امنیت شبکه و آموزش ISA Servere 2004

در سومين سناريوي طراحي شبكه هاي مبتي بر isa Server ، مي توان شعبات متعدد يك سازمان را به وسيله به كارگيري يك يا چند  Isa Server در هر يك از شعبات به محيط اينترنت و همچنين  به اداره مركزي از طريق اتصالات VPN متصل نمود .

هر يكاز سرورهاي ISa نصب شده در هر يك از شعبات مي تواند به عنوان تنها نقطه برقراري  ارتباط آن اداره  با محيط بيرون و يا به همراه سرورهاي ديگر و براي Pulish كردن انواع سرورهاي موجود در ان ادارات  به كار گرفته شود . استفاده از اتصالات vpn براي برقراري ارتباط بين شعبات مختلف يك سازمان با همديگر يك راه حل كم هزينه و امن بوده اكه از طريق connectivity Site-to-site VPN  كه يك خوصيت جديد در نسخه 2006 مي باشد قابل انجام مي باشد . در چنين سناريوهايي موارد زير پيش خواهد آمد .

•  ISA Server خود به عنوان VPN gateway عمل كرده و يا براي Publish كردن يك VPN Server ديگر عمل خواهد كرد . ارتباط VPN  مذكور  مي تواند  در يكي از حالات IPSec tunnel mode. PPTP و يا L2TP/IPSec برقرار گردد.
• ISA Server را مي توان براي  انجام عمل StateFul inspection و يا application filtering در مورد  اتصالات VPN مورد استفاده قرار داد . با اين كار مي توان  تعداد و نوع شبكه هايي كه مي توانند به منابع شبكه داخلي دسترسي داشته باشند را محدود ساخته و امنيت برقراري ارتباط را تامين  نمود .

شبکه هایی که از یک فایروال سخت افزاری مثل Sisco PIX firewall  بهره می برند ، استفاده از سرور isa به عنوان یک سرور back-end می تواند لایه محافظتی  پیشرفته دیگری را در شبکه ایجاد کند . برای مثال با ستفاده از application filtring قدرتمند سرور isa تمامی ترافیک مربوط به نرم افزارهای مختلف را جزء به جزء می توان  تحت کنترل در آورد . در چنین سناریوی موارد زیر پیش خواهد آمد :

• سرور isa را می توان برای امن تر کردن دسترسی به سرور Exchange داخلی مورد استفاده قرار داد . به دلیل اینکه سرورهای Exchangeباید عضو Domain داخلی باشند . ، برخی از مدیران تمایل به قرار داده آن سرورهای در محیط شبکه DMz ندارد . بنابراین سرور Exchange را در شبکه داخلی یا Internal قرار داده و از سرور Isa برای تامین امنیت دسترسی کاربران اینترنت به سرور Exchange و از طریق Secure SMTP server publishing, OWA publishing و secure Exchage RPC publishing استفاده می کنند .
• سرور isa را می توان برای publish کردن وب سایتهای امن دیگر و یا نرم افزارهای مبتنی بر وب  مورد استفاده قرار داد. وب سرورهای داخلی  را می توان با استفاده از application filtring سرور isa محافظت نمود .
• در این سناریو سرورISa را می توان به عنوان caching server و نیز proxy server مورد استفاده قرار داد .

یکی از سناریو های اولیه در به کارگیری سرور ISA، استفاده آن در محل برقراری تماس شبکه داخلی با محیط بیرون مانند اینترنت می باشد . این نوع Firewall به نام  Internet-Edge Firewall نیاز نامیده می شود . در این شرایط ، سرور ISA به عنوان یک Gateway امن براین کاربران داخلی عمل کرده و مسئولیت جلوگیری از ورود ترافیک  خطر ناک به محیط داخلی شبکه را نیز داراست .

در سناریو Internet-Edge firewall ، سرور ISA به عنوان تنها مسئول امنیت شبکه بوده و در مرز بین محیط داخلی شبکه و محیط بیرون یا اینترنت قرار داده می شود . در این شرایط سرور ISA دارای یک NIC  متصل  به اینترنت و یک NIC متصل به شبکه داخلی خواهد بود . در برخی از مواقع احتمال دارد که سرور ISA یک NIC  دیگر که متصل به شبکه DMZ می باشد را نیز دارا باشد سرور ISA در این سناریو کارهای زیر را انجام خواهد داد .

•  سرور ISA بجز ترافیکی که مجاز شمرده شده است ، بقیه ترافیک ورودی از محیط اینترنت به شکبه داخلی را مسدود خواهد نمود . به دلیل اینکه سرور ISA به عنوان تنها مسئول برقراری امنیت شبکه می باشد ، تمامی خصوصیات موجود مانند فیلتراسیون در سطح لایه های مختلف ، Intrusion detection  و application filter مورد استفاده قرار خواهد گرفت . سیستم عامل نصب شده در روی ISA Server باید طوری پیکربندی شده باشد که در مقابل حمله های مربوطه آسیب پذیری نداشته باشد .
• ISA Server فقط سرورهای داخلی مشخصی را در دسترس کاربران خارجی قرار می دهد . این عمل با استفاده از Server publishing Rules و یا Firewall Access rules انجام خواهد گرفت . تمامی ترافیک های ورودی به محیط داخلی بلوکه خواهند گشت مگر ترافیکی که به وسیله Rule ها اجازه ورود یافته اند.
• در صورتی که از ISA Server به عنوان یک VPN Gateway استفاده می شود ، تمامی ترافیک کاربران VPN از طریق ISA Server به محیط داخلی شبکه راه خواهد یافت . در این صورت تمامی Access Rule ها باید برای امن کردن ترافیک کاربران VPN مورد استفاده قار گیرند . حتی می توان از خصوصیت Quarantine VPN نیز استفاده نمود.
• به دلیل اینکه تمامی درخواست های کاربران برای دسترسی به منابع موجود در اینترنت از طریق ISA Server می گذرد، می توان Policyهای امنیتی شبکه ماند کاربران مجاز ، نرم افزارها و Protocol های مجاز وب سایتهای مجاز را مشخص کرد .

سرور ISA  را می توان برای کنترل دسترسی کاربران اینترنت به منابع داخلی و نیز محدود کردن دسترسی کاربران داخلی به منابع  خارجی مورد استفاده قرار داد . پیکربندی دقیق سرور ISA بستگی مستقیمی به سیاست های امنیتی شبکه و نیازهای موجود آن دارد . در این مبحث انواع متدهای به کارگیری سرور ISA در یک شبکه را مورد بخث قرار خواهیم داد . برای مثال می توان سرور ISA را به عنوان تنها فایروال در محل اتصال شبکه داخلی به محیط اینترنت و یا به عنوان Firewall دوم در شبکه هایی که حاوی چندین سیستم Firewall  می باشند . مودر استفاده قرار داد . و نیز موادری مانند استفاده سرور ISA  در شبکه های بزرگ که دااری شعبات مختلف می باشند و یا به کارگیری آن در شبکه های کوچک که فقط نیاز به یک سرور ISA دارند نیز مورد بحث واقع خواهند گرفت.

ویندوز سرور ۲۰۰۰ و ۲۰۰۳ به صورت پیش فرض از خصوصیت NLB یا Network Load Balancing  پشتیبانی می کنند  . با استفاده از این ویژگی می توان در خواست های کاربران برای  یک سرویس را بین چندین کامپیوتر حاوی آن سرویس پخش نمود و بدین ترتیب باعث افزایش کارایی و سرعت عملکرد آن سرویس گشت . با استفاده از خصوصیت NLB می توان چندین  کامپیوتر را بصورت یک گروه درآورد که از یک آدرس IP استفاده می نمایند . به این عمل Clustering می گویند . یک Cluster گروهی از کامپیوترهای مستقل از هم را می گویند که برای انجام یک یا چندین سرویس با هم همکاری داشته و از دید کاربران به عنوان یک کامپیوتر واحد به نظر می رسند . وقتی در خواست های کاربران به یک کلاستر NLB می رسد ، ترافیک رسیده بین سرورهای موجود در آن کلاستر پخش خواهد گشت . حتی در صورتی که یکی از سرورهای کلاستر در دسترس نباشند، ترافیک کلاینت ها به کامپیوترهای دیگر موجود در ان کلاستر هدایت خواهد شد.

در نسخه استاندارد ISA ویژگی NLB به صورت پیش فرض وجود ندارد و برای این منظور باید آن را به صورت دستی تنظیم نمود . اما نسخه Enterprise ویژگی NLB را بصورت اتوماتیک مورد استفاده قرار می دهد و می توان آن را از طریق کنسول مدیریتی سرور ISA مدیریت نمود. همچنین سرور ISA را می توان برای مشاهده صحت عملکرد NLB بکار برد و در هنگام بروز ایرادی در یکی از کامپیوترهای کلاستر، می توان وظایف سرور معیوب را بر روی کامپیوتر دیگر آن کلاستر انتقال داد.

