Guida alla protezione di ISA Server 2006
Alan Maddison
Panoramica:
- Procedure consigliate per la protezione dei server
- Impostazione di Configurazione guidata impostazioni di sicurezza
- Analisi di Configurazione guidata impostazioni di sicurezza
- Assegnazione di ruoli amministrativi
Indice
Protezione dei server
Impostazione di Configurazione guidata impostazioni di sicurezza
Esecuzione di Configurazione guidata impostazioni di sicurezza
Ruoli amministrativi
Sebbene molti professionisti IT facciano affidamento su ISA Server 2006 (Internet Security and Acceleration Server 2006) per proteggere le loro risorse tecnologiche, pochi si preoccupano della sicurezza dello stesso ISA Server. Se si è
recentemente installato ISA Server 2006, è possibile che ci si ricordi di un promemoria che richiedeva di proteggere il server non appena terminata l'installazione. Sfortunatamente molti di noi professionisti IT rare volte dedichiamo tempo (o abbiamo tempo da dedicare) all'esecuzione di questa importante operazione, e quindi finisce sulla lista delle cose da fare che rimangono nel cassetto.
Negli attuali scenari di protezione in costante evoluzione, non è più accettabile rimandare la protezione di ISA Server. Fortunatamente gli strumenti utilizzati per proteggere ISA Server hanno fatto passi da gigante. Non si devono più affrontare le numerose sfide poste dalle procedure guidate di protezione avanzata presenti nelle versioni anteriori a ISA Server 2004. Si può invece fare affidamento su passaggi ben definiti e strumenti utili, come quello della Configurazione guidata impostazioni di sicurezza, fornito in dotazione con Windows Server® 2003.
In quest'articolo fornirò una breve panoramica delle procedure consigliate per la protezione dei server. Poi mi occuperò più a fondo delle strategie di protezione avanzata per ISA Server, utilizzando sia Configurazione guidata impostazioni di sicurezza per ridurre l'area di superficie di attacco di ISA Server, sia i ruoli amministrativi per limitare l'accesso a ISA Server.
Protezione dei server
Ci sono molti elementi e procedure consigliate associati alla protezione del server, e possono trovarsi in un datacenter o nella stanza dei server accanto agli uffici. È responsabilità dell'amministratore capire quali sono le procedure consigliate e adoperarsi per implementare questi requisiti in modo pratico per l'organizzazione. Dato che la protezione è diventata molto importante negli ultimi anni, siamo diventati abbastanza abituati alle attività che formano il nucleo centrale di tali requisiti, pertanto non insisterò sui dettagli ma fornirò soltanto una breve panoramica.
La prima operazione da eseguire per proteggere il proprio ambiente è verificare che i server siano protetti fisicamente, il che significa, in pratica, limitare l'accesso fisico ai server. Negli ambienti più piccoli questo significa assicurarsi che la porta della stanza dei server rimanga chiusa a chiave e che il numero di individui che possono accedervi sia esiguo. Negli ambienti più grandi questo requisito fondamentale rimane praticamente lo stesso, ma può essere realizzato in modo più sofisticato. Molte organizzazioni utilizzano, ad esempio, un meccanismo di monitoraggio elettronico. In questo modo, le organizzazioni possono controllare l'ingresso alle postazioni dei server e addirittura limitare l'accesso alle gabbie o ai singoli rack, a seconda di come sono strutturate le responsabilità di lavoro.
Ci sono alcuni fattori unici da considerare quando si pensa al furto e al danneggiamento fisico di un normale server ISA o di un server archivio di configurazione ISA. La natura delle informazioni che possono essere ottenute dal server rubato può compromettere potenzialmente tutti i server ISA e il traffico nel proprio ambiente (compreso il traffico crittografato).
