{Бинарный} Форпост | Блог Артёма Синицына

“Think” (c) Thomas J. Watson, IBM

Добро пожаловать в ИТ-бестиарий, коллеги. Сегодня мы с Вами познакомимся с таким мифичеcким существом, как Hork Mode. Полагаю, большинство администраторов ISA Server никогда не слышали этого имени. Немногие слышали, но никак не соотносили странное словосочетание с миром межсетевых экранов вообще и ISA Server в частности. Более опытные коллеги же вздрагивали при первых звуках – “hooooooorkkk” :) Но, как известно, у страха глаза, как у героев аниме-сериалов. На самом деле Hork Mode – это название режима работы ISA Server с единственным сетевым адаптером! И поверьте мне, это реально страшно О_О

Давайте подробно разберём имеет ли данный сценарий внедрения ISA Server/TMG право на существование, его преимущества…прошу прощения, их не будет…и недостатки, недостатки, недостатки…Итак ключ на старт, педаль управления дроссельной заслонкой в пол, лязг колёс, первая звуковая…

Читать далее…

Полагаю, большинство из Вас знакомы со столь популярной в наше время темой виртуализации. Использование технологий виртуализации, в частности гипервизора Hyper-V компании Microsoft, для построения серверной инфраструктуры дает Вам целый ряд неоспоримых преимуществ. Но вместе с тем развертывание серверных приложений в виртуальной среде накладывает еще более жесткие и строгие требования к процессу планирования и дизайна Ваших информационных систем.

Это утверждение справедливо и для систем безопасности. Внедрение продуктов семейства Forefront Edge Security, таких как Microsoft ISA Server, Forefront TMG, IAG и Forefront UAG, в виртуальном окружении представляет собой достаточно непростую задачу, требующую очень серьезного подхода к её решению. Как ISA Server/TMG является корпоративным брандмауэром уровня сети, так и остальные продукты семейства Forefornt Edge Security заточены на работу с сетевым трафиком и, соответственно, сильно утилизируют ресурсы сетевой подсистемы. Этот факт становится еще более критичным в контексте виртуализации аппаратных ресурсов сетевых адаптеров. Именно помочь в разрешении подобных проблем с работой сетевой подсистемы виртуализованных межсетевых экранов ISA Server/TMG и призвана данная статья.

Читать далее…

Коллеги, нам с Вами представилась уникальная возможность стать частью нового витка в развитии Microsoft ISA Server! Мы ждали этого целых 3 года: последняя версия ISA Server датирована далеким 2006ым. В процессе ожидания в названии продукта сменились все 3 буквы: ISA –> TMG. И вчерашний вечер подарил нам с Вами, с таким нетерпением ожидаемую, трехбуквенную аббревиатуру версии – Forefront TMG 2010 RTM!

Вслед за официальным представлением Forefront Threat Management Gateway 2010 на конференции Microsoft TechEd 2009 в Берлине и моим докладом на Платформе 2010 в Москве Вы можете загрузить ознакомительную версию TMG 2010 (пока доступна только на английском, немецком и японском языках) и самим убедиться, насколько широко данный продукт расширяет возможности решений семейства Forefront Edge Security. За официальном объявлением о выходе Forefront TMG 2010 RTM Вы можете обратиться к блогу команды разработчиков Forefront TMG.

Так что пристегните ремни безопасности и приготовьтесь к взлету…Только не забудьте загрузить Forefront TMG 2010 :)

Добро пожаловать в завтра!!!

На множестве форумов, повященных ISA Server, неоднократно всплывал вопрос “Поддерживается ли технология VLAN в ISA Server?”

Совсем недавно лично мне пришлось услышать бросающее в дрожь утверждение: “Мы не можем заменить наш шлюз (мегазащищённый фортифицированный пограничный бастион) ИСОЙ (ISA Server), просто потому что эта самая ИСА (ISA Server) не поддерживает виланы (VLAN)” (орфография автора была сохранена с моими комментариями в скобках). К слову сказать, “шлюз” представлял собой старую железку под управлением linux-подобной ОС с настроенным базовым функционалом маршрутизатора. По мнению автора этой убойной фразы упомянутый “шлюз“ выгодно отличался от ISA Server поддержкой VLAN. Именно это наивное заблуждение сподвигло меня к написанию данной заметки.

Внимание, вопрос

Некий $t3p4N из города Самара интересуется: “Поддерживается ли VLAN в ISA Server?”

Мы с вами, уважаемые знатоки, сохраним целую минуту обсуждения и ответим сразу – и нет, и ДА! Далее мы постараемся объяснить господину ведущему столь противоречивый ответ. Читать далее…

Предисловие

За последние несколько лет технологии виртуализации приобрели огромную популярность. В частности, концепция консолидации серверных ролей за счёт миграции физических серверов в виртуальную среду превратилась из сомнительных рассказов о недалёком будущем в решение, доступное практически каждой компании. Но весь этот ажиотаж совершенно не коснулся серверных ролей, призванные защищать сетевой периметр предприятий. Я говорю о серверах удалённого доступа и корпоративных межсетевых экранах. Администраторы брандмауэров уровня сети не ринулись переводить их в виртуальное окружение. Причиной этому является целый ряд факторов.