با استفاده از نسخه Enterprise می توان چندین سرور ISA را به صورت همزمان به عنوان مسئول عمل Web Caching  مورد استفاده قرار داد . بدین معنی که تمامی سرورهای موجود در یک Array به عنوان یک کامپیوتر واحد در نظر گرفته شده و فضای دیسک سخت آنها را بصورت مشترک مسئول عمل Web Caching  خواهند گشت .

پروتکل CARP برای همین منظور مورد استفاده قرار می گیرد . هنگامی که کاربری یک درخواست را برای یک صفحه وب ایجاد و ارسال نمود ، پروتکل CARP یکی از سرورهای ISA موجود در آن Array را به عنوان مسئول عمل دریافت درخواست کاربر و انجام Caching  تعیین می کند. وقتی کاربری دیگر اقدام به درخواست همان صفحه وب نمود ، پروتکل CARP بار دیگر اقدام به تعیین این که کدام یک از اقدام به تعیین این که کدام یک از سرورهای ISA موجود در آن Array حاوی اطلاعات درخواستی می باشند نموده و درخواست کاربر را برای ان سرور ISA ارسال خواهد نمود . همانطوری که می بینید با استفاده از خصوصیت CARP می توان عمل Caching را با انعطاف بسیار و عملا در هر سایزی مورد استفاده قرار داد.

یکی از تفاوتهای عمده دو نسخه ISA در چگونگی نگهداری اطلاعات مربوط به پیکربندی سرور ISA است . نسخه استاندارد ، اطلاعات مربوط به پیکربندی خود را در روی Registryکامپیوتر محلی ذخیره می نماید . در این شرایط اگر نیاز به استفاده از سرور ISA دیگری با همان پیکربندی یکسان داشته باشیم ، باید پیکربندی سرور اول را Export کرده و فایل بدست آمده را در روی سرور دوم Improt نماییم . در صورتی که نیاز به تغییر پیکربندی حاضر احساس گردید، انجام تغییرات در روی هر دو سرور به صورت جداگانه انجام خواهد گرفت.
اما نسخه Enterprise اطلاعات مربوط به پیکربندی خود را نه در روی Registry کامپیوتر محلی ، بلکه در محل دیگری ذخیره می نماید . در هنگام نصب نسخه Enterprise باید یک یا چند سرور را نیز برای نگهداری اطلاعات مربوط به پیکربندی سرورهای ISA تعیین نماییم. این سرورها به نام Configuration Storage Servers نامیده شده و از Active Directory Application Mode - ADAM  برای نگهداری اطلاعات مربوط به تمامی سرورهای ISA بهره می گیرند. به دلیل این که ADAM می تواند در روی چندین سرور نصب شده و اطلاعات نیز می توانند بین این سرورها تکثیر گردد ، بنابراین می توان چندین عدد Configuration Storage Server را به صورت همزمان در شبکه در اختیار داشت . همچنین می توان ADAM  را در روی خود سرور ISA نیز نصبنمود با استفاده از ADAM می توان  از  Enterprise policy  ها برای پیکربندی تمامی  سرورهای ISA استفاده نمود. همچنین  می توان از  Array ها و نیز Array Policy نیز بهره گرفت . مجموعه ای از سرورهای ISA  که دارای پیکربندی های یکسانی می باشند، یعنی Policy های یکسانی روی آنها اعمال می گردد، به عنوان یک Array نامیده می شوند .
بنابراین قبل از نصب نسخه Enterprise باید موارد زیر نصب و آماده شده باشند:
1- تعیین سرورهای نگهدارنده اطلاعات مربوط به پیکربندی یا Configuration Storage Servers
2- ایجاد Enterprise/Array Policy
بعد از تکمیل موارد بالا می توان اقدام به نصب سرور ISA کرده و سپس آنها را عضو یک گروه یا Array خاصی نمود . بعد از ایجاد Enterprise/Array Policy ها و منتصب نمودن آنها به هر یک از گروها یا Array ها ، هر کدام  از سرورهای ISA که عضو آن Array گردد . تنظیمات تعیین شده ان Policy را به صورت اتوماتیک خواهد پذیرفت. براین تغییر پیکربندی های مربوط به سرورهای ISA فقط کافیست تنظیمات  روی سرور حاوی اطلاعات پیکربندی یا Configuration Storage Server  را تغییر داد. سرورهای ISA به صورت متناوب با سرورهای Configuration Storage در تماس  می باشند و به محض یافتن تغییری در تنظیمات اقدام با دانلود و اعمال آن تغییرات در روی Registry خود می نمایند.

