Praxis: ISA Server 2004
Mit ISA Server 2004 eine sichere Firewall konfigurieren
Die Installation
Praxis: ISA Server 2004
Der Zweck einer Firewall liegt in der Überwachung jeglichen ein- und ausgehenden Datenverkehrs. Bei den traditionellen Implementie-rungen wird eine Firewall an der Schnittstelle zwischen dem internen und externen Netz (dem Perimeter) platziert.
Sämtlicher Datenverkehr wird dann über diese Kontrollinstanz geleitet. Um die Netzwerke auch physikalisch zu trennen, werden Firewalls mit zwei (oder mehr) Netzwerkanschlüssen ausgestattet einem für das interne Netz und einem nach draußen. Diese Topologie wird auch in diesem Praxis-Artikel als Grundlage verwendet.
PC Professionell steht die Standard Edition von ISA 2004 zur Verfügung. Anfang 2005 soll auch eine Enterprise Edition veröffentlicht werden. Diese wird sich vor allem durch die Anzahl der unterstützten CPUs und der Clustering-Fähigkeit von der Standard Edition abheben. In Hinblick auf den konzeptionellen Aufbau, die Bedienoberfläche oder die Installation sind keine Änderungen zu erwarten. Die Installation von CD erfolgt auf einem Windows Server 2003 Standard Edition. Falls die Installation auf Windows 2000 Server vorgesehen ist, müssen dort zuvor das Service-Pack 4 sowie der Internet Explorer 6 eingespielt werden.
Vor der Installation sollte man sich Gedanken über das Netzwerklayout machen. Bei dem oben erwähnten Modell mit dem ISA-Server als einziger Instanz am Perimeter werden auf diesem Rechner die Firewall selbst und die zugehörige Verwaltungssoftware installiert. Wenn die Firewall an der Grenze zwischen Internet und Intranet installiert wird, spricht Microsoft von einer Edge-Firewall.
Die Konfiguration erfolgt in vier Schritten: der Definition der Netzwerkkonfiguration, der Erstellung der Firewall-Richtlinien, der Konfiguration der Proxy-Funktionen und des VPN-Zugriffs. Abschließend zeigt die Konsole im Überwachungsfenster den aktuellen Status des ISA-Servers an.
Bereits der Installationsassistent von ISA 2004 fragt nach dem Netzwerklayout und ermöglicht es, die zugehörigen IP-Adressbereiche für das interne Netz festzulegen. Besteht das Intranet aus einem einzigen Subnetz, so ist nur dessen IP-Ober- und -Untergrenze anzugeben. Dieser IP-Bereich ist anschließend einer der Netzwerkkarten zuzuordnen. In unserem Beispiel legen wir als Bereich 172.16.0.1 bis 172.16.0.25 fest.
Die IP-Adresse für den Rechner selbst muss der Netzwerkadministrator separat dazu über Systemsteuerung/Netzwerkverbindung vornehmen. Der ISA-Rechner bekommt die IP-Adresse 172.16.0.1.
Der zweite Netzwerkanschluss erhält eine Adresse, die sich vom internen Netz unterscheidet. Diese Adresse wird entweder vom Internet-Service-Provider beziehungsweise einem DSL-Router dynamisch zugewiesen oder statisch vergeben. Nach einem Windows-Neustart ist die Installation abgeschlossen.
Einfache Verwaltung mit MMC
Praxis: ISA Server 2004
Die Konfiguration und Verwaltung des ISA-Servers und seiner Komponenten (Fire-wall, VPN und Proxy) erfolgt durch ein Snap-in der Microsoft Management Console (MMC).
Die MMC zeigt sich in ihrer bekannten Darstellung, bei ISA 2004 ist sie allerdings um ein drittes Fenster am rechten Rand ergänzt. Es zeigt in Abhängigkeit vom gerade ausgewählten Eintrag häufig vorkommende Aufgaben und verwandte Tätigkeiten sowie Hilfen und Vorlagen an. Die kontextsensitive Hilfe erleichtert die Suche nach weiteren Informationen.
