ řešení.

Navíc zde byl nezanedbatelný aspekt v podobě automatického spouštění služby

překladu adres (NAT) mezi sítěmi „z různého břehu“, což opět značně komplikovalo

či přímo vylučovalo ze hry některé složitější scénáře komunikace, třeba mezi

interními sítěmi s různou mírou zabezpečení.

Právě těmto těžkostem je nyní konec, a to díky zcela novému přístupu k

definování síťových segmentů. Tabulka LAT zmizela a „dvoubarevný“ přístup při

dělení sítí také. V ISA 2004 může administrátor nezávisle definovat síťové

rozsahy podle svého uvážení a následně pak nezávisle řídí komunikaci mezi všemi

segmenty navzájem. Zcela ve shodě s vašim návrhem je možné mezi vybranými

segmenty definovat buď překlad adres, nebo prosté směrování, ovšem beze ztráty

možností pro další zabezpečení. Zmizely tedy poněkud násilné vazby, jež bránily

variabilitě v návrhu struktury sítí.

Tímto krokem pochopitelně zásadní proměna nekončí. Hlavní výhoda spočívá

následně v tom, že každému síťovému segmentu je možné přiřadit odpovídající

bezpečnostní politiku, jež řídí příslušné síťové toky mezi jednotlivými

segmenty. Právě tato koncepce je výrazným rozdílem oproti implementaci ve verzi

2000.

Další příjemnou novinkou je možnost definovat „kolekce“ z nadefinovaných

síťových segmentů, což značně usnadňuje tvorbu pravidel a zlepšuje logiku

ovládání. Nic vám tedy nebrání navrhnout více interních, navzájem oddělených

segmentů, jež však budou sdílet např. stejný způsob komunikace pomocí jednoho z

protokolů s externím síťovým rozhraním. Přiřazení pravidla je navíc velmi snadné

a intuitivní.

Velkou pomůckou pro administraci jsou síťové segmenty, definované na firewallu

jako výchozí. Pokud máte v živé paměti snahu korektně na ISA 2000 publikovat

službu, běžící na stejném počítači jako firewall, pak vězte, že nově je k

dispozici jednoznačný síťový segment „localhost“, který lze (či je potřeba)

přiřadit do příslušných pravidel, neboť v ostatních případech se počítač s ISA

2004 chová jako neviditelný a nedosažitelný. Dalším vylepšením je výchozí síť,

zahrnující klientské počítače připojené pomocí služby RRAS ve formě virtuální

privátní sítě. Právě všichni takto připojení uživatelé jsou sdruženi v jeden

segment, jemuž lze snadno přiřadit pravidla. A aby toho nebylo málo, ISA 2004

navíc spolupracuje s technologií „karantény“ na Windows 2003 Serveru, takže

příchozí VPN uživatele lze rozlišit a zařadit jako prověřené a „ostatní VPN“.

Právě absence politik pro klienty VPN byla citelným nedostatkem dřívější verze,

neboť nebylo možné oddělit takto přistupující uživatele od ostatních,

pracujících na ryze lokální síti a tedy typicky v úplně jiném bezpečnostním

režimu.

Zmíněné změny a mechanizmy dovolují realizovat při bezpečném propojování sítí

opravdu velmi rozmanité scénáře a návrháři již nejsou limitování technologií,

jež v dřívější verzi řadu nastavení nedovolila změnit.

Další síťové novinky

V předchozím odstavci jsme se pozastavili nad hlavními změnami ohledně koncepce

návrhu chráněných sítí, zde si povíme o některých dalších novinkách, jež

představují zajímavá vylepšení. V dřívější verzi byla do jisté míry omezena

možnost sestavování tunelovaného propojení mezi vzdálenými sítěmi, typicky

pobočkami či partnerskými firmami. Problém nebyl ani tak mezi dvěma ISA Severy,

tedy v případě čistě „microsoftí“ implementace, ale při snaze navazovat spojení

s technologiemi jiných dodavatelů. V nové verzi tedy naleznete tzv. IPSec Tunel

Mode, což je varianta ideální právě k propojení „site-to-site“ (tedy ne mezi

koncovým uživatelem a větší sítí) i při využití technologií jiných výrobců,

případně linuxové platformy.