Se si sospetta che un server sia stato compromesso, rubato o messo in qualche modo a repentaglio, rimuovere subito il server interessato (se è ancora presente nel sito) e seguire le procedure standard per la protezione delle prove. Dopo avere eseguito queste operazioni necessarie, si può avviare il processo di modifica di tutte le informazioni riservate: tutti i certificati installati sul server devono essere revocati e tutte le chiavi precondivise e i segreti condivisi devono essere modificati. Inoltre, se si dispone di una replica del server archivio di configurazione, assicurarsi che tutti i dati correlati al server compromesso vengano rimossi.
Dopo aver protetto fisicamente i server, l'operazione successiva consiste nel verificare che esista una metodologia strutturata per l'applicazione di patch a tutto il software, compresi il livello di virtualizzazione, il sistema operativo e le applicazioni. Le patch, le correzioni e gli aggiornamenti rapidi devono essere esaminati e applicati a intervalli regolari. Ma ricordarsi di testare questi aggiornamenti prima di applicarli ai sistemi di produzione. Una patch servirà infatti a poco se finisce col causare un problema che compromette l'integrità delle applicazioni o dei dati.
Se l'integrità dei dati è compromessa, sarà necessario ricorrere ai backup. Questo mi fa venire in mente un altro elemento importante nella protezione dell'infrastruttura. Se non si è in grado di ripristinare rapidamente tutti i dati nel caso in cui vi fosse bisogno, i tempi di inattività possono avere un impatto significativo sulle operazioni e, di conseguenza, il costo di un'intrusione aumenta notevolmente.
Altri due elementi da tenere in considerazione sono il monitoraggio e il controllo. Il monitoraggio delle applicazioni e dei sistemi ha moltissima importanza in qualsiasi piano di protezione valido. Se non si dedica tempo a esaminare i registri, soprattutto i registri relativi alla protezione, è improbabile che si riesca a individuare tentativi di intrusione prima che il danno sia già fatto.
Analogamente, il controllo è fondamentale. In molte organizzazioni, soprattutto nei grandi ambienti, il controllo è spesso ufficializzato ed è anche richiesto dalle leggi. Indipendentemente dalle dimensioni, in tutti gli ambienti è importante esaminare regolarmente i controlli e la metodologia utilizzata per la protezione delle risorse per garantire l'efficacia dei propri sforzi.
Infine, poiché ISA Server 2006 è installato su Windows Server® 2003, è importante rivedere la Guida alla protezione di Windows Server 2003 e adottare i suggerimenti ritenuti necessari. La Guida alla protezione di Windows Server 2003 è disponibile all'indirizzo microsoft.com/technet/security/prodtech/windowsserver2003/w2003hg/sgch00.mspx.
Al momento Microsoft consiglia di implementare il modello del criterio di protezione di base, ma non i filtri IPsec (Internet Protocol Security).
Impostazione di Configurazione guidata impostazioni di sicurezza
Ma come si può rendere ISA Server più sicuro? Lo strumento principale per la protezione di ISA Server è Configurazione guidata impostazioni di sicurezza. Si tratta di uno strumento che riduce la superficie di attacco del sistema. Crea criteri di protezione che agiscono sui servizi del server, la protezione della rete, il Registro di sistema e i criteri di controllo, configurando il sistema solamente per i servizi e le funzionalità richiesti. È importante osservare che sarebbe opportuno configurare solo quei servizi di ISA Server che si ha intenzione di utilizzare. Ad esempio, il servizio proxy Web è attivato per impostazione predefinita, ma si dovrebbe disattivare questa funzionalità se non si ha intenzione di utilizzarla. Di conseguenza, occorre prestare molta attenzione alle opzioni di configurazione presenti in Configurazione guidata impostazioni di sicurezza.
Configurazione guidata impostazioni di sicurezza non è installato per impostazione predefinita in Windows Server 2003, quindi la prima cosa da fare è installarlo utilizzando l'applet Installazione componenti di Windows® nel pannello di controllo Installazione applicazioni. Si noti che Configurazione guidata impostazioni di sicurezza è installato per impostazione predefinita in Windows Server 2008. Dopo avere caricato la schermata dei componenti di Windows, scorrere verso il basso e selezionare la casella Configurazione guidata impostazioni di sicurezza.