Во-первых, аппаратные (hardware-based) брандмауэры, яркими представителями коих являются продукты семейства Cisco PIX и ASA, просто не могут работать в виртуальном окружении из-за своей архитектуры. Во-вторых, администраторы, так называемых, программных (software-based) межсетевых экранов, яркими представителями которых являются Microsoft ISA Server и Forefront TMG, считают эксплуатацию промышленных брандмауэров в виртуальном окружении не приемлемой с точки зрения безопасности. Дискуссия о подобного рода аргументации выходит за рамки моей сегодняшней заметки, но я обязательно вернусь к этой теме на страницах {Бинарного} Форпоста.

На сегодня нам будет достаточно того, что с выходом Windows Server 2008, включающем полноценный гипервизор Hyper-V для аппаратной виртуализации серверных приложений, компания Microsoft официально поддерживает эксплуатацию production-серверов с ISA Server и Forefront TMG в виртуальной среде.

Отмечу, что компания Microsoft и ранее поддерживала эксплуатацию ISA Server в виртуальной среде на платформе Microsoft Virtual Server. Но эта поддержка была “не совсем полной”, если позволите так выразиться. Дело в том, что виртуализация ISA Server в среде Microsoft Virtual Server требовала выполнения ряда дополнительных условий. А выполнение этих условий сводило на нет подавляющее большинство преимуществ работы в виртуальной среде.

За подробностями поддержки вендором работы ISA Server и Forefront TMG в виртуальном окружении можете обратиться с документу Security Considerations with Forefront Edge Virtual Deployments.

Принимая во внимание всё вышесказанное, я хочу поделиться опытом практического внедрения Microsoft ISA Server в виртуальной вреде под управлением Windows Server 2008 Hyper-V. Совсем недавно мною был завершён проект миграции физического сервера ISA Server 2004 на ISA Server 2006 в виртуальной среде Hyper-V у одного из наших заказчиков. Но обо всём по порядку.

Читать далее…

Как я и писал, вчера состоялся первый вебкаст серии “Forefront Ninjutsu”, посвящённый теме “Защита электронной почты с помощью Forefront TMG”. И хотя времени для подготовки доклада и создания достойной презентации у меня не было по причине пребывания в очередном отпуске, встреча получилась весьма интересной.

В роли приглашённого эксперта по почтовым системам уровня предприятия, в частности Microsoft Exchange Server, выступил Павел Нагаев. Паша на протяжении всего доклада не скупился на комментарии и представлял взгляд администратора почтовых систем на вопросы обеспечения безопаности внешнего доступа к службе электронной почты. За что ему выражается огромная благодарность!

В рамках встречи мы подробно рассмотрели:

• различные сценарии предоставления безопасного удалённого доступа к почтовым серверам внутренней сети компании, их преимущества и недостатки;
• почему использования маршрутизаторов, устройств преобразования сетевых адресов (NAT) и аппаратных брандмауэров транспортного уровня для публикации внутренних почтовых серверов в наши дни недостаточно с точки зрения безопасности;
• различные сценарии защиты почтовых серверов с помощью Microsoft ISA Server и Forefront TMG;
• механизм создания политики защиты электронной почты (E-Mail Protection Policy) и дополнительных правил маршрутизации почтового трафика (SMTP Route) с помощью Forefront TMG Beta 3;
• механизм настройки параметров защиты почтового трафика от спама, вредоносного кода, а также параметров контентной фильтрации с помощью Forefront TMG Beta 3;
• интеграцию Forefront TMG Beta 3 с другими продуктами безопасности, такими как Exchange Server 2010 Edge Transport Server Role Beta и Forefront Security for Exchange Server 11 Beta 2;
• и многое другое…

Для всех тех, кто по каким-либо причинам не смог принять участия в нашей онлайн-встрече, доступна запись вебкаста. Вы можете загрузить запись в наиболее подходящем для Вас формате и посмотреть доклад в любое время.

Скачать запись вебкаста “Защита электронной почты с помощью Forefront TMG” HFP, Размер: 18.12 MB, Скачали: 64 раз(а).

Скачать запись вебкаста “Защита электронной почты с помощью Forefront TMG” WMV, Размер: 13.87 MB, Скачали: 156 раз(а).

P.S. По прибытии из отпуска я приступлю к подготовке второго доклада серии “Forefront Ninjutsu”.

В прошлый раз, рассказывая о новых функциях недавно вышедшего Forefront TMG Beta 3, я упоминал об URL Filtering в свете самого фундаментального нововведения. Причин тому есть сразу несколько, но обо всём по порядку.

Предыстория

Любой администратор, отвечающий за предоставление доступа компании к ресурсам сети Интернет, рано или поздно сталкивается с необходимостью этот самый доступ ограничить, как бы парадоксально это ни звучало.

