Bevezetés
A karantén kissé rosszemlékű szó. Nekem mindig Rejtő Jenő egyik nagyszerű könyve ugrik be erről a kifejezésről:
"A karanténban lehorgonyzott járművekre egy kis őrhajó felügyel, amely háromóránként kifut a tengerre, és sorra veszi a járműveket. Az őrök errefelé kérdezés nélkül lőnek, akár a partról, akár a tenger felől közeledik valaki." (Rejtő Jenő: Az elveszett cirkáló).
Ám egy ideje már valami más, lényegesen földhözragadtabb téma is beugorhat minden üzemeltetőnek e kifejezéssel kapcsolatban. Pontosabban főleg azoknak, akik hozzáférést adnak azoknak az otthoni/utazó felhasználóiknak, akik nyilvános hálózaton keresztül férnek hozzá a cég belső hálózatához. Ha nem csak levelezésről, OWA-ról van szó, akkor célszerű VPN segítségével csatlakozniuk, hiszen maga a csatlakozás és a "csőben zajló" kommunikáció is biztonságos, ráadásul viszonylag egyszerűen megvalósítható mindkét oldalon illetve könnyen is szabályozható (többféle protokoll, házirendek, névfeloldás, stb.).
De van egy súlyos hátránya is, mert bár a VPN ügyfél a sebességet leszámítva úgy érzi ugyan, mintha benti hálózatban dolgozna, és ennek szerfölött örül(het) is, ám mi viszont igen rosszul érezhetjük magunkat, és szomorúak vagyunk: ti. nem hat rá semmilyen biztonsági óvintézkedés, ami bent megszokott.
Nincs pl. központilag kötelezően bekapcsolt tűzfala, nincsenek csoportházirendből érvényesülő megszorítások, nincs központi helyről automatikusan frissülő, víruspajzzsal ellátott víruskereső, nincs a rendszergazda által feltelepített, háttérban settenkedő antispyware program. Ezen kívül fogalmunk sincs, honnan kapcsolódik, és mi minden van a feltelepítve a gépére, és még sorolhatnánk. Viszont bent van a hálózatban, terjesztheti a kártevőket, lehet rajta akár több vírus/spyware szóró automata, meg spéci SMTP szerver, futtathat bármit (akár a tudta nélkül is), hiszen egy átlagos felhasználótól nem várható el (vagy ha igen, akkor se) h odafigyeljen ezekre, a dolgokra. Ez így viszont nem túl ésszerű, hiszen hogy védjem meg a hálózatomat, ha egyrészt adni akarok (muszáj) lehetőséget a távoli munkára, hozzáférésre, de a másik kezemmel meg olyat engedek meg, amit a belső hálózaton a legnagyobb jókedvemben, a legtöbb kólát/sört/hamburgert/pizzát hozó júzernek sem? Pedig így van, ez a dolog benne van a pakliban.
De azért van némi gyógyír,
és ez pedig a VPN karantén, amelyet már az ISA 2004 előtt is kipróbálhattunk, hiszen a Windows Server 2003 a Resource Kit Tools-sal és az RRAS-sal felturbózva kínál egy megoldást. Ám az ISA 2004-gyel mégis komplexebb (nemcsak port- és időtartamszűrő) és mégis egyszerűbb módszerhez jutottunk, ezért ebben a cikksorozatban főképp ezt a módszert vizsgáljuk meg. Természetesen nem tökéletes és hibátlan ez a technológia sem, de erről majd később lesz bővebben szó. A cikk kifejezetten gyakorlati szempontból közelít a témához, méghozzá 4 fő részre szelve azt.
- Előkészületek és működés
- Karantén beállítása az ISA szerveren
- Profil létrehozása a Connection Manager Administration Kit-tel (Csatlakozáskezelő felügyeleti csomag)
- Profil kijuttatása az IIS/ISA párossal, illetve némi kliens oldali teendő
Tehát először essen pár szó a karantén létrehozásának feltételeiről és működésének alapjairól.
Előkészületek
Nincs szükség különleges előkészületekre, és elvileg még a Windows Server 2003 sem szükséges, mivel az ISA 2004 lényegében "hozza" a szolgáltatást (igaz, a Windows 2003 Resource Kit Tools telepíthető, de a szükséges szerviz telepítése sikerült, tovább viszont nem mentem ebben a környezetben). A Windows Server 2003 SP1 az ISA 2004-es megvalósítás esetén sem életbevágó feltétel, önmagában való alkalmazása esetén viszont kifejezetten hasznos, hiszen az SP1 telepítése után már külön szkript nélkül (lásd később) is megoldható a VPN kapcsolat megtagadása, ha a kliensen nincsenek telepítve a legújabb biztonsági frissítések.
Fontos elem viszont a Windows 2003 Resource Kit Tools, pontosabban a következő 4 komponense:
- Rqs.exe: Remote Quarantine Server
- Rqc.exe: Remote Quarantine Client
- Rqs_setup.bat: a Remote Access Quarantine Agent szerviz telepítője/beállítója (a szerveren)
- RqsMsg.dll: Remote Access Quarantine Agent Message DLL
Ezzel kapcsolatban felhívnám a figyelmet arra, hogy a Resource Kit Tools kiadása óta frissítették az rqs.exe-t, amelyet a Resource Kit telepítése után (de csak ekkor) tudunk feltelepíteni, és célszerű is, mert a Microsoft ajánlása szerint az új ISA-hoz ez kell. A kliensekről még nem beszéltünk, viszont bőven nem is kell, Windows 2000-től felfelé a kliens és szerver Windows-ok egyaránt alkalmasak erre a feladatra. Természetesen egy korrekt, működő VPN szerverre is szükség van, ISA 2004 alatt ez egyszerűen megoldható, ám erről itt most nem lesz szó, Tom Shinder viszont részletesen kifejti.