Al termine dell'installazione, l'applicazione è disponibile in Strumenti di amministrazione. Prima di iniziare a utilizzare Configurazione guidata impostazioni di sicurezza, è necessario aggiornarlo scaricando l'aggiornamento per ISA Server 2006 (disponibile all'indirizzo go.microsoft.com/fwlink/?LinkId=122532). Questo aggiornamento aggiunge i ruoli per ISA Server 2006 Standard Edition, ISA Server 2006 Enterprise Edition e ISA Server Configuration Storage Server.
Dopo aver scaricato l'aggiornamento, è necessario eseguire il pacchetto ed estrarne i file. Dopo aver estratto i file, copiare i due file xml (isa.xml e isaloc.xml) nella cartella kbs di Configurazione guidata impostazioni di sicurezza (in un'installazione predefinita di Windows Server, sarà c:\windows\security\msscw\kbs).
Durante la copia dei file, verrà richiesto di sovrascrivere due file esistenti con lo stesso nome. Questi due file sono utilizzati da ISA Server 2004, quindi bisognerebbe copiarli prima di sovrascriverli. L'ultima operazione da fare è copiare il file isascwhlp.dll nella cartella del cestino, che si trova generalmente in c:\windows\security\msscw\bin. Dopo aver aggiunto i ruoli ISA a Configurazione guidata impostazioni di sicurezza, si potrà avviare l'installazione.
In genere Microsoft consiglia di eseguire Configurazione guidata impostazioni di sicurezza solo dopo aver completato la configurazione di ISA Server. Se si ha Enterprise Edition, questa edizione contiene già la configurazione di tutti gli array e di tutti i membri array.
Esecuzione di Configurazione guidata impostazioni di sicurezza
La prima operazione da fare è avviare Configurazione guidata impostazioni di sicurezza da Strumenti di amministrazione (si tenga presente che sono necessarie autorizzazioni amministrative per completare la configurazione delle impostazioni di sicurezza).
La Figura 1 mostra la prima pagina della procedura guidata. Se si legge il testo di questa schermata, in modo particolare l'avviso che dice "Questa procedura guidata rileva le porte in ingresso su cui il server effettua l'ascolto", si può capire perché è importante che il server ISA e gli array siano completamente configurati prima dell'inizio di questo processo.
Figura 1 Avvio di Configurazione guidata impostazioni di sicurezza (fare clic sull'immagine per ingrandirla)
Se l'ambiente non è stato configurato integralmente, è molto probabile che si debba rivedere quanto selezionato in Configurazione guidata impostazioni di sicurezza dopo aver completato la configurazione del server ISA. Nella schermata successiva, mostrata in Figura 2, viene richiesto di scegliere l'azione da eseguire. Selezionare l'opzione Crea un nuovo criterio di protezione.
Figura 2 Creazione di un nuovo criterio di protezione (fare clic sull'immagine per ingrandirla)
Viene poi richiesto di selezionare il server che fungerà da base di riferimento per i criteri. Poiché si sta creando un criterio nuovo, la selezione predefinita è rappresentata dal computer su cui è in esecuzione Configurazione guidata impostazioni di sicurezza. Questa opzione predefinita può però cambiare a seconda dell'azione scelta nella schermata precedente. Nonostante ciò, si raccomanda vivamente di installare Configurazione guidata impostazioni di sicurezza sul server che verrà utilizzato come base di riferimento (procedura consigliata). Se Configurazione guidata impostazioni di sicurezza non è installato sul server di destinazione, mancheranno le informazioni necessarie a completare il criterio. Di conseguenza, per non complicarsi inutilmente la vita, installare ed eseguire Configurazione guidata impostazioni di sicurezza dal server che fungerà da base di riferimento.
