{Бинарный} Форпост | Блог Артёма Синицына

В прошлый раз, рассказывая о новых функциях недавно вышедшего Forefront TMG Beta 3, я упоминал об URL Filtering в свете самого фундаментального нововведения. Причин тому есть сразу несколько, но обо всём по порядку.

Предыстория

Любой администратор, отвечающий за предоставление доступа компании к ресурсам сети Интернет, рано или поздно сталкивается с необходимостью этот самый доступ ограничить, как бы парадоксально это ни звучало.

Полагаю, большинство российских администраторов ISA Server хотя бы раз создавало на самой вершине политики брандмауэра запрещающее правило доступа к таким полезным ресурсам, как odnoklassniki.ru, vkontakte.ru  и иже с ними.

Да, ISA Server позволяет контролировать доступ к ресурсам сети Интернет за счёт запрещающих правил политики брандмауэра (Firewall Policy), наборов URL-адресов (URL Set), наборов доменных имен (Domain Name Set), гибких настоек HTTP-фильтра на уровне приложений и так далее. Проблема в том, что делать это всё приходиться ручками. А так как сеть Интернет динамична по своей природе, созданный вчера набор адресов всех социальных сетей и сайтов знакомств сегодня уже не актуален. Вот и приходиться администратору день за днём разгребать файлы журналов, выуживать из них адреса и сетевые имена и добавлять их в запрещающее правило. А завтра снова в бой, покой нам только снится…

Ну, конечно, не всё ещё прогнило в датском королевстве. Сообщество делится предварительно созданными наборами доменных имен и URL-адресов для ISA Server, разбитых на типовые категории. Правда, многих администраторов, воспользовавшихся данными наборами (служб категоризации на дому), тут же настигает ошеломляющее открытие – сайт Яндекс почему-то оказывается в категории “Детская порнография” и финансовый директор не может получить к нему доступ (что, согласитесь, естественно), а вот сервис, подобный LovePlanet, – в разделе “Finance”, от чего офис-менеджер Люда может посвятить весь рабочий день общению с иностранными гуру фондовых рынков =)

Читать далее…

14 апреля компания Майкрософт выпустила бюллетень безопасности Microsoft Security Bulletin MS09-016, описывающий одну публично раскрытую и одну сообщенную частным образом уязвимости в продуктах Microsoft ISA Server и Microsoft Forefront Threat Management Gateway (Forefront TMG), Medium Business Edition (MBE). Примечателен тот факт, что уязвимость в ISA Server была обнаружена впервые за последние 4 года!

Первая уязвимость позволяют злоумышленнику провести атаку типа “отказ в обслуживании” (Denial of Service, DoS) посредством отправки специальным образом сформированных сетевых пакетов на целевую систему.  Вторая уязвимость позволяет провести XSS-атаку (Cross Site Scripting, межсайтовый скриптинг) на целевую систему и, возможно, получить конфиденциальные данные пользователя, который проследует по специально сформированной злоумышленником URL-ссылке.

Я постараюсь описать каждую из приведенных уязвимостей более подробно. Читать далее…

28 июля сего года был выпущен ISA Server 2006 Hotfix Package, разрешающий проблемы с двумя багами пакета обслуживания Service Pack 1.

Первый из них приводил к периодическому падению службы Firewall service (Wspsrv.exe) после установки Microsoft ISA Server 2006 SP1. Такое поведение было вызвано некорректной обработкой пользовательских запросов, возвращаемых из кэша, при использования в правилах политики брандмауэра настроек типов содержимого (Content Type). Более подробное описание можно найти в статье
The Firewall service (Wspsrv.exe) may crash intermittently after you apply ISA Server 2006 Service Pack 1

