Повышение безопасности с использованием ISA Server 2004

Завершение подготовки образцовой конфигурации

В статье «Повышение уровня безопасности с использованием ISA Server 2004», опубликованной в № 2 журнала за этот год, было показано, как использовать Microsoft Internet and Security Acceleration (ISA) Server 2004 для повышения уровня безопасности приложений и служб, связанных с Internet, таких как Microsoft Exchange Server. В статье рассказывалось о первых этапах процедуры настройки брандмауэра ISA Server (называемого ISA-брандмауэром), предназначенного для защиты системы, состоящей из внешнего/внутреннего серверов Exchange (внешний сервер Exchange поддерживает сайт Microsoft Outlook Web Access, OWA, доступный удаленным пользователям через Internet). Там же были подробно описаны тестовая система и первые пять этапов публикации сайта OWA. Продолжим изучение остальных этапов (с 6-го по 13-й).

Необходимо создать учетную запись пользователя для службы брандмауэра ISA Server, чтобы запросить клиентский сертификат для этой службы. ISA-брандмауэр представляет этот сертификат на Web-узле OWA внешнего сервера Exchange. К учетной записи не предъявляется никаких специальных требований и создавать почтовый ящик Exchange не нужно.

Следует открыть оснастку Active Directory Users and Computers консоли Microsoft Management Console (MMC) и создать учетную запись пользователя. В данном примере создана доменная учетная запись webproxy.

Необходимо запросить клиентский сертификат и инсталлировать его в хранилище сертификатов ISA Server. Позднее сертификат будет перемещен в персональное хранилище сертификатов службы брандмауэра.

Прежде чем можно будет запросить сертификат, необходимо изменить системную политику брандмауэра ISA, чтобы тот мог использовать для связи с источником сертификатов (Certification Authority, CA) протокол HTTP. Это правило можно оставить активным или блокировать после получения сертификата. Если правило активно, то брандмауэр ISA может проверить списки аннулированных сертификатов (certificate revocation list, CRL).

Необходимо открыть консоль ISA Server Management (в меню All Programs, Microsoft ISA Server). Затем требуется развернуть узел системы ISA Server и щелкнуть на Firewall Policy в левой панели, перейти к вкладке Tasks и щелкнуть на Show System Policy Rules, чтобы открыть правила системной политики брандмауэра. Прокрутив список правил системной политики, нужно дважды щелкнуть на правиле 26, Allow HTTP from ISA Server to all networks for CRL downloads. На вкладке To следует выбрать сеть CA, а на вкладке General установить для данного правила флажок Enable. Затем необходимо щелкнуть на кнопке OK, а потом на Apply, чтобы сохранить изменения системной политики.

Открыв Microsoft Internet Explorer (IE), требуется ввести URL корпоративного сайта Web-регистрации CA в формате http://CA_IP_address/certsrv. Затем следует ввести имя учетной записи службы брандмауэра и пароль в диалоговом окне регистрации. Эти учетные данные будут использоваться для генерации клиентского сертификата.

Необходимо щелкнуть на кнопке Request a certificate на странице Welcome, а затем — на кнопке Advanced Certificate Request на странице Request a Certificate. После этого следует щелкнуть на Create and submit a request to this CA на странице Advanced Certificate Request. На той же странице нужно выбрать пункт User из раскрывающегося списка Certificate Template (см. экран 1). Затем требуется установить флажок Store certificate in the local computer certificate store, а всем остальным параметрам оставить значения, выбираемые по умолчанию, и щелкнуть на кнопке Submit.

Экран 1. Страница Advanced Certificate Request

В диалоговом окне, информирующем о том, что был сделан запрос сертификата, следует щелкнуть на кнопке Yes, затем щелкнуть на кнопке Install this certificate на странице Certificate Issued. На кнопке Yes нужно щелкнуть и в диалоговом окне, в котором требуется ответить на вопрос, следует ли добавить сертификат в машинное хранилище ISA-брандмауэра. После того как на экране появится страница Certificate Installed, браузер можно закрыть. Чтобы скрыть системную политику, достаточно щелкнуть на кнопке Hide System Policy Rules на вкладке Tasks.