Flexible Firewall-Anpassung
Nach der Netzwerkkonfiguration geht es an die Modifikation der Firewall. Diese ist zwar strukturiert, aber gewöhnungsbedürftig. Sie folgt keinem festen Schema, sondern ist so ausgelegt, dass die benötigten Elemente prinzipiell wahlfrei miteinander verknüpft werden können. Mit Element ist hierbei jede Art von Verwaltungseinheit des ISA-Servers gemeint. Dies kann beispielsweise ein Netzsegment, eine Benutzergruppe oder eine Zugriffsregel sein. Aus der Verknüpfung dieser Elemente entsteht die Gesamtkonfiguration. Neu in ISA Server 2004 ist, dass Regeln nun nicht mehr unmittelbar aktiv werden, sondern erst, wenn der Administrator sie über einen Button freigibt. Das sollte nicht sofort erfolgen, sondern erst nach vollständig beendeter Konfiguration.
Grobe Auslese: Netzwerkregeln
Praxis: ISA Server 2004
Nach der Bestimmung des Netzwerktyps (der Topologie des Netzes) wendet sich der Administrator den Netzwerkregeln zu. Diese lassen sich einfach über einen Assistenten oder manuell unter Netzwerkregeln erstellen.
Eine Regel bestimmt den Datenverkehr zwischen den Netzen. Der Netzwerkadministrator muss dabei immer eine Kommunikationsquelle (Netzwerkdatenverkehrsquelle) und ein Kommunikationsziel (Netzwerkdatenverkehrsziel) angeben.
Im Fall des Internetzugangs ist die Quelle das interne Netz und das Ziel das Internet. Sowohl Quelle als auch Ziel können aber auch aus Computergruppen, Adressbereichen, Subnetzen oder VPN-Geräten bestehen. Damit lassen sich nahezu beliebige Kommunikationskanäle aufbauen.
Sinnvoll ist die Kombination mehrerer Regeln. Das Verfahren ähnelt dem, wie es bei Richtlinien anzutreffen ist. So kann eine allgemeine Regel den HTTP-Internetzugang auf Sportseiten nur während der Mittagszeit erlauben: Eine spezielle Erweiterung hebt dann in dieser Zeit durch URL-Blocking den Zugriff auf bestimmte Webseiten auf. Die Regeln werden entsprechend ihrer Position in der Liste von oben nach unten abgearbeitet. Über das Kontextmenü kann ihre Reihenfolge verändert werden.
An der letzten Stelle in der Liste steht die nicht löschbare Regel, dass jede Art von Datenverkehr, die nicht unter eine der vorangegangenen Regeln fällt, von Microsoft ISA Server 2004 unterbunden wird.
Mit der Bestimmung der Richtlinienregeln ist die Erst-Konfiguration abgeschlossen. Die vorgenommenen Änderungen müssen anschließend über den Freigabeknopf (Übernehmen) aktiviert werden
Feinfilter: Firewall-Richtlinien
Praxis: ISA Server 2004
Für eine weitere Abstufung der Zugriffsverfahren ist das beschriebene Vorgehen analog zu wiederholen. Die Netzwerkregeln geben die Kommunikationswege nur grob vor, verfeinert werden sie anschließend über die Firewall-Richtlinien.
Diese Regeln können dabei weitaus spezifischer auf Benutzer, Protokolle, Gerätegruppen, Kommunikationsrichtung oder Ports eingestellt werden. Dazu klickt der Administrator auf Firewall-Richtlinie, wählt eine Richtlinie aus und klickt auf Protokoll/Port. Durch spezielle Optionen können einzelne Regeln auch temporär deaktiviert werden. Das ist sinnvoll, wenn die Regel nicht gelöscht, sondern nur während eines Tests für kurze Zeit ausgeschaltet werden soll. Dazu wird unter Firewall-Richtlinie eine gewünschte Richtlinie ausgewählt, per Rechtsklick Eigenschaften aktiviert und die Option Temporär Deaktivieren ausgewählt.