Вторая “бага” проявлялась при публикации службы Outlook RPC/HTTP(S) (Outlook Anywhere) сервера Microsoft Exchange Server 2003 посредством ISA Server 2006 SP1. Пользователь Outlook Anywhere, однажды введя некорректные верительные данные, не получал повторного приглашения аутентифицироваться, в то время как клиентское приложение продолжало пытаться пройти процедуру аутентификации с помощью некорректных имени пользователя и пароля. Заканчивался это процесс блокировкой пользовательской учетной записи в Active Directory (что, в принципе, является абсолютно логичным завершением множественных неудачных попыток аутентификации). Причиной такого поведения являлись ошибочные ответы ISA Server SP1 с кодом 502, вместо предложения аутентифицироваться посредством отправки ответа с кодом 401, содержащим заголовок WWW-Authenticate. Более подробное подробное описание приведено в статье
An Outlook Anywhere client continually uses the wrong credentials every time that it tries to authenticate itself on an Exchange server after you install ISA Server 2006 Service Pack 1

В заключение напомню, что постоянное обновление Вашего программного обеспечения является если не обязательной, то уж точно настоятельно рекомендуемой процедурой.

Информация о невозможности установки ISA Server 2006 SP1 на ознакомительные версии продукта, приведённая мною в одном из предыдущих блог-постов, не подтвердилась.

Ваш покорный слуга нашёл время, загрузил ознакомительные версии обеих редакций ISA Server 2006 Standard Edition и Enterprise Edition и произвёл установку ISA Server 2006 SP1. Читать далее…

Появилась информация о потенциальной проблеме, с которой могут столкнуться пользователи после установки Microsoft ISA Server 2006 Service Pack 1. Суть проблемы заключается в том, что после установки SP1 пользователи в ответ на запросы к ISA Server 2006 начинают получать следующую ошибку:

Error Code: 502 Proxy Error. The request is not supported. (50)

На самом деле данная проблема берёт своё начало ещё в Microsoft ISA Server 2004 SP2. В этом пакете обслуживания впервые были представлены фильтры, обеспечивающие обработку компрессированного трафика. Данный функционал обеспечивался двумя веб-фильтрами (Web Filters):

Compression Filter;
Caching Compressed Content Filter.

Имеют место ситуации, в которых для обеспечения совместимости с работой некоторых веб-серверов необходимо отключение вышеуказанных фильтров. После отключения веб-фильтров ISA Server будет блокировать пользовательские HTTP-запросы, содержащие HTTP-заголовок Accept-Encoding, выдавая пользователю ошибку 502, приведенную в начале статьи.

Эта нормальное поведение ISA Server при отключенной функции обработки копрессированного трафика (обеспечиваемой отключенными веб-фильтрами). Так как в этом случае ISA Server не сможет произвести инспекцию ответа от запрашиваемого веб-сервера, происходит блокировка самого запроса. В случаях, когда веб-сервер всегда в качестве ответа использует компрессированный трафик, ISA Server будет также блокировать подобные ответы.

Для разрешения этой проблемы следует обратиться к статье базы знаний:
ISA Server 2004 blocks requests that include the Accept-Encoding HTTP header when a forward proxy is used.

Информация приведеннная в статье также относится к ISA Server 2006 SP1. Статья содержит пример сценария, запуск которого добавляет новый параметр конфигурации ISA Server. С этим параметром ISA Server передает пользовательские запросы, содержащие заголовок Accept-Encoding, запрашиваемому веб-серверу, а полученный компрессированный ответ направляет обратно пользователю. Обращаю Ваше внимание на то, что в данном случае ISA Server не будет инспектировать возращаемый пользователю ответ.

Достаточно часто администраторам Microsoft ISA Server приходится работать с инсталляциями этого продукта в информационной инфраструктуре компании-заказчика. В большинстве случаев установка ISA Server у заказчиков была проведена не Вами, и ответственным за эту операцию может быть как Ваш коллега по компании, так и совершенно неизвестный индивид. При этом бывает просто необходимо быстро определить версию установленного Microsoft ISA Server.

И хотя сделать это достаточно просто, информация об установленных пакетах обслуживания (Service Pack, SP) зачастую не столь очевидна. К примеру, бывает необходимо определить установлен ли Microsoft ISA Server 2006 SP1.

Marc Grote представил общественности статью How to Determine the Correct ISA Server Version and Service Pack Information.

Помимо систематизированной информации, охватывающей все существующие версии ISA Server, в статье также приводятся различные методы определения версии установленных ISA Server Service Pack и продукта MSDE, необходимого для включения функции Advanced Logging.

