40 érv - ami számít II.
2006/08/02 23:44
643 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
ISA Server 2004 előnyök felsorolása 40 pontban, több részben

4. VPN hálózatok ellenőrzése

Ha most a VPN karanténra gondol a (nagyobb rutinnal rendelkező) Kedves Olvasó, akkor türelem, később lesz arról is szó. De ez a pont egy kicsit mélyebb szinten értendő, konkrétan az ISA 2004 egyik csomagszűrési lehetőségéről, azaz a "Three-way handshake" ("3 ujjas kézfogás") módszerrel dolgozó stateful filter-ről. Még pontosabban arról, hogy a klasszikus TCP forgalomban való alkalmazás mellett az ISA 2004 a VPN kapcsolatokban is képes használni ezt a módszert a forgalmazásban résztvevő két oldal egymás iránti, kölcsönös bizalmának megteremtése apropóján. Ez a lehetőség elsősorban abból adódik, hogy a VPN kliensek külön hálózatot "kaptak", amelyet az eddigiek értelmében szintén jobban képesek vagyunk felügyelni, és tetszés szerint tűzdelhetjük meg saját tűzfal szabályokkal is. Ám a stateful filtering nem jár ekkora szabadsággal, nem konfigurálhatjuk szabadon, dolgozik mindig. A three-way handshake, azaz SYN-SYN-ACK-ACK :)

5. Site-to-Site VPN hálózatok ellenőrzése

Az ISA2000-ben a Site-to-Site VPN hálózatok esetén zéró lehetőségünk volt a kontrollra, nem volt semmilyen szűrési lehetőség vagy opcionális tűzfal szabály alkalmazás. Az ISA 2004-ben ez szerencsére változott, egyrészt az imént említett stateful filtering itt is működik, másrészt felhasználó/csoport szintű szűrésre is van lehetőség.

6. SNAT támogatás a VPN kliensek felé

Szintén hiányosság volt az ISA 2004 megjelenéséig az a lehetőség, hogy a ISA VPN kiszolgálóhoz csatlakozott VPN ügyfelek működő tűzfal kliens nélkül is jussanak internet hozzáféréshez. Ez a lehetőség immár adott az SNAT (SecureNAT, a legkevésbé macerás ISA kliens, elég neki az alapértelmezett átjáró IP címe, nem kell telepíteni, konfigurálni semmi egyebet) kliensek számára is, ergo nem kell bajlódni a tűzfal kliens telepítéssel.

7. VPN karantén

Az ISA 2004 kibővíti a Windows Server 2003 RRAS VPN karantén szolgáltatását, illetve a Windows 2000 kiszolgálókon is lehetővé teszi eme technika alkalmazását. Dióhéjban erről annyit (részletekért lásd a TechNet Magazinban megjelent két részes írást, hogy a VPN kliensek nem kapnak alapból hozzáférést a belső hálózathoz, hanem a speciális VPN kliens (amelyet az üzemeltető állit elő a Windows részeként feltelepíthető Connection Manager Administration Kit-tel) és az ISA-ra telepített VPN karantén szolgáltatás kommunikál egymással először. Ennek eredményeképpen csak bizonyos feltételek (bekapcsolt tűzfal, friss vírusirtó adatbázis, biztonsági frissítések megléte, stb.) teljesítése után léphet át a sztenderd VPN kliens hálózatba a távoli gép. Ellenkező esetben a kapcsolat automatikusan lebont és ez így lesz mindaddig, amíg nem teljesülnek az üzemeltető által meghatározott feltételek.

8. PPTP szerver publikálás

A kibővített protokoll támogatásnak hála immár nem csak L2TP/IPSec NAT-T VPN szervereket lehetséges publikálni a belső hálózatból, hanem pl. az egyszerűen létrehozható, minimális igénnyel fellépő, ám azért elégségesen biztonságos PPTP protokollt használó VPN kiszolgálókat is. Ráadásul a kapcsolat biztonságossá tételéhez az ISA 2004 rendelkezik egy integrált PPTP alkalmazásszűrővel is.

9. Az IPSec tunnel használata a Site-to-Site VPN-nél

Az ISA 2004-ben megjelent a harmadik protokoll a hálózatok biztonságos összekötésére, és ez pedig az IPSec (önmagában). Azért rendkívül fontos, mert egy rakat hardveres router (a Soho kategóriából) is támogatja ezt a VPN technikát, ergo egy telephelyes hálózatban (ha nem akarunk / nem tudunk / nem fontos a telephelyenként 1-1 ISA kiszolgálót is bevetni) viszonylag egyszerűen ki lehet építeni a biztonságos forgalom biztosítása végett ezekből az eszközökből és a központi ISA szerverből a háttér infrastruktúrát.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
All you need is code Minden a kódolás tanulásához
eBiztonság Minősítés Minősítési rendszer oktatási intézményeknek