Microsoft ISA Server
Da Security e-Book.
Internet Security and Acceleration (ISA) Server di Microsoft non é solamente un proxy server, ma svolge anche funzioni di Firewall. Esso può essere configurato come soluzione integrata di firewall, proxy e IDS, oppure può essere solamente installato con funzioni di proxy. Una nota peculiare di ISA stà nel fatto che é capace di effettuare content inspection, di filtrare cioé il contenuto del traffico HTTP e negando quindi l’accesso a risorse protette. Inoltre, ISA server é in grado di svolgere la funzionalità di socks server, permettendo cioé anche l’uso di altre applicazioni TCP/IP. Come ogni prodotto Microsoft, é in grado di integrarsi perfettamente nel contesto dell’Active Directory, per poter implementare e distribuire le policy di accesso e integrarsi con la base utenti aziendali. Questa funzionalità, unita alla sua facilità di utilizzo e alla popolarità di Microsoft, hanno diffuso ISA Server soprattutto nella piccola e media impresa.
L’autore consiglia l’uso di Microsoft ISA Server in aggiunta ad altri accorgimenti per salvaguardare la rete aziendale da Internet, ad esempio configurando opportunamente le Access Control Lists sul router di accesso. In ambiente Wireless, una protezione equivalente alle ACL può essere rappresentata dall’uso di WEP e da quanto indicato nel capitolo precedente. ISA server é pertanto un ottimo sistema di protezione delle reti Wireless per chi ha già familiarita con questo strumento, oppure intende avvalersi degli ambienti Microsoft.
Per installare Microsoft ISA Server, é necessario avere un sistema operativo Windows 2000 Server Service Pack 1 o superore, oppure Windows 2003 Server (con esclusione della web server edition). Si assume che la macchina abbia almeno due interfaccie di rete, una per la rete interna e una per la rete wireless, che sia già installato il sistema operativo e che l’amministratore abbia familiarità con Windows Server.
Indice |
Installazione
L’installazione di ISA Server é simile a quella di altri prodotti Microsoft. Durante l’installazione, il programma chiederà se questo server deve essere parte di un array member, premere No se non si dispone di altri ISA server. Successivamente verrà proposto come installare ISA Server tra Firewall mode, Cache mode e Integrated mode: sceglire Integrated mode, in quanto permette la funzione combinata delle prime due.
L’ultima scelta durante l’installazione é relativa alla Local Address Table (LAT), ovvero l’intervallo di IP address considerati “interni”: nel nostro caso, considereremo “interni” la LAN Wireless e successivamente modificheremo le opzioni per abilitare solo il traffico autenticato.
Utenti e Sicurezza di Windows Server
Prima di configurare ISA server é consigliabile creare gli utenti che saranno abilitati all’accesso, nel caso si trattase di un server standalone, e un gruppo per gli utenti Wireless. Una volta avvenuto l’accesso al sistema da utente “Administrator”:
- Selezionare Start, Programs, Administrative Tools e Computer Management
- Selezionare Local Users and Groups
- Selezionare Users, e con il tasto destro del mouse, New User. Aggiungere pertanto gli utenti come consuetudine. Ripetere per ogni utente che debba avere accesso alla rete Wireless.
- Da local Users and Groups, selezionare Groups e, con il tasto destroy del mouse, New Group.
- Come Group name indicare Wireless Users, indicare una descrizione e aggiungere con il pulsante Add gli utenti definiti.
Nel caso si trattasse di un server collegato ad un dominio Active Directory, non é necessario provvedere alla creazione di utenti, in quanto valgono quelli già definiti, ma é comunque consigliabile creare un gruppo “Wireless Users” per una maggiore facilità di configurazione di ISA.
Grazie ad un tool di ISA Server, é possibile effettuare l’hardening del server ISA, ovvero la rimozione dei servizi non necessari, pertanto rendere più sicuro il computer che sarà destinato all’incarico di proxy. Questa opzione è disponibile aprendo Programs, Microsoft ISA Server e selezionando il ISA Management. Una volta aperto questo programma, che è il centro di controllo del server, selezionare Access Policy, IP Packet Filter e successivamente l’icona Secure your ISA Server Computer dalla finestra principale. Il sistema proporrà tre opzioni di configurazione:
- Dedicated. Questa opzione è consigliata se la macchina su cui è installato ISA Server è dedicata alla sola funzionalità di firewall
- Limited Services. Questa opzione è valida per le macchine che fungono da Domain Controller o fanno parte dell’infrastruttura
- Secure. È una opzione per quei firewalls che sono anche database server o application server
Per una migliore protezione, si consiglia che ISA Server sia installato su una macchina dedicata e che non funga ad altri servizi. A questo scopo, la prima opzione (Dedicated) è quella più opportuna.