ISA Server 2006 در دو نسخه مختلف ارائه گشته است :
1-نسخه استاندارد
2-نسخه Enterprise
در حالت کلی عملکرد این دو نسخه موجود شبیه به هم می باشد . اما نسخه Enterprise دارای امکانات بیشتری نسبت به نسخه استاندارد  بوده که عملیات مدیریت ISA Server را مخصوصا در مواقعی که از چند ISA Server با پیکربندی یکسان استفاده می کنیم، آسان تر می نماید. برای نمونه ، با استفاده از نسخه Enterprise می توان خصوصیت NLB  را نیز در شبکه در اختیار داشت . ویژگی NLB باعث می شود که ترافیک رسیده به مجموعه ای از ISA Server بین آن ها پخش گردد.
استفاده از  نسخه استاندارد ISA Server در شرایطی که از یک ISA Server استفاده کرده و یا مواقعی که ISA Server  را به عنوان Proxy Server و یا Firewall Server مورد استفاده قرار می دهیم و یا در هر یک از مرکز (اداره اصلی و شعبات مختلف آن ) فقط از یک ISA Server  استفاده  می نماییم ، نسخه استاندارد توصیه می شود. اما در شرایطی که برای هر یک از نقش های موجود از چندین  ISA Server بهره گرفته خواهد شد، استفاده از نسخه Enterprise باید مدنظر قرار داشته باشد. مثلا اگر شما مسئول شبکه ای باشید که حاوی چند ISA Server در اداره اصلی بوده و از آنها به عنوان Proxy Server و یا Caching Server می گردد، مورد استفاده قرار دادن نسخه Enterprise  می تواند مدیریت سرورهای موجود را بهبود بخشد.
هر دو نسخه موجود ISA دارای  عملکرد کلی یکسان می باشند. مهمترین وه تمایز آنها در اینجا است که نسخه Enterprise  دارای امکانات بیشتری در مدیریت همزمان و نیز آسان تر  سرورهای ISA  می باشد . نسخه Enterprise از ویژگی های زیر بهره می برد :
1- نگهداری متمرکز اطلاعات مربوط به پیکربندی سرورهای ISA
2- پشتیبانی از پروتکل CARP
3-پشتیبانی از پروتکل NLB

بعضی از سازمانها  به امنیت  اضافی برای وب سایت ها یشان نیاز دارند . این سایت ها ممکن است شامل داده های محرمانه سازمان باشند که این داده ها می توانند برای کاربران مشخصی قابل دسترس باشند، یا آنها ممکن است یک سری داده های محرمانه را از کاربران اینترنت جمع آوری کنند. که شامل اطلاعات شخصی و کارتهای اعتباری آنها می باشد . و ممکن است  این داده ها زمانی که در عرض اینترنت هستند نیاز به رمزگذاری داشته باشند.  شما می توانید  کمک کنید در جهت حفاظت از قبیل Web Server ها از حمله های کاربران روی اینترنت با استفاده از ISa Server به عنوان یک Firewall ، و با استفاده از Web Publishing rule ها در جهت Enable کردن دسترسی به سایت. برای  رمزگذاری  ترافیک بین شبکه داخلی و Internet Client ها ، شما نیاز دارید تا پیکربندی کنید یک Secure web publishing rule .
یک Web publishing rule  یک  web publishing rule محبوب است که استفاده می کند از SSL (Secure Sockets Layer  بر روی پورت 443 برای رمز گذاری تمامی ترافیکی که عبور می کند از شبکه داخلی به سمت Internet Client ها . Isa Server چندین Option برای استفاده SSL مهیا می کند . برای مثال ، شما می توانید پیکربندی کنید ISa Server را برای رمزگذاری کردن تمامی ترافیک بین ISa Server و Internet Clientها ، اما ترافیک بر روی شبکه داخلی رمزگذاری نباشد. متناوبا ، شما می توانید فقط ترافیک بر روی  شبکه داخلی را رمز گذاری کنید. شما همچنین می توانید ISa Server  را در جهت رمزگذاری کردن ترافیک بر روی هم شبکه داخلی و هم از اینترنت پیکربندی کنید. شما می توانید پیکربندی کنید ISa Server را برای بکارگیری Application filtering بر روی Packet های رمزگذاری شده ، با  این پیکربندی ، ISA Server بسته ها را کشف رمز خواهد کرد، و سپس آنها را صافی کرده و بعد دوباره بسته ها را رمزگذاری می کند.
یکی دیگر از  قسمت های مهم از Enable کردن ،دسترسی امن به وب سایت است برای اطمینان از آن که فقط اشخاص معتبر اجازه دسترسی با سایت را دارند . هم Web publishing rule و هم Secure Web Publishing rule می توانند برای انجام این کار پیکربندی شده باشند. Isa server پشتیبانی می کند از چندین روش برای اعتبار سنجی کاربران ، شامل Certificate و  و RADIUS و RSA SecureID . شما همچنین می توانید پیکربندی کنید اعتبار سنجی را  در مکانهای متفاوتی . برای مثال ،  شما می توانید پیکربندی کنید ISa Server برای اعتبار سنجی تمامی کاربران قبل از اینکه به آنها اجازه دسترسی به یک وب سایت داده شود. یا شما می توانی پیکربندی کنید ISA Server را برای عبور دادن کاربران دارای اعتبار به وب سرور، و سپس پیکربندی کنید وب سرور را برای اعتبار سنجی کاربران . در بسیاری از موارد ، شما ممکن است بخواهید  اعتبار سنجی کاربران هم در سطح ISA Server و هم در سطح
Web Server انجام دهید.

