Érvek az ISA2004 mellett III.
2004/11/21 22:19
1014 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
ISA 2000 szerverünk van és elégedetlenek vagyunk? Éppen a frissítést fontolgatjuk? Ideje megismerni az új változatot? Ebből a cikksorozatból választ kaphatunk néhány kérdésre.

Az e cikkben felsorolt újdonságok

  1. Sorrend kialakítása a szabályoknál
  2. AD-től független csoportok (firewall groups) készítése
  3. Korrekt HTTP szűrés (akár szabályonként ki/bekapcsolható)

1. Sorrend kialakítása a szabályoknál

Az új ISA-ban teljesen megváltozott az Access Policy modell. Nincsenek külön publikáló szabályok, nincsenek csomagszűrők illetve nincsenek külön mappába rakott engedélyező szabályok. Minden egy helyen található, a faszerkezet Firewall Policy menüpontjában (ezt egészíti ki az alapértelmezés szerint minden rendszeren meglévő System Policy, amely gyárilag fel van töltve és a View/Show System Policy Rules paranccsal válik láthatóvá). A Firewall Policy-ban tehát egy helyen elvégezhetjük az összes engedélyezést/tiltást az összes hálózat és az összes interfész számára. Kérdés, hogy ez jó-e vagy sem, mindenesetre könnyen megszokható. Viszont itt egy másik - mindenképpen pozitív - újdonsággal is számolnunk kell, mégpedig azzal, hogy a szabályokat sorrendbe állítja az ISA 2004. A legfelső szabály a "legerősebb", és lefelé csökken az erőssége. Persze ez csak akkor van így, ha éppen azonos vagy összeérő dolgokra vonatkozik két szabály, ilyenkor számít csak, hogy a listában elfoglalt pozíciójuk egymáshoz képest milyen. Természetesen a szabályokat mozgathatjuk, pl. a helyi menü segítségével a listában le- vagy felfelé.

2. AD-től független csoportok (firewall groups) készítése

Az ISA 2000-ben háromféle alapon van lehetőségünk kimenő-bejövő engedélyeket adni a belső hálózat "tagjainak", vegyesen gépeknek vagy felhasználóknak (persze ez a kliens típusától is függ):

  • IP tartomány alapján, azaz egy Client Address Set-en keresztül, amelybe a hálózatunk különböző gépeit rakhattuk, pl. elkülönítve így a szervereket, a tanulói/tanári gépeket, vagy pl. a dial-up/VPN usereket.
  • Helyi vagy tartományi tetszőleges felhasználóknak, akár egyesével, akár többnek is egyszerre
  • Helyi vagy tartományi csoportoknak, akár egyesével, akár többnek is egyszerre

A lényeg az, hogyha az utóbbi kettőt választottuk, akkor muszáj volt az adott usernek/csoportnak a helyi/tartományi adatbázisból "jönnie". Éppen ezért ezeket a csoportokat, felhasználókat le kellett gyártani előzetesen, ha mondjuk a meglévők nem passzoltak. Ez egyben azt is jelentette, hogy az ISA "gazdájának" nem ártott mondjuk tartományi szintű rendszergazdának lenni, azért hogy az ISA-n felmerülő igényeknek megfelelően gyárthasson le csoportokat illetve felhasználókat az AD-ben. Ez a korlátozás egyúttal azt is jelentette, hogy más rendszerekből, platformról érkező felhasználókat sem használhattuk az engedélyek megadásakor. Az ISA 2004-ben viszont tetszőleges számú ún. firewall groups-okat készíthetünk, amelyekbe szintén tetszőlegesen válogathatunk be felhasználókat ill. csoportokat a következő névterekből egyaránt.

  • Windows Users and Groups (helyi vagy az AD-ből behozott felhasználók/csoportok, innentől ezeket is szabadon szervezhetjük, maximum "read" jog kell az AD-ból.)
  • RADIUS névtérből (pl. Linux/UNIX-ról a RADIUS-on keresztül)
  • vagy az RSA Secure ID névtérből (az RSA Security-tól származó SecurID termékeket használó, speciális ún. kétfaktoros hitelesítést alkalmazó felhasználók)

Ezenkívül jó ha tudjuk, hogy az új ISA a következő előre elkészített csoportokat tartalmazza:

  • All Authenticated Users: az összes hitelesített felhasználó, azaz pl. a web proxy és tűzfal kliensek valamint a VPN kliensek is.
  • All Users: minden felhasználó, azok is akik hitelesítik magukat, és azok is, akik nem.
  • System and Network Service: ez a kategória a Local System és a Network szervizek fiókjai számára van fenntartva, és néhány rendszer-házirend szabálynál (System policy) kap szerepet.

3. Korrekt HTTP szűrés (akár szabályonként ki/bekapcsolható)

ISA 2000 esetén ha egy alkalmazás a 80-as porton keresztül működött kifelé (pl. Java alapú chat-ek, webes ICQ, webes Messenger, esetleg Kazaa és tsai, illetve egyéb rosszindulatú programok, stb.), nem tehettünk ellene semmit, mivel ennek a portnak a tiltásával megszűnt volna az összes szükséges HTTP forgalom is. Külső gyártóktól származó programokat ISA bővítményként használva lehetséges volt eredményt elérni, de ez általában egy rendkívül költséges megoldást jelentett. Viszont az ISA2004-gyel egyszerűbb: beépítve rendelkezik egy, akár szabályonként be- illetve kikapcsolható HTTP Security szűrővel, amelyet elég alaposan konfigurálhatunk. Többek között megtehetjük például azt, hogy futtatható állományokat blokkoljuk (Block responses containing Windows executable content; lásd a kép alján). Természetesen nem a kiterjesztést figyeli, hanem a tartalmat, tehát az átnevezés nem megoldás. Kicsit nehéz feladat előtt állunk, ha meg akarjuk keresni a szűrő beállításait, mert jól el van dugva. Az egyes, a HTTP protokollt is tartalmazó szabályoknál kattintsunk a HTTP protokoll tulajdonságaira, majd ellenőrizzük, hogy a "Parameters" fül alján a "Web Proxy Filter" be van kapcsolva. Ha igen, akkor az OK után, a "Protocols" panel alján a "Filtering" alatt megleljük a "Configure HTTP" parancsot.

De ha már megvan, akkor arra is van lehetőség, hogy pl. bővítsük a filter tudását, tiltani kívánt HTTP metódusokat, további állomány kiterjesztéseket hozzáadva, vagy például a HTTP fejlécben utazó, a különböző alkalmazásokra egyedileg jellemző sztringeket tiltva (pl. a fenti felsorolásban találhatóakat is, de ezen a címen egy jóval nagyobb gyűjtemény találunk). A filternek rengeteg, igazán hasznos és izgalmas lehetősége van, amelyekből most épp csak felvillantottunk párat, tessék megismerkedni vele!

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten