• Artykuł

Dostęp według Intelligent Application Gateway – cz. I     Intelligent Application Gateway

Dostęp według Intelligent Application Gateway – cz. II Udostępnij na: Facebook

Autor: Barbara Wróbel

Opublikowano: 19 lutego 2008

Zawartość strony
Wstęp  Wstęp
Przypadki szczególne  Przypadki szczególne
Podsumowanie  Podsumowanie
Dodatkowe informacje  Dodatkowe informacje
Przeczytaj pozostałe części tego artykułu  Przeczytaj pozostałe części tego artykułu

Wstęp

Przyjrzeliśmy się typowemu procesowi tworzenia aplikacji w IAG. Teraz kolej na „aplikacje” bardziej nietypowe. A do takich na pewno można zaliczyć aplikacje typu Network Connector i File Access.

 Do początku strony Do początku strony

Przypadki szczególne

Network Connector to nic innego, jak odpowiednik klasycznego połączenia VPN, tyle że w tunelu SSL. Plusy takiego rozwiązania to między innymi brak konieczności konfigurowania połączenia VPN przez klienta. Poza tym podczas połączenia za pomocą network connector IAG potrafi kontrolować ruch klienta skierowany do Internetu na trzy sposoby. Zarówno poprzez tworzenie tzw. split tunelu, jak i kierując taki ruch przez gateway firmy. Można również na czas połączenia całkowicie zabronić ruchu na zewnątrz.

By Network Connector mógł działać, oprócz wygenerowania odpowiedniej aplikacji z nim powiązanej (aplikacji typu „Client/server and legacy applications” -> „Network Connector”), należy w menu „Admin” wybrać „Network Connector Server” i w zakładce „Network segment” zaznaczyć „Activate Network Connector”.

Funkcjonalność File Access pozwala natomiast klientowi z zewnątrz na dostęp do plików znajdujących się w sieci wewnętrznej. By z niej skorzystać należy dokonać konfiguracji w dwóch etapach:

  • w menu „Admin” wybrać „File Access” i tam wskazać odpowiednie zasoby;
  • stworzyć nową aplikację typu „Built-in Services”->”File Access”.

Przyjrzyjmy się pierwszemu z nich. Wskazujemy tu domenę, serwery i zasoby, które będą przez File Access mapowane.

Rys. 1. Menu „Admin”pozwalające wybrać „File Access” i wskazać w nim odpowiednie zasoby.

Rys. 1. Menu „Admin”pozwalające wybrać „File Access” i wskazać w nim odpowiednie zasoby.

Można również wskazać umiejscowienie katalogu domowego użytkownika, który następnie będzie widoczny na stronie portalu. A także określić, iż mają zostać zastosowane domyślne ustawienia lokalizacji katalogu pobrane z Active Directory lub wpisać tutaj ścieżkę do wybranego katalogu.

Poza tym opcjonalnie deklarujemy tu skrypt mapujący dyski sieciowe i poprzez opcję „Show only the shares a user is permited to access” zapewniamy, iż tylko zasoby, do których użytkownik ma uprawnienia będą widoczne. Czyli jest to coś na kształt Access-based Enumeration.

Rys. 2. Tworzenie nowej aplikacji typu „Built-in Services” w ”File Access”.

Rys. 2. Tworzenie nowej aplikacji typu „Built-in Services” w „File Access”.

Tu przy okazji jeszcze jedna końcowa uwaga, choć związana tak naprawdę z początkiem całego procesu sprawdzania bezpieczeństwa klienta (i nie tylko znajdująca zastosowanie w przedstawionych powyżej przypadkach szczególnych aplikacji). W celu określenia jakie warunki po stronie klienta są spełnione, na kliencie zainstalowana zostaje przez IAG kontrolka o nazwie Endpoint Detection ActiveX. By mogła ona być uruchomiona, strona portalu IAG musi zostać dodana do tzw. trusted sites na kliencie. W tym celu po stronie klienta w rejestrze musi być dodany w gałęzi HKEY_CURRENT_USER\Software\WhaleCom\Client\CheckSite klucz TrustedSite0 (gdzie 0 to numer pierwszej dodanej strony, a kolejne nazwy kluczy odnoszące się do kolejnych stron to: TrustedSite1, TrustedSite2…). Jeśli warunek ten nie zostanie spełniony klient nie będzie podlegał sprawdzaniu polis bezpieczeństwa, a tym samym zostanie od razu zakwalifikowany jako klient sesji nieuprzywilejowanej.

Drugi sposób na dodanie strony do zaufanych to dodanie jej po uruchomieniu poniższego zapytania (patrz rysunek 3.).

Rys. 3. Dodanie strony do zaufanych poprzez dodanie jej po uruchomieniu zapytania.

Rys. 3. Dodanie strony do zaufanych poprzez dodanie jej po uruchomieniu zapytania.

Uwaga! Uruchomienie aplikacji opartej o SSL Wrapper wymaga, by strona wcześniej była bezwzględnie dodana do trusted sites.

By sprawdzić, że wszystko poszło zgodnie z planem i ostatecznie się przekonać o tym, jakie komponenty IAG zostały zainstalowane, klikamy w oknie klienta w ikonę „System information”. Jak widać poniżej formatka pokazuje również czy klientowi został przyznany dostęp uprzywilejowany.

Jeśli z jakichś powodów coś pójdzie nie tak i będziemy chcieli wycofać zmiany poczynione przez IAG po stronie klienta, mamy do tego trzy ikonki znajdujące się po prawej stronie poniższego rysunku. Pierwsza z nich (licząc od lewej) pozwala usunąć zatwierdzone przez nas trusted sites, druga przywraca komponenty IAG do domyślnych ustawień, trzecia natomiast służy do odinstalowania komponentów IAG.

Rys. 4. Wybór w oknie klienta ikony „System information”.

Rys. 4. Wybór w oknie klienta ikony „System information”.

 Do początku strony Do początku strony

Podsumowanie

Prześledziliśmy, jak od początku do końca IAG chroni połączenie. Jak widać IAG to rozwiązanie jest nierozerwalnie związane z serwerem ISA. Oba produkty wzajemnie się uzupełniają, dając tym samym większe możliwości bezpieczeństwa i kontroli dostępu do sieci wewnętrznej. Wprawdzie już wcześniej starano się w jakimś stopniu kontrolować w ISA niektóre aspekty dostępu klienta (jak chociażby za pośrednictwem kwarantanny). Ale było to praktycznie niezautomatyzowane. W IAG nie dość, że w nieporównywalnym stopniu ułatwiono konfigurację analogicznych ustawień, to dodatkowo wprowadzono całkiem nowe mechanizmy zabezpieczeń. Część z nich została przedstawiona w artykule. To oczywiście jednak nie wszystko. By dowiedzieć się więcej, zachęcam do skorzystania z linków poniżej. Prowadzą one nie tylko do dokumentacji, webcastów czy artykułów poświęconych IAG, ale również do wirtualnych laboratoriów, dzięki którym istnieje możliwość praktycznego zapoznania się z IAG. Albowiem obecnie IAG dostarczany jest jedynie jako oprogramowanie zintegrowane ze sprzętem i nie jest dostępna publiczna, samodzielna wersja instalacyjna oprogramowania.

 Do początku strony Do początku strony

Dodatkowe informacje

 Do początku strony Do początku strony

Przeczytaj pozostałe części tego artykułu

   
 Do początku strony Do początku strony

Dostęp według Intelligent Application Gateway – cz. I     Intelligent Application Gateway