Полагаю, большинство российских администраторов ISA Server хотя бы раз создавало на самой вершине политики брандмауэра запрещающее правило доступа к таким полезным ресурсам, как odnoklassniki.ru, vkontakte.ru  и иже с ними.

Да, ISA Server позволяет контролировать доступ к ресурсам сети Интернет за счёт запрещающих правил политики брандмауэра (Firewall Policy), наборов URL-адресов (URL Set), наборов доменных имен (Domain Name Set), гибких настоек HTTP-фильтра на уровне приложений и так далее. Проблема в том, что делать это всё приходиться ручками. А так как сеть Интернет динамична по своей природе, созданный вчера набор адресов всех социальных сетей и сайтов знакомств сегодня уже не актуален. Вот и приходиться администратору день за днём разгребать файлы журналов, выуживать из них адреса и сетевые имена и добавлять их в запрещающее правило. А завтра снова в бой, покой нам только снится…

Ну, конечно, не всё ещё прогнило в датском королевстве. Сообщество делится предварительно созданными наборами доменных имен и URL-адресов для ISA Server, разбитых на типовые категории. Правда, многих администраторов, воспользовавшихся данными наборами (служб категоризации на дому), тут же настигает ошеломляющее открытие – сайт Яндекс почему-то оказывается в категории “Детская порнография” и финансовый директор не может получить к нему доступ (что, согласитесь, естественно), а вот сервис, подобный LovePlanet, – в разделе “Finance”, от чего офис-менеджер Люда может посвятить весь рабочий день общению с иностранными гуру фондовых рынков =)

Читать далее…

14 апреля компания Майкрософт выпустила бюллетень безопасности Microsoft Security Bulletin MS09-016, описывающий одну публично раскрытую и одну сообщенную частным образом уязвимости в продуктах Microsoft ISA Server и Microsoft Forefront Threat Management Gateway (Forefront TMG), Medium Business Edition (MBE). Примечателен тот факт, что уязвимость в ISA Server была обнаружена впервые за последние 4 года!

Первая уязвимость позволяют злоумышленнику провести атаку типа “отказ в обслуживании” (Denial of Service, DoS) посредством отправки специальным образом сформированных сетевых пакетов на целевую систему.  Вторая уязвимость позволяет провести XSS-атаку (Cross Site Scripting, межсайтовый скриптинг) на целевую систему и, возможно, получить конфиденциальные данные пользователя, который проследует по специально сформированной злоумышленником URL-ссылке.

Я постараюсь описать каждую из приведенных уязвимостей более подробно. Читать далее…

За всё время существования Microsoft ISA Server в его “огороде” накопилось столько камней относительно организации отказоустойчивого доступа к ресурсам сети Интернет, что не стоит и пытаться их сосчитать. Нужно признать, что ISA Server не поддерживает одновременную работу с двумя интернет-каналами (в данном случае не рассматривается использование массива ISA Server Enterprise Edition с подключением каждого члена массива к отдельному провайдеру). Отсутствие этого функционала в ISA Server обуславливается отсутствием данной возможности в службе маршрутизации операционной системы, то есть Windows Server. Причем даже “горячее” резервирование интернет-канала, реализованное за счет написания собственных скриптов, зачастую не работает должным образом. Это что касается состояния дел на сегодняшний момент. Чем же нас обрадует ближайшее будущее?

Читать далее…

28 июля сего года был выпущен ISA Server 2006 Hotfix Package, разрешающий проблемы с двумя багами пакета обслуживания Service Pack 1.

Первый из них приводил к периодическому падению службы Firewall service (Wspsrv.exe) после установки Microsoft ISA Server 2006 SP1. Такое поведение было вызвано некорректной обработкой пользовательских запросов, возвращаемых из кэша, при использования в правилах политики брандмауэра настроек типов содержимого (Content Type). Более подробное описание можно найти в статье
The Firewall service (Wspsrv.exe) may crash intermittently after you apply ISA Server 2006 Service Pack 1

Вторая “бага” проявлялась при публикации службы Outlook RPC/HTTP(S) (Outlook Anywhere) сервера Microsoft Exchange Server 2003 посредством ISA Server 2006 SP1. Пользователь Outlook Anywhere, однажды введя некорректные верительные данные, не получал повторного приглашения аутентифицироваться, в то время как клиентское приложение продолжало пытаться пройти процедуру аутентификации с помощью некорректных имени пользователя и пароля. Заканчивался это процесс блокировкой пользовательской учетной записи в Active Directory (что, в принципе, является абсолютно логичным завершением множественных неудачных попыток аутентификации). Причиной такого поведения являлись ошибочные ответы ISA Server SP1 с кодом 502, вместо предложения аутентифицироваться посредством отправки ответа с кодом 401, содержащим заголовок WWW-Authenticate. Более подробное подробное описание приведено в статье
An Outlook Anywhere client continually uses the wrong credentials every time that it tries to authenticate itself on an Exchange server after you install ISA Server 2006 Service Pack 1

В заключение напомню, что постоянное обновление Вашего программного обеспечения является если не обязательной, то уж точно настоятельно рекомендуемой процедурой.