В конце июля был обнаружен первый баг, относящийся к фунционированию Microsoft ISA Server 2006 после установки Service Pack 1.Проявляется этот “жучок” при публикации службы Exchange Outlook Anywhere (раннее именовавшейся Outlook RPC-over-HTTP(S). До установки ISA Server 2006 SP1 при подключении пользователя к своему почтовому ящику из Office Outlook 2007 через службу Exchange Server 2003 SP2 Outlook Anywhere выдается приглашение на ввод верительных данных пользователя (имени пользователя и соответствующего ему пароля). При вводе некорректных данных окно ввода появляется вновь, предлагая ввести корректную информацию.

После установки SP1 при вводе некорректных верительных данных пользователя окно ввода не появляется вновь. Вместо этого ISA Server повторяет попытку аутентификации пользователя, используя введенные некорректные верительные данные, пока пользовательская учетная запись не будет заблокирована в Active Directory. При удалении ISA Server 2006 SP1 начинает “вести себя” корректно, предлагая ввести данные снова после указания некорректной информации.

Служба поддержки компании Microsoft признала данное поведение багом и создала “private hotfix”. В данный момент исправление отсутствует в публичном доступе, но согласно информации, предоставленной сотрудником службы поддержки, в конце августа будет опубликована статья базы знаний, описывающая этот баг и процедуру его устранения. Эта статья будет иметь номер KB956269.

Более подробно описанная ситуация приведена здесь.

Довольно-таки часто продукт Microsoft ISA Server 2006 приходится внедрять в окружении с несколькими доменами, принадлежащими одному лесу Active Directory. При этом сам сервер с ISA Server является членом одного из доменов.

“Ну и что тут странного?” – удивится читатель. ISA Server 2006 совершенно свободно интегрируется в подобного рода окружение. И я вынужден согласиться, ведь так оно и есть. Но в жизни постоянно, повторюсь, постоянно возникают из ряда вон выходящие ситуации.

И этот сценарий – не исключение. При публикации внутреннего веб-сайта посредством ISA Server 2006 в описанном выше окружении могут возникнуть неожиданные проблемы. Читать далее…

Введение

Согласно моему опыту, большинство ИТ-специалистов, так или иначе взаимодействующих с Microsoft Internet Security and Acceleration Server (ISA Server), фокусируется исключительно на конфигурации служб брандмауэра посредством ISA Server Management Console, забывая о том простом факте, что ISA Server защищён ровно настолько, насколько защищена его операционная система.

Суть в том, что настройке самого продукта Microsoft ISA Server должна предшествовать всесторонняя конфигурация компонентов операционной системы. К примеру, при конфигурировании объектов сетей в ISA Server выбору адресного пространства сети вручную следует предпочесть предварительную настройку конфигурации сетевых интерфейсов сервера. При такой последовательности действий ISA Server сможет использовать информацию из таблицы маршрутизации операционной системы при создании сети. Помимо этого интерфейс настройки сетевых подключений предоставляет довольно обширный диапазон настроек, выходящих за рамки объекта сети в терминологии ISA Server.

В этой статье я постараюсь детально описать процесс настройки сетевых интерфейсов сервера с установленным Microsoft ISA Server. Итак, приступим.

Читать далее…

На данный момент многим из нас известно, что Microsoft ISA Server 2006 Service Pack 1 представлен одним пакетом установки для обоих версий Standard Edition и Enterprise Edition. Но мало кто осведомлён о том, что данный ISA Server SP1 невозможно установить на ознакомительные версии ISA Server 2006 (ISA Server 2006 Trial Software)!

Как далеко не единственный счастливый обладатель подписки TechNet Plus, я давно успел позабыть об ознакомительных версиях продуктов компании Microsoft, ограниченных во времени использования. Придется обзавестись триальными версиями ISA Server 2006 обоих редакций и подвергнуть их всестороннему обследованию на предмет установки Service Pack 1.
О результатах обязательно расскажу на страницах блога.

Обсуждение этого факта на форуме ISAServer.Org.