Configurazione di ISA
Per procedere ad abilitare i client Wireless è necessario configurare Microsoft ISA Server dal suo tool di amministrazione, ovvero ISA Management. La prima azione da effettuare è quella di controllare la Local Address Table (LAT) configurata durante l’installazione di ISA Server. La LAT indica quali IP address sono da considerare “interni”, e quindi affidabili: durante la configurazione verrà modificato il comportamento di default, in modo da richiedere l’autenticazione dei clients. Per verificare la LAT, da ISA Management è necessario selezionare Network Configuration e successivamente Local Address Table (LAT) dal pannello alla sinistra. Nel pannello principale, verificare che vi sia un rigo con l’intervallo degli IP addresses assegnati ai client: per modificarli, selezionare il rigo e con il tasto destro del mouse selezionare Properties.
Successivamente è necessario modificare le Access Policy per abilitare l’accesso Wireless. In ISA Server esistono due tipi di policy, il Site and Content Rules e i Protocol Rules. I primi riguardano principalmente HTTP e servono per la funzione di proxy cache vera e propria, in una maniera simile a quella di Squid, permettendo a client non-windows la "navigazione" HTTP. I Protocol Rules agiscono a livello circuit-level e abilitano la possibilità ad accedere ad altre applicazioni, quali ad esempio POP3 e IMAP, ma é una funzionalità disponibile ai soli client windows tramite un software da installare. È da sottolineare che le due policy sono totalmente indipendenti l'uno dall'altra, inoltre anche attraverso le Protocol Rules é possibile navigare in Internet (abilitare cioé HTTP), ma si perdono le funzionalità di cache e le funzioni di "inspection" all'interno di HTTP e la possibilità di navigazione per altri clients (es: Linux e Apple).
Site and Content Rules
Per configurare le Site and Content Rules, posizionarsi nell'apposita voce che si trova sotto la categoria Access Policy. Esiste una regola di default, chiamata Allow Rule, che bisogna disabilitare per funzionare in ambito Wireless. Selezionare questa regola e successivamente l'icona Configure a Site and Content Rule. Verrà proposta una finestra di dialogo, in basso disabilitare la checkbox contrassegnata con Enable.
Successivamente selezionare l’icona Create a Site and content Rule per iniziare il wizard di configurazione. La prima schermata chiede il nome della regola, che verrà chiamata “Wireless LAN”.
Successivamente è necessario specificare il tipo di azione, ovvero se si tratta di una regola permissiva (Allow) o di diniego (Deny), indicare Allow e premere Next.
Il passo successivo indica il Destionation Sets, ovvero quale sia la destinazione della comunicazione. È necessario indicare tutte le destinazioni, quindi selezionare All destinations e il pulsante Next.
Nella sezione Schedule, ISA Server richiede all’amminstratore quando questa regola debba essere attivata. Potrebbe essere interessante abilitare l’accesso http soltanto negli orari di lavoro, in modo da evitare attacchi notturni, ma per facilitare la configurazione è preferibile che questa regola sia sempre attiva, quindi selezionare Always e premere Next.
Successivamente viene proposto all’amministratore quali utenti o computer siano abilitati all’accesso. Any request indica tutti i client, Specific computers limita l’accesso a computer specifici, mentre Specific users and groups limita l’accesso a determinati utenti. Si consiglia quest’ultima opzione, in quanto è possibile tenere traccia degli accessi utente. Premere quindi Next.
Nella schermata successiva verrà richiesto quali utenti sono abilitati all’accesso via HTTP. Premere il pulsante Add e, dalla finestra di dialogo degli utenti e gruppi disponibili, selezionare il gruppo Wireless Users precedentemente creato sul sistema.
Non appena premuto Ok e successivamente il tasto Next verrà visualizzata una schermata riassuntiva. Premere Finish per applicare i cambiamenti.