Unter dem Reiter Aufgaben im rechten Fenster gruppiert das Tool die jeweils gängigsten Arbeiten, die zu erledigen sind. Für die Firewall-Richtlinien gehören dazu etwa das Erstellen und Bearbeiten von Regeln, aber auch komplexere Schritte wie die Veröffentlichung eines Webservers. Die Aufgaben werden teilweise mit Assistenten durchgeführt.
Unter Toolbox verwaltet der Netzwerkadministrator verschiedene so genannte Elemente wie Protokolle, Benutzer, Inhaltstypen, Zeitpläne und Netzwerkobjekte. Letztere sind wieder in Subnetze, Adressbereiche, Computersätze, URL-Sätze oder Domänennamenssätze aufgeteilt.
Diese Elemente lassen sich dann als Auswahlmenge in der Definition der Richtlinien eintragen. So kann zum Beispiel Quelle oder Ziel der K
ommunikation eine Benutzergruppe oder ein Computersatz sein.
Das Content-Blocking wiederum kann für einen URL-Satz oder in Verbindung mit bestimmten Zeitplänen gelten. Die Kombination der Elemente erlaubt einen flexiblen und gestaffelten Aufbau der Richtlinien.
Perfekt: Filtern auf Anwendungsebene
Praxis: ISA Server 2004
ISA Server 2004 wird von Microsoft als Application-Layer-Firewall bezeichnet. Das heißt, der Server filtert im Gegensatz zu reinen Paketfiltern auch die Inhalte der Datenpakete. Notwendig wird dies, da immer mehr schädlicher Code über den Datenanteil der Standard-Protokolle eingeschleust wird. Angriffe wie zum Beispiel SQL-Injections, Command-Injections oder Buffer Overruns sind durch reine Paketfilter nicht zu verhindern. Auch DNS-Attacken, Ping of Death, Port-Scan oder IP-Half-Scan gehören zu den heutigen Angriffsszenarien, die mehr Intelligenz in der Firewall verlangen.
Deshalb mutieren moderne Firewalls, ausgehend von den reinen Paketfiltern über zustandsorientierte Paketfilter (Stateful Inspection) hin in Richtung Application-Layer-Firewalls mit Intrusion-Detection-Funktionen (IDS) und Content-Filtering. Dies gilt auch für Microsofts ISA Server 2004.
Um beispielsweise den gefürchteten Buffer Overrun zu verhindern, sollte der Netzwerkadministrator die Länge von eingehenden URL-Requests und -Antworten auf maximal 512 Byte begrenzen, indem er unter Firewallrichtlinie eine Richtlinie auswählt und Protokolle/Filterung/Allgemein anklickt.
Content-Filter integriert
Praxis: ISA Server 2004
Rudimentäres Content-Filtern durch das Blockieren bestimmter URLs geschieht durch den Aufbau einer URL-Liste unter Firewallrichtlinie/Toolbox/Netzwerkobjekte/URL-Satz. Diese Liste umfasst sämtliche URLs, die blockiert oder alternativ explizit erlaubt sein sollen. Anschließend wird einer bestehenden oder neuen Regel diese URL-Liste bei der Bestimmung des Kommunikationsziels (»Nach«) zugeordnet. Prinzipiell ist es damit möglich, durch die Definition der Filter ein Content-Filtering aufzubauen. Bei komplexeren Umgebungen wird man aber meist auf eine extern gepflegte White oder Black List zurückgreifen.