Dalším významným rozšířením je možnost univerzálního využití služby RADIUS pro

ověřování přístupu klientů. Běžně používaná technologie byla dříve dostupná

pouze prostřednictvím součinnosti s paralelně spuštěnou a řízenou službou RRAS,

jež vyřizovala požadavky klientů VPN. ISA 2004 nabízí zcela odlišný přístup,

neboť služba RADIUS se stala jeho organickou součástí jako univerzální ověřovací

mechanismus. Lze tedy definovat nejen ověřování klientů virtuálních privátních

sítí, ale také pomocí téže služby řídit přístup na zveřejněné interní servery či

naopak ověřovat klienta vnitřní sítě při snaze o komunikaci směrem ven.

Důsledkem je nezanedbatelná skutečnost: ISA 2004 nemusí být kvůli ověření

uživatelů členským počítačem v doméně, což nadále zvyšuje možnosti důkladného

zabezpečení.

Na první pohled nenápadnou, ovšem velmi významnou novinkou je rozšíření možností

při definování pravidel na bázi určitých protokolů. Oproti verzi 2000, kde bylo

možno pouze vybírat varianty TCP či UDP, je nyní k dispozici „o úroveň níže“

jakákoliv definice protokolu IP. Možná to vypadá na první pohled dosti nejasně,

ale třeba z hlediska práce s virtuálními privátními sítěmi a jejich průchodem

jde o zásadní funkcionalitu.

Právě oblast VPN se dočkala zásadní rekonstrukce a vylepšení. Mezi

nejdůležitější novinky jistě patří publikování VPN serverů přes firewall, a to

jak v případě protokolu PPTP, tak pomocí relativně nové technologie NAT-T,

dovolující propustit protokol L2TP/IPSec. Již samotný fakt, že klienti VPN jsou

odděleni jako samostatná síť, nabízí řadu nových konfiguračních možností, míru

zabezpečení navíc posilují funkce karantény či inspekce celého provozu v případě

sestavení tunelu mezi pobočkami.



Běžící služby

K nejedné zajímavé změně došlo i hlouběji v architektuře ISA Serveru 2004.

Jednou z těch zásadních je sloučení služby (service) firewallu a proxy serveru

do jednoho kompaktního celku. Dřívější oddělení služeb firewall a proxy na dvě

nezávisle běžící části s sebou neslo některé obtíže se stabilitou a výkonností.

Aktuální provedení ve verzi 2004 je prosto podobných zádrhelů, neboť firewall a

proxy služby jsou spojené. Obě funkce byly sloučeny do podoby integrovaného

firewallového stroje, jenž běží jako jediný service a stará se o příslušnou

funkcionalitu. Důsledkem je mimo jiné i zjednodušení některých autentizačních

procedur, jež bylo dříve nutno řešit předáváním službě Web Proxy.



Aplikační firewall

Kontrola a ochrana na úrovni aplikační vrstvy je jedno z hlavních témat, jemuž

se tvůrci věnovali důsledně. Výsledkem je mimo jiné zcela zásadní přepracování

funkcionality, označované jako „publishing“, jež zajišťuje důsledně chráněný

přístup uživatelů z internetu pouze na vymezené interní servery za přesně

definovaných podmínek.

Mezi novinkami najdeme třeba konfiguraci pro filtrování protokolu HTTP nezávisle

pro každé pravidlo zvlášť, což v praxi dovoluje sestavit mnohem flexibilnější

řešení, lze také rozlišovat a následně omezovat určité typy metod HTTP,

kontrolovat stahování souborů podle přípon či zablokovat spustitelné soubory

vůbec. Velmi žádoucí je aplikační filtr podporující protokol RPC, jenž

představuje na platformě Windows zásadní komunikaci. FTP služby lze omezit pouze

na čtení a opravdu zdařilá je také funkce HTTP Link Translator, jež zajišťuje

„překlad“ interních odkazů na veřejně platné varianty, jež jsou vraceny na

požadavky z veřejné sítě. Samozřejmostí je vylepšení aplikačních filtrů pro

komunikaci různých multimediálních aplikací.



Monitorování

K zajímavým inovacím přistoupili tvůrci rovněž v oblasti monitorování a

zaznamenávání událostí na ISA Serveru 2004. Jak již bylo zmíněno výše, nabízenou

součástí instalace je buď napojení ISA Serveru na databázi MS SQL, nebo

instalace samostatně běžícího, bezplatného databázového stroje MSDE, jenž svou

architekturou vychází ze svého většího „sourozence“. Důvodem je nejen potřeba

dostatečně robustního úložiště, ale také způsob práce s uloženými informacemi.