Protocol Rules
Come accennato precedentemente, i Protocol Rules sono indipendenti dai Site and Content Rules e non sussiste obbligo di configurare entrambe le regole, inoltre agiscono a livello circuit-level, permettendo l’utilizzo di altri protocolli (ad esempio Telnet e POP3). Il principale svantaggio di questa opzione è che il programma client è disponibile solo per ambienti Windows, ma è sicuramente una opzione interessante qualora tutti i client fossero della famiglia Windows. Per configurare questa opzione, dal tool ISA Management selezionare Access Policy e successivamente Protocol Rules come da figura sottostante.
Qualsiasi regola esistente va cancellata attraverso l’icona Delete a Protocol Rule e successivamente creandone una nuova con Create a Protocol Rule. Questo comando farà avviare un wizard che permette la configurazione di nuove Protocol Policies. Alla prima schermata indicare il nome della policy, ad esempio Wireless LAN e premere il pulsante Next.
La schermata successiva, Protocols, permette di selezionare i protocolli che vengono permessi. Per una ricerca migliore dei protocolli si consiglia di disattivare la checkbox Show only selected protocols, selezionare i protocolli prescelti (esempio Telnet, IMAP e FTP) e riselezionare la checkbox per effettuare una verifica finale dei protocolli selezionati. Non appena terminata la selezione dei protocolli, premere Next.
In maniera analoga alle Site and Content Rules, anche nei Protocol Rules è possibile indicare l’intervallo di tempo in cui si applicano queste regole. Qualora non si decidesse di limitare l’intervallo di tempo, lasciare il default Always e premere il pulsante Next.
Anche per Protocol Rules è possibile specificare quali utenti o computers siano abilitati all’accesso. In questo esempio, si è scelto di selezionare l’accesso in base agli utenti, quindi specificare Specific users and groups e premere Next.
Analogamente a Site and Content Rules, è necessario selezionare quali utenti o gruppi di utenti concedere l’accesso alla rete locale. Agendo sul pulsante Add verrà presentata una finestra di dialogo con gli utenti e i gruppi presenti sul sistema, quindi selezionare il gruppo Wireless Users e premere Ok. Ritornati al Protocol Rule wizard, selezionare Next.
La configurazione della regola di protocollo è terminata, premere quindi Finish per attivare i cambiamenti.
Configurazione del Firewall Client
Per sfruttare la Protocol Rule appena creata è necessario installare il programma Firewall Client di ISA Server. Prima di installare il client, è però necessario effettuare una configurazione su ISA Server. Dal tool ISA Management, selezionare la voce Client Configuration, nella finestra principale selezionare Firewall Client e, con il tasto destro del mouse, selezionare quindi Properties. È probabile che sulla LAN connessa all’Access Point non vi sia un server DNS disponibile, pertanto è consigliabile specificare l’IP address anziché il DNS name e premere quindi Ok.
La seconda configurazione, opzionale, è quella relativa al Web Browser, che si trova al di sopra della voce Firewall Client: grazie a questa opzione, durante l’installazione del Firewall Client il browser del computer client verrà automaticamente configurato. Anche in questo caso, si consiglia di specificare l’IP address del server, anziché il DNS.
Sebbene sul CD di ISA Server sia presente il Firewall Client da installare, questo si rifuterà di installarsi in quanto il client deve essere installato direttamente dal server ISA. Quando ISA Server si installa sul computer, crea una condivisione (\mspclnt) che contiene una versione personalizzata del client, in base alle impostazioni sopra specificate. Ad esempio, se l’ISA Server avesse come IP address 192.168.0.1, da un client sarebbe sufficiente per iniziare l’installazione del client eseguire il comando:
\\192.168.0.1\mspclnt\setup.exe
L’installazione è simile a quella di altre applicazioni Windows, e nessun parametro di configurazione è richiesto, in quanto specificato direttamente dal server. Alla fine dell’installazione sarà necessario un riavvio della macchina per applicare i cambiamenti. Al riavvio, il client si presenterà come un’icona in basso a destra (a forma di mondo) e non è necessario configurare alcuna opzione.
È comunque sempre possibile visualizzare la configurazione del Firewall Client, selezionando l’icona con il tasto destro del mouse e successivamente l’opzione Configure… Il pannello di configurazione è anche richiamabile dal pannello di controllo di Windows.