Теперь сертификат Web-сайта и клиентский сертификат службы брандмауэра можно поместить в подходящее место (хранилище сертификатов и хранилище персональных сертификатов, соответственно, службы брандмауэра). Сначала следует скопировать в ISA-брандмауэр файл сертификата Web-узла, который был сгенерирован на сервере OWA. Файл можно просто скопировать на локальный жесткий диск ISA-брандмауэра или установить сменный носитель с файлом в ISA-сервере, а затем импортировать файл. Последний вариант — более безопасный.

Следует открыть пустую консоль MMC и добавить к ней автономную оснастку Certificates. На странице Certificates snap-in необходимо выбрать пункт Computer account, а на странице Select Computer — пункт Local computer.

Затем нужно добавить другую оснастку Certificates, но на этот раз на странице Certificates snap-in следует выбрать пункт Service account. Требуется выбрать пункт Local computer на странице Select Computer, а затем Microsoft Firewall service account на странице Service Account. Теперь две оснастки будут видны в левой панели консоли (см. экран 2).

Затем нужно последовательно развернуть узлы Certificates (Local Computer) и Personal, щелкнуть правой кнопкой мыши на узле Certificates (под Personal) и выбрать из контекстного меню пункты All Tasks, Import, чтобы открыть мастер Certificate Import Wizard. Этот мастер проводит пользователя по процессу импорта сертификата Web-узла из файла сертификата, созданного на системе Web-сервера OWA.

На странице Password нужно ввести пароль, назначенный файлу сертификата. Не следует отмечать личный ключ как экспортируемый, иначе взломщик, получивший доступ к ISA-брандмауэру (дистанционно или физически), сможет украсть личный ключ Web-узла OWA.

После завершения работы мастера в правой панели консоли появятся сертификат CA, сертификат Web-узла OWA и машинный сертификат. Сертификат CA можно удалить, если он уже входит в хранилище сертификатов Trusted Root Certification Authorities брандмауэра ISA. В данном примере нет необходимости копировать сертификат CA, так как используется центр сертификатов CA предприятия, принадлежащий тому же домену, что и брандмауэр ISA.

Клиентский сертификат брандмауэра ISA необходимо переместить из хранилища машинных сертификатов ISA Server в хранилище персональных сертификатов службы ISA-брандмауэра. Следует щелкнуть правой кнопкой на клиентском сертификате службы брандмауэра и выбрать пункт Cut из контекстного меню. Затем нужно развернуть узел Certificates — Service (Microsoft Firewall) on Local Computer и щелкнуть правой кнопкой мыши на узле fwsrvPersonal, после чего щелкнуть на Paste. Если пункт Paste недоступен, следует повторить процедуру вырезания. Клиентский сертификат службы ISA-брандмауэра будет помещен в папку fwsrvPersonal.

Все необходимые сертификаты размещены, и можно создать правило Web Publishing Rule в брандмауэре ISA. В консоли ISA Server Management нужно щелкнуть правой кнопкой мыши на узле Firewall Policy, затем перейти к вкладке Tasks и щелкнуть на пункте Publish a Mail Server. Имя правилу назначается на странице Welcome to the New Mail Server Wizard.

На странице Select Access Type выбираем режим Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync. На странице Select Services необходимо выбрать пункт Outlook Web Access; флажок Enable high bit characters used by non-English character sets следует оставить активным, если нужно разрешить пользователям читать почтовые сообщения, в которых содержатся неанглийские символы.

На странице Bridging Mode требуется выбрать режим Secure connection to clients and mail server. В результате удаленный браузер устанавливает соединение SSL (Secure Sockets Layer) с внешним интерфейсом ISA-брандмауэра, а внутренний интерфейс — защищенное SSL-соединение с OWA-сайтом.

На странице Specify the Web Mail Server необходимо ввести имя для внешних пользователей, которые обращаются к сайту OWA. Например, если удаленный пользователь обращается к сайту через https://owa.domain.com/exchange, то следует ввести имя owa.domain.com. Имя должно соответствовать имени на сертификате Web-узла, связанного с Web-сайтом OWA. Кроме того, ISA-брандмауэр должен преобразовать имя в IP-адрес внутренней сети OWA-сервера. Для этого необходимо использовать разделенную зону DNS или элемент файла HOSTS в брандмауэре ISA, как объясняется на этапе 12.

То же самое имя вводится на странице Public Name Details. Следует подтвердить, что выбран режим This domain name (type below) и введено то же имя (например, owa.domain.com), что и на предыдущей странице мастера.

На странице Select Web Listener необходимо создать слушателя SSL для приема запросов входящих SSL-соединений. Чтобы начать процесс создания слушателя, нужно щелкнуть на кнопке New. В данном примере используется SSL Listener. На странице IP Addresses устанавливаем флажок External. Если имеется несколько IP-адресов, привязанных к внешнему интерфейсу брандмауэра ISA, то с помощью кнопки Address можно выбрать конкретный IP-адрес, который Web-слушатель правила будет использовать для приема входящих сообщений.

Флажок Enable HTTP на странице Port Specification должен быть сброшен, а флажок Enable SSL — установлен. Для привязки сертификата Web-сайта OWA к слушателю нужно щелкнуть на кнопке Select. Сертификат Web-сайта OWA следует выбрать из списка в диалоговом окне Select Certificate. Если в этом списке нет сертификата Web-сайта, значит, сертификат не был импортирован в нужное место хранилища машинных сертификатов брандмауэра ISA или частный ключ не внесен в файл сертификата, созданный на Web-сервере OWA. Необходимо выяснить причину неполадки, а затем перезапустить мастер Web Publishing Rule Wizard.

На странице User Sets следует щелкнуть на кнопке All Users, а затем Remove. После щелчка на Add нужно дважды щелкнуть на пункте All Authenticated Users. Чтобы ограничить доступ к OWA определенной группой пользователей, можно сформировать специальную группу брандмауэра, щелкнув на кнопке New menu в диалоговом окне Add Users.

По достижении последней страницы мастера следует просмотреть выбранные параметры и щелкнуть на кнопке Finish. В целях повышения безопасности необходимо назначить правило публикации OWA в Web. Двойным щелчком на правиле нужно перейти к вкладке Traffic и установить флажок Require 128-bit encryption for HTTPS traffic. Затем следует перейти к вкладке Users и установить флажок Forward Basic authentication credentials (Basic delegation).

Далее нужно перейти к вкладке Bridging и установить флажок Use a certificate to authenticate to the SSL Web server. Щелкнув на Select, необходимо выбрать сертификат служебной учетной записи брандмауэра из диалогового окна Select Certificate. Если сертификат не появляется на экране, значит, он не был импортирован в соответствующее место хранилища сертификатов брандмауэра ISA или был запрошен неверный тип сертификата. Выбрав сертификат, следует щелкнуть на кнопке OK.

На вкладке Listener нужно щелкнуть на кнопке Properties. Затем требуется перейти к вкладке Preferences в диалоговом окне SSL Listener Properties и щелкнуть на кнопке Authentication. Сбросив флажок Integrated, нужно щелкнуть на кнопке OK, чтобы удалить диалоговое окно с предупреждением. Следующее действие — установить флажок OWA Forms-based. Процедуру аутентификации OWA на базе форм можно настроить, щелкнув на кнопке Configure. При использовании аутентификации на базе форм можно настроить тайм-аут бездействующего сеанса и блокировку вложений. Чтобы сохранить свойства слушателя, нужно щелкнуть на кнопке OK, а затем сохранить свойства правила публикации в Web повторным щелчком на кнопке OK.