Produkt nabízí monitorování činnosti firewallu i služby web proxy v reálném čase

a samotná podstata úložiště – SQL databáze – dovoluje definovat rychlé

opakovatelné dotazy, jež přesněji odfiltrují potřebné informace. Příjemnou

novinkou je konzola pro automatické testování konektivity v určitých sítích, jež

pracuje na bázi definování vlastních pravidel a adres kontrolních serverů.



Instalace a zpětná kompatibilita

Přestože ISA Server 2004 je zcela novou technologií, na rozdíl od jiných řešení

Microsoftu je příjemná možnost práce se starší verzí operačního systému. Pro

instalaci tedy nutně nepotřebujete novější Windows 2003 Server, ale postačí vám

serverové varianty Windows 2000 s příslušnými záplatami (SP4 a jeden specifický

update „navrch“). Pochopitelně se tímto způsobem připravíte o část nové

funkcionality, jejíž základ je implementován jako nedílná část právě

prostřednictvím nejnovějších serverů. Z důležitých omezení je to např. nemožnost

plně využít režim karantény pro VPN klienty při ověřování pomocí služby RADIUS a

především často žádoucí nasazení propouštění bezpečné komunikace typu IPSec přes

firewall pomocí technologie NAT Traversal (NATT), jež byla nově zabudována právě

do Windows 2003 Server. Druhou uvedenou funkci nelze zprovoznit pomocí žádného

updatu či jiných změn.

Z hlediska nákladů na implementaci je důležitou skutečností podpora přímého

přechodu z verze ISA 2000, a to buď formou upgradu, nebo jinými migračními

postupy. V případě upgradu „in-place“ (tedy na stejném počítači, kde dosud běžel

ISA 2000) máte možnost automaticky přenést většinu nastavení do nové podoby a

značně tak zkrátit dobu zavádění. Samozřejmě je potřeba počítat s tím, že přenos

konfigurace nebude stoprocentní, neboť třeba komponenta pro řízení šířky pásma

byla z verze 2004 zcela odstraněna a další funkce, logování a vytváření reportů,

byla zásadně přepracována na spolupráci s SQL Serverem. Ostatní varianty v

podobě migrace pak zahrnují použití speciálního nástroje ISA Server Migration

Wizard, jehož úkolem je v podstatě „vysát“ původní konfiguraci a přenést ji do

nové verze. Samozřejmě i v tomto případě je třeba počítat s určitými „ztrátami“

při převodu, avšak to podstatné – síťová pravidla – bude k dispozici. Při

následné správě nové verze pak jistě administrátory potěší již výše zmíněná

novinka v podobě možnosti exportu kompletní konfigurace do podoby opakovaně

využitelného XML souboru.

Neméně důležitým faktem je využitelnost starších variant speciálních klientských

aplikací pro ISA Server 2000, resp. MS Proxy Server 3.0. Pokud z nějakých důvodů

vyžadujete ve vaší síti i nadále podporu starších klientských komponent, je

možné při instalaci ISA Serveru 2004 vynutit zpětnou kompatibilitu a nadále je

využívat. Hlavní vymoženost, o níž přijdete, je pak šifrování „služební“

komunikace mezi novým ISA a novými klientskými aplikacemi: veškeré požadavky na

firewall totiž mohou být nově chráněny šifrou tak, aby v lokální síti nebylo

možné odposlouchávat tento režijní provoz.

Z hlediska koncepce klientů však nedošlo k žádným zásadním změnám. ISA Server

2004 i nadále podporuje tři základní typy klientské konfigurace: „plnou“ verzi

Firewall Client, vyžadující instalaci do Windows, univerzální variantu SecureNAT

Client (definovanou pomocí výchozí brány) a webovou formu Web Proxy Client,

realizovanou prostřednictvím webového prohlížeče, v němž lze zadat adresu proxy

serveru (což dnes umí prakticky všechny).



Namísto závěru

Popsat, vysvětlit či jen vyjmenovat všechny zajímavé novinky samozřejmě není na

tomto místě možné. Pokusili jsme se vám předat alespoň část informací o

potenciálu, jenž se za novou verzí velmi zdařilého produktu ukrývá. Ke

konkrétním scénářům jeho nasazení a příkladům konfigurace se třeba dostaneme v

některém z příštích čísel.