Für solche und ähnliche Aufgaben, darunter etwa Spam- oder Virenschutz, kooperiert Microsoft mit Partnern wie Cloudmark (Spamfilter), Surfcontrol (Web-Filter) sowie McAfee und Panda (Antivirus). Diese Unternehmen stellen die Patterns zur Virenerkennung oder White und Black Lists zur Vermeidung von Spam bereit.
Das Filtern von Datei-Inhalten sollte man Microsoft ISA Server 2004 überlassen. Unter dem Reiter Protokolle in der Bearbeitung einer Firewallrichtlinie lassen sich Filter für Dateierweiterungen oder Signaturen zuweisen. Ein anderes Szenario ist das Filtern von Mail-Anhängen. Empfehlenswert ist dabei, ausführbare Dateien und Scripte zu sperren. Um dies zu erreichen, klickt der Netzwerkadministrator auf Firewallrichtlinie/Richtlinie auswählen/Protokolle/Filter.
Änderungen an der Konfiguration müssen, wie erwähnt, immer explizit aktiviert werden. Um Fehlversuche rückgängig zu machen, können die Konfigurationseinstellungen in eine XML-Datei exportiert beziehungsweise importiert werden. Dies gilt sowohl für einzelne Regeln als auch für die gesamte Konfiguration. Die Eigenschaft kann sich der Administrator aber auch beim Tausch der Hardware beispielsweise wegen eines Defektes zunutze machen, um die neue Box schnell durch einen Restore der Konfiguration in Betrieb nehmen zu können. Auch für die Duplizierung von bereits erstellten Konfigurationen auf weiteren Servern lassen sich diese Dateien heranziehen.
Auch VPNs sind möglich
Praxis: ISA Server 2004
Zusammen mit der Firewall liefert Microsoft die Tools zum Aufbau und zur Verwaltung von VPNs. Hierbei sind zwei grundsätzliche Verfahren machbar: der RAS-Zugang und VPN-Netze. Zur Integration mit weiteren VPN-Gateways wird nun auch der IPsec-Tunnel-Modus unterstützt. Für die Authentifizierung der Benutzer kann auf einen anzubindenden Radius-Server zurückgegriffen werden. Und schließlich bietet die Software auch die Option, als Proxy-Server für Internetzugänge zu arbeiten. Bei der VPN-Anbindung und dem Proxy hat es im Vergleich zur Vorgängerversion keine bedeutenden Änderungen gegeben.
Für den VPN-Zugang des Geschäftsführers genügt das Aktivieren des VPN-Clientzugriffs in Virtuelle private Netzwerke und das Hinzufügen des Benutzers oder beispielsweise der Benutzergruppe Außendienst.
Die Konfiguration dieser integrierten VPN-Funktion unterscheidet sich also nicht wesentlich von der VPN-Einrichtung bei herkömmlichen Firewall-Systemen.
Alles im Griff: Protokollierung
Praxis: ISA Server 2004
Microsoft ISA Server 2004 erlaubt die Protokollierung für die unterschiedlichen integrierten Komponenten wie den Webproxydienst, den Microsoft-Firewalldienst oder die SMTP-Nachrichtenüberwachung.
Im Einzelnen umfasst jeder Eintrag bis zu 30 optionale Felder (zum Beispiel IP- und Portadressen, Namen von Rechnern oder Netzen, Zugriffsregeln, Anzahl der übertragenen Bytes). Hinterlegt werden die Protokollinformationen für die Webproxy- und Firewall-Dienstprotokolle standardmäßig in einer MSDE-Datenbank (Microsoft Data Engine, alternativ SQL Server). Unter dem Menüpunkt Überwachung wählt der Administrator nach den Kriterien (siehe Screenshot auf Seite N3) wie Anwendungsnutzung, Datenverkehr und Auslastung oder Sicherheitsbelange aus. Die generierten Berichte werden im Log-Verzeichnis von ISA 2004 lokal gespeichert und direkt angezeigt oder sind in automatisch versandten E-Mails mit eingebettetem Weblink abrufbar.