Фильтр безопасности HTTP брандмауэра ISA анализирует каждый аспект соединения HTTP. Фильтр следует настроить на разрешение только действительных соединений на Web-узле OWA. Фильтр применяет правила исключительной проверки на соответствие заданным условиям на прикладном уровне (уровень 7) к входящим соединениям OWA и существенно повышает безопасность удаленного доступа OWA. Фильтр безопасности HTTP расширяет функции HTTP-инспекции URLScan.

Необходимо щелкнуть правой кнопкой мыши на правиле Web-публикации и выбрать пункт Configure HTTP. В диалоговом окне Configure HTTP policy for rule содержится пять вкладок: General, Methods, Extensions, Headers и Signatures. Используя данные таблицы, нужно настроить параметры на каждой из них. Затем следует щелкнуть на кнопке OK, чтобы сохранить изменения, и щелкнуть на кнопке Apply, чтобы сохранить политику брандмауэра.

Как объяснялось ранее, брандмауэр ISA должен обеспечить преобразование полного имени домена Fully Qualified Domain Name (FQDN) сайта OWA во внутренний адрес OWA-сервера, а не во внешний адрес, используемый клиентами OWA для доступа к OWA-серверу. HOSTS-файл находится в папке systemrootsystem32driversetc. В нижней строке HOSTS-файла нужно ввести FQDN и внутренний IP-адрес сайта OWA, например

owa.domain.com 10.0.0.3

В конце строки следует обязательно нажать клавишу Enter, чтобы курсор находился ниже последнего элемента HOSTS-файла. Эта информация автоматически заносится в DNS-кэш брандмауэра ISA; чтобы увидеть соответствие имен, надо открыть командную строку и ввести команду

ipconfig /displaydns

Этот необязательный этап необходим лишь при использовании некоммерческих сертификатов. Чтобы избежать появления предупреждающего диалогового окна при обращении пользователей к сайту OWA, корневой сертификат CA должен находиться в хранилище сертификатов Trusted Root Certificate Authorities пользователя. Диалоговое окно информирует пользователей о том, что источник, из которого получен сертификат, не пользуется доверием Web-узла. Предупреждение можно проигнорировать, но часто оно вызывает растерянность и становится причиной обращений в службу технической поддержки.

Все пользователи домена могут получить сертификат CA с помощью Web-сайта регистрации корпоративного CA. Если компьютер пользователя — член того же домена, что и корпоративный центр сертификатов CA, то этот шаг не нужен: все члены домена уже имеют сертификат корпоративного CA в своем хранилище Trusted Root Certification Authorities. Пользователи, не принадлежащие домену, должны запросить сертификат. Для этого пользователь может установить соединение напрямую с Web-узлом регистрации при подключении к внутренней сети. Web-узел регистрации можно опубликовать для пользователей, которые никогда не работают во внутренней сети, но данный сценарий не рассматривается в этой статье.

Пользователи должны открыть IE и ввести адрес Web-узла регистрации в URL-формате http://CA_IP_address/certsrv. Необходимо войти на сайт регистрации с использованием учетных данных домена. На странице Welcome следует щелкнуть на Download a CA certificate, certificate chain, or CRL. На странице Download a CA Certificate, Certificate Chain, or CRL требуется щелкнуть на пункте Install this CA certificate chain. И наконец, необходимо щелкнуть на кнопке Yes в диалоговом окне в ответ на запрос, следует ли добавить новый сертификат, и закрыть браузер после установки сертификата.

Готовность к работе

Брандмауэр ISA готов к приему входящих запросов к ресурсам Exchange через OWA. Можно протестировать настройки системы во внешней сети (только нельзя использовать в качестве испытательной машину из корпоративной сети), указав URL для сайта OWA (например, https://owa.domain.com/exchange), и зарегистрироваться на нем.

Томас Шиндер - Главный автор материалов для http://www.isaserver.org. Совладелец фирмы TACteam и соавтор книги Configuring ISA Server 2000 (издательство Syngress). tshinder@isaserver.org