Quando si sceglie Avanti, Configurazione guidata impostazioni di sicurezza avvierà l'analisi del server ISA. L'analisi includerà i ruoli determinanti che sono installati sul server, i ruoli che sono probabilmente installati sul server, i servizi installati e le informazioni di rete essenziali. Al termine dell'elaborazione, è possibile visualizzare il database scegliendo Visualizza il database di configurazione. Il database di configurazione contiene molte informazioni, compresi tutti i ruoli server supportati, le funzionalità client e le porte.
La procedura guidata avvia quindi l'analisi della Configurazione dei servizi in base ai ruoli. Scegliendo Avanti si passa alla schermata successiva, dove verrà richiesto di selezionare i ruoli server, come mostrato in Figura 3. Poiché l'analisi iniziale eseguita da Configurazione guidata impostazioni di sicurezza è affidabile, i ruoli server corretti dovrebbero essere già stati identificati. Tuttavia, è molto importante ricontrollarli ed eliminare tutti i ruoli inutili. E se il server svolge più ruoli, assicurarsi di aver selezionato tutti i ruoli appropriati.
Figura 3 Selezione dei ruoli server (fare clic sull'immagine per ingrandirla)
Un punto importante da ricordare quando si esegue ISA Server 2006 Enterprise Edition è che si deve considerare anche il server archivio di configurazione. Se il server archivio di configurazione è installato su un server che funge anche da server ISA (questa configurazione non è fra le procedure consigliate, ma la si implementa spesso), occorre controllare di aver selezionato anche il ruolo Server archivio di configurazione. È importante ricordarsi che non si dovrebbe utilizzare l'analisi di base di un server che ospita entrambi i ruoli per i server che hanno soltanto il ruolo ISA Server 2006.
Nella schermata successiva viene richiesto di selezionare le funzionalità client del server. In altre parole, occorre specificare i servizi richiesti dal server. Ad esempio, quasi tutti i server richiederanno il client DNS, e se un server è membro di un dominio, richiederà la funzionalità di membro di dominio.
Dopo aver selezionato le funzionalità, si apre la schermata Opzioni di amministrazione e altre opzioni. Qui occorre selezionare l'applicazione, l'amministrazione e le opzioni del sistema operativo che utilizzano i servizi o la connettività di rete. Tutti i servizi che non saranno selezionati qui risulteranno disattivati. Dopo avere effettuato le selezioni e aver fatto clic su Avanti, verrà richiesto di scegliere gli altri servizi che si desidera attivare.
Si passa poi alla schermata di configurazione dei servizi non specificati. Qui si può decidere cosa accade quando si individuano servizi che non sono contenuti nel database principale o installati sul server di riferimento al momento dell'applicazione dei criteri. In generale, una delle procedure consigliate suggerisce di disattivare i servizi non specificati perché così si limiteranno i potenziali vettori di attacco. Sfortunatamente questa opzione può avere conseguenze negative se i server sono molto dissimili; è necessario inoltre ricordarsi di questa impostazione se in futuro si aggiungono applicazioni o servizi di rete.
La sezione successiva della procedura guidata, mostrata in Figura 4, consente di riesaminare i servizi che vengono modificati da Configurazione guidata impostazioni di sicurezza. Questa schermata di conferma fornisce una vista che mette a confronto lo stato attuale e lo stato modificato dei servizi dopo l'applicazione dei criteri.
Figura 4 Revisione e conferma delle modifiche dei servizi (fare clic sull'immagine per ingrandirla)
Una volta confermati i servizi da modificare, si passa alla sezione Protezione di rete. Qui è possibile modificare le impostazioni di IPsec e del firewall di Windows. Poiché in questa sede si sta configurando ISA Server 2006, non si può far altro che tralasciare questa sezione, come illustrato in Figura 5.
Figura 5 Omissione delle impostazioni di Protezione di rete (fare clic sull'immagine per ingrandirla)
La procedura guidata passa poi alla configurazione delle impostazioni del Registro di sistema per i metodi di autenticazione di rete e la protezione. La prima schermata in questa sezione richiede la firma di SMB (Server Message Block). Il protocollo SMB è uno dei principali protocolli di rete Microsoft e queste impostazioni richiedono comunicazioni firmate per ridurre la probabilità di attacchi di intercettazione, quali quelli conosciuti in crittografia come "man in the middle".
Le impostazioni predefinite, come mostrato in Figura 6, assicurano un buon livello di protezione per le comunicazioni SMB del server ISA. Ma si deve tenere conto dell'impatto che la firma di tutte le comunicazioni avrà sul sistema. Se non si hanno a disposizione cicli della CPU di riserva, è opportuno deselezionare la seconda opzione. E bisogna ricordarsi di considerare tutti i server a cui questi criteri saranno applicati: se si hanno server con carichi di lavoro diversi, è necessario prendere come riferimento il server col più alto utilizzo della CPU per la selezione o la deselezione di questa opzione.
Figura 6 Specificare se si richiedono comunicazioni firmate (fare clic sull'immagine per ingrandirla)
Il gruppo successivo di schermate consente di definire il livello di compatibilità LM che ISA Server deve utilizzare. La prima di queste schermate contiene tre opzioni. A meno che non si abbiano client con versioni obsolete di Windows (come Windows 95 o Windows 98) o non si utilizzino account locali per il controllo dell'accesso, non modificare la selezione predefinita Account di dominio.
La seconda schermata relativa al livello di compatibilità LM consente di fornire informazioni sui controller di dominio in uso. Se non si ha nessun dominio Windows NT® 4.0, non modificare la selezione predefinita (Windows NT 4.0 Service Pack 6a o sistemi operativi successivi). In questa finestra di dialogo, occorre anche richiedere che gli orologi vengano sincronizzarti con l'opzione orologio del server selezionato. Fare clic su Avanti per passare alle altre opzioni di configurazione delle comunicazioni LM (LAN Manager) in ingresso, come mostrato in Figura 7.
Figura 7 Selezione dei metodi di autenticazione in ingresso (fare clic sull'immagine per ingrandirla)
Questa terza schermata relativa al livello di compatibilità LM serve a stabilire se è necessario Windows NT LAN Manager (NTLM) versione 2 e se gli hash LM sono stati memorizzati. Verificare che nessuna di queste opzioni sia selezionata (a condizione che il proprio ambiente supporti questa configurazione), perché la loro deselezione migliorerà considerevolmente la protezione. Si passa poi alla schermata Riepilogo impostazioni Registro di sistema. Esaminare ogni voce del registro e confermare che le impostazioni dei criteri sono corrette.
Si passa infine alla sezione finale, quella del Controllo. Un punto importante da tenere presente per tutte le opzioni di configurazione che si modificano in questa sezione è che non possono essere ripristinate. Ma poiché le opzioni di controllo non influiscono sulle funzionalità del sistema, è possibile effettuare delle scelte in questa sezione.
La selezione predefinita denominata "Controlla operazioni riuscite" non genera voci nel registro eventi per le operazioni di accesso non riuscite. Ma le informazioni sulle operazioni di accesso non riuscite possono offrire informazioni preziose sui tentativi di intrusione. Si consiglia quindi di selezionare "Controlla operazioni riuscite e non riuscite" (procedura consigliata).
Una volta esaminata la configurazione di controllo, fare clic due volte su Avanti per salvare i criteri di protezione. Nella schermata risultante, mostrata in Figura 8, è necessario specificare un nome file, ma è anche possibile fornire una breve descrizione. La descrizione può risultare utile nei grandi ambienti dove diversi amministratori condividono le responsabilità di protezione.
Figura 8 Immissione di un nome e di una descrizione per i criteri di protezione (fare clic sull'immagine per ingrandirla)
Dopo aver salvato il file, si può decidere se applicare i criteri immediatamente o in seguito. Se si sceglie di applicarli in un secondo momento, il processo è terminato. Se ci si rende conto di aver commesso errori nella configurazione dei criteri, è possibile eseguire il rollback dei criteri, ad eccezione delle impostazioni di controllo.
Ruoli amministrativi
Ridurre la superficie di attacco di ISA Server è un'operazione molto importante ai fini della riduzione delle possibili violazioni della sicurezza da parte di fonti esterne. Tuttavia, è altrettanto importante rivedere l'assegnazione dei ruoli amministrativi all'interno di ISA Server per limitare possibili compromessi da parte di fonti interne. I ruoli amministrativi e un elenco parziale delle attività comuni sono riportati nelle figure 9 e 10.
Figura 9 Ruoli e attività associati a Standard Edition
| Attività | Revisore di monitoraggio | Revisore | Amministratore completo |
|---|---|---|---|
| Visualizzazione del pannello personale (o dashboard), avvisi, connettività, sessioni e servizi | Consentita | Consentita | Consentita |
| Conferma degli avvisi | Consentita | Consentita | Consentita |
| Visualizzazione delle informazioni di registro | – | Consentita | Consentita |
| Creazione di definizioni di avviso | – | – | Consentita |
| Creazione di report | – | Consentita | Consentita |
| Arresto e avvio di sessioni e servizi | – | Consentita | Consentita |
| Visualizzazione dei criteri firewall | – | Consentita | Consentita |
| Configurazione dei criteri firewall | – | – | Consentita |
| Configurazione della cache | – | – | Consentita |
| Configurazione di una rete privata virtuale (VPN) | – | – | Consentita |
Figura 10 Ruoli e attività associati a Enterprise Edition
| Attività | Revisore di monitoraggio dell'array | Revisore dell'array | Amministratore dell'array |
|---|---|---|---|
| Visualizzazione del pannello personale (o dashboard), avvisi, connettività e sessioni | Consentita | Consentita | Consentita |
| Conferma e reimpostazione degli avvisi | Consentita | Consentita | Consentita |
| Visualizzazione delle informazioni di registro | – | Consentita | Consentita |
| Creazione di definizioni di avviso | – | - | Consentita |
| Creazione di report | – | Consentita | Consentita |
| Arresto e avvio di sessioni e servizi | – | Consentita | Consentita |
| Visualizzazione dei criteri firewall | – | Consentita | Consentita |
| Configurazione dei criteri firewall | – | – | Consentita |
| Configurazione della cache | – | – | Consentita |
| Configurazione di una rete privata virtuale (VPN) | – | – | Consentita |
| Esecuzione dello svuotamento/arresto di NLB | – | Consentita | Consentita |
| Visualizzazione della configurazione locale (nel registro del membro array) | – | Consentita | Consentita |
| Modifica della configurazione locale (nel registro del membro array) | – | – | – |
Come si può vedere, c'è un alto grado di segmentazione nelle attività amministrative associate a ISA Server, il che dovrebbe rendere più semplice l'assegnazione dei ruoli appropriati agli utenti all'interno dell'organizzazione.
Oltre a ciò, occorre tenere presente che l'approccio migliore nell'assegnazione dei ruoli è l'uso del concetto del privilegio minimo. Ogni utente dovrebbe cioè avere la minore quantità di privilegi necessaria per consentirgli di svolgere il proprio lavoro.
È anche importante ricordare che i membri del gruppo Administrators locale di ISA Server 2006 Standard Edition hanno gli stessi diritti di un amministratore completo di ISA Server. In Enterprise Edition, i membri del gruppo Administrators locale sul server che svolge il ruolo di server archivio di configurazione hanno il controllo completo sulla configurazione di Enterprise. Ciò significa che occorre esaminare attentamente l'appartenenza al gruppo Domain Admins (se il proprio server ISA è membro di un dominio), come pure a qualsiasi altro gruppo che sia membro del gruppo Administrators locale di ISA Server.
Alan Maddison è Senior Consultant presso Strategic Business Systems, una divisione di Brocade, ed è specializzato in tecnologie Microsoft.