ISA Server 2004 از Web Publising برای Enable کردن دسترسی امن به Internal web server ها برای Internet Client ها استفاده می کند . زماین که شما یک  Web Publishing rule  می سازید، شما ISA Server را پیکربندی می کنید در جهت گوش به زنگ بودن برای تقاضای های HTTP از اینترنت. زمانی که تقاضا برای یک Web page  دریافت شد، ISA Server تقاضا ها را می سنجد ، اگر تقاضا ها با خصوصیاتی (Properties) از یک Web Publising  rule  یکسان باشد، ISA Server Forward خواهد کرد تقاضا را به سمت یک Internal web server . وب سرور داخلی Web Page تقاضا شده را به سمت ISa Server ارسال می کند،ISA Serverسپس Web Page را به کلاینت اینترنت forward می کند. اگر Caching  بر روی Isa Server فعال باشد ، متعاقبا تقاضا ها برای Web page می تواند از ISa Server cache فراهم شود .

ISA Server چندین Option را برای امینت دسترسی به Internal Web server فراهم می کند. زمانی که شما یک Web Publishing rule را پیکربندی می کنید، شما تعیین می کنید آن  کدام Web Server در حال Publish شدن است با Web Publishing rule ، فقط سرور های که publish شده اند قابل دسترسی هستند از اینترنت ، بعلاوه ، شما می توانید  URL های که ISA Server  به آنها پاسخ خواهد دارد را محدود کنید  . برای مثال ، شما می توانید ISa Server را طوری پیکربندی کنید که فقط به URL مانند www.NetProcess.blogfa.com پاسخ دهد. اگر کاربران اینترنت برای ارتباط برقرار کردن با Web Server از هر URL دیگری استفاده کنند ، ISA Server  تقاضاهای آنان را Drop خواهد کرد. همچنین شما می توانید  IP Address ها و Address Range های که به انها اجازه داده شده تا با Web Server ارتباط برقرار کنند، را محدود کنید.
همچنین ISa Server Web publishing rules می توان برای پنهان کردن پیچیده گی های Internal Network را از Internet users استفاده کرد.عمدتا ، ممکن یک سازمان نیاز داشته باشد تا چندین Web Server را Publish کند ، اما ممکن فقط یک IP Address تک داشته باشند که قابل مسیریابی باشد بر روی اینترنت، یا Web sever ممکن چندین Virtual directories را شامل شود، اما سازمان ممکن است که بخواهد نامهای واقعی از این دایرکتوری ها از کاربران اینترنت پنهان بماند . در اغلب موارد ، یک Web site ممکن چندین لینک را به دیگر سرورهای داخلی  که قابل دسترس از اینترنت نیستند را شامل شود. ISa Server در تمامی این موقعیت ها  می تواند مورد استفاده قرار بگیرد و یک نقطه ورودی برای INternal Web Site  ها را فراهم کند، حین اینکه پیچیدگی های پیکربندی داخلی از کاربران اینترنت پنهان باشد.